Test: Protección de datos (LOPDGDD, RGPD)

10 preguntas tipo examen para AENA — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos es materia transversal en cualquier organización pública o privada que maneje información personal. En AENA, como entidad que gestiona datos de millones de pasajeros, trabajadores y proveedores, este tema tiene aplicación directa y práctica. El examinador suele preguntar definiciones, plazos, derechos y obligaciones del responsable del tratamiento.

Marco normativo

Dos normas rigen esta materia de forma complementaria:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD). Es de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Adapta el RGPD al ordenamiento español y amplía derechos en el ámbito digital.

La LOPDGDD no deroga el RGPD: lo complementa y desarrolla. En caso de conflicto, prevalece el RGPD por ser norma de la Unión Europea de aplicación directa.

Conceptos clave

Dato personal

Según el art. 4.1 RGPD, dato personal es «toda información sobre una persona física identificada o identificable». Una persona es identificable cuando puede determinarse su identidad, directa o indirectamente, mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea) o mediante factores propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Categorías especiales de datos

El art. 9 RGPD prohíbe el tratamiento de datos que revelen:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona
  • Datos relativos a la salud
  • Datos relativos a la vida sexual u orientación sexual

Solo se pueden tratar con consentimiento explícito del interesado u otras bases legales tasadas (art. 9.2 RGPD).

Responsable del tratamiento

Art. 4.7 RGPD: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento.

Encargado del tratamiento

Art. 4.8 RGPD: persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable. La relación entre responsable y encargado debe formalizarse mediante contrato (art. 28 RGPD).

Tratamiento

Art. 4.2 RGPD: «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no». Incluye recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, uso, comunicación, difusión, supresión o destrucción.

Consentimiento

Art. 4.11 RGPD: «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales».

El consentimiento no puede ser tácito. El silencio o las casillas premarcadas no constituyen consentimiento válido (considerando 32 RGPD).

La LOPDGDD, en su art. 7, establece que el consentimiento de los menores de 14 años debe ser prestado por sus padres o tutores. A partir de los 14 años, el menor puede consentir por sí mismo.

Principios del tratamiento

El art. 5 RGPD recoge los principios que rigen todo tratamiento de datos:

  • Licitud, lealtad y transparencia: el tratamiento debe tener base jurídica y el interesado debe ser informado.
  • Limitación de la finalidad: los datos se recogen para fines determinados, explícitos y legítimos, y no se tratan de forma incompatible con dichos fines.
  • Minimización de datos: los datos deben ser adecuados, pertinentes y limitados a lo necesario.
  • Exactitud: los datos deben ser exactos y, si fuera necesario, actualizados.
  • Limitación del plazo de conservación: los datos no deben conservarse más tiempo del necesario para la finalidad.
  • Integridad y confidencialidad: tratamiento con seguridad adecuada, incluida la protección contra tratamiento no autorizado o ilícito y contra pérdida, destrucción o daño accidental.
  • Responsabilidad proactiva (accountability): el responsable es competente para demostrar el cumplimiento de todos los principios anteriores.

Derechos de los interesados

Los derechos reconocidos en el RGPD (arts. 15 a 22) y desarrollados en la LOPDGDD (arts. 13 a 18) son:

  • Derecho de acceso (art. 15 RGPD): el interesado puede obtener confirmación de si se tratan sus datos y acceder a ellos.
  • Derecho de rectificación (art. 16 RGPD): corrección de datos inexactos o incompletos.
  • Derecho de supresión o «derecho al olvido» (art. 17 RGPD): supresión de datos cuando ya no sean necesarios, se retire el consentimiento o el tratamiento sea ilícito, entre otros supuestos.
  • Derecho a la limitación del tratamiento (art. 18 RGPD): el interesado puede solicitar que el tratamiento quede restringido en determinadas circunstancias.
  • Derecho a la portabilidad (art. 20 RGPD): recibir los datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable. Solo aplica cuando el tratamiento se basa en consentimiento o contrato y se efectúa por medios automatizados.
  • Derecho de oposición (art. 21 RGPD): oponerse al tratamiento en cualquier momento por motivos relacionados con su situación particular.

