📋 TEMA 38
Normativa europea y estatal: el Reglamento General de Protección de Datos (RGPD)
y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.
Evaluación de Impacto en la Protección de Datos.
📑 Índice de Contenidos
- Introducción y Contextualización en el SAS
- Marco Normativo de la Protección de Datos
- El Reglamento General de Protección de Datos (RGPD)
- Ámbito de aplicación
- Principios relativos al tratamiento
- Bases de legitimación
- Derechos de los interesados
- Responsable y encargado del tratamiento
- La Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD)
- Evaluación de Impacto en la Protección de Datos (EIPD)
- El Delegado de Protección de Datos (DPD)
- Protección de Datos de Salud en el SAS
- Casos Prácticos del SAS
- Cuestionario de Preguntas (basado en exámenes reales)
- Mapa Conceptual
- Conclusiones y Consejos de Estudio
- Referencias Normativas y Bibliográficas
1. 🎯 Introducción y Contextualización en el SAS
Mira, este tema es absolutamente crucial para tu oposición y, sinceramente, para tu futuro trabajo en el SAS. No estamos hablando de teoría abstracta… estamos hablando del día a día en un hospital donde manejas datos de salud de más de 8 millones de andaluces. Cada vez que un profesional sanitario accede a Diraya, cada vez que se genera una receta electrónica en Receta XXI, cada vez que se transmite un informe médico… estás en el centro de un ecosistema donde la protección de datos no es opcional: es un derecho fundamental.
🏥 ¿Por qué es tan importante este tema en el SAS?
Contexto real: El Servicio Andaluz de Salud gestiona diariamente millones de registros clínicos a través de sus sistemas corporativos. En 2023, se registraron más de 45 millones de accesos a historias clínicas digitales en Diraya. Cada acceso debe estar justificado, trazado y protegido según el RGPD y la LOPDGDD.
Tu responsabilidad: Como Técnico Especialista en Informática del SAS, serás responsable de implementar medidas técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de estos datos sensibles.
⚠️ IMPORTANTE PARA EL EXAMEN
Este tema ha tenido un peso creciente en las convocatorias recientes. En los exámenes de 2023, 2024 y 2025 hemos visto entre 4-7 preguntas directas sobre RGPD/LOPDGDD, más casos prácticos donde se evalúa la aplicación de bases legitimadoras, EIPD y derechos de los interesados.
Temas recurrentes en exámenes:
- Bases legitimadoras para el tratamiento de datos de salud (Art. 6 y 9 RGPD)
- Cuándo es obligatoria una EIPD (Art. 35 RGPD)
- Funciones del Delegado de Protección de Datos
- Tipificación de infracciones según LOPDGDD
- Plazos de notificación de brechas de seguridad (72 horas)
1.1. Relevancia en la Transformación Digital del SAS
El Plan de Transformación Digital del SSPA 2022-2027 sitúa la protección de datos como un pilar fundamental de la confianza digital en salud. Proyectos estratégicos como la migración a cloud híbrido, la interoperabilidad con el resto de comunidades autónomas a través de la Historia Clínica Digital del SNS, o la implementación de soluciones de inteligencia artificial para apoyo diagnóstico… todos dependen de un marco robusto de protección de datos.
Y aquí viene algo que debes entender bien: en sanidad, los datos personales no son «datos normales». Son categorías especiales de datos (Art. 9 RGPD). Esto significa que están sometidos a un régimen de protección reforzado. No puedes tratarlos igual que los datos de un empleado público en otra consejería. Los datos de salud revelan información íntima sobre diagnósticos, tratamientos, vida sexual, adicciones… son datos que, en manos equivocadas, pueden causar un daño irreparable.
2. 📜 Marco Normativo de la Protección de Datos
2.1. Arquitectura Normativa Multinivel
La protección de datos personales en Europa se estructura en tres niveles normativos complementarios:
| Nivel | Normativa | Aplicación |
|---|---|---|
| Europeo | Reglamento (UE) 2016/679 (RGPD) | Directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018 |
| Estatal | Ley Orgánica 3/2018 (LOPDGDD) | Desarrollo y adaptación del RGPD al ordenamiento español |
| Autonómico y Sectorial | Decretos, Órdenes, Políticas de Seguridad TI del SAS | Implementación específica en el ámbito sanitario andaluz |
2.2. Reconocimiento Constitucional
El artículo 18.4 de la Constitución Española establece que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Este mandato constitucional se desarrolla actualmente a través del RGPD y la LOPDGDD.
💡 PERLA DE EXAMEN
El RGPD es un Reglamento, no una Directiva. Esto significa que es directamente aplicable en todos los Estados miembros sin necesidad de transposición. La LOPDGDD no «transpone» el RGPD (porque no hace falta), sino que lo complementa y adapta en aquellos aspectos donde el Reglamento europeo permite margen a los Estados.
2.3. Normativa Complementaria en Sanidad
- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
- Real Decreto 1720/2007, que desarrolla la Ley Orgánica 15/1999 (derogada, pero algunos desarrollos siguen vigentes)
- Decreto 534/2021, de 13 de julio, de administración electrónica en el SAS
- Guías y Directrices de la AEPD (Agencia Española de Protección de Datos) específicas para el sector salud
3. 🇪🇺 El Reglamento General de Protección de Datos (RGPD)
3.1. Ámbito de Aplicación
El artículo 2 del RGPD establece el ámbito de aplicación material:
El RGPD se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
¿Qué es un «dato personal»? (Art. 4.1): Toda información sobre una persona física identificada o identificable.
3.1.1. ¿Cuándo NO se aplica el RGPD?
- Tratamientos efectuados en el ejercicio de actividades exclusivamente personales o domésticas
- Tratamientos por autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales (se rige por la Directiva 2016/680)
- Tratamientos que afecten a seguridad pública, defensa y seguridad nacional
🏥 Ejemplo SAS
Cuando un médico del Hospital Virgen del Rocío accede a Diraya para consultar el historial clínico de un paciente que está atendiendo en urgencias, ese acceso está plenamente sometido al RGPD. Sin embargo, si ese mismo médico en su domicilio particular gestiona su agenda personal con nombres de pacientes (cosa que NO debe hacer), eso sí sería actividad doméstica… pero seguiría siendo una mala práctica profesional.
3.2. Principios Relativos al Tratamiento (Art. 5 RGPD)
Los datos personales deben ser tratados respetando seis principios fundamentales:
- Licitud, lealtad y transparencia: El tratamiento debe ser lícito (basado en una de las bases del Art. 6), leal (no engañoso) y transparente (el interesado debe saber qué se hace con sus datos)
- Limitación de la finalidad: Los datos deben recogerse con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines
- Minimización de datos: Los datos deben ser adecuados, pertinentes y limitados a lo necesario. En sanidad: solo acceder a la información clínica estrictamente necesaria para la asistencia
- Exactitud: Los datos deben ser exactos y estar actualizados. Se deben adoptar medidas para suprimir o rectificar sin dilación los datos inexactos
- Limitación del plazo de conservación: Los datos deben conservarse solo durante el tiempo necesario. En sanidad: la Ley 41/2002 establece un mínimo de 5 años desde el alta del proceso asistencial
- Integridad y confidencialidad: Los datos deben tratarse de forma que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental
⚠️ PRINCIPIO DE RESPONSABILIDAD PROACTIVA
El Art. 5.2 RGPD establece que el responsable del tratamiento será responsable del cumplimiento de estos principios y capaz de demostrarlo (accountability). Esto significa que no basta con cumplir… hay que poder demostrar que se cumple. De ahí la importancia de mantener registros, documentación de medidas de seguridad, políticas internas, etc.
