Test: Protección de datos en sanidad

10 preguntas tipo examen para Celador SERMAS — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos en el ámbito sanitario es uno de los temas con mayor proyección práctica para el Celador del SERMAS. El manejo cotidiano de historias clínicas, datos de filiación y documentación sensible convierte este bloque en fuente habitual de preguntas test. Dominar la normativa aplicable —y sus límites concretos— es imprescindible para superar la oposición.

Marco normativo

Las normas que articulan este tema son cuatro:

  • Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD): norma europea de aplicación directa en todos los Estados miembros. Prima sobre la legislación nacional en caso de conflicto.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): adapta el RGPD al ordenamiento español. Por ser Ley Orgánica, requirió mayoría absoluta del Congreso.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP): regula la historia clínica, el consentimiento informado y el acceso a la documentación sanitaria.
  • Ley 55/2003, de 16 de diciembre, del Estatuto Marco del personal estatutario de los servicios de salud: establece deberes de confidencialidad para el personal sanitario y no sanitario, categoría en la que se encuadra el Celador.

Estructura del tema

El tema se articula en torno a tres ejes:

  1. Qué son los datos de salud y por qué merecen protección reforzada.
  2. Quién puede acceder a ellos y en qué condiciones.
  3. Qué obligaciones tiene el personal del SERMAS, incluido el Celador.

Conceptos clave

Dato personal y dato de salud

El dato personal es cualquier información sobre una persona física identificada o identificable (art. 4.1 RGPD).

El dato de salud es una categoría especial: información relativa a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria (art. 4.15 RGPD). Estos datos gozan de protección reforzada.

El art. 9.1 RGPD prohíbe con carácter general el tratamiento de datos de salud. Solo se levanta esa prohibición en los supuestos tasados del art. 9.2 RGPD, entre ellos:

  • Consentimiento explícito del interesado.
  • Fines de medicina preventiva, diagnóstico médico, prestación de asistencia sanitaria o gestión de sistemas y servicios de salud (art. 9.2.h RGPD).
  • Razones de interés público en el ámbito de la salud pública (art. 9.2.i RGPD).

Historia clínica

La historia clínica es el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y evolución clínica de un paciente (art. 14.1 LAP).

Aspectos clave para el examen:

  • Conservación mínima: los centros sanitarios deben conservar la documentación clínica como mínimo cinco años desde la fecha del alta de cada proceso asistencial (art. 17.1 LAP).
  • Acceso del paciente: el paciente tiene derecho a acceder a la documentación de su historia clínica (art. 18.1 LAP).
  • Acceso de terceros: los familiares o allegados del paciente solo pueden acceder si el paciente lo permite expresamente o si ha fallecido, salvo que el fallecido lo hubiera prohibido expresamente (art. 18.4 LAP).
  • Acceso del personal sanitario: únicamente el personal que atiende al paciente puede acceder a su historia clínica en el ejercicio de sus funciones (art. 16.1 LAP). El Celador no tiene acceso a la historia clínica salvo en lo estrictamente necesario para su función de traslado o custodia documental.

Consentimiento informado

El consentimiento es la conformidad libre, voluntaria y consciente del paciente, manifestada en el pleno uso de sus facultades, para que tenga lugar una actuación que afecta a su salud (art. 3 LAP).

  • Regla general: el consentimiento puede ser verbal (art. 8.2 LAP).
  • Forma escrita obligatoria en: intervenciones quirúrgicas, procedimientos diagnósticos y terapéuticos invasores, y en general cuando se apliquen procedimientos que supongan riesgos o inconvenientes de notoria y previsible repercusión negativa sobre la salud del paciente (art. 8.2 LAP).
  • Mayoría de edad sanitaria: a partir de 16 años, el menor presta el consentimiento por sí mismo, salvo en casos de grave riesgo (art. 9.3.c LAP en su redacción vigente).

