OposAs / Categorías SAS / Volver a Técnico/a Especialista en Informática / Tema 38

Tema 38. La legislación de protección de datos de carácter personal. Normativa europea y estatal: el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Evaluación de Impacto en la Protección de Datos.

Tema específico de Técnico/a Especialista en Informática
Probar demo gratis

1. La legislación de protección de datos de carácter personal

🎯 Idea clave

  • La legislación de protección de datos en España se fundamenta en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y en la Ley Orgánica 3/2018, que adapta el ordenamiento jurídico español a este marco normativo.
  • Esta normativa regula el derecho fundamental a la protección de datos personales, reconocido en el artículo 18.4 de la Constitución Española.
  • La Ley Orgánica 3/2018 complementa el RGPD, desarrollando aspectos que el Reglamento deja a la discrecionalidad de los Estados miembros y añadiendo un catálogo de derechos digitales.
  • El ámbito de aplicación incluye tanto el tratamiento automatizado como el no automatizado de datos personales, siempre que estos estén estructurados.
  • La normativa establece un sistema coordinado entre la norma europea, la ley orgánica española y la normativa sectorial aplicable, evitando una mera superposición de textos.
  • La protección de datos se extiende también a los datos de personas fallecidas, regulando su tratamiento en el marco legal español.

📚 Desarrollo

Base constitucional. La protección de datos personales en España encuentra su fundamento en el artículo 18.4 de la Constitución Española, que garantiza el derecho a la intimidad y limita el uso de la informática para preservar el honor y la intimidad personal y familiar. Este precepto constitucional sienta las bases para el desarrollo de una legislación específica que regule el tratamiento de datos personales.

Marco normativo europeo. El Reglamento (UE) 2016/679 (RGPD) constituye la norma principal del sistema europeo de protección de datos. Es directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018 y regula el tratamiento de datos personales realizado por responsables o encargados establecidos en la Unión Europea, así como el tratamiento de datos de personas que se encuentren en la UE, incluso si el responsable está fuera del territorio europeo.

Adaptación al ordenamiento español. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) adapta el ordenamiento jurídico español al RGPD. Esta ley no se limita a transponer el Reglamento, sino que desarrolla los márgenes que este deja a los Estados miembros y añade un catálogo de derechos digitales, configurando un sistema normativo coordinado y no una mera suma de textos.

Objeto y ámbito de aplicación. La LOPDGDD regula el derecho fundamental a la protección de datos personales, aplicándose tanto a tratamientos automatizados como a aquellos no automatizados que formen parte de un fichero estructurado. Además, incluye disposiciones específicas sobre el tratamiento de datos de personas fallecidas, extendiendo su protección más allá de la vida del titular.

Derechos digitales. La Ley Orgánica 3/2018 introduce un conjunto de derechos digitales que van más allá de la protección de datos tradicionales. Estos derechos buscan garantizar el acceso, uso y protección de los ciudadanos en el entorno digital, alineándose con las demandas de una sociedad cada vez más interconectada y tecnológica.

Modelo de responsabilidad activa. La LOPDGDD incorpora el modelo de responsabilidad activa, que exige a los responsables y encargados del tratamiento adoptar medidas proactivas para garantizar el cumplimiento de la normativa. Este enfoque implica una gestión continua de los riesgos asociados al tratamiento de datos, promoviendo la transparencia y la rendición de cuentas.

Estructura de la LOPDGDD. La Ley Orgánica 3/2018 se estructura en 97 artículos distribuidos en 10 títulos, abordando desde las disposiciones generales hasta aspectos específicos como los derechos digitales, las obligaciones de los responsables y las garantías en el ámbito laboral. Esta organización sistemática facilita la aplicación y el estudio de la normativa.

Definición de dato personal. El RGPD establece en su artículo 4 una definición clave: dato personal es cualquier información sobre una persona física identificada o identificable, ya sea directa o indirectamente. Esto incluye identificadores como el nombre, número de identificación, datos de localización, identificadores en línea o elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social.