3.3. Bases de Legitimación del Tratamiento (Art. 6 RGPD)
Para que el tratamiento de datos personales sea lícito, debe basarse en al menos una de las siguientes bases jurídicas:
| Base (Art. 6.1) | Descripción | Aplicación en el SAS |
|---|---|---|
| a) Consentimiento | El interesado dio su consentimiento para el tratamiento | Poco frecuente en la asistencia ordinaria. Se usa en investigación, ensayos clínicos, apps de salud voluntarias |
| b) Ejecución de un contrato | Necesario para la ejecución de un contrato en el que el interesado es parte | Contratación de seguros médicos privados, servicios de salud no cubiertos por el SNS |
| c) Obligación legal | Necesario para el cumplimiento de una obligación legal | Notificación de enfermedades de declaración obligatoria, comunicaciones a juzgados |
| d) Intereses vitales | Necesario para proteger intereses vitales del interesado o de otra persona física | Urgencias médicas donde el paciente no puede consentir, donación de órganos |
| e) Interés público o ejercicio de poderes públicos | Necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos | BASE PRINCIPAL en el SAS para la prestación de asistencia sanitaria pública |
| f) Interés legítimo | Necesario para la satisfacción de intereses legítimos del responsable | No aplicable a datos de salud (categorías especiales). Podría usarse para videovigilancia en áreas no asistenciales |
🎯 CLAVE PARA EL EXAMEN: Datos de Salud (Categorías Especiales)
El Art. 9.1 RGPD prohíbe, como regla general, el tratamiento de categorías especiales de datos, entre ellos los datos de salud. Sin embargo, el Art. 9.2 establece excepciones. Las más relevantes para el SAS son:
- Art. 9.2.h): Tratamiento necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social
- Art. 9.2.i): Tratamiento necesario por razones de interés público en el ámbito de la salud pública
En resumen: En el SAS, para acceder a la historia clínica digital (Diraya) en el contexto de la asistencia sanitaria ordinaria, la base legitimadora es el Art. 6.1.e) (interés público) + Art. 9.2.h) (asistencia sanitaria). NO se necesita consentimiento del paciente para cada acceso.
3.4. Derechos de los Interesados (Capítulo III RGPD)
El RGPD reconoce un catálogo amplio de derechos que los ciudadanos pueden ejercer sobre sus datos personales:
3.4.1. Derechos de Transparencia e Información
- Derecho de información (Art. 13-14): Los ciudadanos deben ser informados sobre quién trata sus datos, con qué finalidad, durante cuánto tiempo, si hay cesiones, etc.
3.4.2. Derechos de Acceso y Control
- Derecho de acceso (Art. 15): Obtener confirmación de si se están tratando datos personales y, en su caso, acceder a ellos
- Derecho de rectificación (Art. 16): Obtener la rectificación de datos inexactos o incompletos
- Derecho de supresión / «derecho al olvido» (Art. 17): Obtener la supresión de datos cuando concurran determinadas circunstancias
- Derecho a la limitación del tratamiento (Art. 18): Solicitar que se limite el tratamiento en determinadas situaciones
- Derecho a la portabilidad (Art. 20): Recibir los datos en un formato estructurado, de uso común y lectura mecánica
3.4.3. Derecho de Oposición
- Derecho de oposición (Art. 21): Oponerse al tratamiento de datos en determinadas circunstancias
🏥 Ejercicio de Derechos en el SAS
Caso real: Un paciente del SAS solicita una copia de su historia clínica completa (ejercicio del derecho de acceso, Art. 15 RGPD + Art. 18 Ley 41/2002).
¿Cómo se gestiona?
- El paciente puede solicitarlo presencialmente en su centro de salud u hospital, o telemáticamente a través de ClicSalud+
- El plazo máximo de respuesta es de 1 mes (Art. 12.3 RGPD), prorrogable 2 meses más si es complejo
- La información debe facilitarse de forma concisa, transparente e inteligible
- Si se solicita por medios electrónicos, debe facilitarse en formato electrónico de uso común (PDF, por ejemplo), salvo que el interesado solicite otro formato
💡 IMPORTANTE: Limitaciones a los Derechos
El Art. 23 RGPD permite que el Derecho de la Unión o de los Estados miembros limite mediante medidas legislativas el alcance de algunos derechos cuando sea necesario para salvaguardar objetivos importantes de interés público general.
En España, la Disposición Adicional 17ª de la LOPDGDD establece limitaciones específicas para datos de salud: por ejemplo, el derecho de supresión puede limitarse cuando los datos sean necesarios para la formulación, ejercicio o defensa de reclamaciones, o cuando su conservación sea exigida por la legislación sanitaria.
3.5. Responsable y Encargado del Tratamiento
3.5.1. Responsable del Tratamiento (Art. 4.7 RGPD)
Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
En el SAS: El Servicio Andaluz de Salud, a través de sus órganos directivos (Dirección Gerencia del SAS, direcciones de centros sanitarios), actúa como responsable del tratamiento de los datos de pacientes y profesionales.
3.5.2. Encargado del Tratamiento (Art. 4.8 RGPD)
Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Ejemplos en el SAS:
- Empresas de mantenimiento de sistemas informáticos que acceden a servidores con datos de pacientes
- Proveedores de servicios en la nube (si se migra parte de la infraestructura)
- Empresas de destrucción documental
- Laboratorios externos que procesan muestras
⚠️ OBLIGATORIEDAD DEL CONTRATO DE ENCARGADO DE TRATAMIENTO
El Art. 28 RGPD exige que la relación entre responsable y encargado esté regulada mediante un contrato u otro acto jurídico vinculante que establezca:
- El objeto, duración, naturaleza y finalidad del tratamiento
- El tipo de datos personales y categorías de interesados
- Las obligaciones y derechos del responsable
- Las medidas de seguridad técnicas y organizativas
- La obligación del encargado de asistir al responsable en la respuesta a ejercicio de derechos
3.6. Violaciones de Seguridad de los Datos (Data Breaches)
El Art. 33 RGPD establece la obligación de notificar las violaciones de seguridad:
📋 Protocolo de Notificación de Brechas
- Detección: Cuando se detecta una brecha de seguridad (pérdida, robo, acceso no autorizado a datos personales)
- Notificación a la autoridad de control: Se debe notificar a la AEPD en un plazo máximo de 72 horas desde que se tuvo conocimiento, a menos que sea improbable que la brecha entrañe un riesgo para los derechos y libertades
- Comunicación al interesado (Art. 34): Si la brecha entraña un alto riesgo para los derechos y libertades de las personas físicas, se debe comunicar también al interesado sin dilación indebida
🏥 Caso Práctico: Brecha de Seguridad en el SAS
Supuesto: Se detecta que un ordenador del Hospital Virgen Macarena con acceso a Diraya ha sido infectado con ransomware. Se han cifrado archivos temporales que contenían informes clínicos de 500 pacientes.
