El derecho fundamental a la protección de datos arranca del artículo 18.4 de la Constitución Española, que ordena a la ley limitar el uso de la informática para garantizar el honor y la intimidad. Su régimen vigente descansa en dos normas: el Reglamento (UE) 2016/679 (RGPD), de aplicación directa desde el 25 de mayo de 2018 (art. 99), y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), que adapta el ordenamiento español y añade la garantía de los derechos digitales. Para el Guardia Civil resultan esenciales las definiciones del art. 4 RGPD: dato personal (información sobre persona física identificada o identificable), responsable (quien determina fines y medios), encargado (quien trata por cuenta del responsable) y consentimiento (manifestación libre, específica, informada e inequívoca).
Los principios del tratamiento figuran en el art. 5.1 RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; e integridad y confidencialidad. Se les suma la responsabilidad proactiva o accountability (art. 5.2): el responsable debe cumplir y ser capaz de demostrarlo. El tratamiento solo es lícito si concurre una de las seis bases del art. 6: consentimiento, contrato, obligación legal, intereses vitales, misión de interés público o interés legítimo. Dado el carácter de la Guardia Civil como cuerpo de seguridad, conviene recordar que el tratamiento de datos con fines de prevención, investigación y enjuiciamiento penal tiene su propio marco en la Directiva (UE) 2016/680 y en la LO 7/2021, de 26 de mayo, que la transpone para las autoridades competentes en materia penal. Los datos sensibles (origen étnico, opiniones políticas, religión, afiliación sindical, salud, datos genéticos o biométricos, vida u orientación sexual) están en principio prohibidos salvo excepciones tasadas (art. 9 RGPD).
Los derechos de las personas interesadas (arts. 15 a 22 RGPD) amplían los clásicos derechos ARCO:
El ejercicio es gratuito y debe atenderse en el plazo de un mes, prorrogable otros dos en casos complejos (art. 12). Toda Administración, incluido el Ministerio del Interior y el de Defensa de los que depende la Guardia Civil, debe designar un delegado de protección de datos (DPD) por tratarse de una autoridad pública (art. 37 RGPD), comunicándolo a la Agencia Española de Protección de Datos (AEPD) en diez días (art. 34 LOPDGDD). La AEPD es una autoridad administrativa independiente (art. 44 LOPDGDD) con potestad sancionadora de hasta 20 M€ o el 4 % del volumen de negocio (art. 83); las brechas de seguridad se notifican en un máximo de 72 horas (art. 33).
En materia de políticas de igualdad, la referencia es la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, que desarrolla los artículos 14 (igualdad ante la ley) y 9.2 CE (igualdad real y efectiva). Esta ley consagra el principio de transversalidad y obliga a las Administraciones a integrar la igualdad en todas sus políticas. En el empleo público, el TREBEP (RDLeg. 5/2015) recoge la igualdad de trato como principio rector (art. 1.3), tiende a la paridad en los órganos de selección (art. 60) y sanciona como falta muy grave el acoso por razón de sexo (art. 95.2). Para la Guardia Civil rige además la LO 11/2007, de 22 de octubre, reguladora de los derechos y deberes de los miembros de la Guardia Civil y la Ley 29/2014, de 28 de noviembre, de Régimen del Personal de la Guardia Civil, que garantizan la no discriminación; son instrumentos clave los planes de igualdad y los protocolos de actuación frente al acoso sexual y por razón de sexo.
Conviene, por último, distinguir la violencia de género, regulada en la LO 1/2004, de 28 de diciembre, de Medidas de Protección Integral, cuya aplicación atañe directamente a la actuación de la Guardia Civil, muy especialmente en el ámbito rural a través de los equipos EMUME (Mujer-Menor). El empleado público víctima de violencia de género dispone de derechos específicos —faltas justificadas, reducción y reordenación de jornada o excedencia con reserva de puesto (arts. 49.d y 89 TREBEP)—. La conexión entre ambas materias es nítida: los datos que revelan la condición de víctima son categoría especial sujeta a especial protección, de modo que el agente que los maneja debe observar de forma rigurosa el deber de confidencialidad (art. 5 LOPDGDD) y los principios éticos del art. 53 TREBEP.
1. ¿En qué artículo del RGPD se recogen los principios relativos al tratamiento de datos personales?
Los principios relativos al tratamiento (licitud, lealtad y transparencia; limitación de la finalidad; minimización; exactitud; limitación del plazo de conservación; integridad y confidencialidad) se recogen en el art. 5.1 del Reglamento (UE) 2016/679.
2. Según el art. 5 del RGPD, ¿cuántos principios relativos al tratamiento de datos personales se establecen?
El art. 5.1 del RGPD enumera seis principios: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; e integridad y confidencialidad.
3. El principio por el cual los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados se denomina:
El principio de minimización de datos (art. 5.1.c RGPD) exige que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
4. ¿Qué principio del art. 5 RGPD establece que los datos serán recogidos con fines determinados, explícitos y legítimos, y no tratados ulteriormente de manera incompatible con dichos fines?
