1. Título y Contextualización
La protección de datos personales constituye un derecho fundamental recogido en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 18.4 de la Constitución Española. En una sociedad digital e interconectada, el tratamiento de datos personales exige un marco legal sólido que garantice tanto la privacidad como la libre circulación de datos en un entorno seguro.
En este contexto, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) forman el armazón jurídico que rige el tratamiento de datos personales en España. Su aplicación es de vital importancia en sectores como el sanitario, donde se manejan categorías especiales de datos, especialmente protegidos por su impacto potencial sobre la intimidad y los derechos fundamentales de los ciudadanos.
El Servicio Andaluz de Salud (SAS), como administración pública con competencias en sanidad, es responsable del tratamiento de los datos personales de más de 8 millones de ciudadanos. Este volumen masivo de información sensible requiere una aplicación rigurosa de la legislación de protección de datos, tanto en el plano normativo como en el técnico-organizativo. Para el personal técnico y administrativo, especialmente en perfiles como el de Técnico de Función Administrativa, resulta imprescindible conocer y aplicar de forma exhaustiva las obligaciones derivadas del RGPD, la LOPDGDD y las directrices de la Agencia Española de Protección de Datos (AEPD).
2. Introducción General
Este tema profundiza en los fundamentos jurídicos y técnicos que rigen la protección de datos personales, especialmente en el ámbito del Servicio Andaluz de Salud. El objetivo es proporcionar una visión sistemática, estructurada y operativa de los principios, derechos, figuras clave, obligaciones y mecanismos que establece la normativa vigente.
Los puntos que se abordan incluyen:
- El alcance y los principios del Reglamento General de Protección de Datos.
- Las especificidades de la Ley Orgánica 3/2018 en el marco español.
- El papel central de la Evaluación de Impacto en Protección de Datos (EIPD).
- Las obligaciones que recaen sobre responsables, encargados y Delegados de Protección de Datos.
- El rol estratégico del Técnico de Función Administrativa del SAS como garante de la privacidad y la seguridad de los sistemas de información.
3. Desarrollo del tema
3.1. El Reglamento General de Protección de Datos (RGPD)
El RGPD (Reglamento UE 2016/679) entró en vigor el 25 de mayo de 2018 y constituye una norma de aplicación directa en todos los Estados miembros. Su objetivo principal es garantizar un nivel homogéneo de protección de los datos personales, así como reforzar la seguridad jurídica y la confianza de los ciudadanos europeos en el tratamiento de su información personal.
Ámbito de aplicación:
- Territorial: aplica a cualquier organización que trate datos de residentes en la UE, incluso si está fuera del territorio de la Unión (extraterritorialidad).
- Material: se aplica al tratamiento automatizado y no automatizado de datos personales contenidos en ficheros estructurados.
- Subjetivo: aplica a responsables y encargados del tratamiento.
Principios rectores del tratamiento (art. 5 RGPD):
- Licitud, lealtad y transparencia: el tratamiento debe estar basado en una base jurídica válida, ser comprensible para el interesado y comunicarse de forma clara.
- Limitación de la finalidad: los datos deben recogerse con fines determinados, explícitos y legítimos, y no ser tratados ulteriormente de forma incompatible.
- Minimización de datos: solo deben tratarse los datos estrictamente necesarios.
- Exactitud: se deben tomar medidas para mantener los datos actualizados y corregir los inexactos.
- Limitación del plazo de conservación: los datos se conservarán durante el tiempo imprescindible para los fines del tratamiento.
- Integridad y confidencialidad: se deben garantizar la seguridad, incluyendo protección frente a accesos no autorizados, pérdida o destrucción.
- Responsabilidad proactiva: el responsable debe ser capaz de demostrar que cumple con todos los principios anteriores.
Bases jurídicas del tratamiento (art. 6 RGPD):
- Consentimiento del interesado
- Ejecución de un contrato
- Cumplimiento de una obligación legal
- Protección de intereses vitales
- Cumplimiento de una misión de interés público
- Intereses legítimos del responsable o de un tercero
Para el tratamiento de datos sensibles, como los relativos a salud, el consentimiento debe ser explícito (art. 9 RGPD).
Derechos de los interesados (arts. 12 a 23 RGPD):
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión (derecho al olvido)
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad de los datos
- Derecho de oposición
- Derecho a no ser objeto de decisiones automatizadas
El ejercicio de estos derechos debe ser facilitado por el responsable del tratamiento mediante procedimientos accesibles y eficaces.
3.2. La Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD)
La LOPDGDD, en vigor desde diciembre de 2018, complementa y desarrolla el RGPD en el ordenamiento jurídico español. Introduce adaptaciones necesarias al contexto nacional y refuerza determinados aspectos de la protección de datos.
Elementos distintivos de la LOPDGDD:
- Fija la edad mínima para prestar consentimiento digital en 14 años.
- Regula el tratamiento de datos de personas fallecidas (testamento digital).
- Introduce una detallada clasificación del régimen sancionador.
- Establece medidas reforzadas en el ámbito laboral.
- Incorpora un Título X dedicado a los derechos digitales.
Derechos digitales reconocidos:
- Derecho a la neutralidad de Internet
- Derecho al acceso universal a Internet
- Derecho a la seguridad digital
- Derecho a la desconexión digital en el trabajo
- Derecho a la educación digital
- Derecho a la intimidad en el uso de dispositivos en el ámbito laboral
- Derecho al olvido en búsquedas de Internet
- Derecho al testamento digital
Estos derechos reflejan una visión moderna e integral del derecho a la privacidad, adaptada al entorno tecnológico contemporáneo.
3.3. Evaluación de Impacto en la Protección de Datos (EIPD)
La EIPD es un instrumento preventivo obligatorio para tratamientos que puedan entrañar un alto riesgo. Su finalidad es identificar y mitigar los riesgos antes de iniciar el tratamiento.