¿Qué hacer?
- Inmediato: Aislar el equipo de la red, contener la brecha, activar el protocolo de respuesta a incidentes de seguridad
- Evaluación: Determinar qué datos se han visto afectados, cuántos pacientes, si hay riesgo de fuga
- Notificación a AEPD: Dentro de las 72 horas, notificar describiendo la naturaleza de la brecha, categorías y número de afectados, medidas adoptadas
- Comunicación a pacientes: Si se determina alto riesgo (por ejemplo, datos especialmente sensibles o vulnerables), comunicar a los 500 pacientes afectados
- Documentación: Registrar la brecha en el registro de actividades de tratamiento, analizar causas y adoptar medidas correctivas
4. 🇪🇸 La Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD)
4.1. Objeto y Naturaleza
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales adapta el ordenamiento jurídico español al RGPD. No es una ley de transposición (el RGPD ya es directamente aplicable), sino una norma de adaptación y complemento.
4.2. Novedades Destacadas de la LOPDGDD
4.2.1. Garantía de los Derechos Digitales (Título X)
La LOPDGDD dedica un título completo a los derechos digitales, incluyendo:
- Derecho a la neutralidad de Internet
- Derecho de acceso universal a Internet
- Derecho a la seguridad digital
- Derecho a la educación digital
- Derecho a la protección de los menores en Internet
- Derecho al testamento digital
- Derechos digitales en el ámbito laboral
4.2.2. Tratamiento de Datos de Salud (Art. 9 LOPDGDD)
Regula específicamente el tratamiento de datos de salud, estableciendo que:
- Los datos relativos a la salud no pueden ser comunicados a terceros, salvo consentimiento expreso o en los supuestos contemplados en el RGPD
- Se permite el acceso de profesionales sanitarios a la historia clínica para fines asistenciales
- Se garantiza el acceso del paciente a su historia clínica
4.2.3. Investigación en Salud Pública (Art. 9 y DA 17ª)
La LOPDGDD establece un régimen especial para el tratamiento de datos con fines de investigación en salud pública, incluyendo:
- Obligación de realizar Evaluación de Impacto que determine riesgos, especialmente de reidentificación
- Medidas para garantizar que los investigadores no accedan a datos de identificación (pseudonimización)
- Sometimiento a normas de calidad y seguridad
4.3. Régimen Sancionador
El Título IX de la LOPDGDD regula el régimen sancionador, estableciendo tres tipos de infracciones:
| Tipo | Sanción | Ejemplos |
|---|---|---|
| Leves (Art. 74) | Hasta 40.000 € | No atender solicitudes de ejercicio de derechos por falta de diligencia |
| Graves (Art. 73) | Hasta 300.000 € o el 2% del volumen de negocio anual | Falta de adopción de medidas técnicas y organizativas para protección de datos desde el diseño (Art. 25 RGPD) |
| Muy graves (Art. 72) | Hasta 20.000.000 € o el 4% del volumen de negocio anual | Tratamiento de datos sin base legal, incumplimiento de principios básicos del tratamiento, transferencias internacionales prohibidas |
🎯 PERLA DE EXAMEN: Infracción Grave vs. Muy Grave
En el examen de 2023 cayó una pregunta sobre la tipificación de la siguiente infracción: «La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño» (Art. 25 RGPD).
Respuesta correcta: Es una infracción GRAVE según el Art. 73.1.a) de la LOPDGDD.
4.4. Protección de Datos en las Administraciones Públicas
El Título VI de la LOPDGDD regula específicamente el tratamiento de datos por las Administraciones Públicas:
- Art. 28: Las AAPP actúan como responsables del tratamiento cuando tratan datos para el ejercicio de sus funciones
- Art. 29: Bases jurídicas del tratamiento en AAPP (principalmente misión de interés público y cumplimiento de obligación legal)
- Art. 30: Publicación de información sobre tratamientos de datos
🏥 Aplicación en el SAS
El SAS, como entidad del sector público andaluz, está obligado a publicar en su sede electrónica o sitio web la relación de actividades de tratamiento que lleva a cabo, incluyendo:
- Finalidad del tratamiento (ejemplo: gestión de la historia clínica digital)
- Base jurídica (ejemplo: Art. 6.1.e RGPD + Art. 9.2.h RGPD + Ley 41/2002)
- Categorías de destinatarios (ejemplo: profesionales sanitarios autorizados)
- Transferencias internacionales (si las hay)
- Plazos de conservación
5. 🔍 Evaluación de Impacto en la Protección de Datos (EIPD)
5.1. Concepto y Obligatoriedad
La Evaluación de Impacto relativa a la Protección de Datos (EIPD o PIA, Privacy Impact Assessment) es un proceso destinado a evaluar, de manera anticipada, los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.
📋 ¿Cuándo es OBLIGATORIA una EIPD? (Art. 35 RGPD)
Es obligatorio realizar una EIPD cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. El Art. 35.3 menciona específicamente:
- a) Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado (incluida la elaboración de perfiles) y sobre cuya base se toman decisiones que producen efectos jurídicos para las personas o que les afectan significativamente
- b) Tratamiento a gran escala de categorías especiales de datos (incluidos datos de salud) o de datos relativos a condenas e infracciones penales
- c) Observación sistemática a gran escala de una zona de acceso público
5.1.1. Listas de la AEPD
La Agencia Española de Protección de Datos ha publicado listas orientativas de:
- Tratamientos que requieren EIPD: Incluye tratamientos de datos biométricos para identificación, tratamientos que impliquen seguimiento geolocalización, tratamientos de datos genéticos, etc.
- Tratamientos exentos de EIPD: Incluye tratamientos ya regulados por normativa sectorial con medidas de seguridad específicas
🏥 Casos en el SAS que REQUIEREN EIPD
- Implantación de un nuevo sistema de inteligencia artificial para apoyo diagnóstico que analice imágenes médicas de miles de pacientes
- Despliegue de un sistema de videovigilancia con reconocimiento facial en accesos a áreas restringidas de hospitales
- Creación de una base de datos centralizada de investigación con datos clínicos de todos los pacientes oncológicos de Andalucía
- Implementación de sistemas de monitorización remota de pacientes crónicos con geolocalización
Caso que SÍ REQUIERE EIPD (pregunta examen 2019): Aplicación de citas médicas que trata datos del paciente, médico de familia, citas médicas… SÍ requiere EIPD porque se tratan datos de salud (Art. 9.1 RGPD) a gran escala.
5.2. Contenido Mínimo de la EIPD (Art. 35.7 RGPD)
La EIPD debe contener, como mínimo:
- Descripción sistemática de las operaciones de tratamiento previstas:
- Ciclo de vida de los datos: captura, clasificación, almacenamiento, uso, cesiones a terceros, destrucción
- Finalidades del tratamiento
- Intereses legítimos perseguidos
- Evaluación de la necesidad y proporcionalidad:
- ¿Es necesario este tratamiento para la finalidad prevista?
