Test: Normas sobre proteccion de datos personales. Principios de la proteccion de datos. Derechos de las personas. El Reglamento General de Proteccion de Datos (RGPD). La Agencia Española de Proteccion de Datos

10 preguntas tipo examen para Auxiliar Estado — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos personales es una materia de creciente presencia en los exámenes de Auxiliar Administrativo del Estado. El opositor debe dominar dos normas simultáneamente: el Reglamento europeo (RGPD) y la ley orgánica española que lo desarrolla (LOPDGDD). Las preguntas test suelen centrarse en definiciones, plazos, derechos de los interesados y el régimen de la Agencia Española de Protección de Datos.

Marco normativo

  • Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (RGPD). Publicado en el Diario Oficial de la Unión Europea. Aplicable desde el 25 de mayo de 2018. Es directamente aplicable en todos los Estados miembros sin necesidad de transposición.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Publicada en el BOE. Adapta el ordenamiento español al RGPD y regula los derechos digitales.

Dato clave de examen: el RGPD se aprobó en 2016 pero no fue aplicable hasta 2018. La LOPDGDD es de diciembre de 2018.

Conceptos clave

Dato personal

El art. 4.1 RGPD define «datos personales» como «toda información sobre una persona física identificada o identificable». Se considera identificable a quien pueda ser determinado directa o indirectamente, en particular mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea) o uno o varios elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Tratamiento

El art. 4.2 RGPD define «tratamiento» como cualquier operación o conjunto de operaciones efectuadas sobre datos personales, ya sea por procedimientos automatizados o no: recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión o destrucción.

Responsable del tratamiento

Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento (art. 4.7 RGPD).

Encargado del tratamiento

Persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable (art. 4.8 RGPD).

Distinción frecuente en test: el responsable decide el para qué y el cómo; el encargado ejecuta el tratamiento por encargo del responsable.

Consentimiento

El art. 4.11 RGPD lo define como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales». El silencio, las casillas premarcadas o la inacción no constituyen consentimiento.

Principios de la protección de datos

El art. 5 RGPD recoge los principios relativos al tratamiento. Son los siguientes:

  • Licitud, lealtad y transparencia: los datos se tratan de manera lícita, leal y transparente en relación con el interesado.
  • Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos; no se tratarán de manera incompatible con dichos fines.
  • Minimización de datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines.
  • Exactitud: exactos y, si fuera necesario, actualizados; se adoptarán medidas razonables para suprimir o rectificar los inexactos.
  • Limitación del plazo de conservación: mantenidos de forma que permitan la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
  • Integridad y confidencialidad: tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
  • Responsabilidad proactiva (accountability): el responsable será competente para demostrar el cumplimiento de todos los principios anteriores (art. 5.2 RGPD).

Derechos de las personas (interesados)

El RGPD reconoce los siguientes derechos a los interesados:

  • Derecho de acceso (art. 15 RGPD): el interesado tiene derecho a obtener confirmación de si se están tratando o no sus datos y, en tal caso, a acceder a ellos.
  • Derecho de rectificación (art. 16 RGPD): obtener sin dilación indebida la rectificación de los datos inexactos que le conciernan.
  • Derecho de supresión o «derecho al olvido» (art. 17 RGPD): obtener la supresión de los datos cuando, entre otros motivos, ya no sean necesarios para los fines para los que fueron recogidos.
  • Derecho a la limitación del tratamiento (art. 18 RGPD): obtener la limitación del tratamiento en determinados supuestos (p. ej., cuando se impugne la exactitud de los datos).
  • Derecho a la portabilidad de los datos (art. 20 RGPD): recibir los datos que le incumban en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable. Solo aplica cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados.
  • Derecho de oposición (art. 21 RGPD): oponerse en cualquier momento al tratamiento de sus datos, incluida la elaboración de perfiles.

La LOPDGDD regula en sus arts. 13 a 18 el ejercicio de estos derechos en el ámbito español, añadiendo el derecho de acceso en el ámbito del empleo público y otros derechos digitales en su Título X.

Datos numéricos y plazos que más se preguntan

  • Plazo para responder al ejercicio de derechos: el responsable responde en el plazo de un mes desde la recepción de la solicitud. Puede prorrogarse otros dos meses más cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes (art. 12.3 RGPD).
  • Notificación de violación de seguridad a la autoridad de control: en un plazo máximo de 72 horas desde que el responsable tenga constancia de ella (art. 33.1 RGPD).
  • Edad mínima para el consentimiento en servicios de la sociedad de la información: el RGPD fija como referencia los 16 años; la LOPDGDD la rebaja a 14 años en España (art. 7 LOPDGDD).
  • Aplicabilidad del RGPD: 25 de mayo de 2018.
  • Aprobación del RGPD: 27 de abril de 2016.
  • LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre.

La Agencia Española de Protección de Datos (AEPD)

La AEPD es la autoridad de control española en materia de protección de datos. Actúa con plena independencia (art. 52 RGPD y art. 44 LOPDGDD).

Naturaleza y régimen

  • Es una autoridad administrativa independiente de ámbito estatal (art. 44 LOPDGDD).
  • Tiene personalidad jurídica propia y plena capacidad pública y privada.
  • Actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.

Funciones principales (art. 57 RGPD y art. 47 LOPDGDD)

  • Supervisar y hacer cumplir el RGPD y la LOPDGDD.
  • Tramitar reclamaciones de los interesados.
  • Investigar posibles infracciones.
  • Imponer medidas correctivas y sanciones.
  • Promover la sensibilización y formación en materia de protección de datos.

