Test: Proteccion de Datos en Sanidad (Test 2)

10 preguntas tipo examen para TCAE — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos en el ámbito sanitario es uno de los temas con mayor peso en los exámenes de TCAE, dado que el personal auxiliar maneja información clínica de carácter especialmente sensible a diario. El marco normativo lo forman el Reglamento (UE) 2016/679 (RGPD), de aplicación directa desde el 25 de mayo de 2018, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que lo adapta al ordenamiento español.

Marco normativo

  • RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Aplicable en todos los Estados miembros desde el 25 de mayo de 2018.
  • LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre. Publicada en el BOE el 6 de diciembre de 2018. Deroga la anterior LO 15/1999 (LOPD).
  • La Agencia Española de Protección de Datos (AEPD) es la autoridad de control en España (art. 57 RGPD; arts. 44 y ss. LOPDGDD).

Conceptos clave

Dato personal

Cualquier información sobre una persona física identificada o identificable (art. 4.1 RGPD). Se considera identificable cuando se puede determinar la identidad directa o indirectamente, por ejemplo mediante un número de historia clínica, una dirección IP o datos de localización.

Categorías especiales de datos (datos sensibles)

El art. 9.1 RGPD prohíbe, con carácter general, el tratamiento de:

  • Datos relativos a la salud.
  • Datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona.
  • Origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical.
  • Datos relativos a la vida sexual u orientación sexual.

En sanidad, los datos de salud son la categoría más relevante. El art. 4.15 RGPD los define como datos relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria.

Excepciones al tratamiento de datos de salud

El art. 9.2 RGPD permite el tratamiento cuando concurre alguna de estas circunstancias (selección de las más relevantes para TCAE):

  • Consentimiento explícito del interesado (letra a).
  • Fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia sanitaria o tratamiento (letra h).
  • Razones de interés público en el ámbito de la salud pública (letra i).
  • Fines de investigación científica o estadística (letra j).

Principios del tratamiento

El art. 5 RGPD recoge los principios que rigen todo tratamiento:

  1. Licitud, lealtad y transparencia.
  2. Limitación de la finalidad: los datos se recogen para fines determinados y no se tratan de forma incompatible.
  3. Minimización de datos: solo los datos adecuados, pertinentes y limitados a lo necesario.
  4. Exactitud: deben estar actualizados.
  5. Limitación del plazo de conservación: no más tiempo del necesario.
  6. Integridad y confidencialidad: seguridad adecuada frente a tratamientos no autorizados o ilícitos.

El art. 5.2 RGPD establece el principio de responsabilidad proactiva (accountability): el responsable del tratamiento debe poder demostrar el cumplimiento de estos principios.

Responsable y encargado del tratamiento

  • Responsable (art. 4.7 RGPD): quien determina los fines y medios del tratamiento. En un hospital público, suele ser la administración sanitaria.
  • Encargado (art. 4.8 RGPD): quien trata datos por cuenta del responsable (p. ej., una empresa de limpieza con acceso a historias clínicas). La relación se formaliza mediante un contrato de encargo de tratamiento (art. 28 RGPD).

Delegado de Protección de Datos (DPD)

El art. 37 RGPD obliga a designar DPD, entre otros casos, cuando el tratamiento lo lleva a cabo una autoridad u organismo público, o cuando se realiza a gran escala de categorías especiales de datos. Los centros sanitarios públicos están obligados a designarlo. El art. 34 LOPDGDD amplía esta obligación a centros sanitarios privados que traten datos de salud a gran escala.

Sus funciones principales (art. 39 RGPD): informar y asesorar, supervisar el cumplimiento, cooperar con la autoridad de control y actuar como punto de contacto con la AEPD.

Derechos de los pacientes / interesados

El RGPD reconoce los siguientes derechos (arts. 15 a 22):

  • Acceso (art. 15): conocer qué datos se tratan.
  • Rectificación (art. 16): corregir datos inexactos.
  • Supresión o “derecho al olvido” (art. 17): solicitar la eliminación de datos.
  • Limitación del tratamiento (art. 18).
  • Portabilidad (art. 20): recibir los datos en formato estructurado y transmitirlos a otro responsable.
  • Oposición (art. 21).

El art. 12 RGPD establece que el responsable debe responder a las solicitudes de ejercicio de derechos sin dilación indebida y en el plazo máximo de un mes, prorrogable dos meses más en casos complejos.