Obligaciones del responsable

Registro de actividades de tratamiento

Art. 30 RGPD: los responsables y encargados deben mantener un registro de las actividades de tratamiento. Están exentas las organizaciones con menos de 250 empleados, salvo que el tratamiento pueda entrañar un riesgo para los derechos y libertades, no sea ocasional o incluya categorías especiales de datos.

Evaluación de impacto (EIPD)

Art. 35 RGPD: obligatoria cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas físicas. Especialmente cuando se utilice tratamiento automatizado a gran escala, se traten categorías especiales de datos o se realice vigilancia sistemática a gran escala de zonas de acceso público.

Delegado de Protección de Datos (DPD)

Arts. 37 a 39 RGPD y arts. 34 a 37 LOPDGDD. El DPD es obligatorio para:

  • Autoridades u organismos públicos.
  • Responsables o encargados cuya actividad principal consista en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Responsables o encargados cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos.

El DPD puede ser empleado o actuar en virtud de contrato de servicios. Sus funciones incluyen informar y asesorar, supervisar el cumplimiento, cooperar con la autoridad de control y actuar como punto de contacto.

Notificación de brechas de seguridad

  • Art. 33 RGPD: el responsable debe notificar la brecha a la autoridad de control en un plazo máximo de 72 horas desde que tenga constancia de ella, salvo que sea improbable que suponga un riesgo para los derechos y libertades.
  • Art. 34 RGPD: si la brecha entraña un alto riesgo, debe comunicarse también al interesado sin dilación indebida.

Autoridad de control en España

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente en España, conforme al art. 57 RGPD y al Título VIII de la LOPDGDD. Supervisa el cumplimiento, tramita reclamaciones e impone sanciones.

Régimen sancionador

El art. 83 RGPD establece dos niveles de multas administrativas:

  • Nivel inferior: hasta 10.000.000 € o, en el caso de una empresa, hasta el 2 % del volumen de negocio total anual global del ejercicio financiero anterior (el importe que sea mayor). Aplica a infracciones de obligaciones del responsable y encargado, organismos de certificación y supervisión.
  • Nivel superior: hasta 20.000.000 € o hasta el 4 % del volumen de negocio total anual global (el importe que sea mayor). Aplica a infracciones de los principios básicos, derechos de los interesados y transferencias internacionales.

Datos numéricos y plazos que más se preguntan

  • Fecha de aplicación del RGPD: 25 de mayo de 2018
  • Fecha de la LOPDGDD: 5 de diciembre de 2018
  • Edad mínima para consentir sin representante legal (LOPDGDD, art. 7): 14 años
  • Plazo de notificación de brecha a la AEPD: 72 horas (art. 33 RGPD)
  • Sanción máxima nivel inferior: 10.000.000 € o 2 % del volumen de negocio
  • Sanción máxima nivel superior: 20.000.000 € o 4 % del volumen de negocio

Errores típicos del opositor

  • Confundir responsable (decide los fines) con encargado (trata por cuenta del responsable). La distinción es el art. 4.7 y 4.8 RGPD.
  • Creer que el consentimiento puede ser tácito o por omisión. No es válido.
  • Aplicar el plazo de 72 horas para notificar al interesado. Ese plazo es solo para la autoridad de control; la comunicación al interesado es «sin dilación indebida» cuando el riesgo es alto.
  • Confundir el derecho a la portabilidad (solo para tratamientos automatizados basados en consentimiento o contrato) con el derecho de acceso (más amplio).
  • Situar la edad de consentimiento en 16 años: en España la LOPDGDD la fija en 14 años, no en 16.

Trucos mnemotécnicos

  • LMFEC-IR: Licitud, Minimización, Finalidad, Exactitud, Conservación limitada, Integridad y Responsabilidad proactiva → los 7 principios del art. 5 RGPD.
  • 72 horas → AEPD; alto riesgo → también al interesado: dos destinatarios, dos umbrales.
  • 2 % / 10 M€ = nivel bajo; 4 % / 20 M€ = nivel alto: el porcentaje y la cifra se duplican al subir de nivel.
  • 14 años en España: la LOPDGDD rebajó la edad respecto al umbral de referencia del RGPD (que permitía hasta 16 años a los Estados miembros).
  • Responsable = Rige los fines; Encargado = Ejecuta el tratamiento: la inicial R de Responsable coincide con la de Rige.

