📚 INTRODUCCIÓN Y CONTEXTUALIZACIÓN

El presente tema aborda dos normativas fundamentales que regulan aspectos esenciales del funcionamiento de las administraciones públicas y las relaciones entre éstas y la ciudadanía en el entorno digital actual: la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.

Estas normativas responden a la necesidad de adaptación del marco jurídico a la nueva realidad tecnológica y al compromiso con la transparencia y buen gobierno, estableciendo un equilibrio entre dos derechos fundamentales complementarios pero a veces aparentemente contrapuestos: el derecho a la protección de datos personales y el derecho de acceso a la información pública.

La LOPDGDD supuso la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo (Reglamento General de Protección de Datos o RGPD), desarrollando aspectos específicos del mismo y ampliando su alcance mediante la regulación de los denominados «derechos digitales». Por su parte, la Ley 1/2014 de Transparencia Pública de Andalucía complementa y desarrolla en el ámbito andaluz la legislación básica estatal contenida en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

Este tema resulta de especial relevancia para los profesionales del ámbito sanitario, particularmente para el personal administrativo del Servicio Andaluz de Salud (SAS), ya que en su actividad diaria gestionan información sensible de pacientes (datos de salud) y, a la vez, deben garantizar la transparencia en su actividad administrativa.

🔍 RESUMEN/INTRODUCCIÓN GENERAL

La protección de datos personales y la transparencia pública constituyen dos ámbitos normativos esenciales en el funcionamiento de las administraciones públicas actuales. La LOPDGDD establece el marco para la protección del derecho fundamental a la protección de datos personales reconocido en el artículo 18.4 de la Constitución Española, adaptándolo a la era digital y complementando el Reglamento europeo. Por su parte, la Ley 1/2014 de Transparencia Pública de Andalucía profundiza en la transparencia de la actuación de los poderes públicos en esta Comunidad Autónoma, como instrumento fundamental para una democracia más efectiva.

Ambas normativas están estrechamente relacionadas, como demuestra la Disposición adicional segunda de la LOPDGDD, titulada «Protección de datos y transparencia y acceso a la información pública», que establece criterios para compatibilizar estos derechos. En el ámbito sanitario, estas leyes adquieren especial relevancia debido a la naturaleza sensible de los datos de salud y la necesidad de garantizar tanto su protección como la transparencia en la gestión pública sanitaria.

A lo largo de este tema, analizaremos los aspectos fundamentales de ambas normativas: las disposiciones generales, los principios que las inspiran, los derechos que reconocen, así como los mecanismos específicos que establecen para la protección de datos y el fomento de la transparencia, con especial atención a las últimas actualizaciones y modificaciones hasta 2025.

📋 DESARROLLO Y APARTADOS PRINCIPALES

1. LEY ORGÁNICA 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES

1.1. Disposiciones generales

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) entró en vigor el 7 de diciembre de 2018, un día después de su publicación en el BOE. Esta ley derogó la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y tiene como objetivo principal adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 (RGPD).

La LOPDGDD consta de 97 artículos estructurados en 10 títulos, además de 22 disposiciones adicionales, 6 disposiciones transitorias, 1 disposición derogatoria y 16 disposiciones finales. Desde su aprobación hasta 2025, ha experimentado varias modificaciones y actualizaciones, siendo las más relevantes:

🔹 Modificación del 9 de mayo de 2023, publicada en el BOE, que introdujo cambios en la tramitación de algunos procedimientos de la Agencia Española de Protección de Datos (AEPD) y en su Estatuto.
🔹 Modificación por la disposición final 7 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
🔹 Modificación por la disposición final 4.2 de la Ley Orgánica 7/2021, de 26 de mayo, que afectó al régimen de la Agencia Española de Protección de Datos.
🔹 La actualización más reciente de febrero de 2025, que ha modernizado y agilizado los procedimientos.

El artículo 1 de la LOPDGDD establece el objeto de la ley, que es doble:

✔️ Adaptar el ordenamiento jurídico español al RGPD y completar sus disposiciones.
✔️ Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

El ámbito de aplicación de la LOPDGDD se extiende a:

📌 Cualquier tratamiento total o parcialmente automatizado de datos personales.
📌 Tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

La ley excluye expresamente de su ámbito de aplicación:

❌ Tratamientos excluidos del ámbito de aplicación del RGPD (art. 2.2 RGPD).
❌ Tratamientos de datos de personas fallecidas, con las salvedades previstas en la propia ley.
❌ Tratamientos sometidos a normativa específica.

Una novedad importante de esta ley es la regulación de los datos de las personas fallecidas, permitiendo que las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, puedan solicitar el acceso a los mismos, su rectificación o supresión, en su caso con sujeción a las instrucciones dejadas por el fallecido.

1.2. Principios de protección de datos

Los principios de protección de datos constituyen los pilares fundamentales sobre los que se asienta toda la normativa. La LOPDGDD desarrolla y complementa los principios establecidos en el RGPD, adaptándolos a la realidad española. Estos principios son:

1.2.1. Principio de exactitud (Artículo 4)

Establece que los datos personales serán exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

1.2.2. Principio de confidencialidad (Artículo 5)

Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase del mismo, están sujetas al deber de confidencialidad. Esta obligación se mantiene aun cuando haya finalizado la relación con el responsable o encargado del tratamiento.

1.2.3. Principio del consentimiento (Artículos 6 y 7)

El tratamiento de datos personales solo será lícito si se cumple al menos una de las condiciones establecidas en el artículo 6.1 del RGPD, siendo el consentimiento del interesado una de ellas. La LOPDGDD especifica que el consentimiento del afectado debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta el tratamiento, ya sea mediante una declaración o una clara acción afirmativa.

La ley prohíbe el consentimiento tácito o por omisión, basado en la inacción del afectado. Además, cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

1.2.4. Consentimiento de los menores de edad (Artículo 7)

El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Para los menores de esa edad, se requerirá el consentimiento del titular de la patria potestad o tutela, con la excepción de los casos en que la ley autorice directamente a los menores a otorgar su consentimiento.

1.2.5. Tratamiento basado en el cumplimiento de una obligación legal, interés público o ejercicio de poderes públicos (Artículo 8)

El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley. Igualmente, únicamente podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos cuando derive de una competencia atribuida por una norma con rango de ley.

1.2.6. Categorías especiales de datos (Artículo 9)

Se consideran categorías especiales los datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

El tratamiento de estos datos está prohibido, salvo en los casos previstos en el RGPD. La LOPDGDD establece garantías adicionales para cuando el tratamiento se base en el consentimiento del afectado o sea necesario por razones de interés público esencial.

1.2.7. Tratamiento de datos de naturaleza penal (Artículo 10)

El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.

1.3. Derechos de las personas

La LOPDGDD dedica su Título III (artículos 11 a 18) a los derechos de las personas en materia de protección de datos, desarrollando y ampliando los derechos reconocidos en el RGPD. Estos derechos son:

1.3.1. Transparencia e información al afectado (Artículo 11)

Los responsables del tratamiento deben facilitar al afectado la información básica sobre el tratamiento de sus datos de forma clara, concisa y fácilmente comprensible. Esta información puede proporcionarse por capas, siendo la primera capa muy concisa y la segunda más detallada.

La información básica que debe proporcionarse en una primera capa incluye:

✅ La identidad del responsable del tratamiento y de su representante, en su caso.
✅ La finalidad del tratamiento.
✅ La posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

Una de las novedades introducidas por la LOPDGDD es el sistema de información por capas, que permite adaptar la cantidad de información proporcionada a las circunstancias concretas, facilitando así su comprensión.

1.3.2. Disposiciones generales sobre ejercicio de los derechos (Artículo 12)

Los derechos reconocidos en los artículos 15 a 22 del RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición) podrán ejercerse directamente o por medio de representante legal o voluntario. El responsable del tratamiento está obligado a informar al afectado sobre los medios para ejercer estos derechos, que deberán ser accesibles.

El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio de derechos formuladas por los afectados, cuando así se establezca en el contrato o acto jurídico que les vincule.

1.3.3. Derecho de acceso (Artículo 13)

El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilita al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. La solicitud de acceso se considerará estimada cuando el responsable ponga a disposición del afectado tal sistema de acceso.

A los efectos establecidos en el artículo 12.5 del RGPD, se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.

1.3.4. Derecho de rectificación (Artículo 14)

El afectado tendrá derecho a obtener del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. La solicitud deberá indicar a qué datos se refiere y la corrección que haya de realizarse, acompañando, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.

