CONCLUSIONES DEL ABOGADO GENERAL
SR. PAOLO MENGOZZI
presentadas el 13 de junio de 2013 (1)
Asunto C‑291/12
Michael Schwarz
contra
Stadt Bochum
[Petición de decisión prejudicial
planteada por el Verwaltungsgericht Gelsenkirchen (Alemania)]
«Espacio de libertad, seguridad y justicia – Normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros – Artículo 1, apartado 2, del Reglamento (CE) nº 2252/2004, en su versión modificada por el Reglamento (CE) nº 444/2009 – Derechoa la protección de los datos de carácter personal»
Índice
I. Introducción
II. Marco jurídico
A. Derecho de la Unión
B. Derecho alemán
III. Litigio principal y cuestión prejudicial
IV. Procedimiento ante el Tribunal de Justicia
V. Análisis jurídico
A. Sobre la presunta insuficiencia de base jurídica
1. Contenido y finalidad del Reglamento nº 2252/2004, en su versión modificada
2. Idoneidad del artículo 62 CE, número 2, letra a), como base jurídica del Reglamento nº 2252/2004, en su versión modificada
B. Sobre el presunto incumplimiento de la obligación de consulta al Parlamento
C. Sobre la supuesta violación del derecho fundamental a la protección de los datos de carácter personal
1. Observaciones preliminares sobre el lugar que ocupan los derechos fundamentales en el marco del Reglamento nº 2252/2004, en su versión modificada
2. La obligación impuesta en el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, constituye una lesión del derecho fundamental a la protección de los datos de carácter personal establecida por la ley que persigue un objetivo de interés general reconocido por la Unión
3. Sobre el carácter proporcionado de la lesión
a) La limitación es idónea para lograr el objetivo de interés general reconocido por la Unión
b) El artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, es necesario para lograr el objetivo de interés general reconocido por la Unión
c) Observaciones finales
VI. Conclusión
I. Introducción
1. «Nunca carece de importancia la elección del uso de la biometría en sistemas de información, especialmente cuando el sistema en cuestión afecta a un número tan grande de personas. La biometría […] cambia de manera irrevocable la relación entre cuerpo e identidad, en el sentido de que hace que “una máquina pueda leer” las características del cuerpo humano y éstas quedan sometidas a su uso posterior. Aunque el ojo humano no pueda leer las características biométricas, sí pueden hacerlo, y hacer uso de ellas, los instrumentos adecuados, sin límite de tiempo y dondequiera que la persona se encuentre.»
2. Esta advertencia del Supervisor Europeo de Protección de Datos (2) adquiere una relevancia particular por cuanto hoy se solicita al Tribunal de Justicia que se pronuncie sobre la validez, en particular a la luz del derecho fundamental a la protección de los datos de carácter personal reconocido en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), de la obligación que impone a los Estados miembros el Reglamento (CE) nº 2252/2004 del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros, (3) en su versión modificada por el Reglamento (CE) nº 444/2009 del Parlamento Europeo y del Consejo, de 28 de mayo de 2009 (4) (en lo sucesivo, «Reglamento nº 2252/2004, en su versión modificada»), de no expedir pasaportes a sus nacionales a menos que éstos se sometan a la recogida obligatoria de dos de sus impresiones dactilares cuya imagen queda además almacenada en el propio pasaporte.
II. Marco jurídico
A. Derecho de la Unión
3. El artículo 1, apartado 2, del Reglamento nº 2252/2004 disponía que «los pasaportes y documentos de viaje incluirán un soporte de almacenamiento que contendrá una imagen facial. Los Estados miembros también incluirán impresiones dactilares en modelos interoperables. Los datos deberán estar protegidos y el soporte de almacenamiento deberá tener la suficiente capacidad y la posibilidad de garantizar la integridad, la autenticidad y la confidencialidad de los datos».
