Test: Proteccion de datos personales. Derecho a la intimidad. RGPD y normativa nacional

10 preguntas tipo examen para Policía Canaria — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos personales constituye uno de los pilares del Estado de Derecho moderno y una competencia transversal para cualquier cuerpo policial. Para la Policía Canaria, este tema es especialmente relevante porque el agente trata a diario información sensible de ciudadanos: identificaciones, denuncias, atestados. Conocer el marco normativo no es solo un requisito de examen; es una obligación profesional.

Marco normativo

Dos normas vertebran este tema:

  • Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). Aplicable directamente en todos los Estados miembros desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Adapta el RGPD al ordenamiento español y amplía derechos en el ámbito digital.

La LOPDGDD no deroga el RGPD: lo complementa y desarrolla. En caso de conflicto, prevalece el RGPD por ser norma de la Unión Europea de aplicación directa.

Estructura del tema

1. Concepto de dato personal

El art. 4.1 RGPD define dato personal como «toda información sobre una persona física identificada o identificable». Se considera identificable a quien pueda ser determinado directa o indirectamente, en particular mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea) o uno o varios elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Puntos clave:

  • Solo protege a personas físicas, no a personas jurídicas.
  • El dato de una persona ya fallecida no está protegido por el RGPD, aunque la LOPDGDD permite a herederos ejercer ciertos derechos (art. 3 LOPDGDD).

2. Tratamiento de datos

El art. 4.2 RGPD define tratamiento como «cualquier operación o conjunto de operaciones efectuadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no». Incluye: recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación, difusión, supresión o destrucción.

3. Categorías especiales de datos

El art. 9.1 RGPD prohíbe el tratamiento de datos que revelen:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona
  • Datos relativos a la salud
  • Datos relativos a la vida sexual u orientación sexual

Estas categorías solo pueden tratarse en los supuestos del art. 9.2 RGPD (consentimiento explícito, interés vital, obligación legal, entre otros).

Conceptos clave

Responsable del tratamiento

Art. 4.7 RGPD: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento.

Encargado del tratamiento

Art. 4.8 RGPD: persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos por cuenta del responsable. La relación se formaliza mediante contrato (art. 28 RGPD).

Distinción clave para el test: el responsable decide el para qué y el cómo; el encargado ejecuta por orden del responsable.

Delegado de Protección de Datos (DPD)

Arts. 37 a 39 RGPD y arts. 34 a 37 LOPDGDD.

  • Su designación es obligatoria para las autoridades y organismos públicos (art. 37.1.a RGPD), con independencia del tipo de datos tratados.
  • Puede ser empleado del responsable o actuar en virtud de contrato de servicios.
  • Funciones principales (art. 39 RGPD): informar y asesorar, supervisar el cumplimiento, cooperar con la autoridad de control, actuar como punto de contacto.
  • El responsable no puede darle instrucciones respecto al ejercicio de sus funciones (art. 38.3 RGPD).
  • No puede ser sancionado ni destituido por el ejercicio de sus funciones.

Consentimiento

Art. 4.11 RGPD: «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

  • El silencio, las casillas premarcadas o la inacción no constituyen consentimiento.
  • El consentimiento puede retirarse en cualquier momento (art. 7.3 RGPD).
  • Para menores: el art. 8 RGPD fija la edad en 16 años como regla general; los Estados pueden rebajarla hasta 13 años. La LOPDGDD la fija en 14 años (art. 7 LOPDGDD).

Principios del tratamiento

El art. 5 RGPD recoge los principios que rigen todo tratamiento:

  • Licitud, lealtad y transparencia: base jurídica válida y sin engaño al interesado.
  • Limitación de la finalidad: los datos se recogerán con fines determinados, explícitos y legítimos; no se tratarán de forma incompatible con dichos fines.
  • Minimización de datos: adecuados, pertinentes y limitados a lo necesario.
  • Exactitud: actualizados; se suprimirán o rectificarán sin dilación.
  • Limitación del plazo de conservación: no más tiempo del necesario.
  • Integridad y confidencialidad: seguridad adecuada.
  • Responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento de todos los principios anteriores.

Derechos de los interesados

Arts. 15 a 22 RGPD y arts. 13 a 18 LOPDGDD:

  • Acceso (art. 15 RGPD): obtener confirmación de si se tratan sus datos y copia de los mismos.
  • Rectificación (art. 16 RGPD): corregir datos inexactos.
  • Supresión o “derecho al olvido” (art. 17 RGPD): supresión cuando los datos ya no sean necesarios, se retire el consentimiento, etc.
  • Limitación del tratamiento (art. 18 RGPD): suspender el tratamiento en determinados supuestos.
  • Portabilidad (art. 20 RGPD): recibir los datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable. Solo aplica cuando el tratamiento se basa en consentimiento o contrato y se realiza por medios automatizados.
  • Oposición (art. 21 RGPD): oponerse al tratamiento basado en interés legítimo o en misión de interés público.

Plazo de respuesta: el responsable debe responder en el plazo de un mes desde la recepción de la solicitud, prorrogable otros dos meses más cuando sea necesario (art. 12.3 RGPD).

Datos numéricos y plazos que más se preguntan

  • Aplicación del RGPD: 25 de mayo de 2018.
  • Edad de consentimiento del menor en España: 14 años (art. 7 LOPDGDD).
  • Plazo de respuesta a derechos: 1 mes, prorrogable hasta 3 meses en total (art. 12.3 RGPD).
  • Notificación de brecha de seguridad a la autoridad de control: 72 horas desde que el responsable tenga conocimiento (art. 33.1 RGPD).
  • Sanciones máximas (art. 83 RGPD):
    • Infracciones graves: hasta 10 000 000 € o el 2 % del volumen de negocio anual global.
    • Infracciones muy graves: hasta 20 000 000 € o el 4 % del volumen de negocio anual global.
  • Autoridad de control en España: Agencia Española de Protección de Datos (AEPD), prevista en el art. 51 RGPD y regulada en los arts. 44 y ss. LOPDGDD.