1.3.5. Derecho de supresión (Artículo 15)

El derecho de supresión (o «derecho al olvido») permite al afectado obtener del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurra alguna de las circunstancias previstas en el artículo 17 del RGPD, como que los datos ya no sean necesarios para los fines para los que fueron recogidos, que el afectado retire el consentimiento o que los datos hayan sido tratados ilícitamente.

1.3.6. Derecho a la limitación del tratamiento (Artículo 16)

El afectado tiene derecho a obtener del responsable la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones previstas en el artículo 18 del RGPD, como que el interesado impugne la exactitud de los datos, que el tratamiento sea ilícito pero el interesado se oponga a la supresión, o que el responsable ya no necesite los datos pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.

1.3.7. Derecho a la portabilidad (Artículo 17)

El derecho a la portabilidad permite al afectado recibir los datos personales que haya facilitado a un responsable en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable cuando el tratamiento esté basado en el consentimiento o en un contrato y se efectúe por medios automatizados.

1.3.8. Derecho de oposición (Artículo 18)

El afectado tiene derecho a oponerse en cualquier momento al tratamiento de los datos que le conciernan, incluida la elaboración de perfiles, cuando el tratamiento se base en el interés legítimo del responsable o en el cumplimiento de una misión de interés público. El responsable dejará de tratar los datos, salvo que acredite motivos legítimos imperiosos o sea necesario para la formulación, el ejercicio o la defensa de reclamaciones.

2. LEY 1/2014, DE 24 DE JUNIO, DE TRANSPARENCIA PÚBLICA DE ANDALUCÍA

2.1. Contexto y objeto de la Ley

La Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía, fue aprobada por unanimidad del Pleno del Parlamento andaluz y publicada en el BOJA número 124 de 30 de junio de 2014. Esta ley se enmarca en el desarrollo autonómico de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, que tiene carácter básico a nivel estatal.

El objeto de la ley, recogido en su artículo 1, es profundizar en la transparencia de la actuación de los poderes públicos, entendida como uno de los instrumentos que permiten que la democracia sea más real y efectiva. Esta ley tiene un doble alcance: por un lado, regula la transparencia en su doble vertiente de publicidad activa y de derecho de acceso a la información pública, y por otro, establece las obligaciones de buen gobierno que deben cumplir los responsables públicos.

Según el preámbulo de la ley, «sin el conocimiento que proporciona el acceso de los ciudadanos a la información pública, difícilmente podría realizarse la formación de la opinión crítica y la participación de todos los ciudadanos en la vida política, económica, cultural y social, un objetivo irrenunciable que los poderes públicos están obligados a fomentar» (artículos 9.2 de la Constitución y 10.1 del Estatuto de Autonomía para Andalucía).

La ley se estructura en seis títulos, con un total de 58 artículos, además de varias disposiciones adicionales, transitorias y finales. Desde su aprobación hasta 2025, ha experimentado algunas modificaciones, entre las que cabe destacar la introducida por el Decreto-ley 3/2024, de 6 de febrero, que afecta al apartado 1.d) del artículo 10, relativo a la información institucional y organizativa.

2.2. Principios básicos

El artículo 6 de la Ley 1/2014 establece los principios básicos que rigen la aplicación de la ley. Estos principios constituyen una orientación pro transparencia que vincula a todas las personas y entidades obligadas por la ley. Entre estos principios destacan:

2.2.1. Principio de transparencia

Se presume el carácter público de la información en poder de las entidades incluidas en el ámbito de aplicación de la ley. Solo se denegará el acceso a la información pública en los supuestos expresamente previstos en las leyes.

2.2.2. Principio de libre acceso a la información pública

Todas las personas tienen derecho a acceder a la información pública en los términos previstos en la ley. Las entidades obligadas por la ley deben facilitar este acceso de manera ágil y sencilla.

2.2.3. Principio de responsabilidad

Las entidades sujetas a la ley son responsables del cumplimiento de sus prescripciones. El incumplimiento de la ley puede dar lugar a las sanciones previstas en la propia ley y en otras normas que resulten de aplicación.

2.2.4. Principio de no discriminación tecnológica

Las entidades obligadas deberán arbitrar los medios necesarios para hacer efectiva la transparencia, con independencia del medio de acceso a la información. Para ello, se impulsará la implantación de sistemas para presentar quejas, sugerencias y reclamaciones por vía electrónica o telefónica.

2.2.5. Principio de veracidad

La información pública ha de ser cierta y exacta, asegurando que procede de documentos respecto de los que se ha verificado su autenticidad, fiabilidad, integridad, disponibilidad y cadena de custodia.

2.2.6. Principio de utilidad

La información pública que se suministre, siempre que sea posible, ha de ser adecuada al cumplimiento de los fines para los que se solicite.

2.2.7. Principio de gratuidad

El acceso a la información y las solicitudes de acceso serán gratuitos, sin perjuicio de las tasas que puedan establecerse por la expedición de copias o soportes, o la transposición de la información a un formato diferente al original.

2.2.8. Principio de facilidad y comprensión

La información se facilitará de forma que resulte clara y comprensible para las personas, utilizando un lenguaje accesible y evitando expresiones oscuras o técnicas sin aclaración.

2.2.9. Principio de accesibilidad

Se proporcionará información estructurada sobre los documentos y recursos de información para facilitar la identificación y búsqueda de la información, garantizando la accesibilidad universal y el diseño para todos.

2.2.10. Principio de interoperabilidad

La información será publicada conforme al Esquema Nacional de Interoperabilidad.

2.2.11. Principio de reutilización

Se fomentará que la información sea publicada en formatos que permitan su reutilización, de acuerdo con la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.

2.3. Derechos y obligaciones

La Ley 1/2014 establece un conjunto de derechos y obligaciones que configuran la relación de la ciudadanía con las administraciones en materia de transparencia.

2.3.1. Derechos (Artículo 7)

El artículo 7 reconoce los siguientes derechos:

🔹 Derecho a la publicidad activa: Derecho de cualquier persona a que los poderes públicos publiquen, de forma periódica y actualizada, la información veraz cuyo conocimiento sea relevante para garantizar la transparencia de su actividad.
🔹 Derecho de acceso a la información pública: Derecho de cualquier persona a acceder a los contenidos o documentos que obren en poder de las entidades incluidas en el ámbito de aplicación de la ley, y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones.
🔹 Derecho a obtener una resolución motivada: Derecho a conocer las razones en que se fundamenta cualquier decisión administrativa, especialmente cuando se deniegue el ejercicio de un derecho.
🔹 Derecho al uso de la información obtenida: Derecho a utilizar la información obtenida sin necesidad de autorización previa y sin más limitaciones que las impuestas por las leyes.

Todos estos derechos cuentan con el respaldo y la salvaguarda del Consejo de Transparencia y Protección de Datos de Andalucía, organismo creado para velar por el cumplimiento de lo establecido en la Ley 1/2014.

2.3.2. Obligaciones (Artículo 8)

Para garantizar el correcto ejercicio del derecho de transparencia, el artículo 8 establece las siguientes obligaciones:

🔹 Ejercicio del derecho conforme a los principios de buena fe: Las personas que accedan a la información pública de acuerdo con lo dispuesto en la ley deben hacerlo con respeto a los principios de buena fe e interdicción del abuso de derecho.
🔹 Concreción de la petición: Las personas deben realizar el acceso a la información de forma que no se vea afectada la eficacia del funcionamiento de los servicios públicos, concretando lo más precisamente posible la petición.
🔹 Respeto a las obligaciones establecidas para la reutilización de la información: Las personas deben respetar las obligaciones establecidas en la normativa básica para la reutilización de la información obtenida.

2.4. La publicidad activa

La publicidad activa se configura como uno de los pilares fundamentales de la Ley 1/2014. Se refiere a la obligación de las entidades incluidas en el ámbito de aplicación de la ley de publicar de manera proactiva, sin necesidad de solicitud previa, información relevante sobre su actividad.

El Título II de la ley (artículos 9 a 23) regula la publicidad activa, estableciendo las normas generales, los tipos de información que debe publicarse y los mecanismos de control.

2.4.1. Normas generales (Artículos 9 a 12)

Las entidades incluidas en el ámbito de aplicación de la ley están obligadas a publicar de forma periódica, veraz, objetiva y actualizada la información pública cuyo conocimiento sea relevante para garantizar la transparencia de su actividad. Dicha información se publicará por medios electrónicos, preferentemente a través de sus sedes o páginas web. En el caso de la Administración de la Junta de Andalucía, la información estará disponible a través del Portal de la Junta de Andalucía.

Las entidades obligadas por la ley deben publicar la información de manera que sea:

✔️ Accesible: disponible para el mayor número posible de personas.
✔️ Interoperable: conforme al Esquema Nacional de Interoperabilidad.
✔️ Reutilizable: en formatos que permitan su reutilización.
✔️ De calidad: veraz, clara, estructurada, comprensible y actualizada.