Datos numéricos y plazos que más se preguntan

  • Plazo de respuesta a derechos del interesado: 1 mes (prorrogable hasta 3 meses en total) — art. 12.3 RGPD.
  • Notificación de brecha de seguridad a la AEPD: 72 horas desde que el responsable tenga conocimiento — art. 33.1 RGPD.
  • Notificación al interesado de una brecha que entrañe alto riesgo: sin dilación indebida — art. 34.1 RGPD (no hay plazo fijo en horas, pero debe ser lo antes posible).
  • Edad mínima para consentir el tratamiento de datos en servicios de la sociedad de la información: 14 años en España — art. 7 LOPDGDD (el RGPD fija el umbral en 16 años pero permite a los Estados bajarlo hasta 13).
  • Aplicación del RGPD: desde el 25 de mayo de 2018.
  • Publicación LOPDGDD en BOE: 6 de diciembre de 2018.

Distinciones entre conceptos que confunden

  • Responsable vs. encargado: el responsable decide el fin del tratamiento; el encargado ejecuta el tratamiento por instrucciones del responsable. Un laboratorio externo que analiza muestras de un hospital es encargado, no responsable.
  • Consentimiento explícito vs. consentimiento tácito: para datos de salud se exige explícito (art. 9.2.a RGPD). El consentimiento tácito o implícito no es válido para categorías especiales.
  • Supresión vs. limitación: la supresión elimina los datos; la limitación los conserva pero bloquea su uso activo. En sanidad, la limitación es más frecuente porque la normativa obliga a conservar historias clínicas durante plazos mínimos.
  • Brecha de seguridad con notificación a la AEPD vs. sin notificación: solo se notifica si la brecha puede suponer un riesgo para los derechos y libertades de las personas (art. 33.1 RGPD). Si es improbable que suponga riesgo, basta con documentarla internamente (art. 33.2 RGPD).
  • DPD obligatorio vs. voluntario: en centros sanitarios públicos es obligatorio; en centros privados que no traten datos a gran escala puede ser voluntario, aunque recomendable.

Errores típicos del opositor

  • Confundir el plazo de 72 horas (notificación de brecha a la AEPD) con el plazo de 1 mes (respuesta a derechos del interesado). Son plazos distintos para obligaciones distintas.
  • Creer que el RGPD fija la edad de consentimiento digital en 14 años: el RGPD dice 16 años; es la LOPDGDD la que la baja a 14 en España.
  • Pensar que la historia clínica puede destruirse libremente una vez finalizada la asistencia. La normativa sanitaria impone plazos mínimos de conservación que prevalecen sobre el derecho de supresión.
  • Identificar al médico o enfermero como “responsable del tratamiento”: el responsable es la institución (hospital, centro de salud), no el profesional individual.
  • Olvidar que el consentimiento para datos de salud debe ser explícito, no genérico ni implícito.

Trucos mnemotécnicos

  • “72 horas para la AEPD, 1 mes para el paciente”: brecha → autoridad de control en 72 h; derechos del interesado → respuesta en 1 mes.
  • RGPD = 16 años / LOPDGDD = 14 años: “España rebaja dos años el umbral”.
  • Los 6 principios del art. 5 RGPD con la sigla LMLEII: Licitud, Minimización, Limitación de finalidad, Exactitud, Integridad/confidencialidad, Intervalo de conservación limitado.
  • “El responsable decide, el encargado ejecuta”: frase para no confundir roles.
  • Para recordar que los datos de salud son categoría especial: “todo lo íntimo es especial” — salud, genética, biometría, religión, sexo, raza, sindicato, política.

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. Segun el articulo 5.1.a del RGPD, el principio de 'licitud, lealtad y transparencia' implica que los datos personales seran:

    • A) Tratados de manera licita, leal y transparente en relacion con el interesado
    • B) Tratados unicamente con fines lucrativos y de forma confidencial
    • C) Almacenados sin limite temporal siempre que el interesado lo desconozca
    • D) Comunicados a terceros sin informar al interesado siempre que sea necesario

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 5.1.a

  2. Segun el articulo 5.1.d del RGPD, el principio de exactitud de los datos personales implica que:

    • A) Los datos personales seran exactos y, si fuera necesario, actualizados, debiendo adoptarse todas las medidas razonables para que se supriman o rectifiquen sin dilacion los datos inexactos
    • B) Basta con recoger los datos una sola vez, sin necesidad de actualizarlos jamas
    • C) Los datos pueden contener errores si no afectan a la facturacion del centro sanitario
    • D) Solo se exige exactitud en los datos de identificacion, no en los datos clinicos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 5.1.d