Supuestos que requieren una EIPD:
- Elaboración de perfiles con efectos jurídicos o similares.
- Tratamiento a gran escala de datos sensibles.
- Observación sistemática a gran escala de zonas públicas.
Contenido mínimo de una EIPD:
- Descripción sistemática del tratamiento
- Evaluación de su necesidad y proporcionalidad
- Análisis de los riesgos para los derechos y libertades de los interesados
- Medidas para mitigar esos riesgos
Metodología práctica:
La AEPD ha publicado guías prácticas con orientaciones metodológicas específicas, incluyendo identificación de amenazas, evaluación del impacto, definición de medidas y validación de resultados.
3.4. Aplicación en el SAS y el papel del Técnico de Función Administrativa
El SAS gestiona sistemas como DIRAYA, SUR, GIRO, INIHOS o GERHONTE, todos ellos implicados en el tratamiento de datos personales. El Técnico de Función Administrativa, especialmente en la especialidad de informática, debe ser garante del cumplimiento normativo, con competencias como:
- Participar en el diseño de sistemas con privacidad desde el diseño y por defecto.
- Integrar la protección de datos en proyectos de transformación digital.
- Colaborar en la redacción de EIPD y en la identificación de riesgos.
- Gestionar registros de actividad y documentación técnica.
- Implantar medidas de seguridad: cifrado, control de accesos, trazabilidad, etc.
- Coordinarse con el DPD, responsables de seguridad y Subdirecciones TIC.
Además, debe promover la concienciación y formación del personal, participando activamente en auditorías internas y garantizando la trazabilidad de las decisiones técnicas y organizativas.
Los ingenieros informáticos del SAS son responsables de garantizar la seguridad y el cumplimiento normativo en todos los niveles técnicos:
4.1. Diseño de Arquitecturas Seguras
- Segmentación de redes: Dividen los sistemas en zonas (DMZ, internas) para aislar datos críticos.
- Infraestructuras redundantes: Configuran clústeres de alta disponibilidad para evitar interrupciones.
4.2. Implementación de Tecnologías de Seguridad
- Cifrado: AES-256 para datos en reposo, TLS 1.3 para datos en tránsito.
- Autenticación: MFA con tarjetas inteligentes o biometría.
- Firewalls: Configuran reglas para bloquear tráfico sospechoso.
4.3. Gestión de Incidentes
- Monitorización: Usan herramientas como Splunk o ELK para analizar logs en tiempo real.
- Respuesta: Desarrollan planes de contingencia, como restauración de backups tras un ataque ransomware.
4.4. Innovación y Formación
- Proyectos piloto: Implementan soluciones como blockchain para trazabilidad de datos médicos.
- Capacitación: Forman al personal en buenas prácticas, como evitar phishing.
Ejemplo práctico: Un ingeniero diseña una arquitectura para un nuevo módulo de Diraya que integra inteligencia artificial para análisis predictivo, asegurando que los datos de entrenamiento sean anonimizados y que el sistema cumpla con el RGPD.
4. Conclusiones
La legislación sobre protección de datos ha evolucionado para convertirse en una herramienta clave para la defensa de los derechos fundamentales en la sociedad digital. El RGPD y la LOPDGDD configuran un sistema jurídico riguroso que exige una aplicación activa y verificable por parte de todos los actores implicados.
En el ámbito sanitario, y particularmente en el Servicio Andaluz de Salud, la gestión adecuada de la privacidad no es solo una exigencia legal, sino una garantía de calidad asistencial, confianza institucional y eficiencia organizativa. El perfil técnico-informático del personal de Función Administrativa adquiere una importancia estratégica al asumir responsabilidades operativas en la protección de datos y la seguridad de los sistemas, convirtiéndose en un agente esencial para la transformación digital segura del sistema sanitario.
Cuestionario sobre el tema 79. La Legislación de Protección de Datos de Carácter Personal
✅ PREGUNTA 1. Tema 79. OPE 2025
¿Cuál de las siguientes condiciones es indispensable para que el consentimiento al tratamiento de datos personales sea válido según el RGPD?
A) Que sea tácito y presunto
B) Que se obtenga por defecto salvo oposición del interesado
✅ C) Que se base en una acción afirmativa, libre, específica e informada
D) Que se dé de forma general para cualquier uso futuro
📘 Justificación de la respuesta correcta:
El RGPD exige que el consentimiento sea una manifestación de voluntad libre, específica, informada e inequívoca mediante una acción afirmativa clara, excluyendo expresamente el consentimiento tácito, el silencio o las casillas premarcadas.
❌ Por qué son incorrectas las otras opciones:
A) El consentimiento tácito fue eliminado expresamente por el RGPD.
B) El sistema “opt-out” no es válido para datos personales bajo RGPD.
D) No se admite el consentimiento general para múltiples finalidades no diferenciadas.
📚 Referencia normativa:
Art. 4.11 y 7 del RGPD; Documento: “Cómo se asegura el consentimiento expreso en el RGPD”.
✅ PREGUNTA 2. Tema 79. OPE 2025
Según la LOPDGDD, ¿cuál es la edad mínima para que un menor pueda otorgar por sí solo el consentimiento al tratamiento de sus datos personales?
A) 16 años
✅ B) 14 años
C) 13 años
D) 12 años
📘 Justificación de la respuesta correcta:
La LOPDGDD fija en 14 años la edad mínima a partir de la cual un menor puede prestar consentimiento válido sin intervención de sus progenitores, en aplicación del margen que permite el RGPD.
❌ Por qué son incorrectas las otras opciones:
A) El RGPD permite hasta 16 años, pero España optó por 14.
C) Es el mínimo que permite el RGPD, pero no fue adoptado en España.
D) Está por debajo del umbral legal permitido.
📚 Referencia normativa:
Art. 7 LOPDGDD; Art. 8 RGPD; Documento “Principales diferencias entre el RGPD y la LOPDGDD”.