- ¿Los datos son proporcionales a dicha finalidad?
- ¿Existen alternativas menos intrusivas?
- Evaluación de los riesgos para los derechos y libertades:
- Identificación de amenazas (acceso no autorizado, pérdida de datos, reidentificación, etc.)
- Probabilidad e impacto de cada riesgo
- Análisis de riesgos específicos: reidentificación vinculada a pseudonimización/anonimización
- Medidas previstas para afrontar los riesgos:
- Medidas técnicas: cifrado, control de accesos, pseudonimización, etc.
- Medidas organizativas: formación, políticas de seguridad, protocolos de respuesta a incidentes
- Garantías, medidas y mecanismos de seguridad que demuestren la protección de datos personales
5.3. Proceso de Realización de una EIPD
┌───────────────────────────────────────────────────────────────┐
│ PROCESO DE EVALUACIÓN DE IMPACTO (EIPD) │
└───────────────────────────────────────────────────────────────┘
│
┌───────────────────┴───────────────────┐
│ │
┌───────▼────────┐ ┌────────▼────────┐
│ PASO 1: │ │ PASO 2: │
│ Análisis de │ │ Descripción │
│ Necesidad │◄───────────────────┤ Detallada del │
│ de EIPD │ ¿Es obligatoria? │ Tratamiento │
└───────┬────────┘ └────────┬────────┘
│ SÍ │
│ │
┌───────▼────────┐ ┌────────▼────────┐
│ PASO 3: │ │ PASO 4: │
│ Identificar │────────────────────► Evaluar │
│ Amenazas y │ │ Riesgos │
│ Riesgos │ │ (Probabilidad │
└───────┬────────┘ │ e Impacto) │
│ └────────┬────────┘
│ │
┌───────▼────────────────────────────────────▼────────┐
│ PASO 5: Proponer Medidas de Mitigación │
│ - Técnicas: Cifrado, control de accesos, etc. │
│ - Organizativas: Formación, políticas, etc. │
└──────────────────────────┬──────────────────────────┘
│
┌──────────▼──────────┐
│ PASO 6: │
│ ¿Riesgo residual │
│ alto? │
└──────────┬──────────┘
│
┌──────────┴──────────┐
│ SÍ │ NO
│ │
┌───────────▼─────────┐ ┌───────▼────────┐
│ Consulta previa a │ │ Implementar │
│ AEPD (Art. 36 RGPD) │ │ tratamiento │
└─────────────────────┘ └────────────────┘
5.4. ¿Quién es Responsable de Realizar la EIPD?
🎯 PREGUNTA EXAMEN 2019
¿Quién es el responsable de que se realice una EIPD?
Respuesta correcta: El responsable del tratamiento (Art. 35.1 RGPD).
Aclaraciones:
- El Delegado de Protección de Datos (DPD) debe ser consultado durante el proceso (Art. 35.2), pero NO es quien la realiza
- El responsable del tratamiento puede solicitar el asesoramiento del DPD o de consultores externos, pero la responsabilidad de realizarla es suya
5.5. Consulta Previa a la Autoridad de Control
Si, una vez concluida la EIPD, se determina que el tratamiento entraña un alto riesgo y no se pueden adoptar medidas suficientes para mitigarlo, el responsable del tratamiento debe consultar a la autoridad de control (AEPD) antes de proceder al tratamiento (Art. 36 RGPD).
⚠️ PERLA DE EXAMEN (2019)
Una vez concluida la EIPD, se ha llegado a la conclusión de que el tratamiento entraña un alto riesgo. ¿Qué deberá hacer el responsable del tratamiento?
Respuesta correcta: Consultar a la autoridad de control (Agencia Española de Protección de Datos).
Esta consulta previa permite que la AEPD pueda asesorar al responsable antes de que se produzca el tratamiento, evitando así posibles infracciones.
6. 👤 El Delegado de Protección de Datos (DPD)
6.1. Designación Obligatoria (Art. 37 RGPD)
Es obligatorio designar un Delegado de Protección de Datos (DPD o DPO, Data Protection Officer) cuando:
- a) El tratamiento lo lleve a cabo una autoridad u organismo público (excepto tribunales en ejercicio de su función judicial)
- b) Las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
- c) Las actividades principales del responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos (incluidos datos de salud)
🏥 El DPD en el SAS
El Servicio Andaluz de Salud, como organismo público que trata a gran escala categorías especiales de datos (datos de salud de más de 8 millones de andaluces), está obligado a designar un Delegado de Protección de Datos.
El DPD del SAS actúa como punto de contacto con la AEPD, asesora a la organización en materia de protección de datos y supervisa el cumplimiento de la normativa.
6.2. Funciones del DPD (Art. 39 RGPD)
🎯 PREGUNTA EXAMEN 2023
¿Cuál de las siguientes funciones corresponde al Delegado de Protección de Datos?
Respuesta correcta: «Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RGPD y demás normativa aplicable en protección de datos» (Art. 39.1.a RGPD).
Las funciones del DPD incluyen:
- Informar y asesorar al responsable, al encargado y a los empleados sobre las obligaciones en materia de protección de datos
- Supervisar el cumplimiento del RGPD, de otras disposiciones de protección de datos y de las políticas internas
- Ofrecer asesoramiento sobre la realización de Evaluaciones de Impacto (EIPD) y supervisar su aplicación
- Cooperar con la autoridad de control (AEPD) y actuar como punto de contacto con ella
- Atender consultas de los interesados sobre el ejercicio de sus derechos
6.3. Posición del DPD
El DPD debe:
- Informar directamente al más alto nivel jerárquico del responsable o encargado
- No recibir instrucciones sobre el desempeño de sus funciones
- No ser destituido ni sancionado por desempeñar sus funciones
- Disponer de recursos suficientes (formación, local, equipo, tiempo, etc.)
7. 🏥 Protección de Datos de Salud en el SAS
7.1. Particularidades de los Datos de Salud
Los datos de salud son categorías especiales de datos (Art. 9 RGPD), lo que significa que:
- Están sujetos a un régimen de protección reforzado
- Su tratamiento está, en principio, prohibido salvo que concurra alguna de las excepciones del Art. 9.2 RGPD
- Requieren medidas de seguridad más estrictas
- El acceso no autorizado o la fuga de estos datos puede causar un daño grave e irreversible a los interesados
7.2. Bases Legitimadoras en el Contexto Sanitario
🎯 CASO PRÁCTICO EXAMEN 2025
Supuesto: En una aplicación de gestión de incidentes de un hospital, ¿cuál es la base legitimadora del RGPD que justifica el tratamiento de datos de salud de pacientes que pudieran registrarse en el incidente?
Opciones:
- A) El interés legítimo del hospital
- B) El consentimiento explícito del paciente
- C) La misión de interés público y el ejercicio de poderes públicos
- D) La ejecución de un contrato
Respuesta correcta: C
Explicación: Para el tratamiento de datos de salud en entidades públicas como un hospital del SAS, la base legitimadora principal es la «misión de interés público y el ejercicio de poderes públicos» (Art. 6.1.e del RGPD), combinada con el Art. 9.2.h) del RGPD, que permite el tratamiento de datos de salud cuando es necesario para fines de asistencia o tratamiento sanitario, o la gestión de sistemas de asistencia sanitaria.
