Test: Proteccion de datos personales en el ambito sanitario. Datos de salud. Confidencialidad. Regimen de responsabilidad

10 preguntas tipo examen para Celador SERMAS — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

El Tema 6 es uno de los más técnicos del temario de Celador SERMAS. La protección de datos en el ámbito sanitario combina normativa europea (el RGPD) con la normativa orgánica española (LOPDGDD), y su aplicación práctica afecta directamente a la actividad diaria del celador: manejo de historias clínicas, traslado de pacientes, acceso a información sensible. Las preguntas de examen suelen centrarse en definiciones, categorías de datos, derechos del paciente y plazos concretos.

Marco normativo

  • Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Conocido como RGPD. Aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Conocida como LOPDGDD. Adapta el RGPD al ordenamiento español. Publicada en el BOE (no en el BOCM, aunque el SERMAS aplica ambas normas en su ámbito autonómico).

La relación entre ambas normas es de complementariedad: el RGPD es la norma de referencia y la LOPDGDD la desarrolla y concreta para España.

Estructura del tema

El tema se articula en cuatro bloques:

  1. Qué son los datos personales y los datos de salud.
  2. Principios del tratamiento de datos.
  3. Derechos de los interesados.
  4. Régimen de responsabilidad y sanciones.

Conceptos clave

Dato personal

Según el art. 4.1 RGPD, dato personal es «toda información sobre una persona física identificada o identificable». Se considera identificable a quien pueda ser determinado directa o indirectamente, en particular mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea) o uno o varios elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Datos de salud

El art. 4.15 RGPD los define como «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».

Los datos de salud pertenecen a las categorías especiales de datos (art. 9 RGPD), junto con los datos genéticos, biométricos, origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical y datos relativos a la vida u orientación sexual.

El tratamiento de estas categorías está prohibido con carácter general (art. 9.1 RGPD), salvo que concurra alguna de las excepciones del art. 9.2 RGPD.

Excepciones al tratamiento de datos de salud (art. 9.2 RGPD)

Las más relevantes para el ámbito sanitario:

  • Consentimiento explícito del interesado (letra a).
  • Necesidad para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia sanitaria o tratamiento, o gestión de sistemas y servicios de asistencia sanitaria (letra h).
  • Razones de interés público en el ámbito de la salud pública (letra i).

Responsable del tratamiento

Art. 4.7 RGPD: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. En el SERMAS, el responsable es la propia institución sanitaria.

Encargado del tratamiento

Art. 4.8 RGPD: persona física o jurídica que trate datos personales por cuenta del responsable. Actúa siempre bajo instrucciones del responsable.

Tratamiento de datos

Art. 4.2 RGPD: «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no». Incluye recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación, difusión, supresión o destrucción.

Consentimiento

Art. 4.11 RGPD: «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

Para datos de salud (categorías especiales), el consentimiento debe ser explícito (art. 9.2.a RGPD).

La LOPDGDD fija en su art. 7 que el consentimiento de los menores de 14 años requiere el consentimiento del titular de la patria potestad o tutela.

Principios del tratamiento (art. 5 RGPD)

Los datos personales deben ser:

  • Licitud, lealtad y transparencia: tratados de forma lícita, leal y transparente.
  • Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos.
  • Minimización de datos: adecuados, pertinentes y limitados a lo necesario.
  • Exactitud: exactos y actualizados.
  • Limitación del plazo de conservación: no conservados más tiempo del necesario.
  • Integridad y confidencialidad: tratados con seguridad adecuada.
  • Responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento de todos los principios anteriores.

Derechos de los interesados

El RGPD reconoce los siguientes derechos (conocidos en el ámbito práctico como derechos ARSLOP):

  • Acceso (art. 15 RGPD): el interesado puede obtener confirmación de si se tratan sus datos y acceder a ellos.
  • Rectificación (art. 16 RGPD): corrección de datos inexactos.
  • Supresión o «derecho al olvido» (art. 17 RGPD).
  • Limitación del tratamiento (art. 18 RGPD).
  • Oposición (art. 21 RGPD).
  • Portabilidad (art. 20 RGPD): recibir los datos en formato estructurado y de uso común.

Plazos para atender los derechos (art. 12 RGPD)

  • Plazo general: 1 mes desde la recepción de la solicitud.
  • Prórroga posible: 2 meses adicionales cuando la complejidad o el número de solicitudes lo justifique, comunicándolo al interesado en el primer mes.

Confidencialidad

La confidencialidad es una obligación directamente vinculada al principio de integridad y confidencialidad del art. 5.1.f RGPD. Los datos de salud deben tratarse garantizando su seguridad, incluida la protección contra el acceso no autorizado.

El art. 5 LOPDGDD establece el deber de confidencialidad de quienes intervengan en cualquier fase del tratamiento. Este deber subsiste incluso después de que finalice la relación del obligado con el responsable del tratamiento.

Para el celador, esto implica que la información sobre pacientes que conozca en el ejercicio de sus funciones (diagnósticos, tratamientos, situación personal) está protegida por este deber y no puede ser divulgada.

Datos numéricos y plazos que más se preguntan

  • 25 de mayo de 2018: fecha de aplicación del RGPD.
  • 5 de diciembre de 2018: fecha de aprobación de la LOPDGDD.
  • 14 años: edad mínima para prestar consentimiento sin intervención de los padres o tutores (art. 7 LOPDGDD).
  • 1 mes: plazo ordinario para responder a los derechos del interesado (art. 12 RGPD).
  • 2 meses adicionales: prórroga máxima del plazo anterior (art. 12 RGPD).
  • 72 horas: plazo máximo para notificar una brecha de seguridad a la autoridad de control (art. 33 RGPD).