✅ PREGUNTA 3. Tema 79. OPE 2025
¿Qué medida debe adoptarse obligatoriamente antes de implantar un sistema sanitario que incluya tratamiento masivo de datos sensibles?
A) Publicación en el BOJA
B) Solicitud de autorización a la AEPD
✅ C) Evaluación de Impacto en Protección de Datos (EIPD)
D) Solicitud de informe a la Inspección General de Servicios
📘 Justificación de la respuesta correcta:
Cuando un tratamiento puede implicar alto riesgo (como el tratamiento masivo de datos de salud), el RGPD obliga a realizar una EIPD previa, documentando riesgos, medidas y garantías.
❌ Por qué son incorrectas las otras opciones:
A) No es un requisito jurídico para la legitimidad del tratamiento.
B) Solo es necesaria si la EIPD muestra riesgo residual alto.
D) No interviene en materia de protección de datos personales.
📚 Referencia normativa:
Art. 35 RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 4. Tema 79. OPE 2025
¿Qué derecho digital reconocido por la LOPDGDD protege a los trabajadores frente al uso de tecnologías fuera del horario laboral?
A) Derecho al olvido
✅ B) Derecho a la desconexión digital
C) Derecho de limitación del tratamiento
D) Derecho a la portabilidad laboral
📘 Justificación de la respuesta correcta:
El derecho a la desconexión digital busca garantizar el descanso efectivo del trabajador y su derecho a no atender dispositivos electrónicos fuera de su jornada, especialmente relevante en entornos donde se utilizan sistemas telemáticos.
❌ Por qué son incorrectas las otras opciones:
A) Se refiere al derecho a eliminar información en buscadores.
C) Derecho del interesado frente al tratamiento, no del ámbito laboral.
D) No existe un derecho denominado así.
📚 Referencia normativa:
Art. 88 RGPD; Título X LOPDGDD; Documento “Derechos digitales que introduce la LOPDGDD”.
✅ PREGUNTA 5. Tema 79. OPE 2025
En el contexto del SAS, ¿cuál es la principal función del Delegado de Protección de Datos (DPD)?
A) Autorizar los tratamientos realizados por los técnicos
✅ B) Supervisar el cumplimiento normativo y asesorar a los responsables
C) Ejecutar medidas disciplinarias sobre los infractores
D) Dirigir el departamento de informática
📘 Justificación de la respuesta correcta:
El DPD tiene una función asesora e independiente, no ejecutiva. Debe supervisar, informar, actuar como punto de contacto con la AEPD y fomentar la cultura de protección de datos dentro de la entidad.
❌ Por qué son incorrectas las otras opciones:
A) El DPD no tiene funciones ejecutivas ni aprueba tratamientos.
C) No tiene potestad sancionadora.
D) El DPD no asume funciones técnicas de gestión informática.
📚 Referencia normativa:
Arts. 37-39 RGPD; Documento “Enfoque del tema para el perfil de Técnico de Función Administrativa”.
✅ PREGUNTA 6. Tema 79. OPE 2025
¿Cuál de las siguientes opciones refleja correctamente el principio de “minimización de datos” según el RGPD?
A) Tratar todos los datos disponibles por si fuesen necesarios en el futuro
✅ B) Tratar solo los datos estrictamente necesarios para la finalidad específica
C) Limitar el acceso a los datos a perfiles de administración
D) Suprimir los datos inmediatamente después de su recogida
📘 Justificación de la respuesta correcta:
El principio de minimización exige limitar el tratamiento a los datos adecuados, pertinentes y limitados a lo necesario con relación a los fines perseguidos.
❌ Por qué son incorrectas las otras opciones:
A) Contraviene el principio de finalidad y minimización.
C) Limitar accesos es parte de medidas de seguridad, no del principio de minimización.
D) El plazo de conservación se ajusta a la finalidad, no a una supresión automática.
📚 Referencia normativa:
Art. 5.1.c RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 7. Tema 79. OPE 2025
¿Cuál de los siguientes sistemas del SAS requiere obligatoriamente una EIPD por tratar datos masivos de salud?
A) SIGLO (Gestión de compras)
✅ B) DIRAYA (Historia Clínica Digital)
C) SUR (Sistema Unificado de Recursos)
D) GIRO (Gestión Económica)
📘 Justificación de la respuesta correcta:
DIRAYA maneja historias clínicas, lo que implica tratamiento a gran escala de datos especialmente protegidos, siendo uno de los casos explícitamente previstos por la AEPD como supuesto obligatorio de EIPD.
❌ Por qué son incorrectas las otras opciones:
A) Aunque maneja información sensible, no trata datos sanitarios.
C) Trata datos de personal, pero no en el nivel de criticidad del dato de salud.
D) Tiene impacto económico, no sobre libertades fundamentales directamente.
📚 Referencia normativa:
Art. 35 RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 8. Tema 79. OPE 2025
¿Qué documento interno debe mantener el SAS actualizado con información sobre tratamientos, finalidades, plazos y medidas de seguridad?
A) Código ético del SAS
B) Documento de seguridad del centro
✅ C) Registro de Actividades de Tratamiento
D) Plan General de Recursos Humanos
📘 Justificación de la respuesta correcta:
El Registro de Actividades de Tratamiento es una obligación establecida por el art. 30 RGPD. Es un documento operativo que debe describir todas las operaciones de tratamiento realizadas por una organización.
❌ Por qué son incorrectas las otras opciones:
A) No regula tratamientos de datos.
B) Forma parte de la seguridad informática pero no es el instrumento registral del RGPD.
D) No tiene relación directa con protección de datos.
📚 Referencia normativa:
Art. 30 RGPD; Documento “Enfoque del tema para el perfil de Técnico de Función Administrativa”.