La información pública debe actualizarse trimestralmente, salvo que la normativa específica establezca otros plazos o las entidades locales determinen otros plazos en ejercicio de su autonomía.

2.4.2. Información sujeta a publicidad activa (Artículos 10 a 17)

La ley establece una amplia lista de información que debe ser objeto de publicidad activa. Esta información se agrupa en las siguientes categorías:

🔹 Información institucional y organizativa (Artículo 10): incluye funciones, normativa aplicable, estructura organizativa, sede física, horarios, teléfono, dirección de correo electrónico, etc.
🔹 Información sobre altos cargos y personas que ejerzan la máxima responsabilidad (Artículo 11): incluye identificación, nombramiento, funciones, perfil y trayectoria profesional, retribuciones, indemnizaciones, declaraciones de actividades, bienes, intereses y retribuciones, etc.
🔹 Información sobre planificación y evaluación (Artículo 12): incluye planes y programas, objetivos, actividades, medios, tiempo previsto para su consecución, grado de cumplimiento y resultados.
🔹 Información de relevancia jurídica (Artículo 13): incluye directrices, instrucciones, acuerdos, circulares, respuestas a consultas, anteproyectos de ley, proyectos de decreto, etc.
🔹 Información sobre procedimientos, cartas de servicio y participación ciudadana (Artículo 14): incluye catálogos de procedimientos, cartas de servicios, procedimientos de participación ciudadana, etc.
🔹 Información sobre contratos, convenios y subvenciones (Artículo 15): incluye información sobre contratos formalizados, convenios suscritos, subvenciones y ayudas públicas concedidas, etc.
🔹 Información económica, financiera y presupuestaria (Artículo 16): incluye información sobre presupuestos, cuentas anuales, auditorías, retribuciones de altos cargos, etc.

Además, el artículo 17 prevé la ampliación de las obligaciones de publicidad activa, estableciendo que se fomentará la inclusión de cualquier otra información pública que se considere de interés para la ciudadanía, especialmente aquella cuyo acceso se solicite con más frecuencia.

2.4.3. Acceso a la publicidad activa (Artículo 18)

La información pública objeto de publicidad activa estará disponible, preferentemente, en las sedes electrónicas, portales o páginas web de las entidades obligadas. Las entidades deben facilitar sistemas de búsqueda que permitan el acceso a la información de forma fácil y comprensible.

La Administración de la Junta de Andalucía dispone del Portal de la Junta de Andalucía como punto de acceso a la información publicada por la Administración autonómica y sus entidades instrumentales.

2.4.4. Reutilización de la información (Artículo 19)

Se fomentará la reutilización de la información pública conforme a la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público. Para ello, la información se publicará, siempre que sea técnicamente posible, en formatos que permitan su reutilización, preferentemente en formato de datos abiertos.

2.4.5. Control (Artículo 23)

El cumplimiento de las obligaciones de publicidad activa será objeto de control por parte del Consejo de Transparencia y Protección de Datos de Andalucía. Este organismo podrá dictar resoluciones en las que se establezcan las medidas que sea necesario adoptar para el cese del incumplimiento y el inicio de las actuaciones disciplinarias o sancionadoras que procedan.

2.5. El derecho de acceso a la información pública

El Título III de la Ley 1/2014 (artículos 24 a 49) regula el derecho de acceso a la información pública, que constituye el segundo pilar del sistema de transparencia establecido por la ley.

2.5.1. Concepto y límites (Artículos 24 a 27)

El derecho de acceso a la información pública se define como el derecho de cualquier persona a acceder, en los términos previstos en la ley, a los contenidos o documentos que obren en poder de las entidades incluidas en el ámbito de aplicación de la ley, y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones.

Este derecho está sujeto a ciertos límites, establecidos en el artículo 25, que coinciden con los previstos en la legislación básica estatal. El derecho de acceso podrá ser limitado cuando acceder a la información suponga un perjuicio para:

🔹 La seguridad nacional, la defensa, las relaciones exteriores, la seguridad pública.
🔹 La prevención, investigación y sanción de ilícitos penales, administrativos o disciplinarios.
🔹 La igualdad de las partes en los procesos judiciales y la tutela judicial efectiva.
🔹 Las funciones administrativas de vigilancia, inspección y control.
🔹 Los intereses económicos y comerciales, el secreto profesional y la propiedad intelectual e industrial.
🔹 La garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión.
🔹 La protección del medio ambiente.

Un límite especialmente relevante es la protección de datos personales (artículo 26). Cuando la información solicitada contenga datos personales, se estará a lo dispuesto en la normativa de protección de datos personales y, en particular, en la Ley Orgánica 3/2018. En general, si la información contiene datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano, se concederá el acceso. Cuando se trate de otros datos personales, el acceso solo se podrá autorizar si existe consentimiento expreso del afectado o si el solicitante acredita un interés legítimo que prevalezca sobre los derechos del afectado.

Si no concurre alguno de los límites indicados, se concederá el acceso total a la información solicitada. Si alguno de los límites concurre solo en una parte de la información, se concederá el acceso parcial, omitiendo la parte afectada por el límite, salvo que de ello resulte una información distorsionada o que carezca de sentido (artículo 27).

2.5.2. Procedimiento de acceso (Artículos 28 a 49)

El procedimiento para el ejercicio del derecho de acceso se iniciará con la presentación de la correspondiente solicitud dirigida a la entidad que posea la información. La solicitud podrá presentarse por cualquier medio que permita tener constancia de la identidad del solicitante, la información que se solicita, una dirección de contacto (preferentemente electrónica) y, en su caso, la modalidad que se prefiera para acceder a la información solicitada.

La ley establece un plazo máximo de 20 días hábiles, desde la recepción de la solicitud por el órgano competente, para dictar y notificar la resolución. Este plazo podrá ampliarse por otro plazo igual en caso de que el volumen o la complejidad de la información solicitada lo requiera, previa notificación al solicitante.

Las resoluciones que concedan o denieguen el acceso deben notificarse al solicitante y a los terceros afectados que lo hayan solicitado. Las resoluciones denegatorias deben ser motivadas. En caso de estimación de la solicitud, la resolución puede:

✔️ Autorizar el acceso sin más.
✔️ Indicar expresamente al interesado que debe volver a solicitarlo, en el caso de que la información esté en fase de elaboración o publicación general.
✔️ Incluir una estimación del coste para la obtención de copias o para la transposición de la información a un formato diferente al original.

Si la resolución no se dicta y notifica en el plazo establecido, se entenderá que la solicitud ha sido desestimada por silencio administrativo.

Contra las resoluciones que resuelvan las solicitudes de acceso podrá interponerse una reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía, con carácter potestativo y previo a su impugnación en vía contencioso-administrativa. Esta reclamación tiene la consideración de sustitutiva de los recursos administrativos ordinarios.

2.6. El fomento de la transparencia

El Título V de la Ley 1/2014 (artículos 50 y 51) está dedicado al fomento de la transparencia, estableciendo las medidas que deben adoptarse para promover la cultura de la transparencia entre la ciudadanía y las entidades obligadas por la ley.

2.6.1. Medidas de fomento (Artículo 50)

La Administración de la Junta de Andalucía y sus entidades instrumentales promoverán una cultura de transparencia y publicarán de manera bianual un plan de actividades con medidas concretas para mejorar la transparencia. Entre las medidas de fomento que pueden incluirse en este plan, destacan:

🔹 Cursos de formación para empleados públicos.
🔹 Realización de actividades de formación, divulgación y difusión institucional.
🔹 Elaboración de actividades informativas para la ciudadanía.
🔹 Impulso de procesos de participación ciudadana electrónica.
🔹 Acceso a la información de colectivos con necesidades especiales.
🔹 Colaboración con el sector educativo.

2.6.2. Planificación y evaluación (Artículo 51)

Las entidades obligadas por la ley deben incorporar a sus instrumentos de planificación y evaluación la mejora continua en materia de transparencia. Además, los órganos de la Administración de la Junta de Andalucía con competencias en las materias de dirección, organización y personal, calidad de los servicios, modernización, administración electrónica, planificación estratégica y evaluación adoptarán las medidas necesarias para que la información derivada de sus actuaciones sea compartida, esté disponible y sea reutilizable.

3. RELACIÓN ENTRE LA LOPDGDD Y LA LEY DE TRANSPARENCIA PÚBLICA DE ANDALUCÍA

La relación entre la protección de datos personales y la transparencia pública es particularmente relevante, ya que a menudo se perciben como derechos potencialmente conflictivos: mientras que la transparencia busca el acceso a la información, la protección de datos trata de salvaguardar la privacidad de los individuos.

