T13

1.- El derecho a la protección de datos: a) Es un derecho fundamental independiente y autónomo. b) Es un derecho que deriva del derecho fundamental a la intimidad. c) Es un derecho ordinario reconocido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo de las Administraciones Públicas.

2.- La norma de referencia en nuestro país en materia de protección de datos de carácter personal es: a) El Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. b) La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. c) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

3.- El Reglamento General de Protección de Datos se aplica: a) Al tratamiento efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. b) Al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. c) Al tratamiento efectuado por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

4.- El tratamiento efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas: a) Es un tratamiento de datos al que se le aplica el Reglamento General de Protección de Datos. b) Es un tratamiento de datos al que se le aplica el Reglamento General de Protección de Datos cuando afecte a datos personales de menores de edad. c) Es un tratamiento de datos al que no se le aplica el Reglamento General de Protección de Datos.

5.- El Reglamento General de Protección de Datos se aplica: a) Al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que sea de aplicación el Derecho internacional público. b) Al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con el control de su comportamiento, aunque no tenga lugar en la Unión. c) Al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

6.- El tratamiento de datos en el ámbito de la función estadística pública: a) Se someterá a lo dispuesto en su legislación específica, así como en el Reglamento General de Protección de Datos y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales. b) Se someterá exclusivamente a lo dispuesto en su legislación específica. c) Se someterá exclusivamente al Reglamento General de Protección de Datos y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales.

7.- Se entiende por dato de carácter personal: a) Cualquier información concerniente a personas físicas identificadas. b) Cualquier información concerniente a personas físicas identificadas o identificables. c) Cualquier información concerniente a personas físicas o jurídicas identificadas o identificables.

8.- Se entiende por persona física identificable: a) Cualquier persona física, viva o fallecida, cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. b) Cualquier persona física viva, cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. c) Cualquier persona física viva, cuya identidad pueda determinarse, directamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

9.- Los datos relativos a personas fallecidas: a) Están excluidos del ámbito de aplicación de la normativa en materia de protección de datos, pero se le reconoce a sus herederos y a las personas vinculadas al fallecido por razones familiares y de hecho los derechos de acceso, rectificación y supresión. b) Están incluidas en el ámbito de aplicación de la normativa en materia de protección de datos, en tanto se trata de información concerniente a personas físicas identificadas o identificables. c) Están incluidas en el ámbito de aplicación de la normativa en materia de protección de datos, siempre que se produzca un tratamiento total o parcialmente automatizado o un tratamiento no automatizado si los datos están contenidos o destinados a ser incluidos en un fichero.

10.- El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de: a) 13 años. b) 14 años. c) 16 años.

11.- Son datos personales biométricos: a) Los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. b) Los datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona. c) Los datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona, que permitan o confirmen la identificación única de dicha persona.

12.- Se entiende como dato relativo a la salud: a) Todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental presente o futuro. b) Todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios. c) La información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, excluyendo la procedente de datos genéticos.

13.- Son categorías especiales de datos personales: a) Datos personales que revelen el origen étnico o racial. b) Datos personales que provoquen la discriminación del interesado. c) Datos personales relativos a condenas e infracciones penales.

14.- Se entiende por tratamiento de datos personales: a) Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. b) Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, por procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. c) Cualquier operación o conjunto de operaciones realizadas sobre conjuntos de datos personales, por procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

15.- Se entiende por responsable del tratamiento: a) La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales. . b) La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. c) La persona física o jurídica, autoridad pública, servicio u otro organismo que haya sido oficialmente designado como tal.

16.- Es encargado del tratamiento en las Administraciones Públicas siempre que se traten datos personales por cuenta del responsable del tratamiento: a) El empleado público. b) El adjudicatario de una contratación pública. c) El Delegado de Protección de Datos.

17.- Se entiende por destinatario en materia de protección de datos: a) La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. b) La autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. c) La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, siempre que se trate de un tercero.

18.- Son principios relativos al tratamiento de datos de carácter personal: a) La licitud, lealtad, transparencia y la integridad y confidencialidad. b) La rendición de cuentas y la información. c) La maximización de datos y la responsabilidad reactiva.