✅ PREGUNTA 9. Tema 79. OPE 2025
En el entorno del SAS, ¿qué responsabilidad técnica tiene el Técnico de Función Administrativa ante una nueva plataforma de seguimiento clínico?
A) Firmar contratos con proveedores TIC
✅ B) Participar en la evaluación de impacto y definir medidas de mitigación
C) Autorizar el acceso de personal facultativo
D) Validar las facturas de los servicios de mantenimiento
📘 Justificación de la respuesta correcta:
El Técnico debe colaborar con el DPD en el diseño de medidas técnicas y organizativas, identificar riesgos y participar activamente en la EIPD, especialmente en proyectos con datos sensibles.
❌ Por qué son incorrectas las otras opciones:
A) Las competencias contractuales no son propias del técnico.
C) La gestión de accesos la realiza personal responsable o administrativo.
D) Corresponde al área económico-contable, no a la protección de datos.
📚 Referencia normativa:
Art. 35 RGPD; Documento “El perfil de técnico es para el Servicio Andaluz de Salud”.
✅ PREGUNTA 10. Tema 79. OPE 2025
¿Cuál de las siguientes afirmaciones sobre el consentimiento en el RGPD es correcta?
A) Puede darse por omisión si el usuario no responde
B) Puede utilizarse un consentimiento único para todas las finalidades
C) No se requiere consentimiento si el tratamiento lo hace una administración pública
✅ D) El consentimiento debe ser verificable y documentado por el responsable
📘 Justificación de la respuesta correcta:
El RGPD obliga a que el consentimiento sea documentado y verificable por el responsable (art. 7), debiendo poder probar cómo, cuándo y bajo qué condiciones fue otorgado.
❌ Por qué son incorrectas las otras opciones:
A) El RGPD prohíbe el consentimiento tácito.
B) Cada finalidad requiere consentimiento separado y específico.
C) Las administraciones deben tener base legal o consentimiento según el caso.
📚 Referencia normativa:
Art. 7 RGPD; Documento “Cómo se asegura el consentimiento expreso en el RGPD”.
✅ PREGUNTA 11. Tema 79. OPE 2025
¿Cuál de las siguientes funciones corresponde específicamente al Delegado de Protección de Datos (DPD) en una entidad pública como el SAS?
A) Redactar los contratos de tratamiento con terceros
B) Autorizar el uso de bases de datos externas
✅ C) Supervisar el cumplimiento del RGPD y actuar como punto de contacto con la AEPD
D) Validar el registro de acceso a la historia clínica
📘 Justificación de la respuesta correcta:
El DPD tiene una función de supervisión, asesoramiento y enlace con la autoridad de control, según el art. 39 del RGPD. No ejecuta medidas técnicas, sino que actúa como figura independiente dentro de la organización.
❌ Por qué son incorrectas las otras opciones:
A) Corresponde al responsable del tratamiento o al servicio jurídico.
B) Las bases externas deben pasar controles de seguridad, pero no es el DPD quien autoriza.
D) El control de accesos es parte de la seguridad operativa, no función directa del DPD.
📚 Referencia normativa:
Arts. 37–39 RGPD; Documento “Enfoque del tema para el perfil de Técnico de Función Administrativa”.
✅ PREGUNTA 12. Tema 79. OPE 2025
¿Qué tipo de datos se consideran “categorías especiales” y requieren medidas reforzadas de protección según el RGPD?
A) Dirección postal y correo electrónico
✅ B) Datos de salud, orientación sexual, afiliación sindical
C) Preferencias culturales o de ocio
D) Historial de compras electrónicas
📘 Justificación de la respuesta correcta:
El art. 9 del RGPD define categorías especiales de datos que requieren un tratamiento reforzado y base jurídica específica, entre ellos: datos de salud, biométricos, genéticos, convicciones religiosas o sindicales.
❌ Por qué son incorrectas las otras opciones:
A) Son datos personales básicos, pero no sensibles.
C) Pueden considerarse personales, pero no especialmente protegidos.
D) Son conductuales, no pertenecen a las categorías especiales del RGPD.
📚 Referencia normativa:
Art. 9 RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 13. Tema 79. OPE 2025
¿Cuál de las siguientes prácticas contraviene directamente el principio de “limitación de la finalidad” del RGPD?
A) Registrar el consentimiento por escrito
B) Borrar los datos tras la finalización del servicio
✅ C) Utilizar los datos sanitarios obtenidos para un estudio clínico no consentido
D) Informar al paciente sobre la finalidad del tratamiento
📘 Justificación de la respuesta correcta:
El uso de datos personales para finalidades distintas a las consentidas o sin base legal específica vulnera el principio de limitación de la finalidad. Cada uso debe estar claramente determinado y legitimado.
❌ Por qué son incorrectas las otras opciones:
A) Es una buena práctica exigida por el principio de responsabilidad proactiva.
B) Es una obligación según el principio de limitación del plazo.
D) Es una medida de transparencia exigida por el RGPD.
📚 Referencia normativa:
Art. 5.1.b RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 14. Tema 79. OPE 2025
¿Qué medida técnica debe garantizar el SAS en sus sistemas de información para asegurar la trazabilidad de los accesos a datos sensibles?
A) Redundancia de los servidores
B) Uso de VPN en puestos fijos
✅ C) Registro y auditoría de accesos con trazabilidad temporal
D) Copias de seguridad mensuales
📘 Justificación de la respuesta correcta:
La trazabilidad permite registrar quién accedió, cuándo y desde dónde, especialmente relevante en sistemas como DIRAYA o SUR, para garantizar confidencialidad y detectar usos indebidos.
❌ Por qué son incorrectas las otras opciones:
A) Asegura disponibilidad, pero no trazabilidad.
B) Mejora el canal seguro, pero no genera registro de actividad.
D) Aporta respaldo, no control sobre accesos.
📚 Referencia normativa:
Art. 32 RGPD; Documento “El perfil de técnico es para el Servicio Andaluz de Salud”.
