Test: La protecció de dades de caràcter personal. Principis i drets. El delegat de protecció de dades

10 preguntas tipo examen para Auxiliar CAIB — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

El Tema 31 és un dels més recurrents en les oposicions de l’Administració de les Illes Balears perquè afecta directament la feina diària de l’auxiliar administratiu: gestió d’expedients, atenció al ciutadà i tractament de fitxers amb dades personals. Les preguntes test solen centrar-se en definicions, principis, drets dels interessats i el règim del delegat de protecció de dades.

Marc normatiu

El bloc normatiu d’aquest tema es compon de dues normes que s’apliquen de manera complementària:

  • Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (conegut com a RGPD). És directament aplicable a tots els estats membres des del 25 de maig de 2018.
  • Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD). Adapta l’ordenament espanyol al RGPD i el complementa.

Quan hi hagi contradicció, preval el RGPD per ser norma de dret de la Unió Europea de rang superior i d’aplicació directa.

Conceptes clau

Dada personal

L’art. 4.1 RGPD defineix «dades personals» com «tota informació sobre una persona física identificada o identificable». Una persona és identificable quan pot ser reconeguda directament o indirectament, en particular mitjançant un identificador (nom, número d’identificació, dades de localització, identificador en línia) o per un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social.

Tractament

L’art. 4.2 RGPD defineix «tractament» com «qualsevol operació o conjunt d’operacions efectuades sobre dades personals», ja sigui per procediments automatitzats o no: recollida, registre, organització, estructuració, conservació, adaptació, modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, alineació o combinació, limitació, supressió o destrucció.

Responsable del tractament

L’art. 4.7 RGPD el defineix com la persona física o jurídica, autoritat pública, servei o altre organisme que, sol o conjuntament amb d’altres, determina les finalitats i els mitjans del tractament.

Encarregat del tractament

L’art. 4.8 RGPD el defineix com la persona física o jurídica, autoritat pública, servei o altre organisme que tracta dades personals per compte del responsable. La relació entre responsable i encarregat ha de formalitzar-se mitjançant un contracte o acte jurídic vinculant (art. 28 RGPD).

Categories especials de dades

L’art. 9.1 RGPD prohibeix el tractament de dades que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, l’afiliació sindical, les dades genètiques, les dades biomètriques dirigides a identificar de manera unívoca una persona física, les dades relatives a la salut, i les dades relatives a la vida sexual o l’orientació sexual. El tractament d’aquestes dades només és possible en els supòsits excepcionals previstos a l’art. 9.2 RGPD (consentiment explícit, obligació legal, interès vital, etc.).

Principis del tractament (art. 5 RGPD)

L’art. 5 RGPD estableix els principis relatius al tractament de dades personals. Són sis i cal memoritzar-los:

  1. Licitud, lleialtat i transparència: les dades s’han de tractar de manera lícita, lleial i transparent respecte a l’interessat.
  2. Limitació de la finalitat: les dades s’han de recollir amb finalitats determinades, explícites i legítimes, i no s’han de tractar de manera incompatible amb aquestes finalitats.
  3. Minimització de dades: les dades han de ser adequades, pertinents i limitades al que és necessari en relació amb les finalitats del tractament.
  4. Exactitud: les dades han de ser exactes i, si cal, actualitzades.
  5. Limitació del termini de conservació: les dades s’han de conservar de manera que es permeti identificar els interessats durant no més temps del necessari per a les finalitats del tractament.
  6. Integritat i confidencialitat: les dades s’han de tractar de manera que se’n garanteixi la seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental.

L’art. 5.2 RGPD consagra el principi de responsabilitat proactiva (accountability): el responsable del tractament és responsable del compliment dels principis anteriors i ha de poder demostrar-ne el compliment.

Bases de licitud del tractament (art. 6 RGPD)

El tractament només és lícit si es compleix almenys una de les condicions següents:

  • L’interessat ha donat el seu consentiment.
  • El tractament és necessari per a l’execució d’un contracte en el qual l’interessat és part.
  • El tractament és necessari per al compliment d’una obligació legal aplicable al responsable.
  • El tractament és necessari per protegir interessos vitals de l’interessat o d’una altra persona física.
  • El tractament és necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable.
  • El tractament és necessari per a la satisfacció d’interessos legítims del responsable o de tercers (excepte quan prevalguin els interessos o drets fonamentals de l’interessat).

Respecte al consentiment, l’art. 7 RGPD exigeix que sigui lliure, específic, informat i inequívoc. L’art. 8 RGPD fixa en 16 anys l’edat a partir de la qual el menor pot prestar consentiment per si mateix; per sota d’aquesta edat cal el consentiment dels titulars de la pàtria potestat. La LOPDGDD, en el seu art. 7, redueix aquest llindar a 14 anys per a l’ordenament espanyol.

