Test: Proteccion de Datos en Sanidad (Test 2)

10 preguntas — TCAE

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas y respuestas: Proteccion de Datos en Sanidad (Test 2)

A continuación se muestran las 10 preguntas de este test con sus respuestas correctas y explicaciones basadas en legislación real.

Pregunta 1

Segun el articulo 5.1.a del RGPD, el principio de 'licitud, lealtad y transparencia' implica que los datos personales seran:

  • A) Tratados de manera licita, leal y transparente en relacion con el interesado (Correcta)
  • B) Tratados unicamente con fines lucrativos y de forma confidencial
  • C) Almacenados sin limite temporal siempre que el interesado lo desconozca
  • D) Comunicados a terceros sin informar al interesado siempre que sea necesario

Explicación: Los principios del art. 5 RGPD son: licitud, lealtad y transparencia (a), limitacion de finalidad (b), minimizacion (c), exactitud (d), limitacion del plazo de conservacion (e), integridad y confidencialidad (f), y responsabilidad proactiva (5.2).

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 5.1.a (DOUE)

Pregunta 2

Segun el articulo 5.1.d del RGPD, el principio de exactitud de los datos personales implica que:

  • A) Los datos personales seran exactos y, si fuera necesario, actualizados, debiendo adoptarse todas las medidas razonables para que se supriman o rectifiquen sin dilacion los datos inexactos (Correcta)
  • B) Basta con recoger los datos una sola vez, sin necesidad de actualizarlos jamas
  • C) Los datos pueden contener errores si no afectan a la facturacion del centro sanitario
  • D) Solo se exige exactitud en los datos de identificacion, no en los datos clinicos

Explicación: La exactitud de los datos de salud es critica en sanidad: un dato clinico inexacto (grupo sanguineo, alergias, diagnosticos) puede tener consecuencias graves para la asistencia. El TCAE debe contribuir a la exactitud de los datos que registre en su ambito de competencias.

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 5.1.d (DOUE)

Pregunta 3

Segun el articulo 15 del RGPD, el derecho de acceso del interesado le permite obtener del responsable del tratamiento confirmacion de si se estan tratando o no datos personales que le conciernen, y en caso afirmativo, acceder a:

  • A) Los datos personales objeto de tratamiento, los fines del tratamiento, las categorias de datos, los destinatarios, el plazo de conservacion y la existencia de decisiones automatizadas (Correcta)
  • B) Unicamente una copia impresa de sus datos, sin mas informacion
  • C) Los datos de otros pacientes que compartan el mismo diagnostico
  • D) Exclusivamente el nombre del medico que introdujo los datos en el sistema

Explicación: El derecho de acceso (art. 15 RGPD) es uno de los derechos ARCO (Acceso, Rectificacion, Cancelacion/Supresion, Oposicion). En sanidad, se complementa con el art. 18 de la Ley 41/2002 (acceso a la HC). El responsable debe facilitar copia gratuita de los datos (art. 15.3 RGPD).

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 15 (DOUE)

Pregunta 4

Segun el articulo 25 del RGPD, el principio de 'proteccion de datos desde el diseno y por defecto' implica que:

  • A) El responsable del tratamiento aplicara medidas tecnicas y organizativas apropiadas tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, para integrar las garantias necesarias desde el inicio (Correcta)
  • B) Las medidas de proteccion solo se implementan cuando se detecta una brecha de seguridad
  • C) Solo se aplica a empresas tecnologicas, no a centros sanitarios
  • D) El interesado debe configurar manualmente la proteccion de sus datos

Explicación: Privacy by design y by default (art. 25) son conceptos clave del RGPD: los sistemas sanitarios informaticos deben incorporar la proteccion de datos desde su concepcion, y por defecto solo tratar los datos necesarios para cada finalidad concreta.

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 25 (DOUE)

Pregunta 5

Segun el articulo 83 del RGPD, las infracciones mas graves pueden dar lugar a multas administrativas de hasta:

  • A) 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optandose por la de mayor cuantia (Correcta)
  • B) 1.000 euros en todos los casos
  • C) 100.000 euros como maximo absoluto
  • D) No existen sanciones economicas en el RGPD, solo advertencias

Explicación: El RGPD tiene dos niveles de sanciones: hasta 10 millones/2% (art. 83.4, para obligaciones del responsable) y hasta 20 millones/4% (art. 83.5, para principios basicos, derechos del interesado y transferencias internacionales). En Espana, la AEPD es la autoridad competente para imponer estas multas.

