Test: Protección de datos en sanidad (LOPDGDD, RGPD)

10 preguntas tipo examen para Celador SES — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos en el ámbito sanitario es uno de los temas con mayor proyección práctica en las oposiciones de Celador. El Celador maneja, aunque sea de forma indirecta, información clínica de los pacientes: historias clínicas, datos de filiación, resultados de pruebas. Conocer los límites legales de ese manejo es obligatorio y preguntado en examen.

Marco normativo

Los tres pilares normativos de este tema son:

  • Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD): norma de aplicación directa en toda la Unión Europea desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): adapta el RGPD al ordenamiento español.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica: regula la historia clínica y el consentimiento informado.

La jerarquía es clara: el RGPD prevalece sobre la LOPDGDD; la Ley 41/2002 es norma especial en materia sanitaria y se aplica de forma complementaria.

Conceptos clave

Dato personal

El art. 4.1 RGPD define dato personal como «toda información sobre una persona física identificada o identificable». El nombre, el DNI, la dirección, el número de historia clínica o una imagen son datos personales.

Dato especialmente protegido (categoría especial)

El art. 9.1 RGPD establece que los datos relativos a la salud son una categoría especial de datos, junto con los datos genéticos, biométricos, origen racial, ideología, religión, vida sexual, entre otros. Su tratamiento está prohibido con carácter general, salvo que concurra alguna de las excepciones del art. 9.2 RGPD.

En el ámbito sanitario, la excepción más relevante es la del art. 9.2.h) RGPD: el tratamiento es lícito cuando es necesario para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia sanitaria o tratamiento o gestión de los sistemas y servicios de asistencia sanitaria.

Responsable del tratamiento

Art. 4.7 RGPD: persona física o jurídica, autoridad pública u organismo que determina los fines y medios del tratamiento. En el SES, el responsable es la propia institución sanitaria (hospital, centro de salud), no el trabajador individual.

Encargado del tratamiento

Art. 4.8 RGPD: quien trata datos por cuenta del responsable. Ejemplo: una empresa externa de mantenimiento informático que accede a servidores con historias clínicas.

Consentimiento

Art. 4.11 RGPD: manifestación de voluntad libre, específica, informada e inequívoca. Para datos de salud, el art. 9.2.a) RGPD exige que el consentimiento sea explícito. No basta el consentimiento tácito ni el silencio.

Historia clínica

Art. 14 Ley 41/2002: el paciente tiene derecho de acceso a la documentación de su historia clínica. El art. 15 regula su contenido mínimo. El art. 17 establece la conservación de la documentación clínica: mínimo 5 años desde la fecha del alta de cada proceso asistencial.

Principios del tratamiento de datos (RGPD, art. 5)

Son los principios que rigen cualquier tratamiento. Memorizarlos es fundamental:

  • Licitud, lealtad y transparencia: el tratamiento debe tener base jurídica y el interesado debe ser informado.
  • Limitación de la finalidad: los datos se recogen para fines determinados y no se usan para fines incompatibles.
  • Minimización de datos: solo se tratan los datos adecuados, pertinentes y limitados a lo necesario.
  • Exactitud: los datos deben ser exactos y actualizados.
  • Limitación del plazo de conservación: no se conservan más tiempo del necesario.
  • Integridad y confidencialidad: tratamiento con seguridad adecuada, incluida la protección contra accesos no autorizados.
  • Responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento de todos los principios anteriores.

Derechos del interesado (RGPD)

El RGPD reconoce al ciudadano un catálogo de derechos sobre sus propios datos:

  • Derecho de acceso (art. 15 RGPD): obtener confirmación de si se tratan sus datos y una copia de ellos.
  • Derecho de rectificación (art. 16 RGPD): corregir datos inexactos.
  • Derecho de supresión o «derecho al olvido» (art. 17 RGPD): solicitar la eliminación de sus datos.
  • Derecho a la limitación del tratamiento (art. 18 RGPD): restringir el uso de sus datos en determinadas circunstancias.
  • Derecho a la portabilidad (art. 20 RGPD): recibir sus datos en formato estructurado y de uso común.
  • Derecho de oposición (art. 21 RGPD): oponerse al tratamiento en determinados supuestos.

