Test: Proteccion de datos (LO 3/2018 LOPDGDD y RGPD)

10 preguntas tipo examen para Auxiliar Estado — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos personales es uno de los temas con mayor presencia en los exámenes de Auxiliar Administrativo del Estado. Su regulación dual —el Reglamento europeo de aplicación directa y la ley orgánica española que lo adapta— genera preguntas sobre plazos, derechos, principios y órganos de control. Dominar ambas normas y sus relaciones es imprescindible para superar el test.

Marco normativo

  • Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). Aplicable en toda la UE desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Publicada en el BOE el 6 de diciembre de 2018. Adapta y desarrolla el RGPD en España.

El RGPD tiene aplicación directa en todos los Estados miembros; la LOPDGDD no lo deroga sino que lo complementa y concreta.

Conceptos clave

Dato personal

El art. 4.1 RGPD define «datos personales» como «toda información sobre una persona física identificada o identificable». La persona identificable es aquella que puede ser identificada, directa o indirectamente, mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea, etc.).

Tratamiento

El art. 4.2 RGPD define «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales», ya sea por procedimientos automatizados o no: recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, comunicación, difusión, supresión, destrucción, etc.

Responsable del tratamiento

El art. 4.7 RGPD lo define como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento.

Encargado del tratamiento

El art. 4.8 RGPD lo define como quien trata datos personales por cuenta del responsable. La relación entre ambos debe formalizarse mediante un contrato u otro acto jurídico vinculante (art. 28 RGPD).

Distinción clave: El responsable decide el para qué y el cómo; el encargado ejecuta el tratamiento siguiendo las instrucciones del responsable.

Consentimiento

El art. 4.11 RGPD exige que sea «libre, específico, informado e inequívoco». Se manifiesta mediante una declaración o una clara acción afirmativa. El silencio o las casillas premarcadas no constituyen consentimiento válido (considerando 32 RGPD).

La LOPDGDD, en su art. 7, establece que el consentimiento de los menores de 14 años requiere el consentimiento del titular de la patria potestad o tutela.

Categorías especiales de datos

El art. 9.1 RGPD prohíbe el tratamiento de datos que revelen:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona
  • Datos relativos a la salud
  • Datos relativos a la vida sexual u orientación sexual

Su tratamiento solo es lícito en los supuestos del art. 9.2 RGPD (consentimiento explícito, obligación legal, interés vital, etc.).

Principios del tratamiento

El art. 5 RGPD recoge los principios que rigen todo tratamiento:

  • Licitud, lealtad y transparencia: los datos se tratan de forma lícita y transparente para el interesado.
  • Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos; no tratados de forma incompatible con dichos fines.
  • Minimización de datos: adecuados, pertinentes y limitados a lo necesario.
  • Exactitud: exactos y actualizados; deben suprimirse o rectificarse sin dilación los inexactos.
  • Limitación del plazo de conservación: no se conservarán más tiempo del necesario para la finalidad.
  • Integridad y confidencialidad: tratamiento con seguridad adecuada.
  • Responsabilidad proactiva (accountability): el responsable es competente para demostrar el cumplimiento de todos los principios anteriores.

Derechos de los interesados

Los arts. 15 a 22 RGPD regulan los derechos de los interesados. La LOPDGDD los agrupa y desarrolla en sus arts. 13 a 18:

  • Derecho de acceso (art. 15 RGPD): obtener confirmación de si se tratan datos y, en su caso, acceder a ellos.
  • Derecho de rectificación (art. 16 RGPD): obtener la rectificación de datos inexactos.
  • Derecho de supresión o «al olvido» (art. 17 RGPD): supresión de los datos cuando, entre otros supuestos, ya no sean necesarios para la finalidad.
  • Derecho a la limitación del tratamiento (art. 18 RGPD): el interesado puede solicitar que se restrinja el tratamiento en determinadas circunstancias.
  • Derecho a la portabilidad (art. 20 RGPD): recibir los datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable. Solo aplica cuando el tratamiento se basa en el consentimiento o en un contrato y se realiza por medios automatizados.
  • Derecho de oposición (art. 21 RGPD): oponerse al tratamiento en cualquier momento por motivos relacionados con su situación particular.

Distinción clave — supresión vs. limitación: La supresión elimina los datos; la limitación los conserva pero bloquea su uso activo.