Régimen sancionador

El RGPD establece dos tramos de multas administrativas (art. 83 RGPD):

  • Multas de hasta 10 000 000 € o, en el caso de empresas, hasta el 2 % del volumen de negocio anual global del ejercicio anterior (el importe mayor), para infracciones de menor gravedad.
  • Multas de hasta 20 000 000 € o hasta el 4 % del volumen de negocio anual global (el importe mayor), para infracciones más graves, como vulnerar los principios básicos del tratamiento o los derechos de los interesados.

Errores típicos del opositor

  • Confundir la fecha de aprobación del RGPD (2016) con la fecha de aplicación (2018).
  • Creer que el plazo de notificación de brechas de seguridad es de 24 o 48 horas: es 72 horas.
  • Confundir responsable y encargado: el responsable decide los fines; el encargado ejecuta.
  • Pensar que la edad de consentimiento digital en España es 16 años: la LOPDGDD la fija en 14 años.
  • Olvidar que el plazo de respuesta a derechos es 1 mes, prorrogable hasta 3 meses en total.
  • Confundir el derecho de supresión con el derecho a la limitación: la supresión elimina los datos; la limitación suspende su uso sin eliminarlos.

Trucos mnemotécnicos

  • Principios del art. 5 RGPD → «LIMEIR»: Licitud, Integridad y confidencialidad, Minimización, Exactitud, Integridad (limitación de la finalidad), Responsabilidad proactiva. (Adapta el acrónimo a tu memoria.)
  • 72 horas para brechas: piensa en «3 días laborables» para recordar el plazo de notificación a la AEPD.
  • 14 años en España: la LOPDGDD rebaja la edad dos años respecto al estándar europeo de 16.
  • Responsable vs. encargado: el Responsable decide el Rumbo (fines); el Encargado Ejecuta.
  • Multas doble tramo: 10 millones / 2 % para infracciones menores; 20 millones / 4 % para infracciones graves. El número mayor siempre se aplica.

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. ¿Cuál es la fecha de entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales?

    • A) 7 de diciembre de 2018
    • B) 5 de diciembre de 2018
    • C) 25 de mayo de 2018
    • D) 1 de enero de 2019

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Disposición final decimosexta

  2. Según el RGPD, ¿qué se entiende por 'datos personales'?

    • A) Toda información sobre una persona física identificada o identificable
    • B) Solo los datos de carácter personal que figuren en ficheros automatizados
    • C) Únicamente los datos sensibles como ideología, religión o salud
    • D) Solo la información que permita identificar directamente a una persona

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos , Art. 4.1

  3. ¿Cuál es el plazo máximo para responder a una solicitud de ejercicio de derechos según el RGPD?

    • A) Un mes desde la recepción de la solicitud
    • B) 15 días hábiles desde la recepción de la solicitud
    • C) Tres meses desde la recepción de la solicitud
    • D) 10 días naturales desde la recepción de la solicitud

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos , Art. 12.3

  4. ¿Cuál de los siguientes NO es un principio de protección de datos establecido en el RGPD?

    • A) Principio de rentabilidad
    • B) Principio de licitud, lealtad y transparencia
    • C) Principio de limitación de la finalidad
    • D) Principio de minimización de datos

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos , Art. 5.1

  5. Según la LOPDGDD, ¿a partir de qué edad pueden los menores prestar por sí mismos el consentimiento para el tratamiento de sus datos personales en relación con servicios de la sociedad de la información?

    • A) 14 años
    • B) 13 años
    • C) 16 años
    • D) 18 años

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 7.1

  6. ¿Cuál es la multa administrativa máxima que puede imponer la Agencia Española de Protección de Datos según el RGPD?

    • A) 20.000.000 de euros o el 4% del volumen de negocio total anual global
    • B) 10.000.000 de euros o el 2% del volumen de negocio total anual global
    • C) 600.000 euros
    • D) 50.000.000 de euros o el 10% del volumen de negocio total anual global

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos , Art. 83.5

  7. ¿Cuál de los siguientes derechos NO está reconocido expresamente en el RGPD?

    • A) Derecho a la desconexión digital
    • B) Derecho de acceso
    • C) Derecho de rectificación
    • D) Derecho a la portabilidad de los datos

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 88

  8. Según el RGPD, ¿cuándo es obligatorio realizar una evaluación de impacto relativa a la protección de datos?

    • A) Cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas
    • B) En todos los tratamientos de datos personales sin excepción
    • C) Únicamente cuando se traten datos de menores de edad
    • D) Solo cuando el responsable sea una administración pública

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos , Art. 35.1

  9. ¿Cuál es la naturaleza jurídica de la Agencia Española de Protección de Datos según la LOPDGDD?

    • A) Autoridad administrativa independiente de ámbito nacional
    • B) Organismo autónomo dependiente del Ministerio de Justicia
    • C) Entidad pública empresarial
    • D) Agencia estatal dependiente del Consejo de Ministros

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 43.1

  10. Según el RGPD, ¿cuál es el plazo para notificar una violación de seguridad de los datos personales a la autoridad de control?

    • A) 72 horas desde que se tuvo conocimiento de la violación
    • B) 24 horas desde que se tuvo conocimiento de la violación
    • C) Una semana desde que se tuvo conocimiento de la violación
    • D) Sin demora injustificada, pero no hay plazo específico

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos , Art. 33.1