Atención al examen: el derecho de acceso a la historia clínica del art. 14 Ley 41/2002 es la concreción sanitaria del derecho de acceso del art. 15 RGPD. Son compatibles, no contradictorios.

Autoridad de control: la AEPD

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente en España, prevista en el art. 57 RGPD y regulada en los arts. 44 y siguientes de la LOPDGDD. Es el organismo ante el que se presentan reclamaciones por vulneración de derechos en materia de protección de datos.

Régimen sancionador

Infracciones y sanciones (RGPD, arts. 83 y 84; LOPDGDD, arts. 70-77)

El RGPD establece dos niveles de multas administrativas:

  • Nivel 1 (art. 83.4 RGPD): hasta 10.000.000 € o el 2 % del volumen de negocio anual global del ejercicio anterior (la cifra mayor).
  • Nivel 2 (art. 83.5 RGPD): hasta 20.000.000 € o el 4 % del volumen de negocio anual global (la cifra mayor). Se aplica a las infracciones más graves, como vulnerar los principios del art. 5 o los derechos de los interesados.

La LOPDGDD clasifica las infracciones en muy graves, graves y leves (arts. 72, 73 y 74 LOPDGDD) y adapta el régimen sancionador para las Administraciones Públicas: estas no reciben multas económicas, sino que la AEPD puede dictar resoluciones de apercibimiento y comunicarlo al órgano competente (art. 77 LOPDGDD).

Responsabilidad penal

El Código Penal tipifica en sus arts. 197 y siguientes los delitos contra la intimidad y el secreto de las comunicaciones. El acceso no autorizado a datos de salud o su revelación puede constituir delito, con penas de prisión.

Datos numéricos y plazos que más se preguntan

  • 25 de mayo de 2018: fecha de aplicación del RGPD.
  • 5 años: plazo mínimo de conservación de la historia clínica desde el alta (art. 17 Ley 41/2002).
  • 10.000.000 € / 2 %: multa de nivel 1 (art. 83.4 RGPD).
  • 20.000.000 € / 4 %: multa de nivel 2 (art. 83.5 RGPD).
  • 72 horas: plazo máximo para notificar una brecha de seguridad a la autoridad de control (art. 33.1 RGPD).
  • 1 mes: plazo general para responder a una solicitud de ejercicio de derechos (art. 12.3 RGPD), prorrogable otros 2 meses en casos complejos.

Errores típicos del opositor

  • Confundir responsable y encargado: el responsable decide el para qué y el cómo; el encargado ejecuta por cuenta del responsable.
  • Creer que el consentimiento siempre es necesario: en sanidad, la base jurídica más frecuente es el art. 9.2.h) RGPD (asistencia sanitaria), no el consentimiento explícito del paciente.
  • Confundir el plazo de conservación de la historia clínica con el de prescripción de acciones: 5 años es el mínimo legal de conservación documental (art. 17 Ley 41/2002), no un plazo de prescripción de responsabilidades.
  • Pensar que las Administraciones Públicas reciben multas económicas: la LOPDGDD excluye las multas económicas para las AAPP (art. 77 LOPDGDD) y prevé el apercibimiento.
  • Olvidar el plazo de 72 horas para notificar brechas: es uno de los datos numéricos más preguntados en test.

Trucos mnemotécnicos

  • Los 7 principios del art. 5 RGPD: «Li-Li-Mi-Ex-Li-In-Re» → Licitud, Limitación de finalidad, Minimización, Exactitud, Limitación de conservación, Integridad/confidencialidad, Responsabilidad proactiva.
  • Multas del RGPD: recuerda «2-10 / 4-20»: nivel bajo = 2 % y 10 millones; nivel alto = 4 % y 20 millones.
  • 72 horas para brechas: «tres días para avisar al vigilante» (la AEPD es el vigilante).
  • Datos de salud = categoría especial: siempre que veas «datos de salud» en un enunciado, activa la alerta de «protección reforzada» y recuerda el art. 9 RGPD.
  • 5 años de historia clínica: «cinco años de vida en papel» (desde el alta del proceso).

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. ¿Qué norma europea regula la protección de datos personales actualmente aplicable en España?