El principio de limitación de la finalidad (art. 5.1.b RGPD) exige que los datos se recojan con fines determinados, explícitos y legítimos, y no se traten ulteriormente de manera incompatible con dichos fines.
5. El principio según el cual el responsable del tratamiento es responsable del cumplimiento de los principios y debe ser capaz de demostrarlo se conoce como:
El art. 5.2 del RGPD recoge la responsabilidad proactiva (accountability): el responsable del tratamiento será responsable del cumplimiento de los principios del art. 5.1 y capaz de demostrarlo.
6. ¿En qué artículo del RGPD se regulan las bases de licitud del tratamiento de datos personales?
El art. 6.1 del RGPD establece las bases de licitud del tratamiento: consentimiento, ejecución de un contrato, obligación legal, intereses vitales, misión de interés público o interés legítimo.
7. Una entidad privada desea tratar datos basándose en el interés legítimo perseguido por ella. Según el art. 6.1 RGPD, ¿en qué supuesto NO resulta aplicable esa base de interés legítimo?
Según el art. 6.1.f RGPD, la base del interés legítimo no es aplicable al tratamiento realizado por autoridades públicas en el ejercicio de sus funciones.
8. Un ayuntamiento necesita tratar datos para cumplir con una norma legal que le obliga. ¿Cuál es la base de licitud aplicable conforme al art. 6.1 RGPD?
El art. 6.1.c RGPD permite el tratamiento cuando es necesario para el cumplimiento de una obligación legal aplicable al responsable, que es la base idónea cuando una norma obliga a la Administración.
9. Según el art. 4.11 del RGPD, el consentimiento del interesado debe ser una manifestación de voluntad:
El art. 4.11 RGPD define el consentimiento como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de sus datos.
10. Respecto a la retirada del consentimiento conforme al art. 7 RGPD, ¿qué afirmación es correcta?
El art. 7 RGPD establece que el interesado tendrá derecho a retirar su consentimiento en cualquier momento, siendo tan fácil retirarlo como darlo.
11. En España, según la LOPDGDD, ¿a partir de qué edad puede el menor consentir válidamente el tratamiento de sus datos en servicios de la sociedad de la información?
El art. 7 de la LO 3/2018 establece que el menor podrá consentir válidamente a partir de los 14 años; por debajo de esa edad se requiere el consentimiento del titular de la patria potestad o tutela.
12. El RGPD fija con carácter general la edad mínima para el consentimiento de menores en servicios de la sociedad de la información en 16 años, pero permite a los Estados rebajarla hasta un mínimo de:
El art. 8 del RGPD fija la edad mínima en 16 años, pero permite a los Estados miembros rebajarla hasta un mínimo de 13 años. España la fijó en 14 años (art. 7 LOPDGDD).
13. ¿Cuál de los siguientes se considera una categoría especial de datos (dato sensible) cuyo tratamiento, en principio, está prohibido por el art. 9 RGPD?
El art. 9.1 RGPD prohíbe, en principio, el tratamiento de datos que revelen, entre otros, el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas y la afiliación sindical.
14. El tratamiento de los datos relativos a la salud, datos genéticos o biométricos para identificar de manera unívoca a una persona se regula como categoría especial en el:
El art. 9 del RGPD regula las categorías especiales de datos (datos sensibles), incluyendo datos de salud, genéticos y biométricos dirigidos a identificar de manera unívoca a una persona.
15. Según la LOPDGDD, el deber de confidencialidad de los responsables y encargados del tratamiento:
El art. 5 de la LO 3/2018 establece el deber de confidencialidad de responsables, encargados y de cuantos intervengan en cualquier fase del tratamiento; complementa el deber de secreto y se mantiene aun después de finalizar la relación con el responsable.
16. Conforme al art. 4 de la LOPDGDD sobre exactitud de los datos, ¿qué dato se presumirá exacto?
El art. 4 de la LO 3/2018 dispone que los datos serán exactos y, si fuera necesario, actualizados, y que se presumirá exacto el dato que el afectado hubiese comunicado al responsable.
17. El principio que obliga al responsable a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada fin específico se conoce como:
El art. 25 RGPD regula la protección de datos desde el diseño (privacy by design) y por defecto (privacy by default), garantizando que solo se traten los datos necesarios para cada fin.
18. Una Administración conserva los expedientes de una convocatoria durante más tiempo del necesario para los fines que justificaron su recogida. ¿Qué principio del art. 5 RGPD se está vulnerando?
El principio de limitación del plazo de conservación (art. 5.1.e RGPD) exige mantener los datos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
19. Un organismo mantiene en sus ficheros datos personales erróneos de un ciudadano y no adopta medidas para rectificarlos sin dilación. ¿Qué principio del art. 5 RGPD se incumple?
El principio de exactitud (art. 5.1.d RGPD) exige que los datos sean exactos y, si fuera necesario, actualizados, adoptándose todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos inexactos.
20. ¿Cuál es la naturaleza jurídica de la Agencia Española de Protección de Datos (AEPD)?