4. El artículo 1 del Reglamento nº 444/2009 modificó el artículo 1, apartado 2, del Reglamento nº 2252/2004, que actualmente tiene el siguiente tenor:
«Los pasaportes y documentos de viaje incluirán un soporte de almacenamiento de alta seguridad que contendrá una imagen facial. Los Estados miembros también incluirán dos impresiones dactilares tomadas mediante presión plana en modelos interoperables. Los datos deberán estar protegidos y el soporte de almacenamiento deberá tener la suficiente capacidad y la posibilidad de garantizar la integridad, la autenticidad y la confidencialidad de los datos.»
B. Derecho alemán
5. El artículo 4, apartado 3, de la Ley de pasaportes (Passgesetz), de 19 de abril de 1986, modificada en último lugar por la Ley de 30 de julio de 2009, (5) dispone lo siguiente:
«Con arreglo al Reglamento [nº 2252/2004], el pasaporte ordinario, el de servicio y el diplomático deben contener un soporte de almacenamiento electrónico en que consten la fotografía, las impresiones dactilares, la identificación de los dedos estampados, información sobre la calidad de las impresiones y los datos mencionados en el apartado 2, segunda frase. Los datos almacenados deberán estar protegidos frente a la lectura, modificación y eliminación no autorizadas. No se creará una base de datos de ámbito nacional con los datos biométricos de la primera frase de este apartado.»
III. Litigio principal y cuestión prejudicial
6. El Sr. Schwarz, de nacionalidad alemana, solicitó a los servicios competentes de la Stadt Bochum (Ayuntamiento de Bochum) la expedición de un pasaporte oponiéndose a la recogida obligatoria de sus huellas dactilares. El 8 de noviembre de 2007, al considerar que no se podía expedir un pasaporte sin tomar obligatoriamente las huellas dactilares, dichos servicios denegaron la expedición del citado documento invocando el artículo 4, apartado 3, de la Passgesetz.
7. A raíz de dicha decisión, el demandante en el procedimiento principal interpuso un recurso para que el órgano jurisdiccional remitente intimase a la Stadt Bochum a expedirle un pasaporte sin tomar sus huellas dactilares. A tal efecto, alega, en particular, que el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, que es la fuente de la obligación impuesta a los Estados miembros de tomar dos impresiones dactilares de cualquier persona que solicite la expedición de un pasaporte, es nulo.
8. Al compartir las incertidumbres del demandante en el procedimiento principal, el órgano jurisdiccional remitente duda de que el artículo 62 CE, número 2, letra a) constituya una base jurídica suficiente para adoptar el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada. Por otra parte, se pregunta si la circunstancia de que no se consultase al Parlamento Europeo, después de que el Consejo de la Unión Europea transformase la facultad de tomar las impresiones dactilares, inicialmente contenida en el proyecto de Reglamento, en una obligación, constituye un vicio de procedimiento que puede afectar a la validez del citado artículo 1. Por último, sostiene que también podría ser motivo de nulidad de dicho artículo la circunstancia de que vulnerase el derecho fundamental a la protección de los datos de carácter personal establecido en el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950 (en lo sucesivo, «CEDH»), y reconocido en el artículo 8 de la Carta.
9. En tal contexto, el Verwaltungsgericht Gelsenkirchen decidió suspender el procedimiento y, mediante resolución de remisión recibida en la Secretaría del Tribunal de Justicia el 12 de junio de 2012, plantear a este órgano jurisdiccional, sobre la base del artículo 267 TFUE, la siguiente cuestión prejudicial:
«¿Es válido el artículo 1, apartado 2, del Reglamento [nº 2252/2004, en su versión modificada por el Reglamento nº 444/2009]?»
IV. Procedimiento ante el Tribunal de Justicia
10. El demandante en el procedimiento principal, la Stadt Bochum, los Gobiernos alemán y polaco, el Parlamento, el Consejo y la Comisión Europea han presentado observaciones escritas ante el Tribunal de Justicia.
