Test: Protección de datos en sanidad (LOPDGDD, RGPD)

10 preguntas tipo examen para Celador SERGAS — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos en el ámbito sanitario es uno de los temas con mayor proyección práctica en las oposiciones del SERGAS. El celador maneja información sensible de los pacientes a diario, por lo que el examinador comprueba que el aspirante conoce los límites legales de ese manejo. Este tema cruza tres normas: la Ley 41/2002 (autonomía del paciente), la LOPDGDD y el RGPD.

Marco normativo

  • Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD). Aplicable directamente en todos los Estados miembros desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Adapta el RGPD al ordenamiento español.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

El RGPD prevalece sobre la LOPDGDD en caso de contradicción, al ser norma de la Unión Europea de aplicación directa.

Conceptos clave

Dato personal

Según el art. 4.1 RGPD, dato personal es «toda información sobre una persona física identificada o identificable». El nombre, el número de historia clínica, los datos de salud o la imagen de un paciente son datos personales.

Dato especialmente protegido (categoría especial)

El art. 9.1 RGPD prohíbe, con carácter general, el tratamiento de datos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud, o datos relativos a la vida sexual u orientación sexual.

Los datos de salud son, por tanto, categoría especial. El art. 9.2 RGPD establece las excepciones que permiten su tratamiento, entre ellas:

  • Consentimiento explícito del interesado (art. 9.2.a RGPD).
  • Fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia sanitaria o tratamiento (art. 9.2.h RGPD).
  • Razones de interés público en el ámbito de la salud pública (art. 9.2.i RGPD).

Tratamiento de datos

El art. 4.2 RGPD define tratamiento como «cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no». Incluye la recogida, registro, conservación, consulta, comunicación o destrucción.

Responsable del tratamiento

Art. 4.7 RGPD: persona física o jurídica, autoridad pública u organismo que, solo o junto con otros, determina los fines y medios del tratamiento. En el SERGAS, el responsable es la propia institución sanitaria, no el celador.

Encargado del tratamiento

Art. 4.8 RGPD: quien trata datos personales por cuenta del responsable. Debe existir un contrato escrito que regule el encargo (art. 28 RGPD).

Principios del tratamiento (art. 5 RGPD)

Son de memorización obligatoria:

  • Licitud, lealtad y transparencia: base jurídica para tratar los datos.
  • Limitación de la finalidad: los datos se recogen para fines determinados y no se usan de forma incompatible.
  • Minimización de datos: solo los datos adecuados, pertinentes y limitados a lo necesario.
  • Exactitud: los datos deben ser exactos y actualizados.
  • Limitación del plazo de conservación: no se conservan más tiempo del necesario.
  • Integridad y confidencialidad: tratamiento con seguridad adecuada.
  • Responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento.

Derechos del interesado (RGPD y LOPDGDD)

Los derechos que el paciente puede ejercer ante el responsable del tratamiento son:

  • Derecho de acceso (art. 15 RGPD): obtener confirmación de si se tratan sus datos y una copia.
  • Derecho de rectificación (art. 16 RGPD): corregir datos inexactos.
  • Derecho de supresión o «al olvido» (art. 17 RGPD): solicitar la eliminación de los datos.
  • Derecho a la limitación del tratamiento (art. 18 RGPD).
  • Derecho a la portabilidad (art. 20 RGPD): recibir los datos en formato estructurado y de uso común.
  • Derecho de oposición (art. 21 RGPD).

El plazo general para responder al ejercicio de derechos es 1 mes, prorrogable otros 2 meses cuando la complejidad o el número de solicitudes lo justifique (art. 12.3 RGPD).

Consentimiento

Art. 4.11 RGPD: «toda manifestación de voluntad libre, específica, informada e inequívoca». En el ámbito sanitario, el consentimiento para el tratamiento de datos de salud debe ser explícito (art. 9.2.a RGPD), a diferencia del consentimiento general que puede ser tácito.

No confundir con el consentimiento informado de la Ley 41/2002, que regula la aceptación de actos médicos, no el tratamiento de datos.