La LOPDGDD dedica su Disposición adicional segunda a la «Protección de datos y transparencia y acceso a la información pública», modificando la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. Esta modificación afecta al régimen de protección de datos personales en el ejercicio del derecho de acceso a la información pública.

Por su parte, la Ley 1/2014 de Transparencia Pública de Andalucía dedica su artículo 26 a la protección de datos personales, estableciendo que:

✅ Para la resolución de las solicitudes de acceso a la información pública que contengan datos personales, se estará a lo dispuesto en la normativa de protección de datos personales.
✅ Si la información contiene datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano, se concederá el acceso, salvo que prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos.
✅ Si la información incluye datos personales no especialmente protegidos, se podrá conceder el acceso previa ponderación del interés público en la divulgación de la información y los derechos de los afectados.
✅ Si la información incluye datos especialmente protegidos (como los relativos a la salud), el acceso solo se podrá autorizar con el consentimiento expreso del afectado o si está amparado por una norma con rango de ley.

En el ámbito sanitario, esta relación adquiere especial relevancia, ya que los datos de salud son considerados categorías especiales de datos que requieren un nivel reforzado de protección. El personal administrativo del SAS debe ser particularmente cuidadoso al gestionar solicitudes de acceso a información que contengan datos personales, especialmente si se trata de datos de salud.

4. APLICACIÓN PRÁCTICA EN EL ÁMBITO DEL SERVICIO ANDALUZ DE SALUD

Las normativas analizadas tienen una aplicación directa en el funcionamiento diario del Servicio Andaluz de Salud (SAS) y, particularmente, en la labor del personal administrativo.

4.1. Protección de datos en el SAS

El SAS, como responsable del tratamiento de datos personales de salud, debe aplicar rigurosamente los principios y garantías establecidos en la LOPDGDD. Entre las principales obligaciones destacan:

🔹 Designación de un Delegado de Protección de Datos (DPD): El SAS, como organismo público que trata datos de salud a gran escala, está obligado a designar un DPD.
🔹 Registro de actividades de tratamiento: El SAS debe mantener un registro de todas las actividades de tratamiento efectuadas bajo su responsabilidad.
🔹 Evaluación de impacto: Para tratamientos que entrañen un alto riesgo para los derechos y libertades de las personas físicas, el SAS debe realizar una evaluación de impacto relativa a la protección de datos.
🔹 Medidas de seguridad: El SAS debe implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
🔹 Notificación de violaciones de seguridad: En caso de violación de la seguridad de los datos, el SAS debe notificarlo a la Agencia Española de Protección de Datos y, en determinados casos, a los afectados.

El personal administrativo del SAS debe ser consciente de estas obligaciones y de la importancia de respetar los derechos de los pacientes en materia de protección de datos. En particular, debe conocer el procedimiento para atender las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición).

4.2. Transparencia en el SAS

El SAS, como entidad incluida en el ámbito de aplicación de la Ley 1/2014, está sujeto a las obligaciones de publicidad activa y debe garantizar el derecho de acceso a la información pública. Entre las principales obligaciones en materia de transparencia destacan:

🔹 Publicación de información institucional y organizativa: El SAS debe publicar información sobre su estructura, funciones, normativa aplicable, organigramas, etc.
🔹 Publicación de información sobre planificación: Planes y programas, objetivos, actividades, medios, tiempo previsto para su consecución, grado de cumplimiento y resultados.
🔹 Publicación de información sobre contratos, convenios y subvenciones: El SAS debe publicar información sobre contratos formalizados, convenios suscritos, subvenciones y ayudas públicas concedidas.
🔹 Publicación de información económica, financiera y presupuestaria: Presupuestos, cuentas anuales, auditorías, información sobre endeudamiento, etc.
🔹 Atención a las solicitudes de acceso a la información: El SAS debe tramitar las solicitudes de acceso a la información pública en los plazos y formas establecidos en la ley.

El personal administrativo del SAS debe conocer estas obligaciones y los procedimientos para su cumplimiento, especialmente en lo relativo a la tramitación de solicitudes de acceso a la información.

4.3. Equilibrio entre protección de datos y transparencia en el ámbito sanitario

El principal reto para el personal administrativo del SAS es encontrar el equilibrio adecuado entre la protección de los datos personales de los pacientes y la transparencia en la gestión pública sanitaria. Este equilibrio requiere una ponderación cuidadosa de los intereses en juego en cada caso concreto.

En general, cuando se trate de solicitudes de acceso a información que contenga datos de salud (considerados categorías especiales de datos), el acceso solo se podrá autorizar si existe consentimiento expreso del afectado o si está amparado por una norma con rango de ley.

Además, el personal administrativo debe tener en cuenta que existen supuestos en los que el acceso a la información puede estar limitado, como cuando afecte a la prevención, investigación y sanción de ilícitos penales, administrativos o disciplinarios, o cuando afecte a la garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión.

En caso de duda sobre cómo proceder ante una solicitud de acceso a información que contenga datos personales, el personal administrativo debe consultar al Delegado de Protección de Datos del SAS o a los servicios jurídicos de la entidad.

📝 CONCLUSIONES

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía, son dos normativas fundamentales que establecen el marco jurídico para la protección de datos personales y la transparencia en la actuación de los poderes públicos en Andalucía.

Ambas leyes responden a la necesidad de adaptación del marco jurídico a la nueva realidad tecnológica y al compromiso con la transparencia y buen gobierno. La LOPDGDD adapta el ordenamiento jurídico español al Reglamento General de Protección de Datos europeo y desarrolla aspectos específicos del mismo, ampliando su alcance mediante la regulación de los denominados «derechos digitales». Por su parte, la Ley 1/2014 complementa y desarrolla en el ámbito andaluz la legislación básica estatal en materia de transparencia.

La protección de datos personales y la transparencia pública son dos derechos fundamentales que, lejos de ser antagónicos, deben coexistir y complementarse. El reto para las administraciones públicas, y en particular para el Servicio Andaluz de Salud, es encontrar el equilibrio adecuado entre ambos derechos, garantizando tanto la protección de los datos personales como el acceso a la información pública.

El personal administrativo del SAS juega un papel crucial en este equilibrio, ya que en su actividad diaria gestiona información sensible de pacientes y, a la vez, debe garantizar la transparencia en su actividad administrativa. Para ello, es fundamental que conozca en profundidad ambas normativas y los procedimientos para su aplicación práctica.

En definitiva, la protección de datos personales y la transparencia pública son dos pilares fundamentales del Estado de Derecho en la era digital, que contribuyen a la confianza de la ciudadanía en las instituciones públicas y al respeto de los derechos fundamentales.

📋 CASOS PRÁCTICOS

A continuación, se presentan algunos casos prácticos que ilustran la aplicación de las normativas estudiadas en situaciones cotidianas del ámbito sanitario:

Caso Práctico 1: Solicitud de acceso a historia clínica

Un paciente solicita acceder a su historia clínica completa. El personal administrativo del SAS debe tramitar esta solicitud aplicando tanto la LOPDGDD como la normativa específica sobre historias clínicas (Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica).

El paciente tiene derecho a acceder a la documentación de su historia clínica y a obtener una copia de los datos que figuran en ella. El acceso a la historia clínica por parte del paciente no incluye las anotaciones subjetivas de los profesionales (salvo que se garantice el derecho de anonimización de los profesionales) ni los datos de terceras personas.

El personal administrativo debe verificar la identidad del solicitante y proporcionarle la información solicitada en el plazo máximo establecido por la normativa.

Caso Práctico 2: Publicación de contratos del SAS

El SAS adjudica un contrato para la adquisición de material sanitario. En cumplimiento de sus obligaciones de publicidad activa, debe publicar información sobre este contrato en su Portal de Transparencia. La información a publicar incluirá el objeto, duración, importe de licitación y de adjudicación, procedimiento utilizado para su celebración, instrumentos a través de los que, en su caso, se ha publicitado, número de licitadores participantes en el procedimiento e identidad del adjudicatario.

Sin embargo, si el contrato contiene datos personales, deberán aplicarse los límites establecidos en la normativa de protección de datos. Por ejemplo, si el contrato incluye datos identificativos de personas físicas, estos datos podrán publicarse si están relacionados con la organización, funcionamiento o actividad pública del órgano. Si contiene otros datos personales, deberá ponderarse el interés público en la divulgación de la información y los derechos de los afectados.