7.3. Acceso a la Historia Clínica Digital (Diraya)
7.3.1. Principio de «Need to Know»
En el SAS, el acceso a la historia clínica digital debe regirse por el principio de «necesidad de conocer» (need to know):
- Los profesionales sanitarios solo deben acceder a los datos estrictamente necesarios para la asistencia del paciente
- El acceso debe estar justificado por una relación asistencial
- Todos los accesos quedan registrados y pueden ser auditados
7.3.2. Trazabilidad y Auditoría
Diraya registra:
- Quién accede
- Cuándo accede
- A qué información accede
- Desde dónde accede
Estos registros permiten detectar accesos indebidos (curioseo, accesos no justificados por la relación asistencial) que constituyen infracciones graves o muy graves.
7.4. Conservación de Datos de Salud
La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente, establece en su Art. 17 que:
«Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.»
💡 PREGUNTA EXAMEN 2025 (UNIFICADO)
¿Cuánto tiempo tienen los centros sanitarios la obligación de conservar la documentación clínica y en qué soporte?
Respuesta correcta: El tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial, aunque no necesariamente en el soporte original.
Explicación: Esto significa que se puede migrar de papel a formato digital, siempre que se garantice la integridad, autenticidad y disponibilidad de la información.
7.5. Tratamiento con Fines de Investigación en Salud
El tratamiento de datos de salud con fines de investigación está regulado específicamente en el Art. 89 RGPD y en la DA 17ª de la LOPDGDD.
🎯 PREGUNTA EXAMEN 2023
¿Cuál de las siguientes afirmaciones NO es correcta cuando se lleve a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica?
Opciones:
- A) Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento
- B) Someter la investigación científica a las normas de calidad y seguridad y, en su caso, a las directrices internacionales sobre buenas prácticas de seguridad de la información reconocidas internacionalmente
- C) Adoptar medidas dirigidas a garantizar que los investigadores no acceden a datos de identificación de los interesados
- D) Designar un representante legal establecido en la UE si el promotor no está establecido en la UE
Respuesta correcta: B
Explicación: La opción B no es una medida directamente relacionada con el tratamiento de datos personales para investigación según el Art. 89 RGPD. Las otras opciones (A, C, D) sí describen acciones específicas en este contexto.
8. 💼 Casos Prácticos del SAS
Caso Práctico 1: Aplicación de Gestión de Citas Médicas
📋 Enunciado
Se va a desarrollar una aplicación web para la gestión de citas médicas en un hospital del SAS. La aplicación tratará:
- Datos personales del paciente (nombre, DNI, dirección, teléfono)
- Datos de salud (médico de familia, especialidad a la que acude, historial de citas)
- Datos del profesional sanitario (nombre, especialidad, agenda)
Pregunta 1: Según el tipo de datos tratados, ¿es necesario realizar una Evaluación de Impacto en la Privacidad (EIPD) para este proyecto?
Respuesta: SÍ, es necesario. Se tratan datos de salud (Art. 9.1 RGPD), que son categorías especiales de datos. Además, si el tratamiento es a gran escala (todos los pacientes del hospital), el Art. 35.3.b) RGPD establece la obligatoriedad de realizar una EIPD.
Pregunta 2: ¿Cuál es la base legitimadora para el tratamiento de estos datos?
Respuesta: Art. 6.1.e) RGPD (misión de interés público) + Art. 9.2.h) RGPD (asistencia sanitaria). NO se necesita consentimiento del paciente para gestionar las citas en el contexto de la asistencia pública.
Caso Práctico 2: Brecha de Seguridad en Diraya
📋 Enunciado
Un empleado del Hospital Virgen de Valme denuncia que ha perdido un USB que contenía datos personales y de salud de 200 pacientes oncológicos (nombres, DNI, diagnósticos, tratamientos). El USB no estaba cifrado.
Pregunta 1: ¿Debe notificarse esta brecha a la AEPD? ¿En qué plazo?
Respuesta: SÍ, debe notificarse. El plazo es de 72 horas desde que se tuvo conocimiento de la brecha (Art. 33 RGPD). La pérdida de datos de salud no cifrados constituye una brecha con alto riesgo.
Pregunta 2: ¿Debe comunicarse a los pacientes afectados?
Respuesta: SÍ, debe comunicarse a los 200 pacientes (Art. 34 RGPD). La brecha entraña un alto riesgo para sus derechos y libertades: los datos de salud no cifrados pueden haber caído en manos de terceros, lo que puede causar discriminación, estigmatización, etc.
Pregunta 3: ¿Qué medidas debieron adoptarse para evitar esta brecha?
Respuesta:
- Medida técnica: Cifrado de los dispositivos de almacenamiento extraíbles (Art. 32 RGPD)
- Medida organizativa: Política de prohibición de copia de datos personales en dispositivos USB no corporativos
- Medida de concienciación: Formación a empleados sobre protección de datos y consecuencias de las brechas
Caso Práctico 3: Ejercicio del Derecho de Acceso
📋 Enunciado
Un paciente del SAS solicita, a través de ClicSalud+, una copia completa de su historia clínica (ejercicio del derecho de acceso, Art. 15 RGPD).
Pregunta 1: ¿En qué plazo debe facilitarse la información?
Respuesta: El plazo máximo es de 1 mes desde la recepción de la solicitud (Art. 12.3 RGPD). Puede prorrogarse otros 2 meses si la solicitud es compleja, pero debe informarse al paciente de la prórroga en el primer mes.
Pregunta 2: ¿En qué formato debe facilitarse la información si se solicita por medios electrónicos?
Respuesta: Debe facilitarse en un formato electrónico de uso común (por ejemplo, PDF), a menos que el interesado solicite otro medio (Art. 15.3 RGPD).
Pregunta 3: ¿Puede el SAS cobrar por facilitar esta información?
Respuesta: Como regla general, NO (Art. 12.5 RGPD). La información debe facilitarse sin gastos. Solo se puede cobrar un canon razonable si las solicitudes son manifiestamente infundadas o excesivas (por ejemplo, si el mismo paciente solicita la historia completa 10 veces en un mes).
Caso Práctico 4: Investigación con Datos Pseudonimizados
📋 Enunciado
Un equipo investigador de la Universidad de Sevilla solicita al SAS acceso a datos clínicos de 50.000 pacientes diabéticos para un estudio sobre eficacia de tratamientos. Los datos se facilitarían pseudonimizados (sin nombre ni DNI, pero con un código identificador).
Pregunta 1: ¿Se necesita consentimiento de los pacientes?
Respuesta: Depende. Si la investigación es de interés público en el ámbito de la salud pública y se aplican las garantías del Art. 89 RGPD (pseudonimización, medidas técnicas y organizativas), podría ampararse en el Art. 9.2.i) RGPD sin necesidad de consentimiento. Sin embargo, la legislación sectorial (Ley 14/2007 de Investigación Biomédica) puede exigir consentimiento o autorización del Comité de Ética de la Investigación.
Pregunta 2: ¿Qué medidas adicionales deben adoptarse?