El art. 44.2 de la LO 3/2018 configura la AEPD como una autoridad administrativa independiente de ámbito estatal, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos.
21. A efectos del RGPD, la AEPD ejerce en España la condición de:
La AEPD es la autoridad de control en España a efectos del RGPD (arts. 51 y 52 RGPD), tal como recoge el art. 44.2 de la LO 3/2018.
22. Según el art. 48 de la LOPDGDD, ¿cuál es la duración del mandato de la Presidencia de la AEPD?
El art. 48 de la LO 3/2018 establece que el mandato de la Presidencia y del Adjunto es de cinco años, renovable por otro período de igual duración.
23. Conforme al art. 48 de la LOPDGDD, la Presidencia y el Adjunto de la AEPD son nombrados por el Gobierno mediante:
Según el art. 48 de la LO 3/2018, la Presidencia y el Adjunto son nombrados por el Gobierno mediante Real Decreto, a propuesta del Ministerio de Justicia, previa comparecencia ante la comisión correspondiente del Congreso.
24. La facultad de la autoridad de control de ordenar al responsable que facilite información o de realizar investigaciones en forma de auditorías se encuadra dentro de sus:
El art. 58 RGPD distingue los poderes de investigación (ordenar facilitar información, realizar auditorías, acceder a datos y locales), los correctivos y los de autorización y consultivos.
25. ¿Dentro de qué categoría de poderes de la autoridad de control (art. 58 RGPD) se incluye la imposición de multas administrativas?
El art. 58 RGPD incluye la imposición de multas administrativas entre los poderes correctivos, junto a advertencias, apercibimientos, órdenes de adecuación y limitaciones o prohibiciones del tratamiento.
26. Según el art. 83 RGPD, las infracciones más graves (vulneración de los principios del art. 5, bases de licitud o derechos de los interesados) pueden sancionarse con multas de hasta:
El art. 83.5 RGPD prevé multas de hasta 20.000.000 EUR o, tratándose de una empresa, hasta el 4 % del volumen de negocio total anual global, optándose por la de mayor cuantía, para las infracciones más graves.
27. Según el art. 83 RGPD, las infracciones de menor gravedad pueden sancionarse con multas administrativas de hasta:
El art. 83.4 RGPD prevé multas de hasta 10.000.000 EUR o, tratándose de una empresa, hasta el 2 % del volumen de negocio total anual global, optándose por la de mayor cuantía, para las infracciones de menor gravedad.
28. A efectos de prescripción, la LOPDGDD clasifica las infracciones en:
Los arts. 72, 73 y 74 de la LO 3/2018 clasifican las infracciones, a efectos de prescripción, en muy graves, graves y leves.
29. Según el art. 73 de la LOPDGDD, ¿en qué plazo prescriben las infracciones muy graves?
El art. 73 de la LO 3/2018 establece que las infracciones muy graves prescriben a los 3 años, las graves a los 2 años y las leves al 1 año.
30. La AEPD detecta una infracción calificada como leve cometida por un responsable. Según el art. 73 LOPDGDD, ¿en qué plazo prescribe dicha infracción?
Conforme al art. 73 de la LO 3/2018, las infracciones leves prescriben al 1 año (las graves a los 2 años y las muy graves a los 3 años).
31. Según el art. 78 de la LOPDGDD, las sanciones por importe igual o inferior a 40.000 € prescriben:
El art. 78 de la LO 3/2018 establece que las sanciones por importe igual o inferior a 40.000 € prescriben al 1 año; las de 40.001 a 300.000 € a los 2 años; y las superiores a 300.000 € a los 3 años.
32. Un responsable tiene constancia de una violación de la seguridad de datos personales. ¿En qué plazo máximo debe, de ser posible, notificarla a la autoridad de control conforme al art. 33 RGPD?
El art. 33.1 RGPD obliga a notificar la brecha a la autoridad de control sin dilación indebida y, de ser posible, a más tardar 72 horas después de tener constancia de ella, salvo que sea improbable que constituya un riesgo para los derechos y libertades.
33. Según el art. 12.3 del RGPD, ¿en qué plazo general debe el responsable facilitar al interesado la información sobre el ejercicio de sus derechos?
El art. 12.3 RGPD establece que el responsable facilitará la información sin dilación indebida y, en cualquier caso, en el plazo de un mes desde la recepción de la solicitud.
34. Un ciudadano ejerce su derecho de acceso ante una Administración. Por la complejidad y el elevado número de solicitudes, el responsable necesita más tiempo. ¿Cuál es el plazo máximo total de respuesta que permite el art. 12.3 RGPD?
El art. 12.3 RGPD permite prorrogar el plazo de un mes en otros dos meses en caso necesario por la complejidad y el número de solicitudes, alcanzando un máximo total de tres meses.
35. Conforme al art. 12.5 del RGPD, el ejercicio de los derechos por el interesado, con carácter general, será:
El art. 12.5 RGPD establece que el ejercicio de los derechos será gratuito; solo cuando las solicitudes sean manifiestamente infundadas o excesivas podrá el responsable cobrar un canon razonable o negarse a actuar.