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 83.5 (DOUE)

Pregunta 6

Segun el articulo 37 del RGPD, el Delegado de Proteccion de Datos (DPD) debe designarse obligatoriamente cuando:

  • A) El tratamiento lo lleve a cabo una autoridad u organismo publico, o las actividades principales del responsable requieran una observacion habitual y sistematica de interesados a gran escala, o consistan en el tratamiento a gran escala de categorias especiales de datos (Correcta)
  • B) Solo cuando la empresa tenga mas de 500 empleados
  • C) Unicamente si la empresa ha sufrido una brecha de seguridad en el ultimo ano
  • D) Cuando lo solicite la mayoria de los trabajadores de la empresa

Explicación: Los hospitales y centros sanitarios estan doblemente obligados a designar DPD: como organismos publicos (37.1.a) y como entidades que tratan datos de salud a gran escala (37.1.c). La LOPDGDD (art. 34.1.l) lo confirma expresamente para centros sanitarios con historias clinicas.

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 37.1 (DOUE)

Pregunta 7

Segun el articulo 17 del RGPD (derecho de supresion o 'derecho al olvido'), el interesado puede solicitar la supresion de sus datos. Sin embargo, este derecho NO se aplica cuando el tratamiento sea necesario para:

  • A) Fines de medicina preventiva o laboral, diagnostico medico, prestacion de asistencia sanitaria o gestion de sistemas sanitarios, o por razones de interes publico en el ambito de la salud publica (Correcta)
  • B) Enviar publicidad comercial al interesado
  • C) Crear perfiles de consumo para vender a terceras empresas
  • D) La comodidad del responsable del tratamiento en la gestion de sus bases de datos

Explicación: El derecho de supresion (art. 17) tiene excepciones importantes en sanidad (17.3.c): no puede exigirse la eliminacion de datos necesarios para la asistencia, medicina preventiva, salud publica o gestion sanitaria. Esto se complementa con la obligacion de conservar la HC al menos 5 anos (art. 17.1 Ley 41/2002).

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 17.3.c (DOUE)

Pregunta 8

Segun el articulo 30 del RGPD, el responsable del tratamiento y, en su caso, su representante, llevaran un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro contendra, entre otra informacion:

  • A) El nombre y datos de contacto del responsable, los fines del tratamiento, una descripcion de las categorias de interesados y de las categorias de datos personales, y los plazos previstos para la supresion (Correcta)
  • B) Exclusivamente el nombre de la empresa y la fecha de inicio del tratamiento
  • C) Solo una lista de las brechas de seguridad sufridas en el ultimo ano
  • D) Unicamente los datos de los trabajadores de la empresa

Explicación: El registro de actividades de tratamiento (art. 30) sustituye a la antigua obligacion de inscribir ficheros en la AEPD. En un hospital, este registro incluira multiples actividades: gestion de historias clinicas, nominas, investigacion, vigilancia epidemiologica, etc.

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 30 (DOUE)

Pregunta 9

Segun la LOPDGDD, el tratamiento de datos personales de un paciente fallecido puede ser solicitado por:

  • A) Las personas vinculadas al fallecido por razones familiares o de hecho, asi como sus herederos, salvo que el fallecido lo hubiera prohibido expresamente (Correcta)
  • B) Cualquier persona que lo solicite, sin restriccion alguna
  • C) Nadie, ya que los datos de personas fallecidas quedan automaticamente eliminados
  • D) Exclusivamente el notario que gestione la herencia

Explicación: El art. 3 LOPDGDD regula el 'derecho digital de las personas fallecidas': familiares vinculados y herederos pueden acceder, rectificar o suprimir los datos del fallecido, salvo que este lo hubiera prohibido. Es especialmente relevante en sanidad para acceder a la HC del difunto.

Ref: Ley Organica 3/2018 (LOPDGDD), Art. 3 (BOE)

Pregunta 10

Segun el RGPD, cuando sea probable que un tipo de tratamiento entrane un alto riesgo para los derechos y libertades de las personas, el responsable del tratamiento debera realizar, antes del tratamiento:

  • A) Una evaluacion de impacto relativa a la proteccion de datos (Correcta)
  • B) Una auditoria financiera del centro sanitario
  • C) Un referendum entre los trabajadores del centro para aprobar el tratamiento
  • D) Una consulta previa a los colegios profesionales sanitarios

Explicación: La EIPD (art. 35) es obligatoria en tratamientos de alto riesgo, como el tratamiento a gran escala de datos de salud (art. 35.3.b). Los hospitales deben realizar EIPD para sus principales tratamientos de datos clinicos. Si el riesgo residual es alto, se consulta previamente a la AEPD (art. 36).

Ref: Reglamento (UE) 2016/679 (RGPD), Art. 35 (DOUE)