Respuesta:
- Realizar una EIPD que incluya específicamente riesgos de reidentificación
- Garantizar que los investigadores no acceden a datos de identificación directa
- Firmar un contrato de encargado de tratamiento entre el SAS (responsable) y la Universidad (encargado)
- Establecer medidas de seguridad para evitar la reidentificación
9. ✅ Cuestionario de Preguntas (basado en exámenes reales SAS)
A continuación, encontrarás 30 preguntas tipo test basadas en preguntas que han caído en exámenes reales de oposiciones del SAS (años 2019, 2023, 2024 y 2025). Estudia cada una con atención, porque la probabilidad de que caigan preguntas similares en tu examen es muy alta.
Todos los derechos mencionados (acceso, rectificación, supresión, limitación del tratamiento y portabilidad) están reconocidos en el Capítulo III del RGPD (Art. 15 a 22). La pregunta es un poco «trampa» porque pide el que NO es un derecho, pero todos lo son.
El Art. 33.1 RGPD establece que la notificación debe hacerse «sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella». Si no es posible notificar en 72 horas, debe indicarse el motivo de la dilación. Por tanto, todas las opciones son correctas.
El Art. 4.7 RGPD define al responsable del tratamiento como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento». La opción A describe al encargado del tratamiento, la B al destinatario, y la D a un tercero.
El Art. 39.1.a) RGPD establece que una de las funciones del DPD es «informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben». Las opciones B, C y D corresponden a otras figuras del Esquema Nacional de Seguridad (ENS), como el responsable de seguridad.
Los principios relativos al tratamiento están en el Art. 5 RGPD: licitud, lealtad y transparencia (A), minimización de datos (B), exactitud (C), limitación del plazo de conservación, integridad y confidencialidad. La opción D no es un principio del RGPD; los datos pueden tratarse en formato digital o papel.
El Art. 35 RGPD establece que la EIPD es una evaluación anticipada del impacto de las operaciones de tratamiento en la protección de datos personales, especialmente cuando es probable que el tratamiento entrañe un alto riesgo para los derechos y libertades. No es una evaluación a posteriori (opción D) ni se centra en la eliminación de datos (B).
El Art. 1.2 RGPD establece que «el presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales». No existe un derecho a obtener beneficios económicos por los datos (B) ni a compartir datos de terceros sin su consentimiento (C).
El Art. 73.1.a) de la LOPDGDD tipifica como infracción GRAVE «el tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679 y el artículo 25 del citado Reglamento». El Art. 25 RGPD regula la protección de datos desde el diseño y por defecto.
El primer paso es determinar si el tratamiento previsto requiere una EIPD según el Art. 35.3 RGPD o las listas publicadas por la autoridad de control. Una vez determinada la necesidad, se procede a describir el tratamiento (B), identificar riesgos (C) y evaluarlos (D).
El Art. 35.3.b) RGPD establece que es obligatoria una EIPD cuando se realiza «tratamiento a gran escala de categorías especiales de datos». Los datos de salud (diagnósticos, especialidades médicas, etc.) son categorías especiales (Art. 9.1 RGPD). Por tanto, una aplicación de citas médicas a nivel hospitalario o de todo el SAS requiere EIPD.
El Art. 35.1 RGPD establece claramente que «cuando sea probable que un tipo de tratamiento […] entrañe un alto riesgo […], el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto». El DPD debe ser consultado (Art. 35.2), pero la responsabilidad de realizar la EIPD es del responsable del tratamiento.
El ciclo de vida completo de los datos incluye todas las etapas: captura/recogida, clasificación, almacenamiento, uso/tratamiento, cesiones/comunicaciones a terceros, conservación y destrucción/supresión. La EIPD debe describir sistemáticamente todas estas fases para identificar riesgos en cada una de ellas.
El Art. 36.1 RGPD establece que «cuando de una evaluación de impacto relativa a la protección de datos […] resulte que el tratamiento entrañaría un alto riesgo […] si el responsable no aplica medidas para mitigar el riesgo, el responsable del tratamiento consultará a la autoridad de control antes de proceder al tratamiento».
Aunque la calidad y seguridad de la investigación son importantes, la opción B no es una medida directamente relacionada con el tratamiento de datos personales para investigación según el Art. 89 RGPD. Las otras opciones (A, C, D) sí describen acciones específicas en el contexto del tratamiento de datos con fines de investigación según el RGPD y la LOPDGDD.
Para el tratamiento de datos de salud en entidades públicas como un hospital del SAS, la base legitimadora principal es el Art. 6.1.e) RGPD (misión de interés público), combinado con el Art. 9.2.h) RGPD (asistencia sanitaria). El interés legítimo (A) no es aplicable a categorías especiales de datos por entidades públicas en ejercicio de funciones públicas. El consentimiento (B) no es la base principal en asistencia ordinaria.
El Art. 17 de la Ley 41/2002 establece «como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial», y permite la conservación en soportes distintos al original siempre que se garantice la integridad, autenticidad y disponibilidad. Esto permite la digitalización de documentos.
El Art. 6.1.c) RGPD establece que el tratamiento es lícito cuando es «necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento». En este caso NO se necesita consentimiento. La opción C es incorrecta porque el interés legítimo siempre requiere un test de proporcionalidad. La opción D es incorrecta porque la cesión a terceros para fines no relacionados requiere consentimiento.
El Art. 2.1 RGPD establece que «el presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero». La opción C es una EXCLUSIÓN del ámbito de aplicación (Art. 2.2.c). La opción D se regula por una Directiva específica (2016/680).
La amenaza es «incumplimiento de la legislación». La formación del personal (A) es una medida que reduce la probabilidad de que se produzcan incumplimientos por desconocimiento o negligencia. Las opciones B, C y D son medidas de cumplimiento, pero no reducen específicamente la probabilidad de incumplimiento por falta de conocimiento del personal.
El Art. 15.3 RGPD establece que «si el interesado presenta la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común». Esto permite el uso de PDF, por ejemplo, sin necesidad de cifrado especial (salvo que contenga datos especialmente sensibles que lo requieran).
El Art. 12.3 RGPD establece que «el responsable del tratamiento facilitará la información […] sin dilación indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud». Este plazo «podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes».
El Art. 5 RGPD establece el principio de «limitación del plazo de conservación»: los datos deben conservarse solo durante el tiempo necesario. La «maximización del almacenamiento» contradice este principio. Los datos no deben conservarse «por si acaso», sino solo mientras sean necesarios para la finalidad prevista.
El Art. 33 RGPD obliga a notificar a la autoridad de control (AEPD) en un plazo de 72 horas. Adicionalmente, el Art. 34 RGPD obliga a comunicar la violación al interesado «cuando la violación de la seguridad de los datos personales sea susceptible de entrañar un alto riesgo para los derechos y libertades de las personas físicas». En el caso de datos de salud, es muy probable que concurra este alto riesgo.
