D.A. 4ª. Protección de datos de carácter personal en los Registros de personas objetoras de conciencia.

1. Los datos personales que contengan los Registros de personas objetoras de conciencia regulados en el artículo 19 ter se llevarán a cabo conforme a lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

2. El fundamento jurídico de legitimación para el tratamiento de los datos que recoja el Registro de personas objetoras, de acuerdo con su objetivo y finalidad, se encuentra en las letras g) e i) del apartado 2 de los artículos 9 y concordantes del Reglamento General de Protección de Datos, así como en las letras c) y e) del apartado 1 de su artículo 6.

3. Los datos de las personas objetoras recogidos en cada uno de los Registros serán aquellos que resulten estrictamente necesarios para identificar al personal sanitario que desarrolle su actividad en centros sanitarios acreditados para la realización de la interrupción voluntaria del embarazo cuyas funciones conlleven su participación directa en las citadas intervenciones. Los datos objeto de tratamiento deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son recogidos, no debiendo incluirse, en ningún caso, el motivo de la objeción.

4. La finalidad perseguida con el tratamiento de los datos recabados en virtud del artículo 19 ter es la garantía de la prestación de la interrupción voluntaria del embarazo, adecuando los recursos humanos a la correcta programación de las intervenciones de interrupción voluntaria del embarazo. Los datos no podrán ser utilizados en ningún caso con fines distintos a los establecidos en este precepto.

5. Son responsables del tratamiento las Consejerías competentes en materia de sanidad de las comunidades autónomas y el Instituto Nacional de Gestión Sanitaria (INGESA), de acuerdo con sus respectivos ámbitos competenciales.

6. Las personas titulares de las Direcciones o Gerencias de los centros sanitarios acreditados para la realización de la interrupción voluntaria del embarazo tienen la consideración de destinatarias de los datos que sean estrictamente necesarios para la correcta planificación del servicio. Asimismo, tendrán esta condición respecto de los datos personales que sean estrictamente necesarios para conocer el número de personas objetoras en cada centro sanitario, acreditado quienes sean responsables de planificar los recursos humanos en cada Comunidad Autónoma y en el Instituto Nacional de Gestión Sanitaria (INGESA), con el fin de garantizar la prestación de la interrupción voluntaria del embarazo.

7. Las personas responsables y encargadas del tratamiento, así como todas las personas que intervengan en cualquier fase del mismo, estarán sujetas al deber de confidencialidad regulado por el artículo 5.1.f) del Reglamento general de protección de datos, sin perjuicio de los deberes de secreto profesional que, en su caso, resulten de aplicación.

8. La recolección de datos se hará conforme a la legislación vigente, con especial atención a:

a) La confidencialidad y la autenticidad de la identificación de la persona titular de los datos mediante certificado electrónico o instrumento similar de identificación segura.

b) El cumplimiento del deber de información previa a los interesados en los términos previstos en el artículo 13 del Reglamento general de protección de datos.

9. De acuerdo con la finalidad del tratamiento, se conservarán los datos recogidos durante el tiempo necesario para el cumplimiento del fin para el cual fueron recogidos y, en su caso, podrán conservarse, debidamente bloqueados, por el tiempo necesario para atender a las responsabilidades derivadas de su tratamiento ante los órganos administrativos o jurisdiccionales competentes. Una vez trascurrido dicho periodo de conservación, los datos serán suprimidos definitivamente.

10. Las administraciones públicas que sean responsables del tratamiento deberán implementar la protección de datos desde el diseño, de acuerdo con lo previsto en el artículo 25 del Reglamento general de protección de datos, realizando, desde el momento de la concepción del tratamiento, el correspondiente análisis de riesgos y evaluación de impactos para determinar las medidas técnicas y organizativas adecuadas. Estas medidas garantizarán los derechos y libertades de la persona interesada, así como la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los accesos a los datos, teniendo en cuenta, en todo momento, lo previsto en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

11. La persona titular de los datos podrá ejercer todos los derechos regulados en los artículos 13 a 22 del Reglamento General de Protección de Datos, excepto el de oposición, al basarse el tratamiento en el cumplimiento de una obligación legal, conforme al artículo 6.1.c) del Reglamento General de Protección de Datos.