19.- El principio de limitación de la finalidad, obliga a que los datos personales sean recogidos: a) Con fines determinados, explícitos y legítimos, y podrán ser tratados ulteriormente para otros fines. b) Con fines determinados y legítimos, y podrán ser tratados ulteriormente para otros fines. c) Con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

20.- El principio de minimización de datos del artículo 5.1.c) del Reglamento General de Protección de Datos determina que los datos personales serán: a) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. b) Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. c) Tratados de manera lícita, leal y transparente en relación con el interesado.

21.- El principio de exactitud del Reglamento General de Protección de Datos implica que los datos personales serán: a) Exactos. b) Exactos y si fuera necesario actualizados. c) Actualizados.

22.- Según principio relativo al plazo de conservación de datos personales estos serán: a) Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado. b) Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado. c) Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales no podrán conservarse durante períodos más largos aunque se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado.

23.- El principio de integridad y confidencialidad establece que los datos personales sean: a) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas de seguridad apropiadas. . b) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. c) Tratados de tal manera que se garantice una seguridad y disponibilidad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

24.- El principio de responsabilidad proactiva: . a) Supone que el interesado ha de tener la iniciativa en el ejercicio de los derechos que el Reglamento General de Protección de Datos le reconoce. b) Constituye la obligación y la posibilidad de responder de las acciones tomadas y las omisiones producidas por parte del responsable de tratamiento, así como de las consecuencias de tales acciones y omisiones. c) Constituye la obligación del empleado público de tomar las medidas adecuadas para cumplir con los principios del tratamiento de datos personales.

25.- En relación con el tratamiento de categorías especiales de datos personales: a) Existe una prohibición general de tratamiento de categorías especiales de datos personales. b) El tratamiento de categorías especiales de datos personales debe estar amparado en todo caso en una norma con rango de Ley. c) La prohibición general se levanta siempre que el interesado de su consentimiento explícito.

26.- Cuando el tratamiento se base en el consentimiento del interesado: a) La solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. b) El interesado deberá ser capaz de demostrar que consintió el tratamiento de sus datos personales. c) El interesado tendrá derecho a retirar su consentimiento en cualquier momento, lo que afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.

27.- El tratamiento de datos personales de los trabajadores efectuado por su empleador se basará en: . a) El interés legítimo del empleador. b) El consentimiento del trabajador. c) La ejecución del contrato de trabajo.

28.- Los tratamientos de datos personales de los ciudadanos efectuados por las Administraciones Públicas se basarán, con carácter general, en: a) El consentimiento del interesado en el procedimiento administrativo. b) El cumplimiento de una obligación legal o el ejercicio de poderes públicos, siempre que exista una competencia atribuida a dicha Administración por una norma con rango de ley. c) El interés legítimo perseguido por la Administración Pública o de un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.

29.- Los tratamientos de los registros de personal del sector público: a) Se entenderán realizados en el ejercicio de poderes públicos conferidos a sus responsables. b) Se entenderán realizados para la satisfacción de intereses legítimos perseguidos por el responsable. c) Se entenderán realizados para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

30.- El Reglamento General de Protección de Datos contempla los siguientes derechos del interesado: a) Los derechos de acceso, rectificación, cancelación, oposición y a no ser objeto de decisiones individuales automatizadas. b) Los derechos de información, acceso, rectificación, supresión y limitación del tratamiento. c) Los derechos de información, acceso, rectificación, supresión, limitación del tratamiento, a la portabilidad de los datos, de oposición y a no ser objeto de decisiones individuales automatizadas.

31.- El responsable del tratamiento debe atender los derechos comprendidos en los artículos 15 a 22 del Reglamento General de Protección de Datos: a) En el plazo de dos meses desde la recepción de la solicitud del interesado. b) En el plazo de un mes desde la recepción de la solicitud del interesado, que podrá prorrogarse otros dos meses en caso necesario, según la complejidad y el número de solicitudes. c) En el plazo de tres meses como máximo desde la recepción de la solicitud del interesado.