🧩 Elementos esenciales

  • Derecho fundamental: La protección de datos personales es un derecho fundamental reconocido en el artículo 18.4 de la Constitución Española.
  • RGPD: Reglamento (UE) 2016/679, norma principal del sistema europeo de protección de datos, directamente aplicable desde el 25 de mayo de 2018.
  • LOPDGDD: Ley Orgánica 3/2018, que adapta el ordenamiento español al RGPD y regula derechos digitales.
  • Ámbito de aplicación: Incluye tratamientos automatizados y no automatizados de datos personales estructurados, así como datos de personas fallecidas.
  • Dato personal: Cualquier información sobre una persona física identificada o identificable, directa o indirectamente.
  • Responsabilidad activa: Modelo que exige a responsables y encargados adoptar medidas proactivas para garantizar el cumplimiento normativo.
  • Derechos digitales: Conjunto de derechos reconocidos en la LOPDGDD para garantizar la protección en el entorno digital.
  • Fichero estructurado: Conjunto de datos no automatizados organizados de manera que permitan el acceso a la información.
  • Personas fallecidas: La LOPDGDD regula el tratamiento de datos de personas fallecidas, extendiendo la protección más allá de la vida del titular.
  • Coordinación normativa: Sistema integrado entre el RGPD, la LOPDGDD y la normativa sectorial aplicable.

🧠 Recuerda

  • La protección de datos en España se basa en el RGPD y la LOPDGDD, que juntos configuran un sistema normativo coordinado.
  • El RGPD es directamente aplicable en todos los Estados miembros de la UE desde mayo de 2018.
  • La LOPDGDD desarrolla aspectos que el RGPD deja a los Estados y añade derechos digitales.
  • El ámbito de aplicación incluye tanto tratamientos automatizados como no automatizados estructurados.
  • La definición de dato personal abarca cualquier información que permita identificar a una persona, directa o indirectamente.
  • La LOPDGDD regula también el tratamiento de datos de personas fallecidas.
  • El modelo de responsabilidad activa exige medidas proactivas para garantizar el cumplimiento normativo.
  • La protección de datos es un derecho fundamental reconocido en la Constitución Española.

2. Normativa europea y estatal: el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

🎯 Idea clave

  • El Reglamento General de Protección de Datos (RGPD) es la norma europea de aplicación directa que unifica la protección de datos en la Unión Europea.
  • La Ley Orgánica 3/2018 (LOPDGDD) adapta el ordenamiento español al RGPD y regula derechos digitales conforme al artículo 18.4 de la Constitución.
  • El RGPD entró en vigor el 25 de mayo de 2018, tras un período transitorio de dos años desde su aprobación.
  • La LOPDGDD deroga la anterior Ley Orgánica 15/1999 y establece disposiciones complementarias al RGPD.
  • Ambas normas regulan el tratamiento de datos personales, tanto automatizados como no automatizados, de personas físicas.
  • La LOPDGDD introduce el modelo de responsabilidad activa para garantizar el cumplimiento normativo.

📚 Desarrollo

Normativa europea. El Reglamento (UE) 2016/679, conocido como RGPD, fue aprobado el 27 de abril de 2016 y publicado en el Diario Oficial de la Unión Europea el 4 de mayo del mismo año. Su naturaleza jurídica como reglamento europeo implica que es de aplicación directa en todos los Estados miembros, sin necesidad de transposición nacional, lo que garantiza una uniformidad normativa en la protección de datos en la UE. Este reglamento sustituyó a la Directiva 95/46/CE, que generaba un marco fragmentado debido a las distintas transposiciones nacionales.

Ámbito de aplicación. El RGPD regula el tratamiento de datos personales de personas físicas identificadas o identificables, independientemente de si el tratamiento es automatizado o no. Su alcance material abarca cualquier operación realizada con datos personales, desde su recogida hasta su eliminación, y se aplica a responsables y encargados del tratamiento, tanto en el sector público como privado. La LOPDGDD complementa este marco, adaptando aspectos específicos del ordenamiento español y regulando el tratamiento de datos de personas fallecidas.