Régimen de responsabilidad y sanciones

El art. 83 RGPD establece un sistema de multas administrativas en dos niveles:

  • Nivel 1 (infracciones menos graves): hasta 10.000.000 € o, en el caso de una empresa, hasta el 2 % del volumen de negocio anual global del ejercicio anterior (el importe que sea mayor).
  • Nivel 2 (infracciones más graves, como vulnerar los principios del art. 5 o tratar categorías especiales sin base legítima): hasta 20.000.000 € o hasta el 4 % del volumen de negocio anual global (el importe que sea mayor).

La LOPDGDD (arts. 72 a 74) clasifica las infracciones en muy graves, graves y leves, adaptando el régimen sancionador del RGPD al ordenamiento español.

La autoridad de control en España es la Agencia Española de Protección de Datos (AEPD), reconocida en la LOPDGDD.

Errores típicos del opositor

  • Confundir responsable y encargado del tratamiento: el responsable decide el fin; el encargado ejecuta por cuenta del responsable.
  • Creer que el consentimiento ordinario es suficiente para datos de salud: se exige consentimiento explícito (art. 9.2.a RGPD).
  • Olvidar que el deber de confidencialidad persiste tras el fin de la relación laboral (art. 5 LOPDGDD).
  • Confundir el plazo de 1 mes (regla general) con el de 72 horas (brechas de seguridad): son supuestos distintos.
  • Situar la mayoría de edad para el consentimiento en datos en los 18 años: la LOPDGDD la fija en 14 años.

Trucos mnemotécnicos

  • RGPD = 2016, aplicación 2018: «el reglamento nació en 2016 pero empezó a trabajar en 2018».
  • Derechos ARSLOP: Acceso, Rectificación, Supresión, Limitación, Oposición, Portabilidad.
  • Categorías especiales = GROBS + vida sexual: Genéticos, Raciales, Opiniones políticas, Biométricos, Salud + convicciones religiosas/filosóficas, afiliación sindical, vida u orientación sexual.
  • 72 horas para brechas: «una brecha es una urgencia, como una guardia de tres días».
  • Sanciones: 2 % / 4 % o 10 M / 20 M: el nivel más grave siempre dobla al menor.

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. Según el RGPD, ¿qué se entiende por datos relativos a la salud?

    • A) Los datos personales relativos a la salud física o mental de una persona física que revelen información sobre su estado de salud
    • B) Únicamente los datos contenidos en la historia clínica del paciente
    • C) Los datos de identificación del paciente en centros sanitarios
    • D) Exclusivamente los resultados de análisis clínicos y pruebas diagnósticas

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , Art. 4.15

  2. ¿Cuál es la categoría de los datos de salud según el RGPD?

    • A) Datos personales ordinarios
    • B) Categorías especiales de datos personales
    • C) Datos pseudonimizados
    • D) Datos anonimizados

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , Art. 9.1

  3. Según la Ley Orgánica 3/2018, ¿cuál es el plazo máximo para ejercer el derecho de supresión de datos de salud?

    • A) 15 días hábiles
    • B) Un mes desde la recepción de la solicitud
    • C) Tres meses desde la solicitud
    • D) No existe plazo específico

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 12

  4. ¿Qué principio del RGPD establece que los datos de salud deben ser exactos y actualizados?

    • A) Principio de licitud
    • B) Principio de exactitud
    • C) Principio de minimización
    • D) Principio de transparencia

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , Art. 5.1.d

  5. En el ámbito sanitario, ¿cuál de las siguientes NO es una base legal válida para el tratamiento de datos de salud según el RGPD?

    • A) Consentimiento explícito del interesado
    • B) Medicina preventiva o laboral
    • C) Interés legítimo del responsable del tratamiento
    • D) Protección de intereses vitales

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , Art. 9.2

  6. ¿Qué medida de seguridad es obligatoria según el RGPD para el tratamiento de datos de salud?

    • A) Únicamente el cifrado de datos
    • B) Medidas técnicas y organizativas apropiadas
    • C) Solo medidas organizativas
    • D) Exclusivamente control de acceso físico

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , Art. 32

  7. Según la LO 3/2018, ¿cuándo debe notificarse una violación de seguridad que afecte a datos de salud a la autoridad de control?

    • A) En un plazo máximo de 72 horas
    • B) Inmediatamente, sin plazo específico
    • C) En un plazo de 7 días
    • D) Solo si afecta a más de 100 personas

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 95

  8. ¿Cuál es la sanción máxima que puede imponer la AEPD por infracciones muy graves en materia de protección de datos de salud?

    • A) 600.000 euros
    • B) 10.000.000 euros
    • C) 20.000.000 euros o 4% de la facturación anual
    • D) No existe límite máximo

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , Art. 83.5

  9. ¿Qué derecho permite al paciente obtener una copia de sus datos de salud en formato electrónico?

    • A) Derecho de acceso
    • B) Derecho de portabilidad
    • C) Derecho de rectificación
    • D) Derecho de oposición

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , Art. 20

  10. Según la LO 3/2018, ¿quién puede ejercer los derechos sobre datos de salud de un menor de edad?

    • A) Solo el menor si tiene más de 12 años
    • B) El menor si tiene al menos 14 años o sus representantes legales
    • C) Exclusivamente los representantes legales hasta los 18 años
    • D) Cualquier familiar directo

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 7.1