32.- En relación con la información que debe facilitarse cuando los datos personales se obtengan del interesado: a) Debe suministrarse la información del Delegado de Protección de Datos en todo caso. b) Debe suministrarse en el momento en que estos se obtengan. c) Deben indicarse las medidas de seguridad técnicas u organizativas adoptadas por el responsable del tratamiento.

33.- El derecho de acceso comprende: a) Obtener del responsable del tratamiento confirmación de que se están tratando los datos personales que conciernen al interesado, así como, en su caso, acceso a dichos datos personales y a información sobre el tratamiento. b) Obtener del responsable del tratamiento confirmación de que se están tratando los datos personales que conciernen al interesado, así como, en su caso, copia de dichos datos personales y a información sobre el tratamiento. c) Obtener del responsable del tratamiento confirmación de que se están tratando los datos personales que conciernen del interesado, así como a obtener información sobre el tratamiento.

34.- El derecho de acceso de un paciente a la historia clínica: a) Comprende sólo el acceso a los datos personales. . b) Comprende el acceso a la documentación de la historia clínica. c) A la misma información recogida en el artículo 15 del RGPD.

35.- El derecho de acceso de un paciente a la historia clínica: a) Puede ejercerse también por representación debidamente acreditada. b) Sólo puede ejercerse por el interesado al ser un derecho personalísimo. c) Debe ejercerse a través de representación debidamente acreditada.

36.- El derecho de acceso a la historia clínica de pacientes fallecidos: a) Sólo se facilitará a las personas vinculadas a él, por razones familiares o de hecho, incluso aunque el fallecido lo hubiese prohibido expresamente y así se acredite. b) Se facilitará en cualquier caso el acceso a la historia clínica de una persona vinculada al paciente por razones familiares, motivado por un riesgo para su salud, se limitará a los datos pertinentes. c) Se facilitará información que afecte a la intimidad del fallecido y a las anotaciones subjetivas de los profesionales.

37.- ¿Qué derecho deberá ejercer el afectado que pretende que sus datos personales sean eliminados de los ficheros del responsable del tratamiento?. a) El derecho de supresión. b) El derecho de limitación del tratamiento. c) El derecho de oposición.

38.- La privacidad desde el diseño: a) Es una obligación que compete al responsable del tratamiento en virtud de su responsabilidad proactiva. b) Es una obligación que compete al responsable y al encargado del tratamiento que implica la valoración de los riesgos del tratamiento. c) Es una obligación que compete al responsable del tratamiento justo antes de que inicie el mismo.

39.- La privacidad por defecto: a) Determinará la aplicación de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales que sean tratados. b) Determinará la aplicación de medidas técnicas y organizativas apropiadas para garantizar que solo sean accesibles con la intervención de la persona, a un número indeterminado de personas físicas. c) Determinará la aplicación de medidas técnicas y organizativas apropiadas para garantizar que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

40.- El registro de actividades del tratamiento: . a) Es una responsabilidad del Delegado de Protección de Datos. b) Ha de ser notificado al Registro General de Protección de Datos de la Agencia Española de Protección de Datos. c) Es un documento interno del responsable o encargado del tratamiento.

41.- Las medidas técnicas y organizativas que han de adoptar responsables y encargados del tratamiento para garantizar la seguridad de los tratamientos de datos personales: a) Serán las apropiadas, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas y se clasifican en tres tipos: de nivel básico, medio y alto. b) Serán las apropiadas, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas y serán adecuadas para garantizar la confidencialidad. c) Serán las apropiadas, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas y serán las que se deriven del consentimiento explícito del interesado.

42.- Respecto de la seudonimización de datos personales: a) Los datos personales seudonimizados, que cabría atribuir a una persona mediante la utilización de información adicional, deben considerarse información sobre una persona identificable. b) La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados. c) Los principios de protección de datos no deben aplicarse a la información seudonimizada, es decir información que no guarda relación con una persona física identificada o identificable.

43.- La evaluación de impacto de protección de datos: . b) Es una obligación del responsable y del encargado del tratamiento. c) Ha de llevarse a cabo en todo caso cuando la Administración Pública realice un tratamiento de datos personales. a) Ha de llevarse a cabo cuando sea probable que un tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas.