✅ PREGUNTA 15. Tema 79. OPE 2025
¿Qué finalidad tiene la “responsabilidad proactiva” (accountability) impuesta por el RGPD?
A) Delegar las funciones de protección de datos al DPD
B) Permitir a los interesados consultar los informes de seguridad
✅ C) Exigir que el responsable pueda demostrar en todo momento el cumplimiento normativo
D) Eliminar el deber de confidencialidad en entornos públicos
📘 Justificación de la respuesta correcta:
El RGPD establece la responsabilidad proactiva como principio rector: no basta con cumplir, hay que poder demostrar documentalmente ese cumplimiento, mediante registros, políticas, auditorías, etc.
❌ Por qué son incorrectas las otras opciones:
A) El DPD asesora, pero la responsabilidad recae en el responsable del tratamiento.
B) No es una exigencia de acceso generalizada.
D) La confidencialidad es obligatoria en todos los contextos.
📚 Referencia normativa:
Art. 5.2 y 24 RGPD; Documento “Enfoque del tema para el perfil de Técnico de Función Administrativa”.
✅ PREGUNTA 16. Tema 79. OPE 2025
¿Cuál de las siguientes afirmaciones sobre la Evaluación de Impacto en Protección de Datos (EIPD) es correcta según el RGPD?
A) Debe realizarse solo en empresas privadas
B) Es obligatoria únicamente en tratamientos manuales
C) Se exige solo si hay denuncia previa del interesado
✅ D) Es obligatoria cuando el tratamiento puede suponer un alto riesgo para los derechos y libertades
📘 Justificación de la respuesta correcta:
El RGPD exige una EIPD previa a todo tratamiento que por su naturaleza, alcance o contexto, suponga alto riesgo para los derechos de las personas, como ocurre con datos de salud en sistemas como DIRAYA.
❌ Por qué son incorrectas las otras opciones:
A) Aplica tanto a entidades públicas como privadas.
B) El criterio es el riesgo, no el tipo de soporte (manual o automatizado).
C) No depende de la existencia de una reclamación previa.
📚 Referencia normativa:
Art. 35 RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 17. Tema 79. OPE 2025
Según la LOPDGDD, ¿cuál de los siguientes colectivos está específicamente protegido mediante el derecho al “testamento digital”?
A) Los usuarios de servicios en la nube
B) Los empleados públicos con categoría A1
✅ C) Las personas fallecidas, a través de sus herederos o representantes
D) Los menores de edad entre 14 y 18 años
📘 Justificación de la respuesta correcta:
La LOPDGDD regula en su art. 3 la posibilidad de que los familiares o herederos de una persona fallecida puedan acceder, rectificar o suprimir sus datos personales, salvo prohibición expresa del fallecido.
❌ Por qué son incorrectas las otras opciones:
A) No está limitado a un tipo concreto de servicio.
B) El derecho no distingue entre colectivos laborales.
D) Aunque los menores tienen protección especial, el testamento digital aplica tras el fallecimiento.
📚 Referencia normativa:
Art. 3 LOPDGDD; Documento “Derechos adicionales que introduce la LOPDGDD”.
✅ PREGUNTA 18. Tema 79. OPE 2025
¿Cuál es la función principal del Registro de Actividades de Tratamiento en el contexto del RGPD?
✅ A) Documentar de forma estructurada todos los tratamientos realizados por una entidad
B) Registrar las bajas laborales de los trabajadores
C) Controlar el uso de dispositivos móviles por parte del personal
D) Determinar el nivel retributivo de los encargados del tratamiento
📘 Justificación de la respuesta correcta:
Este registro, obligatorio salvo excepciones, es una herramienta clave para la responsabilidad proactiva, donde se documentan responsables, finalidades, categorías de datos, destinatarios, medidas técnicas, etc.
❌ Por qué son incorrectas las otras opciones:
B) Pertenece al ámbito laboral y no al de protección de datos.
C) Puede incluirse dentro de políticas internas, pero no es el objetivo de este registro.
D) No tiene relación con aspectos salariales ni laborales.
📚 Referencia normativa:
Art. 30 RGPD; Documento “Enfoque del tema para el perfil de Técnico de Función Administrativa”.
✅ PREGUNTA 19. Tema 79. OPE 2025
En una plataforma sanitaria como DIRAYA, ¿qué base legal suele amparar el tratamiento de los datos clínicos del paciente?
A) Interés legítimo del responsable del tratamiento
B) Consentimiento implícito del paciente
✅ C) Cumplimiento de una misión de interés público en el ámbito de la salud pública
D) Ejecución de un contrato privado
📘 Justificación de la respuesta correcta:
La base legal habitual para tratar datos clínicos en el SAS es el cumplimiento de una misión de interés público, como la atención sanitaria. El consentimiento no siempre es necesario cuando existe esta base legal.
❌ Por qué son incorrectas las otras opciones:
A) El interés legítimo no aplica a datos sensibles sin garantías reforzadas.
B) El consentimiento implícito no está permitido.
D) No hay relación contractual entre paciente y administración.
📚 Referencia normativa:
Art. 6.1.e y 9.2.h RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 20. Tema 79. OPE 2025
¿Qué derecho permite al interesado solicitar la eliminación de sus datos personales cuando ya no son necesarios para los fines del tratamiento?
A) Derecho de oposición
B) Derecho a la limitación del tratamiento
C) Derecho de portabilidad
✅ D) Derecho de supresión (derecho al olvido)
📘 Justificación de la respuesta correcta:
El derecho de supresión, también llamado “derecho al olvido”, permite al interesado exigir que se eliminen sus datos si ya no son necesarios, si ha retirado su consentimiento o si han sido tratados ilícitamente.
❌ Por qué son incorrectas las otras opciones:
A) Permite oponerse al tratamiento, no solicitar la eliminación directa.