Drets dels interessats

El RGPD reconeix els drets següents, que l’opositor ha de saber identificar i distingir:

  • Dret d’accés (art. 15 RGPD): l’interessat té dret a obtenir confirmació de si es tracten o no dades que li concerneixen i, en cas afirmatiu, a accedir-hi.
  • Dret de rectificació (art. 16 RGPD): dret a obtenir la rectificació de les dades inexactes.
  • Dret de supressió o «dret a l’oblit» (art. 17 RGPD): dret a obtenir la supressió de les dades quan, entre d’altres motius, ja no siguin necessàries per a la finalitat per a la qual es van recollir.
  • Dret a la limitació del tractament (art. 18 RGPD): dret a obtenir la limitació del tractament en determinats supòsits (dades inexactes, tractament il·lícit, etc.).
  • Dret a la portabilitat de les dades (art. 20 RGPD): dret a rebre les dades en un format estructurat, d’ús comú i lectura mecànica, i a transmetre-les a un altre responsable.
  • Dret d’oposició (art. 21 RGPD): dret a oposar-se al tractament de les seves dades en determinades circumstàncies.

El delegat de protecció de dades (DPD)

Designació obligatòria

L’art. 37 RGPD estableix que el responsable i l’encarregat del tractament han de designar un DPD obligatòriament quan:

  • El tractament el dugui a terme una autoritat o organisme públic (excepte els tribunals en l’exercici de la seva funció judicial).
  • Les activitats principals del responsable o encarregat requereixin una observació habitual i sistemàtica d’interessats a gran escala.
  • Les activitats principals consisteixin en el tractament a gran escala de categories especials de dades (art. 9 RGPD) o de dades relatives a condemnes i infraccions penals (art. 10 RGPD).

Per tant, totes les administracions públiques de les Illes Balears estan obligades a designar un DPD.

Funcions del DPD (art. 39 RGPD)

  • Informar i assessorar el responsable, l’encarregat i els empleats sobre les obligacions en matèria de protecció de dades.
  • Supervisar el compliment del RGPD i de la normativa nacional.
  • Assessorar sobre l’avaluació d’impacte relativa a la protecció de dades (art. 35 RGPD).
  • Cooperar amb l’autoritat de control.
  • Actuar com a punt de contacte amb l’autoritat de control.

Posició i garanties del DPD

  • L’art. 38.3 RGPD garanteix que el DPD no pot ser destituït ni sancionat per exercir les seves funcions.
  • Ha d’actuar amb independència i reporta directament al màxim nivell directiu del responsable o encarregat.
  • Pot ser empleat de l’organització o exercir les funcions en virtut d’un contracte de serveis (art. 37.6 RGPD).
  • Les seves dades de contacte han de ser publicades i comunicades a l’autoritat de control (art. 37.7 RGPD).

Autoritat de control a Espanya

L’autoritat de control estatal és l’Agència Espanyola de Protecció de Dades (AEPD), prevista a l’art. 44 LOPDGDD. Les comunitats autònomes poden crear les seves pròpies autoritats per als tractaments efectuats per les administracions autonòmiques i locals del seu territori. A les Illes Balears, aquesta funció correspon a l’Agència de Protecció de Dades de les Illes Balears, regulada per la Llei 1/2022, de 8 de març (norma autonòmica que queda fora del bloc normatiu principal d’aquest tema però que convé tenir present).

Dades numèriques i terminis que més es pregunten

  • 25 de maig de 2018: data d’aplicació del RGPD.
  • 5 de desembre de 2018: data d’aprovació de la LOPDGDD.
  • 16 anys: edat mínima per consentir al RGPD (art. 8 RGPD).
  • 14 anys: edat mínima per consentir a Espanya (art. 7 LOPDGDD).
  • 72 hores: termini màxim per notificar una violació de seguretat a l’autoritat de control (art. 33 RGPD).
  • 1 mes: termini general per respondre les sol·licituds d’exercici de drets, prorrogable fins a 3 mesos en casos complexos (art. 12.3 RGPD).

Errors típics de l’opositor

  • Confondre el responsable (qui decideix la finalitat) amb l’encarregat (qui tracta per compte del responsable).
  • Creure que el consentiment és l’única base de licitud: l’art. 6 RGPD en preveu sis.
  • Situar l’edat de consentiment en 16 anys a Espanya: la LOPDGDD la rebaixa a 14 anys.
  • Pensar que el DPD sempre ha de ser extern: pot ser empleat de la pròpia organització.
  • Oblidar que les autoritats públiques sempre estan obligades a designar DPD, independentment del volum de dades tractades.
  • Confondre el dret a la portabilitat (rebre les dades en format reutilitzable) amb el dret d’accés (consultar quines dades es tracten).