Caso Práctico 3: Gestión de una brecha de seguridad

Se detecta un acceso no autorizado a la base de datos de pacientes del SAS. Según la LOPDGDD, el SAS, como responsable del tratamiento, debe notificar esta brecha de seguridad a la Agencia Española de Protección de Datos sin dilación indebida y, a más tardar, en las 72 horas siguientes a que haya tenido constancia de ella.

Además, si la brecha supone un alto riesgo para los derechos y libertades de los afectados, el SAS deberá comunicar la brecha a los pacientes afectados sin dilación indebida, describiendo en un lenguaje claro y sencillo la naturaleza de la violación, las posibles consecuencias y las medidas adoptadas o propuestas para remediar o mitigar los posibles efectos negativos.

El personal administrativo debe conocer el protocolo interno del SAS para la gestión de brechas de seguridad y colaborar en su correcta aplicación.

Caso Práctico 4: Solicitud de acceso a información sobre listas de espera

Un ciudadano solicita información sobre las listas de espera quirúrgicas en un hospital del SAS. Esta solicitud debe tramitarse conforme a la Ley 1/2014 de Transparencia Pública de Andalucía. La información solicitada es de interés público y debería ser accesible, siempre que se presente de forma agregada y anonimizada, sin incluir datos personales de los pacientes.

El personal administrativo debe tramitar esta solicitud, recabar la información solicitada (en forma agregada y anonimizada) y proporcionarla al solicitante en el plazo máximo de 20 días hábiles, ampliables por otros 20 si el volumen o la complejidad de la información lo requiere.

❓ CUESTIONARIO DE PREGUNTAS

Pregunta 1 (Actualizada 2025)

¿Qué normativa adapta la Ley Orgánica 3/2018, de 5 de diciembre, al ordenamiento jurídico español?

A) El Reglamento (UE) 2018/1725.

B) La Directiva (UE) 2016/680.

C) El Reglamento (UE) 2016/679 (RGPD).

D) La Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno.

✅ Respuesta correcta: C

📌 Explicación: La Ley Orgánica 3/2018 tiene como objetivo adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679, conocido como Reglamento General de Protección de Datos (RGPD), y completar sus disposiciones. Las demás opciones hacen referencia a otras normativas europeas que no son el objeto principal de adaptación de la LOPDGDD.

📌 Referencia normativa: Artículo 1.a) de la LOPDGDD.

Pregunta 2 (Actualizada 2025)

Según la LOPDGDD, ¿a partir de qué edad pueden los menores consentir el tratamiento de sus datos personales?

A) 18 años.

B) 16 años.

C) 14 años.

D) 12 años.

✅ Respuesta correcta: C

📌 Explicación: El artículo 7 de la LOPDGDD establece que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años. Para los menores de esa edad, se requerirá el consentimiento del titular de la patria potestad o tutela.

📌 Referencia normativa: Artículo 7 de la LOPDGDD.

Pregunta 3 (Actualizada 2025)

¿Cuál de las siguientes categorías NO se considera «categoría especial de datos» según la LOPDGDD?

A) Datos biométricos dirigidos a identificar de manera unívoca a una persona física.

B) Datos relativos a la salud.

C) Datos de contacto profesional.

D) Datos que revelen la orientación sexual de una persona física.

✅ Respuesta correcta: C

📌 Explicación: Los datos de contacto profesional no están incluidos en las categorías especiales de datos enumeradas en el artículo 9 de la LOPDGDD. Las categorías especiales incluyen datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual.

📌 Referencia normativa: Artículo 9 de la LOPDGDD y artículo 19 sobre tratamiento de datos de contacto.

Pregunta 4 (Actualizada 2025)

¿Qué derecho de la LOPDGDD permite al afectado recibir los datos personales que haya facilitado a un responsable en un formato estructurado, de uso común y lectura mecánica?

A) Derecho de acceso.

B) Derecho de portabilidad.

C) Derecho de supresión.

D) Derecho de rectificación.

✅ Respuesta correcta: B

📌 Explicación: El derecho a la portabilidad, recogido en el artículo 17 de la LOPDGDD, permite al afectado recibir los datos personales que haya facilitado a un responsable en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable cuando el tratamiento esté basado en el consentimiento o en un contrato y se efectúe por medios automatizados.

📌 Referencia normativa: Artículo 17 de la LOPDGDD.

Pregunta 5 (Actualizada 2025)

¿Qué principio de la Ley 1/2014 de Transparencia Pública de Andalucía presume el carácter público de la información en poder de las entidades incluidas en el ámbito de aplicación de dicha ley?

A) Principio de publicidad activa.

B) Principio de transparencia.

C) Principio de libre acceso a la información pública.

D) Principio de veracidad.

✅ Respuesta correcta: B

📌 Explicación: El principio de transparencia, establecido en el artículo 6.a) de la Ley 1/2014, presume el carácter público de la información en poder de las entidades incluidas en el ámbito de aplicación de la ley. Solo se denegará el acceso a la información pública en los supuestos expresamente previstos en las leyes.

📌 Referencia normativa: Artículo 6.a) de la Ley 1/2014.

Pregunta 6 (Actualizada 2025)

Según la Ley 1/2014 de Transparencia Pública de Andalucía, ¿con qué periodicidad general debe actualizarse la información pública objeto de publicidad activa?

A) Mensualmente.

B) Trimestralmente.

C) Semestralmente.

D) Anualmente.

✅ Respuesta correcta: B

📌 Explicación: Según el artículo 9.7 de la Ley 1/2014, toda la información pública objeto de publicidad activa se publicará y actualizará, con carácter general, trimestralmente, salvo que la normativa específica establezca otros plazos atendiendo a las peculiaridades propias de la información de que se trate.

📌 Referencia normativa: Artículo 9.7 de la Ley 1/2014.

Pregunta 7 (Actualizada 2025)

¿Qué plazo máximo establece la Ley 1/2014 para dictar y notificar la resolución en los procedimientos de acceso a la información pública?

A) 10 días hábiles.

B) 15 días hábiles.

C) 20 días hábiles.

D) 30 días hábiles.

✅ Respuesta correcta: C

📌 Explicación: Según el artículo 32 de la Ley 1/2014, las solicitudes de acceso a la información pública deberán resolverse y notificarse en el menor plazo posible. En todo caso, el plazo máximo para dictar y notificar la resolución será de 20 días hábiles desde la recepción de la solicitud por el órgano competente para resolver. Este plazo podrá ampliarse por igual período en el caso de que el volumen o la complejidad de la información solicitada lo requiera.

📌 Referencia normativa: Artículo 32 de la Ley 1/2014.

Pregunta 8 (Actualizada 2025)

¿Qué efecto tiene el silencio administrativo en las solicitudes de acceso a la información pública según la Ley 1/2014?

A) Estimatorio.

B) Desestimatorio.

C) Caducidad del procedimiento.

D) Prórroga automática del plazo para resolver.

✅ Respuesta correcta: B

📌 Explicación: Según el artículo 32.4 de la Ley 1/2014, transcurrido el plazo máximo para resolver sin que se haya dictado y notificado resolución expresa, se entenderá que la solicitud ha sido desestimada. Es decir, el silencio administrativo tiene efecto desestimatorio.

📌 Referencia normativa: Artículo 32.4 de la Ley 1/2014.

Pregunta 9 (Actualizada 2025)

¿Cuál de los siguientes órganos tiene atribuida la competencia para conocer de las reclamaciones contra las resoluciones en materia de acceso a la información pública en el ámbito de Andalucía?

A) El Tribunal Superior de Justicia de Andalucía.

B) La Comisión de Transparencia y Protección de Datos.

C) El Consejo de Transparencia y Protección de Datos de Andalucía.

D) El Defensor del Pueblo Andaluz.

✅ Respuesta correcta: C

📌 Explicación: Según el artículo 33 de la Ley 1/2014, contra las resoluciones expresas o presuntas en materia de acceso a la información pública podrá interponerse reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía, con carácter potestativo y previo a su impugnación en vía contencioso-administrativa.

📌 Referencia normativa: Artículo 33 de la Ley 1/2014.

Pregunta 10 (Actualizada 2025)

¿Qué obligación establece la LOPDGDD para las entidades del sector público respecto al registro de actividades de tratamiento?

A) Mantenerlo privado y confidencial.

B) Comunicarlo anualmente a la Agencia Española de Protección de Datos.

C) Hacerlo público y accesible por medios electrónicos.

D) Revisarlo cada dos años.

✅ Respuesta correcta: C

📌 Explicación: Según el artículo 31 de la LOPDGDD, los sujetos enumerados en el artículo 77.1 (que incluye las entidades del sector público) harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos, en el que constará la información establecida en el artículo 30 del RGPD y su base legal.

📌 Referencia normativa: Artículo 31 de la LOPDGDD.