Normativa estatal. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), adapta el ordenamiento jurídico español al RGPD y deroga la anterior Ley Orgánica 15/1999. Esta ley orgánica consta de 97 artículos distribuidos en 10 títulos y garantiza los derechos digitales en consonancia con el artículo 18.4 de la Constitución Española. Su objetivo es asegurar la protección efectiva de los datos personales y establecer un marco normativo coherente con el RGPD.

Derechos digitales. La LOPDGDD introduce un catálogo de derechos digitales, como el derecho a la desconexión digital en el ámbito laboral o el derecho al olvido en redes sociales. Estos derechos complementan los ya establecidos en el RGPD, como el derecho de acceso, rectificación, supresión o limitación del tratamiento. La ley también regula aspectos específicos del tratamiento de datos en el ámbito sanitario, educativo y de las administraciones públicas, adaptándose a las particularidades del contexto español.

Modelo de responsabilidad activa. Tanto el RGPD como la LOPDGDD promueven un modelo de responsabilidad proactiva, que exige a los responsables y encargados del tratamiento adoptar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento normativo. Este enfoque incluye la realización de evaluaciones de impacto, la designación de delegados de protección de datos en determinados casos y la implementación de registros de actividades de tratamiento. La LOPDGDD refuerza este modelo, estableciendo obligaciones adicionales para garantizar la protección de los derechos de los ciudadanos.

Tratamiento de datos de personas fallecidas. La LOPDGDD regula el tratamiento de datos de personas fallecidas, permitiendo que sus herederos o personas vinculadas puedan ejercer derechos sobre dichos datos, salvo que el fallecido lo hubiera prohibido expresamente. Esta disposición complementa el RGPD, que no aborda específicamente esta cuestión, y refleja la adaptación de la normativa española a las necesidades sociales y jurídicas del país.

Relación entre normas. El RGPD y la LOPDGDD conforman un marco normativo complementario: mientras el RGPD establece los principios y obligaciones generales aplicables en toda la UE, la LOPDGDD desarrolla aspectos específicos del ordenamiento español, como los derechos digitales o el tratamiento de datos en contextos particulares. Esta relación garantiza una protección integral de los datos personales, alineada con los estándares europeos y las particularidades nacionales.

🧩 Elementos esenciales

  • RGPD: Reglamento (UE) 2016/679, de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018.
  • LOPDGDD: Ley Orgánica 3/2018, que adapta el ordenamiento español al RGPD y regula derechos digitales.
  • Ámbito material: Tratamiento de datos personales de personas físicas, tanto automatizado como no automatizado.
  • Derechos digitales: Conjunto de derechos reconocidos en la LOPDGDD, como el derecho al olvido o a la desconexión digital.
  • Responsabilidad activa: Modelo que exige a responsables y encargados adoptar medidas proactivas para garantizar el cumplimiento normativo.
  • Datos de personas fallecidas: Regulados en la LOPDGDD, permitiendo a herederos ejercer derechos sobre dichos datos.
  • Derogación: La LOPDGDD deroga la Ley Orgánica 15/1999, sustituyéndola por un marco normativo adaptado al RGPD.
  • Uniformidad normativa: El RGPD garantiza una aplicación homogénea en toda la UE, evitando la fragmentación de la directiva anterior.
  • Evaluación de impacto: Herramienta clave del RGPD para identificar y mitigar riesgos en el tratamiento de datos.
  • Delegado de protección de datos: Figura obligatoria en determinados casos, según lo establecido en el RGPD y desarrollado en la LOPDGDD.
  • Registro de actividades: Obligación para responsables y encargados del tratamiento, conforme al principio de responsabilidad activa.
  • Protección constitucional: La LOPDGDD garantiza los derechos digitales en línea con el artículo 18.4 de la Constitución Española.