Datos numéricos y plazos que más se preguntan

  • Plazo para responder al ejercicio de derechos: el responsable responde en el plazo de 1 mes desde la recepción de la solicitud. Puede prorrogarse 2 meses más cuando la complejidad o el número de solicitudes lo requiera, comunicándolo al interesado en el primer mes (art. 12.3 RGPD).
  • Notificación de violación de seguridad a la autoridad de control: en un plazo máximo de 72 horas desde que el responsable tenga constancia de ella (art. 33.1 RGPD).
  • Notificación al interesado de violación de seguridad: sin dilación indebida, cuando sea probable que entrañe un alto riesgo para sus derechos (art. 34.1 RGPD). No hay plazo de horas fijado para esta comunicación al interesado.
  • Edad mínima para el consentimiento del menor: 14 años en España (art. 7 LOPDGDD).
  • Multas administrativas: el art. 83 RGPD establece dos tramos:
    • Infracciones menos graves: hasta 10 000 000 € o el 2 % del volumen de negocio anual global del ejercicio anterior (el importe que sea mayor).
    • Infracciones más graves: hasta 20 000 000 € o el 4 % del volumen de negocio anual global (el importe que sea mayor).
  • Fecha de aplicación del RGPD: 25 de mayo de 2018.
  • Fecha de publicación de la LOPDGDD en el BOE: 6 de diciembre de 2018.

Delegado de Protección de Datos (DPD)

Los arts. 37 a 39 RGPD regulan la figura del DPD (en inglés, DPO). La LOPDGDD concreta en su art. 34 los supuestos de designación obligatoria en España.

Designación obligatoria cuando el responsable o encargado sea, entre otros:

  • Administraciones públicas (salvo tribunales en ejercicio de su función judicial).
  • Entidades que traten datos a gran escala de categorías especiales o datos relativos a condenas penales.
  • Entidades cuya actividad principal requiera una observación habitual y sistemática de interesados a gran escala.

Funciones del DPD (art. 39 RGPD):

  • Informar y asesorar al responsable, al encargado y a los empleados.
  • Supervisar el cumplimiento del RGPD y de la normativa nacional.
  • Cooperar con la autoridad de control y actuar como punto de contacto.
  • Supervisar la evaluación de impacto relativa a la protección de datos (EIPD).

El DPD puede ser empleado del responsable o actuar en el marco de un contrato de servicios (art. 37.6 RGPD). Goza de independencia funcional y no puede ser sancionado por el ejercicio de sus funciones (art. 38.3 RGPD).

Autoridad de control en España

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente en España, regulada en los arts. 57 y ss. LOPDGDD. Actúa con plena independencia. Sus funciones incluyen supervisar, investigar, sancionar y dictar resoluciones.

Errores típicos del opositor

  • Confundir responsable (decide fines y medios) con encargado (trata por cuenta del responsable).
  • Creer que el plazo de notificación de brecha de seguridad a la autoridad es de 24 horas: es 72 horas.
  • Pensar que el consentimiento tácito o el silencio es válido: no lo es.
  • Confundir el derecho de supresión con el de limitación: el primero borra; el segundo bloquea sin borrar.
  • Situar la edad del consentimiento del menor en 16 años: en España la LOPDGDD la fija en 14 años.
  • Creer que el RGPD es una directiva que necesita transposición: es un reglamento de aplicación directa.

Trucos mnemotécnicos

  • Principios del art. 5 RGPD → «LiLiMiExLiIn-R»: Licitud, Limitación de finalidad, Minimización, Exactitud, Limitación de conservación, Integridad/confidencialidad, Responsabilidad proactiva.
  • 72 horas para notificar la brecha a la AEPD: recuerda «3 días = 72 horas», el tiempo que tiene el responsable antes de que la brecha se agrave.
  • 14 años en España para el consentimiento del menor: la LOPDGDD rebaja el umbral general del RGPD (que permite hasta 16 años a los Estados miembros).
  • Responsable vs. encargado: el responsable es el que manda (decide); el encargado es el que trabaja (ejecuta).
  • Multas: 2 % / 10 M€ para infracciones menores; 4 % / 20 M€ para las graves. El porcentaje y el millón se doblan al pasar de menor a grave.

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. Segun el articulo 5 del Reglamento (UE) 2016/679 (RGPD), los datos personales seran recogidos con fines determinados, explicitos y legitimos, y no seran tratados ulteriormente de manera incompatible con dichos fines. Este principio se denomina:

    • A) Limitacion de la finalidad
    • B) Minimizacion de datos
    • C) Exactitud
    • D) Integridad y confidencialidad

    Referencia: Reglamento (UE) 2016/679, RGPD , Art. 5.1.b)

  2. Segun el articulo 6 del RGPD, el tratamiento sera licito cuando se cumpla al menos una de las condiciones de licitud. Cual de las siguientes es una base juridica del tratamiento?