11. En la vista celebrada el 13 de marzo de 2013 formularon observaciones orales el demandante en el procedimiento principal, el Gobierno alemán, el Parlamento, el Consejo y la Comisión.
V. Análisis jurídico
12. Examinaré de forma sucesiva los tres motivos de nulidad invocados, a saber, la insuficiencia de base jurídica, la existencia de un vicio de procedimiento en la adopción del Reglamento nº 2252/2004, en su versión modificada, y la presunta vulneración del artículo 8 de la Carta.
A. Sobre la presunta insuficiencia de base jurídica
13. El Reglamento nº 2252/2004, al igual que el Reglamento nº 444/2009, tiene como base jurídica el artículo 62 CE, número 2, letra a), según el cual «el Consejo, con arreglo al procedimiento previsto en el artículo 67, adoptará […] 2) medidas sobre el cruce de las fronteras exteriores de los Estados miembros en las que se establezcan […] a) las normas y los procedimientos que deben aplicar los Estados miembros para la realización de controles sobre las personas en dichas fronteras».
14. El demandante en el procedimiento principal sostiene que, con carácter general, el artículo 18 CE, apartado 3, (6) prohibía a las instituciones adoptar normas en materia de pasaportes de los ciudadanos europeos. En cualquier caso, según él, una normativa sobre pasaportes de los ciudadanos de la Unión no puede basarse válidamente en el citado artículo 62, pues el concepto de «controles sobre las personas en las fronteras exteriores» en el sentido de dicho artículo excluye las medidas que se aplican exclusivamente a los ciudadanos de la Unión. Por otra parte, los pasaportes expedidos a los ciudadanos de la Unión no sirven de forma específica para realizar controles en sus fronteras exteriores. Por último, el demandante en el procedimiento principal añade que la obligación de tomar las impresiones dactilares prevista en el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, no está comprendida en el ámbito de aplicación establecido en el artículo 62 CE, número 2, letra a), dado que no está incluida en el concepto de «normas» o de «procedimientos que deben aplicar los Estados miembros para la realización de controles sobre las personas en [las] fronteras [exteriores]».
15. Procede rechazar de inmediato la alegación relativa al artículo 18 CE, apartado 3, cuyo único efecto era el de excluir que pudieran adoptarse disposiciones en materia de pasaportes sobre la base de las disposiciones del Tratado relativas a la ciudadanía europea y, más concretamente, sobre la base del artículo 18 CE, apartado 2. En cambio, del artículo 18 CE, apartado 3, no se derivaba una prohibición general a las instituciones de adoptar cualquier normativa en relación con los pasaportes.
16. La crítica relativa a la utilización exclusiva del artículo 62 CE, número 2, letra a), como base jurídica es más seria. Ciertamente, el Tribunal de Justicia ya ha conocido de un recurso de anulación interpuesto contra el Reglamento nº 2252/2004 por el Reino Unido de Gran Bretaña e Irlanda del Norte. (7) En el marco de dicho recurso, el Tribunal de Justicia apenas abordó la cuestión de la base jurídica, y de forma muy genérica. (8) Al parecer, nunca dudó de que el Reglamento nº 2252/2004 estuviera fundado en una base jurídica correcta. Dicho esto, dado que esta cuestión se ha planteado claramente al Tribunal de Justicia en el marco de la presente remisión prejudicial y que versa sobre la validez del artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, merece un examen más profundo en el marco de las presentes conclusiones.