B) Restringe el uso, pero no obliga a eliminar.
C) Implica la transmisión de los datos a otro responsable, no su supresión.
📚 Referencia normativa:
Art. 17 RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 21. Tema 79. OPE 2025
Estás participando como Técnico de Función Administrativa en la implantación de una app móvil del SAS para seguimiento de pacientes crónicos. El sistema tratará datos clínicos sensibles y permite a los profesionales enviar recordatorios de medicación. ¿Qué obligación previa debe abordarse conforme al RGPD?
A) Notificar el desarrollo de la app a la Dirección General de Personal
B) Solicitar consentimiento tácito a los pacientes mediante email
✅ C) Realizar una Evaluación de Impacto en Protección de Datos (EIPD)
D) Registrar la marca de la aplicación en la Oficina Española de Patentes
📘 Justificación de la respuesta correcta:
Tratándose de una herramienta que implica tratamiento masivo de datos de salud y seguimiento individualizado, es obligatorio realizar una EIPD, documentando riesgos, medidas de mitigación y garantías, según el art. 35 RGPD.
❌ Por qué son incorrectas las otras opciones:
A) La notificación administrativa no sustituye el análisis de impacto legal.
B) El consentimiento debe ser expreso, y solo es una base legal si no hay interés público.
D) El registro de marca es irrelevante en materia de protección de datos.
📚 Referencia normativa:
Art. 35 RGPD; Guía práctica de EIPD (AEPD); Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 22. Tema 79. OPE 2025
Durante una auditoría interna en tu centro hospitalario del SAS, se detecta que una profesional sanitaria ha accedido a la historia clínica de un familiar sin autorización. ¿Cuál de las siguientes medidas debe activarse conforme al RGPD y a la normativa interna?
A) Informar a los medios de comunicación si el familiar lo solicita
B) Realizar una copia de seguridad de la historia clínica afectada
✅ C) Registrar el acceso como posible brecha de seguridad y valorar su notificación a la AEPD
D) Desactivar la cuenta del familiar en ClicSalud+
📘 Justificación de la respuesta correcta:
El acceso indebido a datos clínicos constituye una posible violación de la seguridad de los datos personales. El responsable debe registrarla y evaluar si entraña riesgo para los derechos de la persona, en cuyo caso se debe notificar a la AEPD en ≤ 72 horas (art. 33 RGPD).
❌ Por qué son incorrectas las otras opciones:
A) La comunicación pública no está prevista salvo riesgo extremo.
B) Las copias de seguridad no mitigan el incidente.
D) El acceso indebido lo realiza la profesional, no el paciente.
📚 Referencia normativa:
Arts. 33 y 34 RGPD; Documento “El perfil del Técnico en el SAS”.
✅ PREGUNTA 23. Tema 79. OPE 2025
En la revisión de un contrato de prestación de servicios TIC con una empresa externa, detectas que acceden a la base de datos de usuarios del sistema SUR sin cláusula específica de protección de datos. ¿Qué figura jurídica falta conforme al RGPD?
✅ A) Contrato de encargo del tratamiento conforme al art. 28 RGPD
B) Anexo de ejecución presupuestaria
C) Acuerdo de confidencialidad interno entre empleados públicos
D) Acta de constitución de comité de seguridad
📘 Justificación de la respuesta correcta:
Si un tercero accede a datos personales por cuenta del SAS, debe existir un contrato de encargo del tratamiento, con instrucciones claras, medidas de seguridad y limitación de uso, conforme al art. 28 RGPD.
❌ Por qué son incorrectas las otras opciones:
B) No regula el tratamiento de datos personales.
C) No cubre relaciones con terceros externos.
D) Un comité puede existir, pero no suple el acuerdo legal exigido.
📚 Referencia normativa:
Art. 28 RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 24. Tema 79. OPE 2025
Una paciente presenta una solicitud por ClicSalud+ para suprimir sus datos de una plataforma web del SAS, alegando que ya no es usuaria del sistema sanitario andaluz. Como técnico, ¿qué criterio normativo debes considerar al tramitar su solicitud?
A) Atender la supresión sin más, al tratarse de un derecho fundamental
B) Aplicar el derecho de portabilidad y entregarle una copia impresa
C) Rechazar la solicitud, ya que los datos son públicos
✅ D) Verificar si los datos aún son necesarios para la finalidad inicial y si existe base legal para su conservación
📘 Justificación de la respuesta correcta:
El derecho de supresión no es absoluto. Debe analizarse si los datos aún son necesarios para el fin por el que se recogieron, o si existe una obligación legal que impida su supresión (p. ej., conservación sanitaria o legal).
❌ Por qué son incorrectas las otras opciones:
A) El derecho de supresión tiene límites y debe ponderarse.
B) No ha solicitado portabilidad, y no equivale a supresión.
C) Los datos no son públicos: son datos personales y clínicos.
📚 Referencia normativa:
Art. 17 RGPD; Documento “Enfoque del tema para el perfil de Técnico”.
✅ PREGUNTA 25. Tema 79. OPE 2025
Formas parte del equipo que diseña el nuevo portal de citas previas del SAS. ¿Qué principio del RGPD obliga a reducir al mínimo los datos requeridos en el formulario de registro?
A) Principio de limitación del plazo de conservación
B) Principio de integridad y confidencialidad
C) Principio de transparencia
✅ D) Principio de minimización de datos
📘 Justificación de la respuesta correcta:
El principio de minimización de datos obliga a diseñar los sistemas para que recojan solo los datos imprescindibles. En un formulario de citas, por ejemplo, no es legítimo pedir información irrelevante como nivel de ingresos o estado civil.
❌ Por qué son incorrectas las otras opciones:
A) Afecta al tiempo de almacenamiento, no a la recogida inicial.
B) Se refiere a la seguridad de los datos, no a su cantidad.
C) Se refiere a la forma de comunicar el tratamiento, no a los campos recogidos.