Derechos ARSULIPO (RGPD y LOPDGDD)

El RGPD reconoce al ciudadano un catálogo de derechos sobre sus datos:

  • Acceso (art. 15 RGPD)
  • Rectificación (art. 16 RGPD)
  • Supresión (“derecho al olvido”, art. 17 RGPD)
  • Limitación del tratamiento (art. 18 RGPD)
  • Portabilidad (art. 20 RGPD)
  • Oposición (art. 21 RGPD)

El responsable del tratamiento debe responder a estas solicitudes en el plazo de un mes, prorrogable otros dos meses más en casos complejos, comunicando la prórroga al interesado en el primer mes (art. 12.3 RGPD).

Responsable y encargado del tratamiento

  • Responsable del tratamiento: quien determina los fines y medios del tratamiento (art. 4.7 RGPD). En el SERMAS, es la propia Comunidad de Madrid / el centro sanitario.
  • Encargado del tratamiento: quien trata los datos por cuenta del responsable (art. 4.8 RGPD). Debe existir un contrato escrito que regule el encargo (art. 28 RGPD).

Delegado de Protección de Datos (DPD)

El art. 37.1.a RGPD obliga a designar un DPD cuando el tratamiento lo lleve a cabo una autoridad u organismo público. Los centros del SERMAS están obligados a tenerlo. El DPD actúa con independencia y no puede ser sancionado por el ejercicio de sus funciones (art. 38.3 RGPD).

Deber de confidencialidad del Celador

La Ley 55/2003 establece como deber del personal estatutario mantener la debida reserva y confidencialidad de la información y documentación relativa a los centros sanitarios y a los usuarios (art. 19.1.e Ley 55/2003). Este deber no cesa con la extinción de la relación de servicio.

La LOPDGDD refuerza esta obligación: las personas que intervengan en cualquier fase del tratamiento de datos están sujetas al deber de confidencialidad (art. 5.1 LOPDGDD), incluso después de finalizar su relación con el responsable.

Datos numéricos y plazos que más se preguntan

  • 5 años: conservación mínima de la historia clínica desde el alta (art. 17.1 LAP).
  • 1 mes: plazo para responder solicitudes de derechos (art. 12.3 RGPD).
  • 2 meses adicionales: prórroga máxima para responder (art. 12.3 RGPD).
  • 16 años: edad a partir de la cual el menor consiente por sí mismo en el ámbito sanitario (art. 9.3.c LAP).
  • 72 horas: plazo para notificar una brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) desde que el responsable tiene conocimiento de ella (art. 33.1 RGPD).

Errores típicos del opositor

  • Confundir el plazo de conservación de la historia clínica: son 5 años desde el alta del proceso, no desde el nacimiento del paciente ni desde la última consulta.
  • Creer que el Celador puede acceder a la historia clínica: el Celador no tiene acceso a la historia clínica. Su función es el traslado físico de documentos, no su consulta.
  • Confundir responsable y encargado: el responsable decide el “para qué” y el “cómo”; el encargado ejecuta el tratamiento por orden del responsable.
  • Pensar que el deber de confidencialidad termina con el contrato: tanto la LOPDGDD (art. 5.1) como la Ley 55/2003 (art. 19.1.e) establecen que el deber persiste tras el cese de la relación laboral o estatutaria.
  • Confundir el plazo de respuesta a derechos: es 1 mes (prorrogable a 3 en total), no 15 días ni 2 meses directamente.

Trucos mnemotécnicos

  • “5 años de historia”: la historia clínica se guarda 5 años, igual que los dedos de una mano. Fácil de visualizar.
  • “72 horas para avisar a la AEPD”: tres días naturales, como un fin de semana largo. Si hay brecha, hay que avisar antes de que acabe el “puente”.
  • “1+2 = 3 meses para responder”: el mes base más los dos de prórroga suman tres. Nunca más.
  • “ARSULIPO”: Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición. Las seis iniciales forman el acrónimo para recordar los derechos del RGPD.
  • “El Celador traslada, no lee”: regla de oro para cualquier pregunta sobre acceso del Celador a documentación clínica.

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. ¿Qué reglamento europeo regula la protección de datos personales desde mayo de 2018?

    • A) Directiva 95/46/CE de protección de datos
    • B) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)
    • C) Reglamento (UE) 2022/2065, Ley de Servicios Digitales
    • D) Directiva 2002/58/CE de privacidad electrónica

    Referencia: Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD) , Art. 1

  2. ¿Qué ley española complementa y adapta el RGPD al ordenamiento jurídico español?