17. Ahora bien, para comprobar si el artículo 62 CE, número 2, letra a), puede constituir la base jurídica del acto controvertido, procede recordar la reiterada afirmación del Tribunal de Justicia según la cual, en el marco del sistema de competencias de la Unión Europea, «la elección de la base jurídica de un acto comunitario debe basarse en elementos objetivos susceptibles de control jurisdiccional, entre los que figuran, en especial, la finalidad y el contenido del acto». (9) Con el fin de cerciorarse de que el artículo 62 CE, número 2, letra a), constituye una base jurídica suficiente para el Reglamento nº 2252/2004, en su versión modificada, procede determinar, en primer lugar, la finalidad y el contenido del citado Reglamento para, a continuación, comprobar si tal finalidad y contenido podían definirse adecuadamente en un Reglamento adoptado tomando como fundamento dicha base jurídica.
1. Contenido y finalidad del Reglamento nº 2252/2004, en su versión modificada
18. En cuanto a la finalidad perseguida, del propio título del Reglamento nº 2252/2004 se desprende que este tiene por objeto establecer normas para las medidas de seguridad y los datos biométricos en los pasaportes expedidos por los Estados miembros.
19. La inclusión en los pasaportes de datos biométricos, entre ellos, dos impresiones dactilares, junto con la armonización de las medidas de seguridad, persigue el objetivo de hacer más fiable el vínculo entre el pasaporte y su titular y luchar contra su falsificación y su uso fraudulento, (10) objetivo que, según el Tribunal de Justicia, constituye la finalidad del Reglamento nº 2252/2004. (11)
20. Por otra parte, la armonización de las normas relativas a los datos biométricos incluidos en los pasaportes pretende otorgar coherencia al planteamiento de la Unión sobre los citados datos, en particular en relación con las normas aplicables en materia de visados concedidos a nacionales de terceros países, (12) para que los pasaportes expedidos a los ciudadanos de la Unión no «qued[en] rezagados respecto a los que ya contienen las especificaciones técnicas para el modelo uniforme de visado y de permiso de residencia para ciudadanos de terceros países». (13)
21. Por último, el noveno considerando del Reglamento nº 2252/2004 menciona «el objetivo básico de introducir normas comunes de seguridad e identificadores biométricos interoperables», objetivo que, según el legislador de la Unión, requiere que se establezcan normas para todos los Estados miembros que ponen en práctica el Convenio de aplicación del Acuerdo de Schengen de 14 de junio de 1985. (14) Por consiguiente, el Reglamento nº 2252/2004, en su versión modificada, también persigue el objetivo de «simplificar los controles en las fronteras» (15) mediante la armonización de las normas comunes de seguridad.
22. En mi opinión, el objetivo básico que persigue el Reglamento nº 2252/2004, en su versión modificada, sólo puede entenderse si se ubica en el contexto más amplio del sistema en el que se enmarcó su adopción, y es preciso prestar particular atención a las relaciones que mantiene con el sistema nacido del Acuerdo de Schengen. Pues bien, precisamente los considerandos décimo a décimo cuarto recuerdan que dicho Reglamento se ha concebido como un desarrollo de las normas del acervo de Schengen, lo que, por otra parte, el Tribunal de Justicia ya ha tenido ocasión de confirmar. (16) En el marco de ese acervo se precisó la política de gestión integrada de las fronteras exteriores de los Estados miembros que participan en el sistema nacido del Acuerdo de Schengen, y en particular, las normas relativas al cruce de las fronteras exteriores. Al armonizar el contenido y las características técnicas de los documentos de viaje que los ciudadanos de la Unión deben llevar consigo cuando cruzan las fronteras exteriores, el objetivo perseguido por el legislador en el marco del Reglamento nº 2252/2004, en su versión modificada, contribuye claramente a alcanzar el objetivo más amplio consistente en proteger las citadas fronteras.