📚 Referencia normativa:
Art. 5.1.c RGPD; Documento “Enfoque del tema para el perfil de Técnico de Función Administrativa”.
✅ PREGUNTA 26. Tema 79. OPE 2025
En el contexto del SAS, ¿cuál de las siguientes situaciones justificaría el uso de una base legal distinta al consentimiento para el tratamiento de datos personales?
A) Envío de publicidad sanitaria a ciudadanos
✅ B) Gestión de citas médicas en Atención Primaria
C) Acceso a historiales clínicos para fines estadísticos sin seudonimización
D) Almacenamiento de cookies de seguimiento sin opción de rechazo
📘 Justificación de la respuesta correcta:
La gestión asistencial sanitaria se considera una misión de interés público conforme al RGPD y la LOPDGDD, lo que legitima el tratamiento de datos sin necesidad de consentimiento.
❌ Por qué son incorrectas las otras opciones:
A) Requiere consentimiento expreso según normativa de protección de datos y comunicaciones.
C) El tratamiento con fines estadísticos exige anonimización o base legal específica.
D) Las cookies no esenciales requieren consentimiento informado.
📚 Referencia normativa:
Art. 6.1.e y 9.2.h RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 27. Tema 79. OPE 2025
Se detecta que un sistema de agenda de consultas externas del SAS sigue mostrando datos de pacientes ya fallecidos sin etiquetar correctamente. ¿Qué principio del RGPD se está incumpliendo?
A) Integridad y confidencialidad
B) Licitud del tratamiento
✅ C) Exactitud de los datos
D) Portabilidad
📘 Justificación de la respuesta correcta:
El RGPD exige que los datos personales sean exactos y estén actualizados. Mantener registros erróneos, especialmente sobre el estado vital del paciente, supone una infracción del art. 5.1.d.
❌ Por qué son incorrectas las otras opciones:
A) La seguridad puede estar garantizada, aunque los datos sean incorrectos.
B) La base legal puede ser válida, pero el contenido es inexacto.
D) No se trata de transmisión entre responsables, sino de actualización.
📚 Referencia normativa:
Art. 5.1.d RGPD; Documento “La Legislación de Protección de Datos de Carácter Personal”.
✅ PREGUNTA 28. Tema 79. OPE 2025
Un proveedor tecnológico del SAS que gestiona servicios de videollamadas clínicas accede remotamente a datos de pacientes. ¿Cuál es la medida jurídica esencial que debe establecerse?
A) Solicitarle copia de su certificado digital
✅ B) Formalizar un contrato de encargo de tratamiento según art. 28 RGPD
C) Autorizarle mediante correo electrónico firmado
D) Incluirle en el registro de actividad del sistema DIRAYA
📘 Justificación de la respuesta correcta:
Al actuar como encargado del tratamiento, el proveedor debe estar vinculado por un contrato conforme al art. 28 RGPD, que establezca obligaciones, garantías, medidas y limitaciones de uso.
❌ Por qué son incorrectas las otras opciones:
A) No garantiza ni sustituye la relación jurídica exigida.
C) Un correo carece de validez jurídica formal.
D) El registro de actividades debe reflejar el tratamiento, pero no sustituye el contrato.
📚 Referencia normativa:
Art. 28 RGPD; Documento “Enfoque del tema para el perfil de Técnico de Función Administrativa”.
✅ PREGUNTA 29. Tema 79. OPE 2025
Durante el diseño de un nuevo sistema de derivación entre hospitales del SAS, el equipo técnico propone integrar la trazabilidad completa de accesos, fecha, usuario y motivo. ¿Qué principio del RGPD están aplicando correctamente?
A) Limitación del plazo de conservación
B) Minimización de datos
✅ C) Responsabilidad proactiva y seguridad
D) Portabilidad
📘 Justificación de la respuesta correcta:
La trazabilidad forma parte de las medidas técnicas y organizativas exigidas para garantizar la seguridad del tratamiento. Permite demostrar cumplimiento, alineándose con el principio de accountability.
❌ Por qué son incorrectas las otras opciones:
A) El registro no se refiere a conservación sino a control de accesos.
B) Se mantiene lo necesario para seguridad, sin tratarse de minimización.
D) No hay transferencia de datos a otro responsable.
📚 Referencia normativa:
Arts. 24 y 32 RGPD; Documento “El perfil de técnico es para el Servicio Andaluz de Salud”.
✅ PREGUNTA 30. Tema 79. OPE 2025
En una campaña de vacunación masiva, el SAS implementa un sistema que permite a los ciudadanos consultar su historial vacunal y recibir alertas. ¿Qué medida debe garantizarse desde la fase inicial del diseño?
A) Publicación de estadísticas en el BOJA
✅ B) Aplicación del principio de “privacidad desde el diseño y por defecto”
C) Uso de software de código cerrado
D) Subida automática del historial a redes sociales si lo autoriza el usuario
📘 Justificación de la respuesta correcta:
El RGPD impone la obligación de incorporar la protección de datos desde el diseño y por defecto en todo sistema que trate datos personales. Esto implica: mínimos datos, accesos controlados, cifrado, y transparencia informativa.
❌ Por qué son incorrectas las otras opciones:
A) No tiene relación con la privacidad individual.
C) El tipo de licencia no garantiza protección de datos.
D) Aun con autorización, subir datos clínicos a redes sociales contradice el deber de proporcionalidad y confidencialidad.
📚 Referencia normativa:
Art. 25 RGPD; Documento “Enfoque del tema para el perfil de Técnico de Función Administrativa”.