    • A) La Directiva 95/46/CE de protección de datos
    • B) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)
    • C) La Ley Orgánica 15/1999 (LOPD)
    • D) El Tratado de Lisboa

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 1

  2. ¿Qué ley orgánica española complementa y adapta el RGPD al ordenamiento jurídico español?

    • A) La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
    • B) La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
    • C) La Ley Orgánica 1/1982 de protección civil del honor
    • D) La Ley 34/2002 de servicios de la sociedad de la información

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) , Art. 1

  3. Según el RGPD, ¿qué categoría de datos son los datos relativos a la salud?

    • A) Datos básicos de identificación sin protección especial
    • B) Categorías especiales de datos (datos sensibles), cuyo tratamiento está prohibido con carácter general salvo en los supuestos expresamente previstos
    • C) Datos públicos que cualquiera puede tratar libremente
    • D) Datos estadísticos de uso libre para investigación

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 9

  4. ¿Qué base jurídica legitima el tratamiento de datos de salud en la asistencia sanitaria?

    • A) Solo el consentimiento explícito del paciente en todos los casos
    • B) El artículo 9.2.h) del RGPD: el tratamiento es necesario para fines de medicina preventiva, diagnóstico médico, prestación de asistencia sanitaria o gestión de sistemas y servicios de asistencia sanitaria
    • C) La decisión unilateral del centro sanitario
    • D) No existe base jurídica que permita tratar datos de salud

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 9.2.h)

  5. ¿Qué deber tiene el celador respecto a los datos personales y sanitarios de los pacientes que conoce en el ejercicio de sus funciones?

    • A) Puede compartir la información con los familiares si se lo piden amablemente
    • B) Deber de secreto y confidencialidad: no puede revelar ni utilizar los datos personales y sanitarios a los que tenga acceso con motivo de su trabajo
    • C) Solo debe guardar confidencialidad sobre los datos de los pacientes VIP
    • D) Puede comentar los casos interesantes con sus compañeros fuera del horario laboral

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) , Art. 5.1.f) RGPD

  6. ¿Cuáles son los derechos del interesado (paciente) en materia de protección de datos según el RGPD?

    • A) Solo el derecho a conocer quién tiene sus datos
    • B) Derechos de acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad y oposición
    • C) Solo el derecho a que se borren todos sus datos inmediatamente
    • D) No tiene ningún derecho una vez que ha dado su consentimiento

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Arts. 15-21

  7. Según la Ley 41/2002 de Autonomía del Paciente, ¿quién tiene acceso a la historia clínica?

    • A) Cualquier persona que trabaje en el hospital, incluidos celadores, sin restricciones
    • B) Los profesionales asistenciales que realizan el diagnóstico o el tratamiento del paciente, y el propio paciente, con las limitaciones establecidas legalmente
    • C) Solo el médico responsable, nadie más puede acceder
    • D) Los familiares del paciente sin ninguna restricción

    Referencia: Ley 41/2002, de 14 de noviembre, de Autonomía del Paciente , Art. 16

  8. ¿Qué es una violación de la seguridad de los datos personales (brecha de seguridad) según el RGPD?

    • A) La pérdida accidental de un formulario en blanco
    • B) Toda violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a los mismos
    • C) Solo el hackeo informático del sistema del hospital
    • D) La actualización del software del hospital

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 4.12

  9. ¿Qué autoridad es competente para la supervisión de la protección de datos en España?

    • A) El Tribunal Constitucional
    • B) La Agencia Española de Protección de Datos (AEPD)
    • C) El Defensor del Pueblo
    • D) El Ministerio de Justicia

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) , Art. 44

  10. ¿Qué consecuencias puede tener para un celador la revelación indebida de datos de salud de un paciente?

    • A) Ninguna consecuencia, ya que el celador no es responsable del tratamiento de datos
    • B) Puede dar lugar a responsabilidad disciplinaria (expediente disciplinario y sanciones), administrativa (sanción de la AEPD al centro) e incluso penal (artículo 197 del Código Penal por revelación de secretos)
    • C) Solo una amonestación verbal sin mayor trascendencia
    • D) Solo responsabilidad civil por daños y perjuicios al paciente

    Referencia: Reglamento (UE) 2016/679 (RGPD), LO 3/2018 (LOPDGDD), Código Penal , Art. 197 CP, Art. 83 RGPD