23. Desde la perspectiva de su contenido y, cohonestándose plenamente con su finalidad, el Reglamento nº 2252/2004, en su versión modificada, contiene tres tipos de normas. Por una parte, están las normas relativas a la recogida obligatoria de las impresiones dactilares en sí misma, las excepciones a dicha obligación y los supuestos en que la recogida resulta imposible. (17) Por otra parte, están las disposiciones referentes al régimen general aplicable a los datos contenidos en los pasaportes. (18) Las restantes disposiciones y el anexo del citado Reglamento versan sobre cuestiones puramente técnicas de las normas mínimas de seguridad que los Estados miembros deben respetar cuando expiden pasaportes. Sin ánimo de ser exhaustivo, me limitaré aquí a mencionar las especificaciones técnicas relativas al soporte de almacenamiento, al tipo de registro, al propio proceso de recogida de impresiones, a los métodos de protección de los datos, a las técnicas de impresión y a las modalidades de lectura y conservación de los datos. (19) Por consiguiente, el Reglamento nº 2252/2004, en su versión modificada, procede «a la armonización y la mejora de las normas mínimas de seguridad que han de cumplir los pasaportes […] expedidos por los Estados miembros y prevé la inserción en dichos [pasaportes] de algunos elementos biométricos relativos a los titulares de tales documentos». (20)
2. Idoneidad del artículo 62 CE, número 2, letra a), como base jurídica del Reglamento nº 2252/2004, en su versión modificada
24. ¿Podían adoptarse los elementos antes descritos sobre la base del artículo 62 CE, número 2, letra a)? Así lo creo.
25. Por un lado, los elementos armonizados mediante el Reglamento nº 2252/2004, en su versión modificada, tienen por objeto uniformar el contenido y las normas de seguridad en lo que respecta a los pasaportes expedidos por los Estados miembros a los ciudadanos europeos. A diferencia de lo que sostiene el demandante en el procedimiento principal, no es correcto sostener que el artículo 62 CE, número 2, letra a), sólo puede servir de base jurídica para medidas relativas a los controles en las fronteras exteriores sobre nacionales de terceros Estados. El tenor del citado artículo 62 CE no contiene esa limitación sino que simplemente menciona «los controles sobre las personas». Por otra parte, del acervo de Schengen se desprende claramente que los ciudadanos de la Unión también están sujetos a una comprobación mínima cuando cruzan las fronteras exteriores de la Unión. (21) Dicho control, al igual que, con carácter general, el refuerzo de las garantías en lo que respecta a las fronteras exteriores, es el corolario necesario de la inexistencia de control en las fronteras interiores de la Unión y una condición previa del pleno disfrute de la libertad de circulación en el territorio de la Unión. Por consiguiente, el Reglamento nº 2252/2004, en su versión modificada, trata efectivamente de los «controles sobre las personas en las fronteras exteriores» en el sentido del artículo 62 CE, número 2, letra a). (22)
26. Por otro lado, el citado Reglamento obliga a los Estados miembros a expedir pasaportes cuyo contenido y características técnicas estén armonizados. De este modo, el legislador de la Unión se asegura de que el control sobre los ciudadanos de la Unión en las fronteras exteriores se lleva a cabo sobre la misma base y de que las autoridades nacionales comprueban la identidad de los citados ciudadanos en los distintos puntos de control con arreglo a los mismos datos. Por lo tanto, ha contribuido a integrar en mayor medida la política de gestión de las citadas fronteras. (23) La circunstancia de que se ponga a disposición de la policía en las fronteras de la Unión, en el momento de realizar el control de pasaportes de los ciudadanos de la Unión, un conjunto homogéneo de datos protegidos tiende a reforzar el nivel de seguridad de los controles y a facilitarlos.
27. Ciertamente, la obligación de tomar dos impresiones dactilares se traduce en una operación que es anterior al propio control. No obstante, condiciona sin lugar a dudas el ejercicio del control como tal. En consecuencia, considero algo artificial sostener que las disposiciones relativas a los datos incluidos en los pasaportes y que deben ser objeto de control cuando se cruzan las fronteras exteriores de la Unión no pueden adoptarse sobre la base jurídica que permite esos mismos controles. Un planteamiento racional del contenido y de la interpretación que procede realizar del artículo 62 CE, número 2, letra a), exige reconocer que la obligación de tomar dos impresiones dactilares en las condiciones establecidas en el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, al constituir un requisito previo inescindible del ejercicio del control en las fronteras exteriores sobre los ciudadanos de la Unión, está efectivamente comprendida en el concepto de «normas y […] procedimientos que deben aplicar los Estados miembros para la realización de controles sobre las personas en dichas fronteras».