Pregunta 11 (Actualizada 2025)

¿Qué principio de protección de datos se vulneraría si un responsable del tratamiento del SAS mantuviera datos personales inexactos de pacientes?

A) Principio de confidencialidad.

B) Principio de licitud.

C) Principio de exactitud.

D) Principio de transparencia.

✅ Respuesta correcta: C

📌 Explicación: El principio de exactitud, recogido en el artículo 4 de la LOPDGDD, establece que los datos personales serán exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

📌 Referencia normativa: Artículo 4 de la LOPDGDD.

Pregunta 12 (Actualizada 2025)

Según la Ley 1/2014 de Transparencia Pública de Andalucía, cuando la información solicitada contenga datos relativos a la salud de una persona, ¿en qué caso se podrá autorizar el acceso?

A) En ningún caso, por tratarse de datos especialmente protegidos.

B) Siempre que el solicitante tenga un interés legítimo.

C) Solo si se cuenta con el consentimiento expreso del afectado o si está amparado por una norma con rango de ley.

D) Siempre que la información se presente de forma anónima o agregada.

✅ Respuesta correcta: C

📌 Explicación: Según el artículo 26.3 de la Ley 1/2014, si la información solicitada contiene datos sobre la salud de una persona (entre otros datos especialmente protegidos), el acceso solo se podrá autorizar si se cuenta con el consentimiento expreso del afectado o si aquel está amparado por una norma con rango de ley.

📌 Referencia normativa: Artículo 26.3 de la Ley 1/2014.

Pregunta 13 (Actualizada 2025)

¿Qué órgano ejerce las funciones de autoridad de control en materia de protección de datos en Andalucía?

A) La Agencia Española de Protección de Datos.

B) El Consejo de Transparencia y Protección de Datos de Andalucía.

C) La Consejería de Presidencia, Interior, Diálogo Social y Simplificación Administrativa.

D) La Dirección General de Transformación Digital de la Junta de Andalucía.

✅ Respuesta correcta: B

📌 Explicación: Conforme a la Ley 1/2014 y las competencias asumidas posteriormente en materia de protección de datos, el Consejo de Transparencia y Protección de Datos de Andalucía ejerce las funciones de autoridad de control en materia de protección de datos en Andalucía. Según la Orden de 1 de agosto de 2019, el Consejo asumió las funciones en materia de protección de datos de carácter personal.

📌 Referencia normativa: Ley 1/2014 y Orden de 1 de agosto de 2019, por la que se determina el inicio del ejercicio de las funciones en materia de protección de datos de carácter personal por el Consejo de la Transparencia y Protección de Datos de Andalucía.

Pregunta 14 (Actualizada 2025)

En el contexto del SAS, ¿qué tipo de datos personales requieren un nivel reforzado de protección según la LOPDGDD?

A) Los datos identificativos básicos (nombre y apellidos).

B) Los datos de contacto (teléfono y dirección).

C) Los datos de salud de los pacientes.

D) Los datos profesionales del personal sanitario.

✅ Respuesta correcta: C

📌 Explicación: Los datos de salud están considerados como categorías especiales de datos según el artículo 9 de la LOPDGDD, y requieren un nivel reforzado de protección. El tratamiento de estos datos está prohibido, salvo en los casos previstos en el RGPD, como cuando el tratamiento es necesario para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria.

📌 Referencia normativa: Artículo 9 de la LOPDGDD.

Pregunta 15 (Actualizada 2025)

Según la LOPDGDD, ¿qué obligación tiene el SAS en caso de una violación de la seguridad de los datos personales que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales de pacientes?

A) Notificar la violación a la autoridad de control competente sin dilación indebida y, a más tardar, en las 72 horas siguientes a que haya tenido constancia de ella.

B) Realizar una auditoría interna, sin obligación de notificar a ninguna autoridad externa.

C) Publicar un aviso en su página web informando de la brecha de seguridad.

D) Esperar 30 días para evaluar el impacto de la brecha antes de tomar cualquier medida.

✅ Respuesta correcta: A

📌 Explicación: Según el artículo 33 del RGPD, aplicable en virtud de la LOPDGDD, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento debe notificarla a la autoridad de control competente sin dilación indebida y, a más tardar, en las 72 horas siguientes a que haya tenido constancia de ella, a menos que sea improbable que dicha violación constituya un riesgo para los derechos y libertades de las personas físicas.

📌 Referencia normativa: Artículo 33 del RGPD, aplicable en virtud de la LOPDGDD.

Pregunta 16 (Actualizada 2025)

¿Qué medida de fomento de la transparencia debe adoptar la Administración de la Junta de Andalucía según la Ley 1/2014?

A) Realizar una auditoría externa cada año.

B) Publicar de manera bianual un plan de actividades con medidas concretas para mejorar la transparencia.

C) Crear un departamento específico de transparencia en cada consejería.

D) Establecer un registro público de solicitudes de acceso a la información.

✅ Respuesta correcta: B

📌 Explicación: Según el artículo 50.1 de la Ley 1/2014, la Administración de la Junta de Andalucía y sus entidades instrumentales promoverán una cultura de transparencia y publicarán de manera bianual un plan de actividades con medidas concretas para mejorar la transparencia.

📌 Referencia normativa: Artículo 50.1 de la Ley 1/2014.

Pregunta 17 (Actualizada 2025)

¿Cuál de las siguientes afirmaciones sobre el derecho de acceso a la historia clínica en el SAS es correcta según la normativa vigente?

A) Solo los médicos pueden acceder a la historia clínica.

B) Los pacientes no tienen derecho a acceder a su historia clínica por razones de confidencialidad.

C) Los pacientes tienen derecho a acceder a la documentación de su historia clínica y a obtener una copia de los datos que figuran en ella, incluyendo siempre las anotaciones subjetivas de los profesionales.

D) Los pacientes tienen derecho a acceder a la documentación de su historia clínica y a obtener una copia de los datos que figuran en ella, pero no incluye las anotaciones subjetivas de los profesionales salvo que se garantice el derecho de anonimización de estos.

✅ Respuesta correcta: D

📌 Explicación: Según la Ley 41/2002, básica reguladora de la autonomía del paciente, en consonancia con la LOPDGDD, los pacientes tienen derecho a acceder a la documentación de su historia clínica y a obtener una copia de los datos que figuran en ella. Sin embargo, este derecho no incluye el acceso a las anotaciones subjetivas de los profesionales, salvo que se garantice el derecho de anonimización de estos, ni a los datos de terceras personas.

📌 Referencia normativa: Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, en consonancia con la LOPDGDD.

Pregunta 18 (Actualizada 2025)

Según la Ley 1/2014, ¿qué información debe publicar el SAS sobre los contratos que celebre?

A) Solo la identidad del adjudicatario.

B) Solo el importe de licitación y adjudicación.

C) Solo el procedimiento utilizado para su celebración.

D) El objeto, duración, importe de licitación y de adjudicación, procedimiento utilizado, instrumentos de publicidad, número de licitadores e identidad del adjudicatario, entre otros datos.

✅ Respuesta correcta: D

📌 Explicación: Según el artículo 15.a) de la Ley 1/2014, las entidades incluidas en el ámbito de aplicación de la ley (entre ellas el SAS) deben publicar información sobre todos los contratos, con indicación del objeto, duración, importe de licitación y de adjudicación, procedimiento utilizado para su celebración, instrumentos a través de los que, en su caso, se ha publicitado, número de licitadores participantes en el procedimiento e identidad del adjudicatario, así como las modificaciones y prórrogas del contrato y la indicación de los procedimientos que han quedado desiertos, los supuestos de resolución de contrato o declaración de nulidad, así como los casos de posibles revisiones de precios y cesión de contratos.

📌 Referencia normativa: Artículo 15.a) de la Ley 1/2014.

Pregunta 19 (Actualizada 2025)

¿Qué plazo de conservación establece la LOPDGDD para los datos personales?

A) Un máximo de 5 años en todos los casos.

B) Un máximo de 10 años en todos los casos.

C) Los datos personales serán conservados durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.

D) No establece ningún plazo específico, dejándolo a criterio del responsable del tratamiento.

✅ Respuesta correcta: C

📌 Explicación: La LOPDGDD, en consonancia con el principio de limitación del plazo de conservación del RGPD, establece que los datos personales serán conservados durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Una vez cumplida la finalidad, los datos deben ser suprimidos.

📌 Referencia normativa: Principio de limitación del plazo de conservación del RGPD, aplicable en virtud de la LOPDGDD.

Pregunta 20 (Actualizada 2025)

En relación con la protección de datos en el SAS, ¿qué figura tiene la obligación de asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de datos personales?

