Test: Protección de datos en el ámbito postal: LOPDGDD y RGPD

10 preguntas tipo examen para Correos — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos personales es materia transversal en cualquier oposición que implique manejo de información de ciudadanos. En el ámbito postal, Correos trata a diario datos de remitentes, destinatarios y clientes, lo que hace que este tema sea especialmente relevante y recurrente en los exámenes. El marco normativo dual —europeo y nacional— exige conocer con precisión qué norma regula cada aspecto.

Marco normativo

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). Es directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Adapta el ordenamiento español al RGPD y añade el Título X sobre derechos digitales. Publicada en el BOE el 6 de diciembre de 2018.

La LOPDGDD no deroga el RGPD ni lo sustituye: lo complementa y concreta en los márgenes que el propio Reglamento deja a los Estados miembros.

Conceptos clave

Dato personal

El art. 4.1 RGPD define dato personal como «toda información sobre una persona física identificada o identificable». Se considera identificable a quien pueda ser determinado directa o indirectamente, en particular mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea) o uno o varios elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Tratamiento

Según el art. 4.2 RGPD, cualquier operación o conjunto de operaciones efectuadas sobre datos personales, ya sea por procedimientos automatizados o no: recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión o destrucción.

Responsable del tratamiento

Art. 4.7 RGPD: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. En el contexto postal, Correos actúa habitualmente como responsable respecto de los datos de sus clientes.

Encargado del tratamiento

Art. 4.8 RGPD: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable. La relación entre responsable y encargado debe formalizarse mediante contrato u otro acto jurídico vinculante (art. 28 RGPD).

Consentimiento

Art. 4.11 RGPD: «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen». El consentimiento tácito o por omisión no es válido bajo el RGPD.

El art. 7 RGPD establece las condiciones del consentimiento: el responsable debe poder demostrar que el interesado prestó su consentimiento, y el interesado tiene derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

Categorías especiales de datos

Art. 9 RGPD: datos que revelan origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, y datos relativos a la vida sexual u orientación sexual. Su tratamiento está prohibido con carácter general, salvo las excepciones del propio art. 9.2 RGPD.

Principios del tratamiento (art. 5 RGPD)

Los datos personales deben ser:

  • Licitud, lealtad y transparencia: tratados de manera lícita, leal y transparente en relación con el interesado.
  • Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos, y no tratados ulteriormente de manera incompatible con dichos fines.
  • Minimización de datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.
  • Exactitud: exactos y, si fuera necesario, actualizados.
  • Limitación del plazo de conservación: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
  • Integridad y confidencialidad: tratados de tal manera que se garantice una seguridad adecuada.

El art. 5.2 RGPD consagra el principio de responsabilidad proactiva (accountability): el responsable será responsable del cumplimiento de estos principios y capaz de demostrarlo.

Bases jurídicas del tratamiento (art. 6 RGPD)

El tratamiento solo es lícito si se cumple al menos una de estas condiciones:

  • El interesado dio su consentimiento.
  • El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte.
  • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable.
  • El tratamiento es necesario para proteger intereses vitales del interesado u otra persona.
  • El tratamiento es necesario para el cumplimiento de una misión en interés público o en el ejercicio de poderes públicos.
  • El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero (salvo que prevalezcan los intereses o derechos del interesado).

Derechos de los interesados

Derechos ARSULIPO

Acrónimo útil para recordar los derechos reconocidos en el RGPD (arts. 15 a 22):

  • Acceso (art. 15): obtener confirmación de si se tratan datos propios y, en su caso, acceder a ellos.
  • Rectificación (art. 16): obtener sin dilación indebida la rectificación de datos inexactos.
  • Supresión (art. 17): derecho al olvido; supresión de datos cuando, entre otros motivos, ya no sean necesarios para los fines para los que fueron recogidos.
  • Limitación del tratamiento (art. 18): el interesado puede solicitar que el tratamiento quede restringido en determinados supuestos.
  • Portabilidad (art. 20): recibir los datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable, cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados.
  • Oposición (art. 21): oponerse al tratamiento en cualquier momento por motivos relacionados con su situación particular.
  • Decisiones individuales automatizadas (art. 22): no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente.

Datos numéricos y plazos que más se preguntan

  • 72 horas: plazo máximo para notificar una violación de seguridad de datos a la autoridad de control (art. 33.1 RGPD), contado desde que el responsable tenga constancia de ella.
  • 25 de mayo de 2018: fecha de aplicación del RGPD en todos los Estados miembros.
  • 6 de diciembre de 2018: fecha de publicación de la LOPDGDD en el BOE.
  • 14 años: edad mínima para prestar consentimiento en servicios de la sociedad de la información según el art. 7 LOPDGDD (el RGPD fijaba 16 años como referencia, pero permitía a los Estados bajarla hasta 13; España optó por 14).
  • 1 mes: plazo general para responder a las solicitudes de ejercicio de derechos (art. 12.3 RGPD), prorrogable otros 2 meses adicionales cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes.
  • Agencia Española de Protección de Datos (AEPD): autoridad de control en España, prevista en el art. 44 LOPDGDD.