El Art. 83.5 RGPD (aplicable en España) establece que las infracciones más graves pueden ser sancionadas con multas administrativas de hasta 20.000.000 EUR o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
El Art. 89 RGPD establece que «cuando sea posible, el responsable del tratamiento tratará los datos de forma que ya no puedan atribuirse a un interesado sin utilizar información adicional», es decir, mediante pseudonimización. Esto permite que los investigadores trabajen con los datos sin conocer la identidad de los pacientes, reduciendo riesgos de reidentificación.
La opción D es una medida TÉCNICA, no organizativa. Las medidas organizativas se refieren a políticas, procedimientos, formación, asignación de responsabilidades, etc. Las medidas técnicas incluyen cifrado, control de accesos lógicos, firewalls, etc.
El Art. 25 RGPD establece los principios de «protección de datos desde el diseño» (privacy by design) y «protección de datos por defecto» (privacy by default). Esto obliga a tener en cuenta la protección de datos desde la fase de diseño de sistemas y a configurar por defecto el nivel más alto de protección.
El Art. 4.8 RGPD define al «encargado del tratamiento» como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento». Ejemplo: una empresa de mantenimiento informático que accede a servidores del SAS con datos de pacientes.
En el contexto de asistencia sanitaria pública, la base legitimadora es el Art. 6.1.e) RGPD (tratamiento necesario para el cumplimiento de una misión realizada en interés público), combinado con el Art. 9.2.h) RGPD (tratamiento necesario para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia sanitaria). NO se necesita consentimiento del paciente para cada acceso en el contexto asistencial.
El Art. 35.7 RGPD establece que la EIPD debe contener, como mínimo: a) descripción sistemática de las operaciones de tratamiento previstas y de las finalidades, b) evaluación de la necesidad y la proporcionalidad, c) evaluación de los riesgos, y d) medidas previstas para afrontar los riesgos. Por tanto, todas las opciones son correctas.
💡 CONSEJO DE ESTUDIO
Estas 30 preguntas cubren los aspectos más importantes del tema y están basadas en preguntas reales de exámenes del SAS. Te recomiendo:
- Responder todas las preguntas en condiciones de examen (cronometrando el tiempo)
- Anotar las que fallas para reforzarlas
- Buscar en el tema la justificación de cada respuesta
- Crear tarjetas Anki con las perlas de examen (artículos clave, plazos, conceptos)
10. 🗺️ Mapa Conceptual del Tema 38
┌────────────────────────────────────────────────────────────────────────┐
│ PROTECCIÓN DE DATOS EN EL SAS │
│ (RGPD + LOPDGDD + Normativa Sectorial Sanitaria) │
└────────────────────────────────────────────────────────────────────────┘
│
┌───────────────────┼───────────────────┐
│ │ │
┌───────▼────────┐ ┌───────▼────────┐ ┌─────▼──────────┐
│ NORMATIVA │ │ PRINCIPIOS │ │ DERECHOS │
│ APLICABLE │ │ (Art. 5) │ │ (Cap. III) │
└───────┬────────┘ └───────┬────────┘ └─────┬──────────┘
│ │ │
┌───────────┼───────────┐ │ ┌──────────┴──────────┐
│ │ │ │ │ │
┌───▼───┐ ┌───▼────┐ ┌──▼───┐ │ ┌──▼────┐ ┌──────────┐ │
│ RGPD │ │LOPDGDD │ │ ENS │ │ │Acceso │ │Rectific. │ │
│(UE) │ │(ES) │ │ │ │ │Supr. │ │Oposición │ │
└───────┘ └────────┘ └──────┘ │ │Limit. │ │Portab. │ │
│ └───────┘ └──────────┘ │
│ │
┌──────────────────┴─────────────┐ │
│ │ │
┌───────▼────────┐ ┌────────▼────────┐ │
│ Licitud │ │ Minimización │ │
│ Lealtad │ │ Exactitud │ │
│ Transparencia │ │ Conservación │ │
└────────────────┘ │ Confidencialidad│ │
└──────────────────┘ │
│
┌───────────────────────────────────────────────────────────────┘
│
└──────────────────────┬──────────────────────────────────────┐
│ │
┌────────▼────────┐ ┌─────────▼─────────┐
│ ACTORES │ │ INSTRUMENTOS │
│ PRINCIPALES │ │ DE CUMPLIMIENTO │
└────────┬────────┘ └─────────┬─────────┘
│ │
┌──────────────────┼──────────────────┐ │
│ │ │ │
┌───▼────────┐ ┌──────▼──────┐ ┌───────▼───────┐ │
│Responsable │ │ Encargado │ │ Delegado │ │
│Tratamiento │ │ Tratamiento │ │ Protección │ │
│ │ │ │ │ Datos (DPD) │ │
│ (SAS) │ │ (Proveedores│ │ │ │
└────────────┘ │ externos) │ └───────────────┘ │
└─────────────┘ │
│
┌──────────────────────────────────────────┘
│
┌───────────┼───────────┬──────────────┬───────────────┐
│ │ │ │ │
┌───▼────┐ ┌──▼─────┐ ┌─▼──────┐ ┌────▼─────┐ ┌──────▼──────┐
│ EIPD │ │Registro│ │Análisis│ │Medidas │ │ Notific. │
│ │ │Activ. │ │Riesgos │ │Técnicas │ │ Brechas │
│Art. 35 │ │Trat. │ │ │ │y Org. │ │ (72h) │
└────────┘ └────────┘ └────────┘ └──────────┘ └─────────────┘
┌────────────────────────────────────────────────────────────────────────┐
│ DATOS DE SALUD EN EL SAS (Categorías Especiales) │
└────────────────────────────────────────────────────────────────────────┘
│
┌───────────────────┼───────────────────┐
│ │ │
┌───────▼────────┐ ┌───────▼────────┐ ┌─────▼──────────┐
│ BASES DE │ │ SISTEMAS │ │ MEDIDAS DE │
│ LEGITIMACIÓN │ │ SAS │ │ SEGURIDAD │
└───────┬────────┘ └───────┬────────┘ └─────┬──────────┘
│ │ │
┌───────────┼───────────┐ │ ┌──────────┴──────────┐
│ │ │ │ │ │
┌───▼────┐ ┌──▼─────┐ ┌─▼───┐ │ ┌──▼────┐ ┌──────────┐ │
│Art.6.1e│ │Art.9.2h│ │Art. │ │ │Cifrado│ │Control │ │
│Interés │ │Asist. │ │9.2i │ │ │Accesos│ │Acceso │ │
│Público │ │Sanit. │ │Salud│ │ │Pseudo.│ │Auditoría │ │
└────────┘ └────────┘ │Púb. │ │ └───────┘ └──────────┘ │
└─────┘ │ │
│ │
┌─────────────────┴──────────────┐ │
│ │ │
┌───────▼────────┐ ┌────────▼────────┐ │
│ DIRAYA │ │ Receta XXI │ │
│ Historia │ │ InterSAS │ │
│ Clínica │ │ BDU │ │
│ Digital │ │ BPS │ │
└────────────────┘ └─────────────────┘ │
│
┌───────────────────────────────────────────────────────────────┘
│
└──────────────────────┬──────────────────────────────────────┐
│ │
┌────────▼────────┐ ┌─────────▼─────────┐
│ CONSERVACIÓN │ │ ACCESO │
│ DE DATOS │ │ A LA HC │
└────────┬────────┘ └─────────┬─────────┘
│ │
┌──────▼──────┐ ┌────────▼────────┐
│ Ley 41/2002│ │ Need to Know │
│ Mínimo 5 │ │ Trazabilidad │
│ años desde │ │ Justificación │
│ alta │ │ Asistencial │
└─────────────┘ └─────────────────┘
11. 📚 Conclusiones y Consejos de Estudio
11.1. Ideas Clave del Tema
- La protección de datos en sanidad es un derecho fundamental que se articula a través del RGPD y la LOPDGDD, con particularidades específicas para los datos de salud (categorías especiales de datos, Art. 9 RGPD).