A) El Consejo de Transparencia y Protección de Datos de Andalucía.

B) El Delegado de Protección de Datos.

C) La Agencia Española de Protección de Datos.

D) El Comité de Seguridad de la Información.

✅ Respuesta correcta: B

📌 Explicación: Según el artículo 39 del RGPD, aplicable en virtud de la LOPDGDD, el Delegado de Protección de Datos tiene entre sus funciones asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de sus obligaciones en materia de protección de datos. El SAS, como organismo público que trata datos de salud a gran escala, está obligado a designar un Delegado de Protección de Datos.

📌 Referencia normativa: Artículo 39 del RGPD y artículos 34 a 37 de la LOPDGDD.

🔍 MAPA CONCEPTUAL

🔒 PROTECCIÓN DE DATOS Y TRANSPARENCIA PÚBLICA
│
├── 📋 LEY ORGÁNICA 3/2018 (LOPDGDD)
│   │
│   ├── 📑 DISPOSICIONES GENERALES
│   │   ├── Objeto y ámbito de aplicación
│   │   ├── Adaptación al RGPD (Reglamento UE 2016/679)
│   │   └── Exclusiones (personas fallecidas, etc.)
│   │
│   ├── 📏 PRINCIPIOS DE PROTECCIÓN DE DATOS
│   │   ├── Exactitud de los datos
│   │   ├── Deber de confidencialidad
│   │   ├── Consentimiento del afectado
│   │   ├── Consentimiento de menores (>14 años)
│   │   ├── Tratamientos basados en obligación legal/interés público
│   │   ├── Categorías especiales de datos (salud, etc.)
│   │   └── Tratamiento de datos de naturaleza penal
│   │
│   └── 👤 DERECHOS DE LAS PERSONAS
│       ├── Transparencia e información
│       ├── Derecho de acceso
│       ├── Derecho de rectificación
│       ├── Derecho de supresión ("derecho al olvido")
│       ├── Derecho a la limitación del tratamiento
│       ├── Derecho a la portabilidad
│       └── Derecho de oposición
│
├── 🔎 LEY 1/2014 DE TRANSPARENCIA PÚBLICA DE ANDALUCÍA
│   │
│   ├── 📊 PRINCIPIOS BÁSICOS
│   │   ├── Principio de transparencia
│   │   ├── Principio de libre acceso
│   │   ├── Principio de responsabilidad
│   │   ├── Principio de no discriminación tecnológica
│   │   ├── Principio de veracidad
│   │   ├── Principio de utilidad
│   │   ├── Principio de gratuidad
│   │   ├── Principio de facilidad y comprensión
│   │   ├── Principio de accesibilidad
│   │   ├── Principio de interoperabilidad
│   │   └── Principio de reutilización
│   │
│   ├── 📝 DERECHOS Y OBLIGACIONES
│   │   ├── Derecho a la publicidad activa
│   │   ├── Derecho de acceso a la información pública
│   │   ├── Derecho a obtener resolución motivada
│   │   ├── Derecho al uso de la información obtenida
│   │   └── Obligaciones (buena fe, concreción, etc.)
│   │
│   ├── 📢 PUBLICIDAD ACTIVA
│   │   ├── Información institucional y organizativa
│   │   ├── Información sobre altos cargos
│   │   ├── Información sobre planificación
│   │   ├── Información de relevancia jurídica
│   │   ├── Información sobre procedimientos
│   │   ├── Información sobre contratos y subvenciones
│   │   └── Información económica y presupuestaria
│   │
│   ├── 🔓 DERECHO DE ACCESO A LA INFORMACIÓN
│   │   ├── Concepto y límites
│   │   ├── Protección de datos personales como límite
│   │   ├── Procedimiento de acceso (solicitud)
│   │   ├── Plazo de resolución (20 días hábiles)
│   │   ├── Silencio administrativo (desestimatorio)
│   │   └── Reclamaciones (Consejo de Transparencia)
│   │
│   └── 📈 FOMENTO DE LA TRANSPARENCIA
│       ├── Plan bianual de actividades
│       ├── Formación para empleados públicos
│       ├── Divulgación y difusión institucional
│       └── Evaluación y mejora continua
│
└── 🏥 APLICACIÓN EN EL SAS
    │
    ├── 🛡️ Protección de datos de salud (categoría especial)
    ├── 📊 Publicación proactiva de información
    ├── 🔄 Equilibrio entre protección de datos y transparencia
    ├── 📋 Gestión de historias clínicas
    ├── 📝 Tramitación de solicitudes de acceso
    └── 🔐 Notificación de brechas de seguridad

📚 REFERENCIAS NORMATIVAS Y BIBLIOGRÁFICAS

Referencias Normativas y Bibliográficas (Actualizadas 2025)

1. Normativa europea

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos – RGPD). DOUE núm. 119, de 4 de mayo de 2016.
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos. DOUE núm. 119, de 4 de mayo de 2016.
Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. DOUE núm. 295, de 21 de noviembre de 2018.
Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos (Reglamento de Gobernanza de Datos). DOUE núm. 152, de 3 de junio de 2022.
Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales (Reglamento de Servicios Digitales). DOUE núm. 277, de 27 de octubre de 2022.

2. Normativa estatal básica

Constitución Española. BOE núm. 311, de 29 de diciembre de 1978. Artículo 18.4 (derecho a la protección de datos) y artículo 105.b (acceso a archivos y registros administrativos).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). BOE núm. 294, de 6 de diciembre de 2018. Texto consolidado con actualizaciones hasta febrero de 2025.
Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. BOE núm. 295, de 10 de diciembre de 2013. Texto consolidado con actualizaciones hasta enero de 2025.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. BOE núm. 106, de 4 de mayo de 2022.
Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos. BOE núm. 131, de 2 de junio de 2021.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en los aspectos no derogados por la LOPDGDD). BOE núm. 17, de 19 de enero de 2008.

3. Normativa autonómica de Andalucía

Estatuto de Autonomía para Andalucía. Ley Orgánica 2/2007, de 19 de marzo, de reforma del Estatuto de Autonomía para Andalucía. Artículos 10.1, 31, 34 y 138. BOE núm. 68, de 20 de marzo de 2007.
Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía. BOJA núm. 124, de 30 de junio de 2014. Texto consolidado con actualizaciones hasta febrero de 2025.
Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía. BOJA núm. 193, de 2 de octubre de 2015. Modificado por el Decreto 112/2021, de 2 de marzo.
Orden de 1 de agosto de 2019, por la que se determina el inicio del ejercicio de las funciones en materia de protección de datos de carácter personal por el Consejo de Transparencia y Protección de Datos de Andalucía. BOJA núm. 150, de 6 de agosto de 2019.
Decreto 289/2015, de 21 de julio, por el que se regula la organización administrativa en materia de transparencia pública en el ámbito de la Administración de la Junta de Andalucía y sus entidades instrumentales. BOJA núm. 152, de 6 de agosto de 2015.
Acuerdo de 28 de mayo de 2020, de la Comisión General de Viceconsejeros y Viceconsejeras, por el que se aprueban las directrices para la confección de los planes operativos previstos en el artículo 42.1 de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía. BOJA núm. 110, de 10 de junio de 2020.
Resolución de 20 de septiembre de 2023, del Consejo de Transparencia y Protección de Datos de Andalucía, por la que se aprueba el Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2023-2025. BOJA núm. 186, de 27 de septiembre de 2023.
Decreto-ley 3/2024, de 6 de febrero, por el que se modifican diversas normas en materia de función pública (modifica el artículo 10.1.d de la Ley 1/2014 de Transparencia Pública de Andalucía). BOJA núm. 29, de 12 de febrero de 2024.

4. Normativa de modificaciones y desarrollo

Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (modifica la LOPDGDD). BOE núm. 44, de 21 de febrero de 2023.
Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (modifica la LOPDGDD). BOE núm. 126, de 27 de mayo de 2021.
Ley Orgánica 1/2023, de 28 de febrero, de modificación de la Ley Orgánica 2/2010, de 3 de marzo, de salud sexual y reproductiva y de la interrupción voluntaria del embarazo (modifica indirectamente aspectos relacionados con datos de salud). BOE núm. 50, de 28 de febrero de 2023.
Ley 5/2023, de 7 de junio, de la Función Pública de Andalucía. BOJA núm. 112, de 14 de junio de 2023.
Ley 4/2024, de 5 de febrero, de modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, para la mejora del sistema de transparencia estatal y adaptación a las nuevas formas de toma de conocimiento de hechos y datos. BOE núm. 32, de 6 de febrero de 2024.