28. Por los motivos anteriormente expuestos, considero que el artículo 62 CE, número 2, letra a), constituye una base jurídica adecuada para la adopción del Reglamento nº 2252/2004, en su versión modificada.
B. Sobre el presunto incumplimiento de la obligación de consulta al Parlamento
29. El Consejo debía adoptar las medidas que tienen como base jurídica el artículo 62 CE, número 2, letra a), conforme al procedimiento previsto en el artículo 67 CE. En la fecha en que se adoptó el Reglamento nº 2252/2004, dicho procedimiento preveía que debía consultarse al Parlamento. (24) El demandante en el procedimiento principal sostiene que no se respetó ese procedimiento, pues se consultó al Parlamento en relación con una propuesta de Reglamento que sólo establecía una mera facultad de los Estados miembros de tomar impresiones dactilares, facultad que, en el borrador final, se transformó en una obligación, sin que el Parlamento tuviera ocasión de pronunciarse al respecto.
30. En primer lugar, procede señalar que el vicio de procedimiento que invoca el demandante en el litigio principal se refiere al procedimiento que llevó a la adopción del artículo 1, apartado 2, del Reglamento nº 2252/2004. Pues bien, la cuestión sobre la validez que plantea el órgano jurisdiccional remitente versa claramente sobre la validez del artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada. (25) No se discute que este último se adoptó, conforme prevé el artículo 67 CE, apartado 2, con arreglo al procedimiento establecido en el artículo 251 CE, es decir mediante el procedimiento de codecisión. Por consiguiente, el vicio de procedimiento invocado por el demandante en el litigio principal no puede afectar a la validez del artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada.
31. Dicho esto, y con el fin de resolver cualquier controversia al respecto, formularé no obstante unas rápidas observaciones para demostrar que el artículo 1, apartado 2, del Reglamento nº 2252/2004 –en su versión original– tampoco adolecía de un vicio de procedimiento.
32. Por una parte, de reiterada jurisprudencia del Tribunal de Justicia se desprende que «la exigencia de consultar al Parlamento Europeo durante el procedimiento legislativo, en los casos previstos por el Tratado, implica la necesidad de consultarle nuevamente siempre que el texto finalmente adoptado, considerado en su conjunto, difiera en su contenido material del texto sobre el cual ya se haya consultado al Parlamento». (26) Pues bien, aunque es cierto que la propuesta de Reglamento del Consejo presentada por la Comisión únicamente contemplaba la posibilidad de que los Estados miembros incluyeran, entre los datos almacenados en los pasaportes, impresiones dactilares (27) y que tal posibilidad se transformó en una obligación en la versión definitiva del Reglamento, dicha transformación no constituye una modificación de su contenido material, en el sentido de la jurisprudencia del Tribunal de Justicia, que requiera que vuelva a consultarse al Parlamento. La cuestión de si la recogida de impresiones era facultativa u obligatoria no era la cuestión básica que se planteaba entonces pues, en todo caso, el Parlamento debía tener en cuenta la posibilidad de que todos los Estados miembros optasen por ejercitar dicha facultad.
