OpoRuta
LOPDGDD examen auxiliar administrativoprotección datos RGPD examen INAPderechos ARCO examen de Auxiliar

LOPDGDD y RGPD en el examen de Auxiliar: protección de datos para el Auxiliar Administrativo

Lo que necesitas saber de la LOPDGDD y el RGPD para el examen del Auxiliar Administrativo del Estado: derechos ARCO, bases jurídicas, AEPD y artículos más frecuentes.

Publicado el 10 de marzo de 2026 · OpoRuta · 5 min lectura

La protección de datos en el temario del Auxiliar Administrativo del Estado

La protección de datos personales es el Tema 12 del temario oficial del Cuerpo General Auxiliar del Estado. Lo regula principalmente la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta al ordenamiento español el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD o GDPR en inglés).

En exámenes recientes del INAP, entre 3 y 6 preguntas provienen directamente de este bloque. Las preguntas suelen versar sobre los derechos de los interesados, las bases jurídicas del tratamiento, el Delegado de Protección de Datos y el papel de la Agencia Española de Protección de Datos (AEPD).

El RGPD: marco general europeo

El RGPD es el reglamento europeo aplicable desde el 25 de mayo de 2018 en todos los Estados miembros de la UE. Al ser un Reglamento (no una Directiva), es directamente aplicable sin necesidad de transposición nacional. La LOPDGDD lo complementa y adapta a la realidad española.

Concepto central del RGPD: dato personal es "toda información sobre una persona física identificada o identificable". La identificabilidad puede ser directa (nombre, DNI) o indirecta (número de matrícula, dirección IP, datos de localización).

Principios del tratamiento de datos (Art. 5 RGPD)

El artículo 5 del RGPD establece los principios que rigen cualquier tratamiento:

  • Licitud, lealtad y transparencia: el interesado debe conocer el tratamiento
  • Limitación de finalidad: los datos solo pueden usarse para el fin declarado
  • Minimización de datos: solo recoger lo estrictamente necesario
  • Exactitud: los datos deben ser correctos y actualizados
  • Limitación del plazo de conservación: no conservar más tiempo del necesario
  • Integridad y confidencialidad: garantizar la seguridad del tratamiento
  • Responsabilidad proactiva (accountability): el responsable debe demostrar el cumplimiento

Bases jurídicas del tratamiento (Art. 6 RGPD)

Todo tratamiento de datos personales debe apoyarse en al menos una base jurídica:

  1. Consentimiento del interesado
  2. Ejecución de un contrato del que el interesado es parte
  3. Cumplimiento de una obligación legal
  4. Protección de intereses vitales
  5. Misión realizada en interés público o ejercicio de poderes públicos
  6. Interés legítimo del responsable (salvo que prevalezcan los derechos del interesado)

Pregunta tipo test habitual: "¿Qué base jurídica utiliza la Administración Pública cuando trata datos de ciudadanos para prestarles un servicio?" — Misión realizada en interés público o ejercicio de poderes públicos (base 5), o cumplimiento de obligación legal (base 3), según el caso.

Categorías especiales de datos (Art. 9 RGPD)

El RGPD prohíbe tratar ciertos datos salvo que concurran excepciones específicas:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos y biométricos con propósito identificativo
  • Datos relativos a la salud
  • Vida u orientación sexual

Trampa clásica: los datos de salud siempre son categoría especial (sensibles), independientemente de quién los trate.

Derechos de los interesados (Arts. 15-22 RGPD)

El RGPD reconoce los siguientes derechos — popularmente conocidos como "derechos ARCO+" (expansión de los clásicos Acceso, Rectificación, Cancelación, Oposición):

DerechoArtículo RGPDDescripción
AccesoArt. 15Conocer si se tratan datos propios y obtener copia
RectificaciónArt. 16Corregir datos inexactos o completar los incompletos
Supresión ("olvido")Art. 17Eliminar datos cuando ya no sean necesarios
Limitación del tratamientoArt. 18Suspender temporalmente el tratamiento
PortabilidadArt. 20Recibir datos en formato estructurado y transferirlos
OposiciónArt. 21Oponerse al tratamiento basado en interés legítimo
Decisiones automatizadasArt. 22No ser objeto de decisiones basadas solo en perfilado

El plazo general para responder a estos derechos es 1 mes, prorrogable hasta 3 meses en casos complejos. Es fuente habitual de preguntas.