- Los principios del Art. 5 RGPD son la columna vertebral de toda actuación en protección de datos: licitud, minimización, exactitud, limitación de la finalidad, conservación limitada, integridad y confidencialidad.
- En el SAS, la base legitimadora principal para el tratamiento de datos de salud es el Art. 6.1.e) RGPD (interés público) + Art. 9.2.h) RGPD (asistencia sanitaria). NO se necesita consentimiento para cada acceso en el contexto asistencial ordinario.
- La EIPD es obligatoria cuando se trata a gran escala categorías especiales de datos (datos de salud) o cuando el tratamiento entraña un alto riesgo. Es responsabilidad del responsable del tratamiento realizarla.
- Las brechas de seguridad deben notificarse a la AEPD en 72 horas, y si entrañan alto riesgo, también debe comunicarse a los afectados sin dilación indebida.
11.2. Estrategia de Memorización
🧠 Técnicas de Memorización Específicas
- Artículos clave del RGPD: Crea un mnemónico para recordar Art. 5 (principios), 6 (bases), 9 (categorías especiales), 15-22 (derechos), 25 (privacy by design), 33-34 (brechas), 35 (EIPD), 37-39 (DPD)
- Plazos: 72 horas (notificación brechas), 1 mes (respuesta ejercicio derechos), 5 años (conservación HC). Asocia cada plazo con un caso concreto del SAS
- Bases legitimadoras: Crea una tabla mental con las 6 bases del Art. 6.1 y cuál se aplica en cada contexto del SAS. Memoriza especialmente que para datos de salud se necesita ADEMÁS una base del Art. 9.2
- Diferencias RGPD vs LOPDGDD: El RGPD es directamente aplicable (no necesita transposición). La LOPDGDD lo complementa en aspectos como tipificación de infracciones, garantía de derechos digitales, especialidades en AAPP
11.3. Aplicabilidad Práctica en tu Puesto
Como Técnico Especialista en Informática del SAS, este tema no es solo para aprobar el examen… es para tu día a día profesional:
- Administración de Diraya y sistemas corporativos: Deberás implementar controles de acceso basados en el principio de «need to know», garantizar trazabilidad de accesos, configurar auditorías
- Gestión de incidentes de seguridad: Si hay una brecha (ransomware, pérdida de dispositivo, acceso indebido), deberás participar en la evaluación del impacto y en la notificación a la AEPD
- Implantación de nuevos sistemas: Participarás en EIPDs, aplicarás privacy by design, colaborarás con el DPD del SAS
- Atención a solicitudes de ejercicio de derechos: Deberás extraer información de sistemas, anonimizar datos, facilitar copias en formato electrónico de uso común
11.4. Errores Comunes a Evitar
⚠️ ERRORES FRECUENTES EN EXÁMENES
- Confundir responsable y encargado del tratamiento: El responsable decide fines y medios. El encargado trata por cuenta del responsable
- Pensar que el DPD es quien realiza la EIPD: FALSO. El responsable del tratamiento es quien la realiza. El DPD debe ser consultado, pero no la ejecuta
- Creer que se necesita consentimiento para cada acceso a Diraya: FALSO. En asistencia ordinaria, la base es el interés público + asistencia sanitaria
- Pensar que la LOPDGDD transpone el RGPD: FALSO. El RGPD es directamente aplicable. La LOPDGDD lo complementa
- Olvidar que el plazo de notificación de brechas es de 72 horas: No es «sin dilación indebida» genérico. Son 72 horas específicas para notificar a la AEPD
11.5. Recursos de Estudio Recomendados
- Texto del RGPD consolidado: EUR-Lex
- Texto de la LOPDGDD: BOE
- Guías de la AEPD: Guías y Directrices AEPD
- Guía específica para el sector salud: Buscar en AEPD «Guía Protección de Datos en el Sector Salud»
- Ley 41/2002 (autonomía del paciente): BOE
12. 📖 Referencias Normativas y Bibliográficas
12.1. Normativa Europea
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – RGPD)
- Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales
12.2. Normativa Estatal
- Constitución Española de 1978, Art. 18.4 (Limitación del uso de la informática para garantizar el honor y la intimidad)
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 (algunos aspectos siguen vigentes)
- Ley 14/2007, de 3 de julio, de Investigación biomédica
12.3. Normativa Autonómica y del SAS
- Ley 2/1998, de 15 de junio, de Salud de Andalucía
- Decreto 534/2021, de 13 de julio, por el que se regula la organización territorial y la gestión descentralizada del Servicio Andaluz de Salud y se establece la estructura orgánica de sus órganos directivos provinciales
- Orden de 2 de junio de 2017, por la que se establece el marco de actuación para la implantación del sistema de Historia Clínica Digital del Sistema Sanitario Público de Andalucía (Diraya)
- Política de Seguridad de las Tecnologías de la Información y Comunicaciones del SAS (Documentos internos del SAS)
12.4. Guías y Directrices de la AEPD
- Guía para el cumplimiento del deber de informar (2018)
- Guía sobre el uso de las cookies (2021)
- Guía sobre seguridad en el tratamiento de datos personales (2019)
- Guía práctica de evaluaciones de impacto en la protección de los datos (2018)
- Guía sobre tratamiento de datos de salud (2019)
- Directrices sobre notificación de brechas de seguridad (2018)
12.5. Bibliografía Complementaria
- RALLO LOMBARTE, A. y MARTÍNEZ MARTÍNEZ, R. (2019): Derecho y Big Data. Thomson Reuters Aranzadi
- TRONCOSO REIGADA, A. (2018): La protección de datos en el sector sanitario. Tirant lo Blanch
- LÓPEZ CALVO, J. (2020): Comentarios prácticos al RGPD y a la LOPDGDD. Thomson Reuters
- PIÑAR MAÑAS, J.L. (2019): Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad. Reus
12.6. Recursos Online
🔑 Palabras Clave
Keywords SEO: RGPD SAS, LOPDGDD sanidad, protección datos sanitarios, EIPD hospital, oposición informática SAS, datos de salud Andalucía, Diraya protección datos, privacidad sanitaria, delegado protección datos SAS, evaluación impacto privacidad, bases legitimadoras datos salud, brecha seguridad hospital, Art. 9 RGPD categorías especiales, consentimiento paciente historia clínica, notificación AEPD 72 horas, derechos interesados RGPD, Art. 35 RGPD, Ley 41/2002 autonomía paciente, conservación datos clínicos, Técnico Especialista Informática SAS 2025