33. Por otra parte, de los datos cronológicos facilitados al Tribunal de Justicia se desprende que la propuesta de Reglamento se transmitió al Parlamento el 25 de febrero de 2004. El acuerdo político en el seno del Consejo para transformar la facultad de recabar impresiones dactilares en una obligación se adoptó el 26 de octubre de 2004. El Consejo remitió al Parlamento un nuevo documento acompañado de un escrito informativo el 24 de noviembre de 2004. El Parlamento emitió su dictamen (28) el 2 de diciembre de 2004, es decir –ciertamente–, poco después de recibir dicha comunicación, pero la existencia de una referencia a las nuevas directrices del Consejo en los visados demuestra que, en el momento en que emitió su dictamen, el Parlamento estaba plenamente informado del cambio de planteamiento del Consejo, cambio que no suscitó ningún tipo de reacción por su parte. Por otro lado, el Parlamento no se ha quejado del incumplimiento de la obligación de consulta ni tampoco ha impugnado durante la vista las precisiones realizadas en relación con el desarrollo del procedimiento de consulta en lo que respecta al Reglamento nº 2252/2004.
34. Por estos motivos, y a pesar de que estoy convencido de que la cuestión de la legalidad del procedimiento de adopción del artículo 1, apartado 2, del Reglamento nº 2252/2004 carece de pertinencia para el litigio principal, procede concluir que el hecho de que no se consultase nuevamente al Parlamento, tras la transformación de la facultad de tomar las huellas dactilares para almacenarlas en los pasaportes en una obligación, no tuvo por consecuencia que dicha adopción adoleciera de un vicio de procedimiento.
C. Sobre la supuesta violación del derecho fundamental a la protección de los datos de carácter personal
35. Habida cuenta de que la petición de decisión prejudicial se limita a indicar que el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, supuestamente vulnera también «el derecho de libre entrada y salida, el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos y diversos principios de igualdad y no discriminación», sin exponer los motivos por los cuales la validez de dicho artículo debería examinarse a la luz de tales libertades y principios y sin comprobar siquiera si son pertinentes en el marco de dicho control, y dado que las partes interesadas que han intervenido en el procedimiento ante el Tribunal de Justicia, incluido el demandante en el procedimiento principal, han centrado sus observaciones en la violación del derecho fundamental a la protección de los datos de carácter personal, el razonamiento que expondré a continuación versará exclusivamente sobre el examen de la validez del artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, a la luz de dicho derecho fundamental.
36. El artículo 8, apartado 1, de la Carta establece el derecho de toda persona a «la protección de los datos de carácter personal que la conciernan». Pues bien, es evidente que las impresiones dactilares son datos de carácter personal. (29) En particular, el apartado 2 del mismo artículo dispone que «estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación».
37. Cualquier limitación de dicho derecho debe respetar los criterios previstos en el artículo 52, apartado 1, de la Carta. Así pues, debe estar establecida por la ley y respetar el contenido esencial del derecho de que se trata y el principio de proporcionalidad, es decir, ser necesaria y responder efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.
38. Antes de comprobar de forma concreta la validez del artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, en relación con el artículo 8 de la Carta, procede recordar que la cuestión de los derechos fundamentales no es ajena a dicho Reglamento. A continuación, demostraré que la lesión del derecho fundamental a la protección de los datos de carácter personal que constituye la obligación de recoger y almacenar para su lectura la imagen de dos impresiones dactilares está prevista en la ley y persigue un objetivo de interés general reconocido por la Unión. Por último, expondré mi opinión sobre el carácter proporcionado de dicha lesión.