5. Normativa relacionada con el ámbito sanitario

Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. BOE núm. 274, de 15 de noviembre de 2002. Actualizada por última vez en marzo de 2023.
Ley 2/1998, de 15 de junio, de Salud de Andalucía. BOJA núm. 74, de 4 de julio de 1998. Texto consolidado con modificaciones hasta 2023.
Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud. BOE núm. 128, de 29 de mayo de 2003. Actualizada en 2023.
Decreto 197/2007, de 3 de julio, por el que se regula la estructura, organización y funcionamiento de los servicios de atención primaria de salud en el ámbito del Servicio Andaluz de Salud. BOJA núm. 140, de 17 de julio de 2007.
Decreto 105/1986, de 11 de junio, sobre ordenación de asistencia sanitaria especializada y órganos de dirección de los hospitales. BOJA núm. 61, de 24 de junio de 1986. Modificado por el Decreto 462/1996, de 8 de octubre.
Decreto 96/2020, de 7 de julio, por el que se regula la estructura orgánica de la Consejería de Salud y Familias y del Servicio Andaluz de Salud. BOJA núm. 133, de 13 de julio de 2020.
Resolución de 10 de enero de 2023, de la Dirección Gerencia del Servicio Andaluz de Salud, por la que se aprueba el Plan de Seguridad y Privacidad de los Sistemas de Información del Servicio Andaluz de Salud 2023-2025. No publicado en BOJA (documento interno del SAS).
Orden de 3 de mayo de 2024, por la que se regula el acceso a la historia clínica electrónica en el ámbito del Sistema Sanitario Público de Andalucía. BOJA núm. 90, de 12 de mayo de 2024.

6. Bibliografía doctrinal actualizada (2020-2025)

PIÑAR MAÑAS, J. L. (dir.) (2021). La protección de datos en la era digital. Retos para la sociedad y para el derecho. Madrid: Dykinson.
TRONCOSO REIGADA, A. (dir.) (2021). Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Madrid: Civitas. 2ª edición.
RALLO LOMBARTE, A. (2023). Tratado de Protección de Datos y Garantía de los Derechos Digitales. Valencia: Tirant lo Blanch.
LÓPEZ CALVO, J. (2022). Protección de datos personales: adaptada al RGPD y a la LOPDGDD. Madrid: Sepín Editorial Jurídica.
GAMERO CASADO, E. y FERNÁNDEZ RAMOS, S. (2024). Manual Básico de Derecho Administrativo. Madrid: Tecnos. 20ª edición.
GUICHOT REINA, E. y BARRERO RODRÍGUEZ, C. (2023). El derecho de acceso a la información pública. Madrid: Aranzadi.
CAMPOS ACUÑA, C. (2022). Comentarios a la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno. Madrid: Wolters Kluwer. 2ª edición.
VALERO TORRIJOS, J. (coord.) (2021). La transformación digital de la administración pública: innovación legal y gobernanza de la tecnología. Madrid: Aranzadi.
SÁNCHEZ CARAZO, C. (2023). La protección de datos en el ámbito sanitario: derechos de los pacientes y obligaciones del sector sanitario. Madrid: Díaz de Santos. 4ª edición.
CANTERO MARTÍNEZ, J. (2022). La historia clínica: acceso, confidencialidad y protección de datos. Cizur Menor: Aranzadi.
ARENAS RAMIRO, M. y ORTEGA GIMÉNEZ, A. (coords.) (2022). Protección de datos: comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales en relación con el RGPD. Madrid: Sepín Editorial Jurídica.
GIL GONZÁLEZ, E. (2021). Big Data, privacidad y protección de datos. Madrid: Agencia Española de Protección de Datos y Agencia Estatal Boletín Oficial del Estado.
MIRALLES LÓPEZ, R. y GARCÍA SÁIZ, D. (2024). Inteligencia artificial y protección de datos en el sector público: guía para administraciones públicas. Madrid: INAP.
MARTÍNEZ MARTÍNEZ, R. (2022). El derecho fundamental a la protección de datos: perspectivas. Madrid: Wolters Kluwer.
GÓMEZ SÁNCHEZ, Y. (2022). Constitucionalismo multinivel: derechos fundamentales. 5ª edición. Madrid: Sanz y Torres.

7. Artículos académicos recientes (2023-2025)

GALLARDO ORTIZ, M.A. (2023). «Transparencia administrativa y protección de datos personales: una convivencia compleja en el ámbito sanitario». Revista de Administración Sanitaria, 5(2), pp. 189-204.
PÉREZ GÁLVEZ, J.F. (2024). «El acceso a la historia clínica: limitaciones derivadas de la confidencialidad y la protección de datos personales». Revista Derecho y Salud, 34(1), pp. 67-89.
GARCÍA FERNÁNDEZ, M.L. (2022). «Los derechos digitales en la Ley Orgánica 3/2018, de Protección de Datos Personales y de garantía de los derechos digitales». Asamblea: Revista Parlamentaria de la Asamblea de Madrid, (42), pp. 69-97.
TERRÓN SANTOS, D. (2023). «El impacto de la IA en la legislación de protección de datos personales y derechos digitales: nuevos retos y perspectivas». Revista General de Derecho Administrativo, 62, pp. 1-28.
GUICHOT REINA, E. (2024). «Diez años de aplicación de la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno: balance y propuestas de reforma». Revista Española de Derecho Administrativo, 221, pp. 11-56.
MARTÍNEZ NADAL, A. (2024). «La adaptación de la normativa de protección de datos a la nueva realidad digital: una tarea inacabada». Revista de Derecho y Nuevas Tecnologías, 15, pp. 35-59.
ORTEGA EXPÓSITO, P. (2023). «La protección de datos personales en el Servicio Andaluz de Salud: problemas prácticos y soluciones». Revista Andaluza de Administración Pública, 116, pp. 223-256.

8. Recursos electrónicos y portales web oficiales

Agencia Española de Protección de Datos (AEPD): https://www.aepd.es. Portal oficial con guías, herramientas, resoluciones y criterios interpretativos actualizados.
Consejo de Transparencia y Protección de Datos de Andalucía: https://www.ctpdandalucia.es. Repositorio de resoluciones, dictámenes y guías específicas para Andalucía.
Portal de Transparencia de la Junta de Andalucía: https://www.juntadeandalucia.es/transparencia. Acceso a toda la información pública de la Junta de Andalucía.
Servicio Andaluz de Salud (SAS): https://www.sspa.juntadeandalucia.es/servicioandaluzdesalud. Información institucional, organizativa y publicidad activa.
Portal de la Transparencia del Gobierno de España: https://transparencia.gob.es. Portal estatal de transparencia con normativa, guías y acceso a información pública.
Comité Europeo de Protección de Datos (EDPB): https://edpb.europa.eu/edpb_es. Directrices, dictámenes y decisiones a nivel europeo.
EUR-Lex: https://eur-lex.europa.eu. Portal de acceso al Derecho de la Unión Europea.
Base de datos de legislación (BOE): https://www.boe.es/buscar/legislacion.php. Textos consolidados de toda la normativa estatal.
Observatorio de Protección de Datos: https://www.protecciondatos-observatory.es. Repositorio especializado con jurisprudencia y doctrina actualizada.
Portal de Transparencia y Protección de Datos del SAS: https://www.sspa.juntadeandalucia.es/servicioandaluzdesalud/profesionales/recursos-para-profesionales/proteccion-de-datos. Recursos específicos para profesionales del SAS en materia de protección de datos.

9. Documentos técnicos y guías prácticas (2022-2025)

Agencia Española de Protección de Datos (2023). Guía para pacientes y usuarios de la sanidad. Madrid: AEPD.
Consejo de Transparencia y Protección de Datos de Andalucía (2024). Guía de Aplicación de la Ley 1/2014 en el Ámbito Sanitario. Sevilla: CTPDA.
Servicio Andaluz de Salud (2023). Protocolo de actuación ante ejercicios de derechos en materia de protección de datos. Sevilla: SAS.
Agencia Española de Protección de Datos (2024). Guía práctica para las evaluaciones de impacto en la protección de los datos. Madrid: AEPD.
Consejo de Transparencia y Protección de Datos de Andalucía (2025). Criterios interpretativos sobre publicidad activa y derecho de acceso. Sevilla: CTPDA.
Comité Europeo de Protección de Datos (2023). Directrices 01/2023 sobre el uso de datos personales en el desarrollo y entrenamiento de sistemas de IA. Bruselas: EDPB.
Servicio Andaluz de Salud (2024). Manual para la gestión de brechas de seguridad que afecten a datos personales. Sevilla: SAS.
Agencia Española de Protección de Datos (2025). El impacto de la Inteligencia Artificial en la Sanidad: perspectiva desde la protección de datos. Madrid: AEPD.