🧠 Recuerda

  • El RGPD es de aplicación directa en toda la UE, sin necesidad de transposición nacional.
  • La LOPDGDD adapta el ordenamiento español al RGPD y regula derechos digitales específicos.
  • Ambas normas regulan el tratamiento de datos personales, incluyendo los no automatizados.
  • La LOPDGDD deroga la Ley Orgánica 15/1999 y establece disposiciones complementarias al RGPD.
  • El modelo de responsabilidad activa exige medidas proactivas para garantizar el cumplimiento normativo.
  • Los derechos digitales, como el derecho al olvido, están reconocidos en la LOPDGDD.
  • El RGPD y la LOPDGDD conforman un marco normativo complementario y coherente.
  • La LOPDGDD regula el tratamiento de datos de personas fallecidas, permitiendo a herederos ejercer derechos.
  • El RGPD entró en vigor el 25 de mayo de 2018, tras un período transitorio de dos años.
  • La protección de datos es un derecho fundamental reconocido en la Constitución Española.

3. Evaluación de Impacto en la Protección de Datos

🎯 Idea clave

  • La Evaluación de Impacto en la Protección de Datos (EIPD) es un instrumento preventivo obligatorio establecido en el artículo 35 del RGPD para tratamientos que puedan entrañar alto riesgo para los derechos y libertades de las personas.
  • Su finalidad es identificar, analizar y mitigar riesgos antes de iniciar el tratamiento, garantizando un enfoque proactivo en la protección de datos.
  • No es un trámite burocrático, sino un proceso de gobernanza orientado a anticipar consecuencias negativas para los interesados.
  • El responsable del tratamiento debe demostrar que ha evaluado los riesgos y adoptado medidas para reducirlos a un nivel aceptable.
  • La EIPD se integra en la responsabilidad proactiva (accountability) que exige el RGPD, superando el modelo de cumplimiento formal.
  • Es especialmente relevante en entidades como el Servicio Andaluz de Salud, donde se tratan datos de salud a gran escala.

📚 Desarrollo

Base normativa. La Evaluación de Impacto en la Protección de Datos (EIPD) se regula en el artículo 35 del Reglamento General de Protección de Datos (RGPD), que establece su obligatoriedad cuando un tratamiento pueda implicar un alto riesgo para los derechos y libertades de las personas físicas. Este precepto se complementa con el artículo 36, que regula la consulta previa a la autoridad de control en casos de riesgo residual elevado.

Carácter preventivo. La EIPD es un instrumento de gestión del riesgo con enfoque prospectivo, no una auditoría o comprobación de cumplimiento formal. Su objetivo es analizar, antes de iniciar el tratamiento, los posibles impactos negativos en la privacidad, intimidad, autonomía o derechos fundamentales de los afectados. Este enfoque anticipatorio responde al principio de protección de datos desde el diseño y por defecto, evitando correcciones posteriores una vez implantado el sistema.

Responsabilidad proactiva. El RGPD introduce el principio de accountability, que exige al responsable del tratamiento no solo cumplir las normas, sino demostrar activamente que ha evaluado los riesgos y adoptado medidas para mitigarlos. La EIPD es la herramienta clave para materializar este principio, ya que documenta el proceso de análisis y las decisiones adoptadas. En el ámbito sanitario, como el del Servicio Andaluz de Salud, este requisito adquiere especial relevancia por la sensibilidad de los datos tratados.

Ámbito de aplicación. La EIPD es obligatoria cuando el tratamiento, por su naturaleza, alcance, contexto o fines, pueda entrañar un alto riesgo. El RGPD menciona expresamente casos como el uso de nuevas tecnologías, la elaboración de perfiles a gran escala o el tratamiento sistemático de datos sensibles. En el SAS, el tratamiento de datos de salud —categoría especial según el artículo 9 del RGPD— suele requerir este análisis previo debido a su potencial impacto en derechos fundamentales.