La historia clínica y la Ley 41/2002

La historia clínica es el instrumento principal que contiene datos de salud del paciente.

  • Art. 14 Ley 41/2002: define la historia clínica como el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y evolución clínica de un paciente.
  • Art. 15 Ley 41/2002: establece el contenido mínimo de la historia clínica.
  • Art. 16 Ley 41/2002: regula el uso de la historia clínica. El acceso a la historia está limitado a los profesionales que intervienen en la asistencia del paciente. El personal de administración y gestión puede acceder solo a los datos necesarios para sus funciones. El personal sin vinculación asistencial directa no tiene acceso a los datos clínicos.
  • Art. 17 Ley 41/2002: conservación de la historia clínica. Los centros deben conservarla durante un mínimo de 5 años desde la fecha del alta de cada proceso asistencial.

Dato clave para el examen: el celador no tiene acceso a la historia clínica por razón de sus funciones. Si accede a datos clínicos de forma indebida, incurre en infracción.

La autoridad de control: la AEPD

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente en España, prevista en el art. 57 RGPD y regulada en los arts. 44 y siguientes de la LOPDGDD.

En Galicia, el SERGAS está sujeto también a la supervisión de la AEPD en materia de protección de datos, sin perjuicio de las competencias autonómicas en materia sanitaria.

Régimen sancionador

El RGPD establece dos niveles de multa (art. 83 RGPD):

  • Nivel inferior: hasta 10.000.000 € o el 2 % del volumen de negocio anual global del ejercicio anterior (el importe que sea mayor). Para infracciones de obligaciones del responsable, encargado, organismo de certificación, etc.
  • Nivel superior: hasta 20.000.000 € o el 4 % del volumen de negocio anual global (el importe que sea mayor). Para infracciones de los principios básicos, derechos de los interesados o transferencias internacionales.

La LOPDGDD (arts. 72 a 74) clasifica las infracciones en muy graves, graves y leves para adaptar el régimen sancionador al derecho administrativo español.

Datos numéricos y plazos que más se preguntan

  • 25 de mayo de 2018: fecha de aplicación del RGPD.
  • 1 mes: plazo para responder al ejercicio de derechos (prorrogable 2 meses más).
  • 5 años: conservación mínima de la historia clínica desde el alta (art. 17 Ley 41/2002).
  • 72 horas: plazo para notificar una brecha de seguridad a la autoridad de control (art. 33.1 RGPD).
  • 10 millones / 2 % y 20 millones / 4 %: los dos tramos de multa del art. 83 RGPD.

Errores típicos del opositor

  • Confundir consentimiento informado (Ley 41/2002, acto médico) con consentimiento para el tratamiento de datos (RGPD). Son conceptos distintos regulados por normas distintas.
  • Creer que el celador puede consultar la historia clínica porque trabaja en el centro sanitario. El art. 16 Ley 41/2002 limita el acceso a quienes intervienen en la asistencia.
  • Confundir responsable (decide los fines) con encargado (trata por cuenta del responsable).
  • Pensar que el plazo de respuesta a derechos es 15 días. Es 1 mes (art. 12.3 RGPD).
  • Confundir el plazo de conservación de la historia clínica (5 años desde el alta) con otros plazos de prescripción civil o penal.

Trucos mnemotécnicos

  • Los 7 principios del art. 5 RGPD: «Li-Li-Mi-Ex-Li-In-Re» → Licitud, Limitación de finalidad, Minimización, Exactitud, Limitación de conservación, Integridad/confidencialidad, Responsabilidad proactiva.
  • Derechos ARSULPO: Acceso, Rectificación, Supresión, Uso limitado (limitación), Libertad de portabilidad, Protección frente a decisiones automatizadas, Oposición.
  • 72 horas para la brecha: piensa en «3 días» para avisar a la AEPD si hay un fallo de seguridad.
  • 5 años de historia clínica: «cinco años desde el alta, ni uno menos».
  • El celador no lee historias: su función es el traslado y la custodia física, no el acceso a contenido clínico.