Delegado de Protección de Datos (DPD)

Arts. 37 a 39 RGPD y arts. 34 a 37 LOPDGDD:

  • Su designación es obligatoria para autoridades y organismos públicos, para responsables cuya actividad principal requiera una observación habitual y sistemática a gran escala de interesados, y para quienes traten a gran escala categorías especiales de datos (art. 37.1 RGPD).
  • Puede ser empleado del responsable o encargado, o ejercer sus funciones en virtud de un contrato de servicios (art. 37.6 RGPD).
  • Sus funciones incluyen: informar y asesorar, supervisar el cumplimiento, cooperar con la autoridad de control y actuar como punto de contacto (art. 39 RGPD).
  • Goza de independencia funcional: no puede recibir instrucciones sobre el ejercicio de sus funciones (art. 38.3 RGPD).

Errores típicos del opositor

  • Confundir responsable y encargado: el responsable decide los fines; el encargado trata los datos por cuenta del responsable.
  • Creer que el consentimiento es la única base jurídica válida: el art. 6 RGPD recoge seis bases jurídicas alternativas.
  • Situar la edad de consentimiento digital en 16 años: en España es 14 años (art. 7 LOPDGDD).
  • Confundir el plazo de notificación de brechas (72 horas a la AEPD) con el plazo de respuesta a derechos (1 mes al interesado).
  • Pensar que la LOPDGDD deroga o sustituye al RGPD: el RGPD es directamente aplicable; la LOPDGDD lo complementa.

Trucos mnemotécnicos

  • ARSULIPO → Acceso, Rectificación, Supresión, Limitación, portabIlidad, OPosición (y decisiones automatizadas). Cubre los siete derechos del RGPD.
  • “72 horas para avisar, 1 mes para contestar”: brecha de seguridad → AEPD en 72 h; solicitud de derechos → interesado en 1 mes.
  • 14 = España digital: la edad mínima de consentimiento digital en España es 14, no 16.
  • Responsable = decide; Encargado = ejecuta: el que fija los fines es el responsable; el que trata por encargo es el encargado.
  • RGPD mayo 2018 / LOPDGDD diciembre 2018: primero llega el Reglamento europeo (mayo), luego la ley española lo adapta (diciembre).

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. ¿Cuál es la normativa principal de protección de datos personales en España?

    • A) La Ley 15/1999, de 13 de diciembre (LOPD)
    • B) La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), junto con el Reglamento (UE) 2016/679 (RGPD)
    • C) El Código Civil
    • D) La Ley 43/2010 del servicio postal

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 1

  2. Según el RGPD, ¿qué se entiende por 'dato personal'?

    • A) Solo el nombre y apellidos de una persona
    • B) Toda información sobre una persona física identificada o identificable
    • C) Exclusivamente los datos financieros y bancarios
    • D) Solo los datos de salud

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 4.1

  3. ¿Qué principio del RGPD establece que los datos personales solo deben recogerse para fines determinados, explícitos y legítimos?

    • A) Principio de exactitud
    • B) Principio de limitación de la finalidad
    • C) Principio de integridad
    • D) Principio de transparencia

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 5.1.b

  4. ¿Cuál es el organismo de control y supervisión en materia de protección de datos en España?

    • A) El Tribunal Constitucional
    • B) La Agencia Española de Protección de Datos (AEPD)
    • C) La CNMC
    • D) El Defensor del Pueblo

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre , Art. 44

  5. ¿Qué derechos reconoce el RGPD a los interesados respecto a sus datos personales?

    • A) Solo el derecho a ser informado
    • B) Los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición (derechos ARSLPO)
    • C) Solo el derecho de supresión (derecho al olvido)
    • D) No reconoce derechos individuales, solo obligaciones a las empresas

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Arts. 15-22

  6. En el ámbito postal, ¿qué tipo de datos personales trata habitualmente Correos?

    • A) Solo datos de geolocalización
    • B) Nombres, direcciones postales, números de documento de identidad y firmas de remitentes y destinatarios
    • C) Exclusivamente datos bancarios de los clientes
    • D) No trata datos personales en su actividad postal

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 4

  7. Según el RGPD, ¿qué es una 'violación de seguridad de los datos personales' (brecha de datos)?

    • A) Cualquier modificación rutinaria de una base de datos
    • B) Toda violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizados a datos personales
    • C) Solo el robo de contraseñas informáticas
    • D) Exclusivamente los ataques informáticos externos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 4.12

  8. Según el RGPD, ¿en qué plazo debe el responsable del tratamiento notificar una brecha de seguridad a la autoridad de control?

    • A) En un plazo de 24 horas
    • B) Sin dilación indebida, y a más tardar 72 horas después de que haya tenido constancia de ella
    • C) En un plazo de 30 días naturales
    • D) No existe obligación de notificar

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 33

  9. ¿Qué figura introduce el RGPD para supervisar el cumplimiento de la normativa de protección de datos dentro de una organización?

    • A) El auditor fiscal
    • B) El Delegado de Protección de Datos (DPD o DPO)
    • C) El director de recursos humanos
    • D) El secretario judicial

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 37

  10. Según la LOPDGDD, ¿qué cuantía máxima pueden alcanzar las sanciones por infracciones muy graves en materia de protección de datos?

    • A) Hasta 600.000 euros
    • B) Hasta 20 millones de euros o el 4% del volumen de negocio total anual global, la cifra que sea mayor
    • C) Hasta 1 millón de euros
    • D) Hasta 100.000 euros

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 83.5