    • A) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
    • B) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
    • C) Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información (LSSI)
    • D) Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) , Art. 1

  3. Según el RGPD, ¿qué categoría especial tienen los datos relativos a la salud de los pacientes?

    • A) Son datos de categoría básica sin protección especial
    • B) Son categorías especiales de datos personales (datos sensibles) cuyo tratamiento está prohibido como regla general, salvo excepciones tasadas
    • C) Son datos públicos que cualquier persona puede consultar libremente
    • D) Son datos que solo protege la legislación sanitaria, no la de protección de datos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 9

  4. ¿Qué es el deber de secreto profesional del celador en relación con los datos de los pacientes?

    • A) Una recomendación ética sin consecuencias legales
    • B) La obligación legal de no revelar la información a la que tenga acceso en el ejercicio de sus funciones, sobre los datos personales y de salud de los pacientes
    • C) Solo se aplica a los datos económicos de los pacientes, no a los sanitarios
    • D) Solo se aplica al personal médico y de enfermería, no a los celadores

    Referencia: Ley Orgánica 3/2018 (LOPDGDD) / Ley 55/2003 del Estatuto Marco , Art. 5 LOPDGDD / Art. 19 EM

  5. ¿Qué derechos reconoce el RGPD a los interesados (pacientes) respecto a sus datos personales?

    • A) Solo el derecho a que se borren todos sus datos cuando quieran
    • B) Derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición (conocidos como derechos ARSLPO o ARSULIPO)
    • C) Ningún derecho; los datos pertenecen al hospital que los recoge
    • D) Solo el derecho a saber quién tiene sus datos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Arts. 15 a 22

  6. ¿Qué debe hacer el celador si un familiar de un paciente le pregunta por el estado de salud o el diagnóstico del paciente?

    • A) Informarle detalladamente si se identifica como familiar directo
    • B) No proporcionar información clínica y derivar al familiar al personal médico responsable del paciente
    • C) Consultar la historia clínica del paciente y responder a la consulta
    • D) Informarle solo si el paciente ha dado su consentimiento verbal ante el celador

    Referencia: Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente , Art. 5

  7. ¿Quién es el Delegado de Protección de Datos (DPD) según el RGPD?

    • A) El celador responsable de custodiar las historias clínicas
    • B) Una figura obligatoria en organismos públicos que supervisa el cumplimiento de la normativa de protección de datos, asesora y actúa como punto de contacto con la autoridad de control
    • C) El director del hospital, que asume personalmente la protección de datos
    • D) Una figura voluntaria que solo existe en empresas privadas de más de 500 empleados

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Arts. 37 a 39

  8. ¿Cuál de las siguientes conductas del celador constituiría una infracción de la normativa de protección de datos?

    • A) Trasladar documentación clínica en sobre cerrado entre servicios del hospital por indicación de su superior
    • B) Comentar con un compañero de turno en la cafetería que el paciente de la habitación 302 tiene cáncer de pulmón
    • C) Acompañar a un paciente al servicio de radiología sin conocer su diagnóstico
    • D) Pedir identificación a un visitante antes de darle acceso a la planta de hospitalización

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) , Art. 5

  9. ¿Qué es la Agencia Española de Protección de Datos (AEPD)?

    • A) Una empresa privada que vende soluciones de ciberseguridad
    • B) La autoridad administrativa independiente de ámbito estatal que vela por el cumplimiento de la legislación sobre protección de datos y controla su aplicación
    • C) Un departamento del Ministerio de Sanidad
    • D) Un tribunal especializado en delitos informáticos

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) , Art. 44

  10. Según la Ley 41/2002 de autonomía del paciente, ¿quién es el titular del derecho a la información asistencial?

    • A) Los familiares del paciente en todos los casos
    • B) El paciente es el titular del derecho a la información, que incluye conocer toda la información disponible sobre su estado de salud
    • C) El centro sanitario como responsable del tratamiento de datos
    • D) El celador que traslada al paciente entre servicios

    Referencia: Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente , Art. 5