44.- El Delegado de Protección de Datos: a) Ha de tener conocimientos especializados en Derecho y en Protección de datos personales. b) Ha de estar certificado por alguna de las entidades de certificación acreditadas por ENAC. c) Deberá desempeñar sus funciones a tiempo completo.

45.- La designación de un Delegado de Protección de Datos es obligatoria, en todo caso, para: a) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación. b) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, incluyendo los profesionales de la salud que ejerzan su actividad a título individual. c) Las comunidades de propietarios.

46.- Los poderes de las autoridades de control: a) Se limitan a poderes de investigación y poderes correctivos. b) Se limitan a poderes de investigación, poderes correctivos y poderes de autorización y consultivos. c) Se limitan a poderes de investigación, poderes correctivos y poderes consultivos.

47.- La Agencia Española de Protección de Datos: a) Es un organismo autónomo. b) Es una entidad pública empresarial. c) Es una autoridad administrativa independiente.

48.- Podrán ser sancionados por la Agencia Española de Protección de Datos por infracción del Reglamento General de Protección de Datos: a) los empleados públicos. b) el delegado de protección de datos. c) el responsable del tratamiento.

49.- El interesado que pretenda presentar una reclamación en materia de protección de datos: a) deberá previamente presentarla ante el Delegado de Protección de Datos. b) podrá dirigirse previamente al Delegado de Protección de Datos. c) deberá previamente presentarla ante responsable del tratamiento.

50.- En cuanto a las infracciones cometidas por las Administraciones Públicas: a) El Reglamento General de Protección de Datos no realiza distinciones entre responsables públicos y privados. b) En el caso español, no serán sancionadas con multa. c) El Reglamento General de Protección de Datos prohíbe que sean sancionadas con multa.

51.- Están sujetos a un régimen específico del artículo 77 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: a) Las Universidades Públicas y Privadas. b) Los consorcios y empresas públicas. c) Las Administraciones de las comunidades autónomas.

52.-Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del interesado: a) Se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. b) Se identificará al mismo mediante su nombre y apellidos, añadiendo las cuatro últimas cifras numéricas del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. c) Se identificará al mismo exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

53.- Las Administraciones públicas: a) Pueden consultar o recabar documentos que no hayan sido aportados por los interesados al procedimiento administrativo, cuando ya se encuentren en su poder o hayan sido elaborados por otra Administración Pública, salvo oposición por el interesado. b) Pueden consultar o recabar documentos que no hayan sido aportados por los interesados al procedimiento administrativo, cuando ya se encuentren en su poder o hayan sido elaborados por otra Administración Pública, siempre que cuenten con el consentimiento del interesado. c) Deberán exigir a los interesados la aportación de los documentos pertinentes, independientemente de que ya se encuentren en su poder o hayan sido elaborados por cualquier otra Administración.

54.- Los empleados públicos, en el ejercicio de sus funciones, están obligados a: a) A comunicar únicamente al Delegado de Protección de datos una violación de seguridad en el tratamiento de datos personales que hayan detectado en el ejercicio de sus funciones. b) A adoptar todas las medidas de seguridad que indique el responsable del tratamiento en relación con el tratamiento de los datos de carácter personal. c) Actuar como encargado del tratamiento cuando sus superiores jerárquicos así se lo indiquen.

55.- Según el Decreto 22/2021, de 30 de septiembre, por el que se aprueba la política de seguridad de la información y protección de datos de la Administración de la Comunidad de Castilla y León, se aprueba la Política de Seguridad de la Información y Protección de Datos de la Administración de la Comunidad de Castilla y León (PSIPD): a) Considera como responsables del tratamiento a los empleados públicos y, en su caso, al Delegado de Protección de Datos. b) Considera como responsable del tratamiento al Presidente de la Junta de Castilla y León. c) Considera como responsables del tratamiento a las personas titulares de los centros directivos de las diferentes consejerías, organismos autónomos y entes públicos de derecho privado.

56.- El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales: a) Para evitar su pérdida, alteración o acceso no autorizado, prevaleciendo los criterios del Esquema Nacional de Seguridad sobre los criterios de determinación del riesgo en el tratamiento de los datos establecidos en el artículo 32 del Reglamento General de Protección de Datos. b) Para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. c) Para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento General de Protección de Datos.