    • A) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines especificos
    • B) El responsable del tratamiento considero oportuno tratar los datos
    • C) Los datos fueron obtenidos de una fuente publica sin restricciones
    • D) El tratamiento se realiza dentro del horario laboral del responsable

    Referencia: Reglamento (UE) 2016/679, RGPD , Art. 6.1

  3. Segun el articulo 15 del RGPD, el interesado tiene derecho a obtener del responsable del tratamiento confirmacion de si se estan tratando o no datos personales que le conciernen. Este es el derecho de:

    • A) Acceso
    • B) Rectificacion
    • C) Supresion
    • D) Portabilidad

    Referencia: Reglamento (UE) 2016/679, RGPD , Art. 15

  4. Segun el articulo 37 del RGPD, el responsable y el encargado del tratamiento designaran un Delegado de Proteccion de Datos siempre que el tratamiento lo lleve a cabo:

    • A) Una autoridad u organismo publico, excepto los tribunales que actuen en ejercicio de su funcion judicial
    • B) Cualquier empresa con mas de 10 trabajadores
    • C) Solo las empresas del sector sanitario
    • D) Unicamente la Agencia Espanola de Proteccion de Datos

    Referencia: Reglamento (UE) 2016/679, RGPD , Art. 37.1

  5. Segun el articulo 9 del RGPD, se prohibe el tratamiento de datos personales que revelen el origen etnico o racial, las opiniones politicas, las convicciones religiosas o filosoficas, la afiliacion sindical, y el tratamiento de datos geneticos, biometricos, de salud o vida u orientacion sexual. Estos datos se denominan:

    • A) Categorias especiales de datos personales
    • B) Datos personales ordinarios
    • C) Datos anonimos no identificativos
    • D) Datos de trafico y localizacion

    Referencia: Reglamento (UE) 2016/679, RGPD , Art. 9

  6. Segun el articulo 34 de la Ley Organica 3/2018 (LOPDGDD), deberan designar un Delegado de Proteccion de Datos, entre otros:

    • A) Los centros docentes que ofrezcan ensenanzas reguladas en la Ley Organica de Educacion y las Universidades
    • B) Solo las grandes empresas del IBEX 35
    • C) Solo los hospitales publicos con mas de 500 camas
    • D) Unicamente las Fuerzas y Cuerpos de Seguridad del Estado

    Referencia: Ley Organica 3/2018, LOPDGDD , Art. 34.1

  7. Segun el articulo 7 del RGPD, cuando el tratamiento se base en el consentimiento del interesado, el responsable debera ser capaz de demostrar que aquel consintio el tratamiento de sus datos personales. Si el consentimiento se da en una declaracion escrita que tambien se refiere a otros asuntos, la solicitud de consentimiento se presentara:

    • A) De tal forma que se distinga claramente de los demas asuntos, de forma inteligible y de facil acceso y utilizando un lenguaje claro y sencillo
    • B) En un documento separado de al menos 10 paginas
    • C) Mediante una clausula incluida en la letra pequena del contrato
    • D) Sin ninguna formalidad especifica

    Referencia: Reglamento (UE) 2016/679, RGPD , Art. 7.2

  8. Segun el articulo 44 de la Ley Organica 3/2018 (LOPDGDD), la Agencia Espanola de Proteccion de Datos (AEPD) es una autoridad administrativa independiente de ambito estatal. Su Director sera nombrado por:

    • A) Un periodo de cinco anos, mediante Real Decreto, a propuesta del Ministerio de Justicia, de entre quienes componen el Consejo Consultivo
    • B) Un periodo de cuatro anos, elegido por el Congreso de los Diputados
    • C) Un periodo indefinido, designado por el Tribunal Constitucional
    • D) Un periodo de tres anos, elegido entre los jueces del Tribunal Supremo

    Referencia: Ley Organica 3/2018, LOPDGDD , Art. 48.3

  9. Segun el articulo 33 del RGPD, en caso de violacion de la seguridad de los datos personales, el responsable del tratamiento debera notificar a la autoridad de control competente sin dilacion indebida y, de ser posible, a mas tardar:

    • A) 72 horas despues de que haya tenido constancia de ella
    • B) 30 dias naturales desde el conocimiento de la brecha
    • C) 7 dias habiles desde la deteccion del incidente
    • D) 24 horas desde la deteccion, sin excepcion

    Referencia: Reglamento (UE) 2016/679, RGPD , Art. 33.1

  10. Segun el articulo 83 del RGPD, las infracciones en materia de proteccion de datos pueden dar lugar a multas administrativas. Las infracciones mas graves (por ejemplo, vulneracion de los principios basicos del tratamiento o de los derechos de los interesados) pueden sancionarse con multas de hasta:

    • A) 20 millones de euros o, en el caso de una empresa, el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optandose por la de mayor cuantia
    • B) 1 millon de euros en todos los casos
    • C) 100.000 euros como maximo
    • D) 500.000 euros, que era el maximo de la anterior LOPD

    Referencia: Reglamento (UE) 2016/679, RGPD , Art. 83.5