Trucs mnemotècnics

  • Els 6 principis de l’art. 5 RGPD → «LLiMiELI»: Llicitud, Limitació de finalitat, Minimització, Exactitud, Limitació de conservació, Integritat i confidencialitat.
  • Els drets dels interessats → «ARSLIOP»: Accés, Rectificació, Supressió, Limitació, Informació (transparència), Oposició, Portabilitat.
  • 72 hores per notificar una bretxa de seguretat: recorda «3 dies laborables» per associar-ho a un cap de setmana de marge.
  • 14 anys a Espanya vs. 16 al RGPD: «Espanya és més protectora, per tant l’edat és més baixa».

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. Segons el RGPD, quina és la definició de dades personals?

    • A) Tota informació sobre una persona física identificada o identificable
    • B) Només les dades que permeten identificar directament una persona
    • C) Exclusivament les dades sensibles com salut o religió
    • D) Només les dades que es troben en format digital

    Referencia: Reglament (UE) 2016/679, de 27 d'abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals , Art. 4.1

  2. Quin és el termini màxim per respondre a una sol·licitud d'exercici de drets de l'interessat segons el RGPD?

    • A) 15 dies naturals
    • B) 1 mes des de la recepció de la sol·licitud
    • C) 2 mesos en tots els casos
    • D) 10 dies hàbils

    Referencia: Reglament (UE) 2016/679, de 27 d'abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals , Art. 12.3

  3. Segons la LOPDGDD, a partir de quina quantitat d'empleats és obligatori designar un delegat de protecció de dades en les administracions públiques?

    • A) A partir de 250 empleats
    • B) Sempre és obligatori, independentment del nombre d'empleats
    • C) A partir de 50 empleats
    • D) Només si tracten categories especials de dades

    Referencia: Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals , Art. 34.1.a

  4. Quin dels següents NO és un principi del tractament de dades personals segons el RGPD?

    • A) Licitud, lleialtat i transparència
    • B) Limitació de la finalitat
    • C) Rendibilitat econòmica
    • D) Minimització de dades

    Referencia: Reglament (UE) 2016/679, de 27 d'abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals , Art. 5.1

  5. Segons el RGPD, què és el dret a la portabilitat de les dades?

    • A) El dret a rebre les dades personals en un format estructurat i llegible per màquina
    • B) El dret a portar sempre les dades en format paper
    • C) El dret a transportar físicament els arxius
    • D) El dret a canviar la ubicació dels servidors

    Referencia: Reglament (UE) 2016/679, de 27 d'abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals , Art. 20.1

  6. Quina és la sanció màxima que pot imposar l'Agència Espanyola de Protecció de Dades segons el RGPD?

    • A) 10 milions d'euros o el 2% del volum de negoci anual
    • B) 20 milions d'euros o el 4% del volum de negoci anual
    • C) 5 milions d'euros o l'1% del volum de negoci anual
    • D) 50 milions d'euros sense límit percentual

    Referencia: Reglament (UE) 2016/679, de 27 d'abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals , Art. 83.5

  7. Segons la LOPDGDD, quin és el termini per comunicar una violació de seguretat de les dades a l'autoritat de control?

    • A) 24 hores des que es tingui coneixement
    • B) 72 hores des que es tingui coneixement
    • C) 7 dies naturals des que es tingui coneixement
    • D) 1 mes des que es tingui coneixement

    Referencia: Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals , Art. 94

  8. Segons el RGPD, quina condició NO és necessària per al tractament de categories especials de dades personals?

    • A) Consentiment explícit de l'interessat
    • B) Interès públic essencial
    • C) Benefici econòmic del responsable
    • D) Protecció d'interessos vitals

    Referencia: Reglament (UE) 2016/679, de 27 d'abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals , Art. 9.2

  9. Segons la LOPDGDD, quin és el termini màxim per conservar les dades de trànsit en les comunicacions electròniques?

    • A) 6 mesos
    • B) 12 mesos
    • C) 24 mesos
    • D) 36 mesos

    Referencia: Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals , Art. 91

  10. Segons el RGPD, quina és una de les funcions principals del delegat de protecció de dades?

    • A) Prendre decisions sobre el tractament de dades
    • B) Informar i assessorar sobre les obligacions de protecció de dades
    • C) Imposar sancions per incompliment
    • D) Gestionar directament les sol·licituds dels interessats

    Referencia: Reglament (UE) 2016/679, de 27 d'abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals , Art. 39.1.a