  3. Segun el articulo 15 del RGPD, el derecho de acceso del interesado le permite obtener del responsable del tratamiento confirmacion de si se estan tratando o no datos personales que le conciernen, y en caso afirmativo, acceder a:

    • A) Los datos personales objeto de tratamiento, los fines del tratamiento, las categorias de datos, los destinatarios, el plazo de conservacion y la existencia de decisiones automatizadas
    • B) Unicamente una copia impresa de sus datos, sin mas informacion
    • C) Los datos de otros pacientes que compartan el mismo diagnostico
    • D) Exclusivamente el nombre del medico que introdujo los datos en el sistema

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 15

  4. Segun el articulo 25 del RGPD, el principio de 'proteccion de datos desde el diseno y por defecto' implica que:

    • A) El responsable del tratamiento aplicara medidas tecnicas y organizativas apropiadas tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, para integrar las garantias necesarias desde el inicio
    • B) Las medidas de proteccion solo se implementan cuando se detecta una brecha de seguridad
    • C) Solo se aplica a empresas tecnologicas, no a centros sanitarios
    • D) El interesado debe configurar manualmente la proteccion de sus datos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 25

  5. Segun el articulo 83 del RGPD, las infracciones mas graves pueden dar lugar a multas administrativas de hasta:

    • A) 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optandose por la de mayor cuantia
    • B) 1.000 euros en todos los casos
    • C) 100.000 euros como maximo absoluto
    • D) No existen sanciones economicas en el RGPD, solo advertencias

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 83.5

  6. Segun el articulo 37 del RGPD, el Delegado de Proteccion de Datos (DPD) debe designarse obligatoriamente cuando:

    • A) El tratamiento lo lleve a cabo una autoridad u organismo publico, o las actividades principales del responsable requieran una observacion habitual y sistematica de interesados a gran escala, o consistan en el tratamiento a gran escala de categorias especiales de datos
    • B) Solo cuando la empresa tenga mas de 500 empleados
    • C) Unicamente si la empresa ha sufrido una brecha de seguridad en el ultimo ano
    • D) Cuando lo solicite la mayoria de los trabajadores de la empresa

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 37.1

  7. Segun el articulo 17 del RGPD (derecho de supresion o 'derecho al olvido'), el interesado puede solicitar la supresion de sus datos. Sin embargo, este derecho NO se aplica cuando el tratamiento sea necesario para:

    • A) Fines de medicina preventiva o laboral, diagnostico medico, prestacion de asistencia sanitaria o gestion de sistemas sanitarios, o por razones de interes publico en el ambito de la salud publica
    • B) Enviar publicidad comercial al interesado
    • C) Crear perfiles de consumo para vender a terceras empresas
    • D) La comodidad del responsable del tratamiento en la gestion de sus bases de datos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 17.3.c

  8. Segun el articulo 30 del RGPD, el responsable del tratamiento y, en su caso, su representante, llevaran un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro contendra, entre otra informacion:

    • A) El nombre y datos de contacto del responsable, los fines del tratamiento, una descripcion de las categorias de interesados y de las categorias de datos personales, y los plazos previstos para la supresion
    • B) Exclusivamente el nombre de la empresa y la fecha de inicio del tratamiento
    • C) Solo una lista de las brechas de seguridad sufridas en el ultimo ano
    • D) Unicamente los datos de los trabajadores de la empresa

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 30

  9. Segun la LOPDGDD, el tratamiento de datos personales de un paciente fallecido puede ser solicitado por:

    • A) Las personas vinculadas al fallecido por razones familiares o de hecho, asi como sus herederos, salvo que el fallecido lo hubiera prohibido expresamente
    • B) Cualquier persona que lo solicite, sin restriccion alguna
    • C) Nadie, ya que los datos de personas fallecidas quedan automaticamente eliminados
    • D) Exclusivamente el notario que gestione la herencia

    Referencia: Ley Organica 3/2018 (LOPDGDD) , Art. 3

  10. Segun el RGPD, cuando sea probable que un tipo de tratamiento entrane un alto riesgo para los derechos y libertades de las personas, el responsable del tratamiento debera realizar, antes del tratamiento:

    • A) Una evaluacion de impacto relativa a la proteccion de datos
    • B) Una auditoria financiera del centro sanitario
    • C) Un referendum entre los trabajadores del centro para aprobar el tratamiento
    • D) Una consulta previa a los colegios profesionales sanitarios

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 35