🧠 Mapa Conceptual – Tema 79
La Legislación de Protección de Datos de Carácter Personal: RGPD, LOPDGDD y Evaluación de Impacto (EIPD)
🏛️ 1. MARCO NORMATIVO
- ⚖️ Reglamento General de Protección de Datos (RGPD)
- Norma europea (Reglamento UE 2016/679)
- Aplicación directa desde 2018
- Afecta a entidades públicas y privadas
- Principios del art. 5:
- ✅ Licitud, lealtad y transparencia
- 🔄 Limitación de la finalidad
- 📉 Minimización de datos
- 📌 Exactitud
- 🕒 Limitación del plazo
- 🔐 Integridad y confidencialidad
- 📂 Responsabilidad proactiva (accountability)
- 📘 Ley Orgánica 3/2018 (LOPDGDD)
- Complementa el RGPD en España
- Edad mínima de consentimiento: 14 años
- Incluye derechos digitales (Título X):
- 🌐 Neutralidad de Internet
- 📵 Desconexión digital
- 👨👩👧👦 Protección de menores
- ⚰️ Testamento digital
👤 2. DERECHOS DE LOS INTERESADOS
- 🛡️ Derecho de acceso
- ✏️ Derecho de rectificación
- ❌ Derecho de supresión (olvido)
- ⏳ Derecho a la limitación
- 🔄 Derecho a la portabilidad
- 🚫 Derecho de oposición
- 🤖 Derecho a no ser objeto de decisiones automatizadas
🛠️ 3. FIGURAS CLAVE
- 👨💼 Responsable del tratamiento
- Decide fines y medios
- Debe documentar cumplimiento
- 🧑💻 Encargado del tratamiento
- Opera por cuenta del responsable
- Contrato obligatorio (art. 28 RGPD)
- 🕵️♂️ Delegado de Protección de Datos (DPD)
- Obligatorio en el SAS
- Asesora, supervisa y coopera con la AEPD
- No responde personalmente de incumplimientos
📊 4. EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS (EIPD)
- 🧪 Obligatoria cuando hay alto riesgo
- Ej.: DIRAYA, telemedicina, perfiles automatizados
- 📝 Contenido mínimo (art. 35.7 RGPD):
- Descripción del tratamiento
- Necesidad y proporcionalidad
- Evaluación de riesgos
- Medidas para mitigarlos
- 🛡️ Instrumento preventivo para asegurar la privacidad desde el diseño
🏥 5. APLICACIÓN EN EL SAS
- 🗃️ Sistemas afectados:
- DIRAYA (historia clínica)
- SUR (datos de empleados)
- GIRO (gestión económica)
- ClicSalud+ (acceso del ciudadano)
- 👨💼 Funciones del Técnico de Función Administrativa:
- 🧩 Integrar privacidad desde el diseño
- 🛠️ Implementar medidas técnicas: cifrado, trazabilidad, control de accesos
- 🧾 Documentar tratamientos (registro de actividades)
- 📢 Formar y sensibilizar a usuarios
- 🤝 Coordinarse con el DPD y la Subdirección TIC
📉 6. RESPONSABILIDAD PROACTIVA (ACCOUNTABILITY)
- 📚 No basta con cumplir: hay que poder demostrarlo
- 🛠️ Requiere:
- Registros
- Políticas documentadas
- Auditorías periódicas
- Procedimientos de gestión de brechas
- 🧩 Clave para evitar sanciones y reforzar la transparencia institucional
📚 Referencias normativas y bibliográficas – Formato APA (Tema 79)
🏛️ Normativa europea y estatal
- Parlamento Europeo y Consejo de la Unión Europea. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos). Diario Oficial de la Unión Europea, L119, 1–88.
- Jefatura del Estado. (2018). Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Boletín Oficial del Estado, núm. 294, 6 de diciembre de 2018, pp. 119788–119857.
- Agencia Española de Protección de Datos (AEPD). (2023). Modificación de la Ley Orgánica 3/2018: novedades sobre el régimen sancionador y el procedimiento de apercibimiento. https://www.aepd.es
📖 Guías y documentos institucionales
- Agencia Española de Protección de Datos (AEPD). (2021). Guía para la Evaluación de Impacto en la Protección de Datos (EIPD). Madrid: AEPD. Disponible en: https://www.aepd.es/guias/guia-evaluacion-impacto
- Agencia Española de Protección de Datos (AEPD). (2020). Guía sobre el uso de cookies. [Versión actualizada]. Recuperado de https://www.aepd.es/guias
- Agencia Española de Protección de Datos (AEPD). (s.f.). Preguntas frecuentes sobre protección de datos. Recuperado de https://www.aepd.es/preguntas-frecuentes
- Consejo Europeo de Protección de Datos (EDPB). (2021). Directrices 05/2020 sobre el consentimiento conforme al Reglamento 2016/679 (versión revisada). Disponible en: https://edpb.europa.eu
🧾 Documentación sectorial y técnica (perfil SAS)
- Servicio Andaluz de Salud. (2023). Perfil del Técnico de Función Administrativa. Opción Informática. Temario específico. Junta de Andalucía. Disponible en: https://www.sspa.juntadeandalucia.es
- Junta de Andalucía. (2022). Plan de Transformación Digital del SSPA 2021–2025. Consejería de Salud y Familias.
- Escapa, E. (2024). Resumen profesional adaptado al SAS sobre la Legislación de Protección de Datos y Evaluación de Impacto. Documento inédito para opositores SAS, aportado en escapa.es.
🌐 Publicaciones complementarias y artículos jurídicos
- García Herrero, J. (2020). El consentimiento en el RGPD: seis aspectos clave. Recuperado de https://jorgegarciaherrero.com/consentimiento-en-el-rgpd
- López, R. (2021). Principales diferencias entre RGPD y LOPDGDD. Blog Protección Datos. Disponible en: https://protecciondatos-lopd.com/empresas/diferencias-entre-lopd-y-rgpd
- Campos Acuña, C. (2019). 10 puntos que debes conocer de la nueva LOPDGDD. Disponible en: http://concepcioncampos.org/10-puntos-que-debes-conocer-ya-de-la-nueva-lopd-y-gdd