Contenido mínimo. El artículo 35.7 del RGPD establece los elementos esenciales que debe incluir la EIPD. En primer lugar, una descripción sistemática del tratamiento, detallando categorías de datos, interesados, destinatarios, plazos de conservación y sistemas técnicos. En segundo lugar, una evaluación de necesidad y proporcionalidad, demostrando que no existen alternativas menos intrusivas. Finalmente, un análisis de riesgos, identificando amenazas, probabilidad de materialización y gravedad de las consecuencias para los afectados.

Proceso de elaboración. La EIPD no es un documento estático, sino un proceso dinámico que incluye fases de análisis, decisión, documentación y revisión. Debe integrarse en la gobernanza ordinaria del tratamiento, involucrando a todos los actores relevantes, como los delegados de protección de datos y los equipos técnicos. En el SAS, este proceso cobra especial complejidad por la escala y diversidad de los tratamientos, que pueden incluir historiales clínicos, sistemas de telemedicina o análisis de big data sanitario.

Enfoque centrado en los afectados. La EIPD evalúa el riesgo desde la perspectiva de las personas cuyos datos se tratan, no desde la operatividad de la organización. Esto implica considerar impactos más allá de la pérdida técnica de información, como la discriminación, la vulneración del secreto profesional o la afectación a la reputación. En el ámbito sanitario, un tratamiento inadecuado puede comprometer derechos como la intimidad, la no discriminación o la autonomía personal, lo que refuerza la necesidad de este análisis previo.

Consulta a la autoridad de control. Cuando la EIPD identifique un riesgo residual alto que no pueda mitigarse con medidas técnicas u organizativas, el responsable debe consultar a la autoridad de protección de datos antes de iniciar el tratamiento. Este requisito, regulado en el artículo 36 del RGPD, garantiza un control adicional en casos de especial sensibilidad, como los que maneja el Servicio Andaluz de Salud.

🧩 Elementos esenciales

  • Instrumento preventivo: La EIPD es un proceso de análisis previo, no una auditoría posterior, orientado a anticipar riesgos antes de iniciar el tratamiento.
  • Obligatoriedad: Es obligatoria cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades, según el artículo 35 del RGPD.
  • Responsabilidad del responsable: Corresponde al responsable del tratamiento realizar la EIPD y demostrar que ha adoptado medidas para mitigar los riesgos identificados.
  • Enfoque en riesgos: Debe evaluar amenazas concretas, su probabilidad de materialización y la gravedad de sus consecuencias para los interesados.
  • Contenido mínimo: Incluye descripción del tratamiento, evaluación de necesidad y proporcionalidad, y análisis de riesgos, según el artículo 35.7 del RGPD.
  • Protección de datos desde el diseño: La EIPD materializa este principio, integrando la privacidad en las fases iniciales del proyecto.
  • Consulta previa: Si el riesgo residual es alto, el responsable debe consultar a la autoridad de protección de datos antes de iniciar el tratamiento.
  • Documentación: La EIPD debe documentarse por escrito, como parte de la responsabilidad proactiva (accountability).
  • Datos sensibles: En el SAS, el tratamiento de datos de salud suele requerir EIPD por su alto impacto en derechos fundamentales.
  • Proceso dinámico: No es un trámite puntual, sino un ciclo de análisis, decisión, documentación y revisión continua.
  • Enfoque en los afectados: Evalúa el riesgo desde la perspectiva de las personas cuyos datos se tratan, no desde la operatividad organizativa.
  • Medidas de mitigación: Debe proponer acciones concretas para reducir los riesgos identificados a un nivel aceptable.