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. ¿Qué reglamento europeo regula la protección de datos personales y es directamente aplicable en España?

    • A) La Directiva 95/46/CE
    • B) El Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD)
    • C) La Ley Orgánica 15/1999 (LOPD)
    • D) La Ley 41/2002 de autonomía del paciente

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 1

  2. ¿Qué ley española adapta el RGPD al ordenamiento jurídico nacional?

    • A) La Ley Orgánica 15/1999, de 13 de diciembre (LOPD)
    • B) La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
    • C) La Ley 34/2002 de servicios de la sociedad de la información
    • D) La Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) , Art. 1

  3. Según el RGPD, ¿qué categoría especial tienen los datos relativos a la salud?

    • A) Son datos ordinarios sin protección especial
    • B) Son datos de categorías especiales cuyo tratamiento está prohibido como regla general, con excepciones tasadas
    • C) Son datos públicos que cualquier persona puede consultar libremente
    • D) Son datos que solo el paciente puede conocer, ni siquiera el personal sanitario

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 9

  4. ¿Qué es el deber de secreto/confidencialidad del personal que accede a datos de salud?

    • A) Solo se aplica a los médicos y enfermeros
    • B) La obligación de todo el personal que acceda a datos de carácter personal de guardar secreto sobre los mismos, incluso después de finalizar su relación laboral
    • C) Solo se aplica durante el horario de trabajo
    • D) No se aplica a los celadores porque no son personal sanitario

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) , Art. 5.1.f RGPD y Ley 41/2002 Art. 7

  5. ¿Qué derechos reconoce el RGPD a los interesados (pacientes) respecto a sus datos personales?

    • A) Solo el derecho a ser informado
    • B) Derechos de acceso, rectificación, supresión (olvido), limitación del tratamiento, portabilidad y oposición
    • C) Solo el derecho de supresión (olvido)
    • D) No tienen ningún derecho una vez que el hospital tiene sus datos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Arts. 15-22

  6. ¿Qué es la historia clínica según la Ley 41/2002 de autonomía del paciente?

    • A) El currículum vitae del paciente
    • B) El conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial
    • C) El parte de baja laboral del paciente
    • D) Un formulario que rellena el paciente al ingresar

    Referencia: Ley 41/2002, de 14 de noviembre, de autonomía del paciente , Art. 14

  7. ¿Quién puede acceder a la historia clínica según la Ley 41/2002?

    • A) Cualquier persona que trabaje en el hospital
    • B) Los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente, y el personal de administración y gestión solo en lo relativo a sus funciones
    • C) Solo el médico titular del paciente
    • D) Los familiares del paciente tienen acceso ilimitado

    Referencia: Ley 41/2002, de 14 de noviembre, de autonomía del paciente , Art. 16

  8. ¿Qué es el Delegado de Protección de Datos (DPD) según el RGPD?

    • A) El director del hospital
    • B) Una figura obligatoria en entidades que tratan datos de salud a gran escala, encargada de supervisar el cumplimiento de la normativa de protección de datos
    • C) Un programa informático de cifrado de datos
    • D) El responsable de informática del hospital

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Arts. 37-39

  9. ¿Qué debe hacer el celador si, al trasladar documentación clínica, un familiar de un paciente le pide ver el contenido?

    • A) Mostrárselo si demuestra su parentesco
    • B) Denegar el acceso al contenido de la documentación y orientar al familiar al servicio correspondiente (admisión o atención al paciente)
    • C) Dejar la documentación al familiar y marcharse
    • D) Leer en voz alta el contenido de la documentación

    Referencia: Ley 41/2002, de 14 de noviembre, de autonomía del paciente , Arts. 7 y 16

  10. ¿Qué sanciones prevé el RGPD para las infracciones más graves en materia de protección de datos?

    • A) No hay sanciones, solo recomendaciones
    • B) Multas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global, la cantidad que sea mayor
    • C) Solo multas de hasta 600 euros
    • D) Solo penas de prisión para los responsables

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 83.5