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. ¿Cuál es la norma europea directamente aplicable en materia de protección de datos personales?

    • A) La Directiva 95/46/CE
    • B) El Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos - RGPD)
    • C) La Carta de los Derechos Fundamentales de la UE
    • D) El Convenio 108 del Consejo de Europa

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 1

  2. ¿Qué ley española complementa y desarrolla el RGPD en el ordenamiento jurídico español?

    • A) La Ley Orgánica 15/1999 (LOPD)
    • B) La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
    • C) La Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI)
    • D) El Real Decreto 1720/2007

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) , Disposición derogatoria única

  3. Según el RGPD, ¿cuáles son las bases legales (bases de licitud) para el tratamiento de datos personales?

    • A) Solo el consentimiento del interesado
    • B) Consentimiento, ejecución de contrato, obligación legal, intereses vitales, interés público y interés legítimo
    • C) Consentimiento y obligación legal únicamente
    • D) Cualquier motivo que el responsable considere razonable

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 6.1

  4. ¿Qué es el Delegado de Protección de Datos (DPD/DPO) según el RGPD?

    • A) Un funcionario de la AEPD asignado a cada empresa
    • B) Una figura obligatoria en ciertos casos que supervisa el cumplimiento de la normativa de protección de datos dentro de la organización
    • C) Un auditor externo contratado anualmente
    • D) Un cargo voluntario sin funciones definidas

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Arts. 37-39

  5. ¿Cuáles son los derechos del interesado (derechos ARCO-POL) reconocidos por el RGPD?

    • A) Solo acceso y rectificación
    • B) Acceso, rectificación, supresión (olvido), limitación del tratamiento, portabilidad y oposición
    • C) Acceso, rectificación, cancelación y oposición (ARCO clásicos)
    • D) Solo el derecho al olvido

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Arts. 15-22

  6. ¿Qué es una 'evaluación de impacto relativa a la protección de datos' (EIPD/DPIA)?

    • A) Un informe anual de la AEPD sobre la situación de la protección de datos en España
    • B) Una evaluación previa obligatoria cuando un tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas
    • C) Una auditoría voluntaria que mejora la imagen corporativa
    • D) Un seguro de responsabilidad civil ante brechas de datos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 35

  7. ¿Cuál es la autoridad de control en materia de protección de datos en España?

    • A) El Tribunal Constitucional
    • B) La Agencia Española de Protección de Datos (AEPD)
    • C) El Defensor del Pueblo
    • D) La CNMC (Comisión Nacional de los Mercados y la Competencia)

    Referencia: Ley Orgánica 3/2018 (LOPDGDD) , Art. 44

  8. ¿Cuál es la sanción máxima que prevé el RGPD para las infracciones más graves?

    • A) 600.000 euros
    • B) 20 millones de euros o el 4% del volumen de negocio total anual global, la cifra que sea mayor
    • C) 1 millón de euros como máximo
    • D) 10 millones de euros sin relación con el volumen de negocio

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 83.5

  9. ¿Qué plazo tiene el responsable del tratamiento para notificar una brecha de seguridad a la autoridad de control?

    • A) 72 horas desde que tiene conocimiento de la brecha
    • B) 24 horas desde que ocurre la brecha
    • C) 30 días naturales
    • D) No hay plazo específico, basta con notificar cuando sea posible

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 33.1

  10. En el contexto aeroportuario, ¿cuál de los siguientes tratamientos de datos personales es especialmente relevante y requiere garantías reforzadas?

    • A) El registro de proveedores de catering
    • B) El uso de sistemas de reconocimiento facial biométrico para identificación de pasajeros
    • C) El control de acceso de empleados por tarjeta magnética
    • D) La publicación de horarios de vuelos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 9