El Delegado de Protección de Datos (DPD/DPO)

El Delegado de Protección de Datos (DPD o DPO en inglés) es figura obligatoria en determinados supuestos establecidos en el artículo 37 del RGPD, entre ellos: autoridades u organismos públicos (excepto tribunales en funciones jurisdiccionales), tratamientos a gran escala de datos sensibles o seguimiento sistemático a gran escala.

Para las Administraciones Públicas, el DPD es siempre obligatorio. Sus funciones principales (art. 39 RGPD):

  • Informar y asesorar al responsable y a los empleados
  • Supervisar el cumplimiento del RGPD y la política interna
  • Cooperar con la autoridad de control (AEPD en España)
  • Actuar como punto de contacto con la AEPD

El DPD no es el responsable del tratamiento ni toma decisiones sobre los datos: asesora y supervisa. Esta distinción es fuente de trampa.

La Agencia Española de Protección de Datos (AEPD)

La AEPD es la autoridad de control independiente en España (art. 45 LOPDGDD), encargada de supervisar el cumplimiento del RGPD y la LOPDGDD. Sus competencias: investigar infracciones, imponer sanciones, tramitar reclamaciones de ciudadanos y dictar resoluciones vinculantes.

La LOPDGDD establece un régimen sancionador con tres niveles:

  • Infracciones leves: hasta 40.000 € para entidades privadas; apercibimiento para Administraciones Públicas
  • Infracciones graves: hasta 300.000 € (privadas); apercibimiento + publicación en BOE (públicas)
  • Infracciones muy graves: hasta 20.000.000 € o 4% volumen de negocio mundial (privadas); apercibimiento + comunicación al Parlamento (públicas)

Dato importante: las Administraciones Públicas no pueden ser sancionadas con multa (solo con apercibimiento). Esta excepción es pregunta habitual.

Brechas de seguridad (Arts. 33-34 RGPD)

Si se produce una violación de seguridad de datos personales, el responsable debe:

  • Notificar a la AEPD en un plazo máximo de 72 horas desde que tenga conocimiento (si es probable que suponga riesgo para los interesados)
  • Si entraña alto riesgo para los interesados: notificar también a los propios interesados "sin dilación indebida"

El plazo de 72 horas es uno de los datos más preguntados de todo el bloque de protección de datos.

Estrategia de estudio

  1. Distingue RGPD y LOPDGDD: el RGPD es el marco europeo (directamente aplicable); la LOPDGDD lo complementa en España. Las preguntas del INAP suelen indicar de cuál ley se pregunta.
  2. Memoriza los 7 principios del art. 5 RGPD y los 6 derechos de los interesados (con sus artículos).
  3. Las 72 horas para notificar brechas y el 1 mes para responder derechos son plazos clave.
  4. Administraciones Públicas ≠ multa: este matiz diferencia al conocedor del tema del que solo lo ha leído por encima.

Practica protección de datos con OpoRuta

OpoRuta genera preguntas tipo test específicas del Tema 12 (Protección de datos) con el mismo nivel de dificultad que los exámenes oficiales del INAP. Cada pregunta está verificada contra el texto íntegro del RGPD y la LOPDGDD.

Empieza gratis — sin tarjeta de crédito — y descubre cuántas preguntas de protección de datos eres capaz de acertar a la primera.

Sigue preparando tu oposición

Practica con preguntas tipo test sobre este tema

OpoRuta genera preguntas verificadas al artículo exacto. 5 tests gratuitos, sin tarjeta.