🧠 Recuerda

  • La EIPD es obligatoria antes de iniciar tratamientos con alto riesgo para los derechos y libertades.
  • No es un trámite burocrático, sino un proceso de gobernanza para anticipar y mitigar riesgos.
  • El RGPD exige demostrar activamente que se han evaluado los riesgos y adoptado medidas (accountability).
  • En el SAS, el tratamiento de datos de salud suele requerir EIPD por su sensibilidad.
  • La EIPD debe incluir descripción del tratamiento, evaluación de necesidad y análisis de riesgos.
  • Si el riesgo residual es alto, hay que consultar a la autoridad de protección de datos.
  • La EIPD evalúa el impacto en los afectados, no solo en la organización.
  • Debe documentarse por escrito y revisarse periódicamente.
  • Es un proceso dinámico, no un documento estático.
  • Su finalidad es evitar daños a los derechos fundamentales antes de que ocurran.
Acceder a la demo
Tema anterior Tema 37. Análisis y Gestión de Riesgos. MAGERIT, la metodología del Consejo Superior de Informática de análisis y gestión de riesgos de los sistemas de información. El plan de seguridad. Técnicas de análisis para estimación del impacto y el riesgo. Los modelos cualitativo y cuantitativo. La herramienta PILAR. Tema siguiente Tema 39. La utilización de las tecnologías de la Información y las comunicaciones para la administración electrónica. Los proyectos y sistemas de administración electrónica en la Junta de Andalucía y el Servicio Andaluz de Salud. Normativa específica de administración electrónica.

Prueba la demo si quieres ver el resto

Has visto un tema abierto completo. En la demo puedes comprobar cómo encajan el temario, las preguntas justificadas y los simulacros dentro de OposAs.

Qué vas a probar

Una demo pensada para decidir con criterio

Temario, test y simulacro conectados

La idea no es solo leer un tema: es estudiar con continuidad y comprobar cómo se relaciona con el resto de herramientas.

Preguntas justificadas

Verás explicaciones de la correcta y de las incorrectas para estudiar con más criterio, no solo para memorizar.

Acceso rápido

Con tu nombre y tu email, eliges categoría y te enviamos el acceso por correo sin compromiso.

Gratis Sin compromiso Acceso por email

Solicita ya tu acceso Demo

Sólo tu email, tu nombre y apellidos (si quieres), elige categoría y prueba antes de decidir. Es gratis.

Gratis Sin compromiso Acceso por email

* campos obligatorios

Usaremos tu correo solo para enviarte el acceso. Tras registrarte tendrás 1 hora para abrir el email y pulsar el botón de acceso.

OposAs es una plataforma privada e independiente de preparación. No es una web oficial del Servicio Andaluz de Salud ni de la Junta de Andalucía.

Política de privacidad Política de cookies Aviso legal
Acceso solicitado

Revisa tu correo y también spam.

En tienes el enlace para terminar el autoregistro.

Ábrelo antes de 1 hora.

OposAs
Detrás de OposAs
Serafín revisando discos, creador de OposAs

Fuera del código también hay música, discos y radio. La misma forma de hacer las cosas: con alma, pasión y criterio.

Construí OposAs para practicar test y entender cada fallo sin pelearme con "tochos de textos infinitos".

Preparando Técnico Especialista en Informática del SAS, echaba en falta una forma más clara y atractiva de estudiar: hacer test, corregirlos bien y aprender de verdad con cada justificación.

Practicar test, aprender por qué la correcta lo es y, sobre todo, por qué las incorrectas no lo son.

OposAs está pensado para practicar test y aprender mientras corriges, sin tragarte textos interminables antes de empezar. Cuando fallas, la justificación te ayuda a entender la correcta y, sobre todo, las incorrectas: ahí suele estar el aprendizaje.

No hay una empresa detrás. Hay una persona que construyó desde cero una herramienta que “me valió para aprobar las oposiciones de TEI”, donde estudiar no se convierta en algo “pesado” sino “llevadero”.

La música forma parte de mi manera de hacer las cosas. También llevo proyectos personales como salalondon.es y jazzchill.es. Música 24/7 para cuando y donde quieras 🎶❤️.

salalondon.es jazzchill.es

De opositor a opositor, Serafín.