Errores típicos del opositor

  • Confundir responsable y encargado: recuerda que el responsable decide, el encargado ejecuta.
  • Creer que el RGPD protege a personas jurídicas: solo protege a personas físicas.
  • Indicar 16 años como edad de consentimiento del menor en España: la LOPDGDD la rebajó a 14 años.
  • Confundir el plazo de notificación de brechas (72 horas) con el plazo de respuesta a derechos (1 mes).
  • Pensar que el silencio equivale a consentimiento: el RGPD exige acción afirmativa.
  • Afirmar que el DPD recibe instrucciones del responsable: el art. 38.3 RGPD lo prohíbe expresamente.

Trucos mnemotécnicos

  • RGPD = 2016, aplicación = 2018: «el Reglamento nació en el 16, pero empezó a trabajar en el 18».
  • Principios del art. 5 RGPD → LMMELIР: Licitud, Minimización, Más exactitud, Exactitud, Limitación de conservación, Integridad, Responsabilidad proactiva. (Adapta el acrónimo a tu memoria).
  • 72 horas para brechas: «una brecha es una emergencia; tienes 3 días, como en urgencias».
  • 14 años en España: «en España, a los 14 ya puedes dar tu consentimiento digital, como en el DNI provisional».
  • Sanciones 2 % / 4 %: «doble infracción, doble porcentaje»; las muy graves doblan el límite.
  • DPD obligatorio en organismos públicos: «donde hay poder público, hay DPD».

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. ¿Cuál es la edad mínima establecida en el RGPD para que un menor pueda prestar su consentimiento para el tratamiento de datos personales en relación con servicios de la sociedad de la información?

    • A) 16 años
    • B) 14 años
    • C) 18 años
    • D) 13 años

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales , Art. 8.1

  2. Según la Ley Orgánica 3/2018, ¿cuál es la edad establecida en España para que un menor pueda prestar su consentimiento para el tratamiento de datos personales?

    • A) 14 años
    • B) 16 años
    • C) 13 años
    • D) 18 años

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 7.1

  3. ¿Cuál es el plazo máximo establecido en el RGPD para responder a una solicitud de ejercicio de derechos del interesado?

    • A) Un mes desde la recepción de la solicitud
    • B) 15 días hábiles
    • C) Dos meses desde la recepción
    • D) 10 días hábiles

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales , Art. 12.3

  4. ¿Cuál de las siguientes NO es una base jurídica válida para el tratamiento de datos personales según el artículo 6 del RGPD?

    • A) El interés económico del responsable del tratamiento
    • B) El consentimiento del interesado
    • C) El cumplimiento de una obligación legal
    • D) Los intereses legítimos del responsable

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales , Art. 6

  5. Según el RGPD, ¿qué se entiende por 'violación de la seguridad de los datos personales'?

    • A) Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos
    • B) Únicamente el acceso no autorizado a datos personales por parte de terceros
    • C) Solo la pérdida física de dispositivos que contengan datos personales
    • D) Exclusivamente los ataques cibernéticos externos a los sistemas de información

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales , Art. 4.12

  6. ¿En qué plazo debe notificarse una violación de la seguridad de los datos personales a la autoridad de control competente según el RGPD?

    • A) 72 horas después de que haya tenido constancia de ella
    • B) 24 horas después de que haya tenido constancia de ella
    • C) Una semana después de que haya tenido constancia de ella
    • D) 48 horas después de que haya tenido constancia de ella

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales , Art. 33.1

  7. Según la Ley Orgánica 3/2018, ¿cuál es la autoridad de control en materia de protección de datos en España?

    • A) La Agencia Española de Protección de Datos
    • B) El Ministerio de Justicia
    • C) La Comisión Nacional de los Mercados y la Competencia
    • D) El Consejo de Estado

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 123.1

  8. ¿Cuál es la sanción administrativa máxima que puede imponer la autoridad de control según el RGPD por las infracciones más graves?

    • A) 20.000.000 de euros o el 4% del volumen de negocio total anual mundial del ejercicio financiero anterior, optándose por la de mayor cuantía
    • B) 10.000.000 de euros o el 2% del volumen de negocio total anual mundial
    • C) 5.000.000 de euros o el 1% del volumen de negocio total anual mundial
    • D) 50.000.000 de euros o el 10% del volumen de negocio total anual mundial

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales , Art. 83.5

  9. ¿Cuándo es obligatorio realizar una evaluación de impacto relativa a la protección de datos según el RGPD?

    • A) Cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas
    • B) Únicamente cuando se traten datos de menores de edad
    • C) Solo cuando se transfieran datos a terceros países
    • D) En todos los tratamientos de datos personales sin excepción

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales , Art. 35.1

  10. Según la Ley Orgánica 3/2018, ¿qué derecho específico se reconoce en relación con los sistemas de información crediticia?

    • A) El derecho a la actualización de datos y a obtener información sobre la valoración de solvencia patrimonial y crédito
    • B) El derecho a la cancelación automática de todos los datos tras 2 años
    • C) El derecho a impedir cualquier consulta de terceros sobre solvencia
    • D) El derecho a conocer únicamente los datos positivos, no los negativos

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , Art. 20