1. Observaciones preliminares sobre el lugar que ocupan los derechos fundamentales en el marco del Reglamento nº 2252/2004, en su versión modificada
39. Con carácter preliminar procede señalar que, como recuerda el octavo considerando del Reglamento nº 2252/2004, en el ámbito de la protección de los datos que deben someterse a tratamiento en el marco de la expedición de pasaportes, se aplica la Directiva 95/46. La citada Directiva, de la que se hace mención en las explicaciones relativas al artículo 8 de la Carta, recoge una serie de principios fundamentales que, por otra parte, también ha establecido el Tribunal Europeo de Derechos Humanos, (30) como el tratamiento leal y lícito así como la recogida con fines determinados, explícitos y legítimos de datos adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben, exactos, actualizados y no conservados de forma permanente. También sienta el principio de la necesidad del consentimiento del interesado para el tratamiento de sus datos, estableciendo toda una serie de excepciones, como el cumplimiento de una misión de interés público o inherente al ejercicio del poder público o como la realización de un interés legítimo perseguido. (31) Como otro elemento esencial, la Directiva prevé un derecho de acceso para las personas afectadas por el tratamiento de sus datos de carácter personal a cierta información, (32) un derecho de oposición, en determinadas circunstancias, (33) y el derecho a interponer un recurso judicial. (34)
40. Por otra parte, el artículo 1 bis del Reglamento nº 2252/2004, introducido por el Reglamento nº 444/2009, dispone expresamente que los procedimientos nacionales de recogida de datos biométricos deben respetar «las salvaguardias establecidas en el [CEDH] y en la Convención de las Naciones Unidas sobre los Derechos del Niño» y exige que tales procedimientos garanticen la dignidad de las personas afectadas en caso de que se presenten dificultades para el registro.
41. Por lo tanto, las garantías que establece el Reglamento nº 2252/2004, en su versión modificada, deben leerse a la luz de las salvaguardias previstas en la Directiva 95/46 y de las referencias que contiene al CEDH y a la dignidad de las personas. El examen de la validez del artículo 1, apartado 2, del citado Reglamento debe efectuarse pues necesariamente teniendo en mente estos elementos esenciales.
2. La obligación impuesta en el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, constituye una lesión del derecho fundamental a la protección de los datos de carácter personal establecida por la ley que persigue un objetivo de interés general reconocido por la Unión
42. Por una parte, la recogida obligatoria por las autoridades nacionales competentes en las condiciones previstas en el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, su registro y almacenamiento en los pasaportes, así como la posibilidad de que la policía de fronteras lea dichos datos sin el consentimiento del interesado constituyen, sin lugar a dudas, una lesión del derecho reconocido en el artículo 8 de la Carta. En efecto, salvo que se renuncie a poseer un pasaporte y, por consiguiente, a desplazarse a la mayor parte de terceros Estados, los solicitantes no pueden oponerse a la recogida y almacenamiento de sus impresiones dactilares.
43. Por otra parte, procede señalar en primer lugar, que la lesión derivada de la recogida obligatoria de impresiones dactilares debe considerarse «establecida por la ley» en el sentido del artículo 52, apartado 1, de la Carta, dado que dicha recogida está expresamente prevista en el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, el cual responde asimismo, por lo demás, a los requisitos de accesibilidad, claridad y previsibilidad, de conformidad con la jurisprudencia del Tribunal Europeo de Derechos Humanos. (35)
44. En segundo lugar, como ya he señalado anteriormente, (36) el objetivo general básico que persigue el Reglamento nº 2252/2004, en su versión modificada, es proteger las fronteras exteriores mediante la aplicación de una política de gestión integrada de las citadas fronteras. Además, la inclusión en un pasaporte de las impresiones dactilares almacenadas en un soporte protegido pretende hacer más fiable el vínculo entre el documento y su titular, con lo cual dificulta su falsificación y su utilización fraudulenta y, en consecuencia, la inmigración ilegal. Por otro lado, la actuación del legislador era de gran importancia desde el punto de vista del establecimiento progresivo de un espacio de seguridad, libertad y justicia, (37) y, como ya he señalado, por la inexistencia de control en las fronteras interiores de la Unión.
45. Creo que está claro que todos estos «sub-objetivos» contribuyen a realizar el objetivo general antes mencionado. Por tanto, ha de observarse que el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, al establecer la recogida obligatoria de dos impresiones dactilares para su registro y almacenamiento en los pasaportes, persigue un objetivo de interés general reconocido por la Unión.
3. Sobre el carácter proporcionado de la lesión
46. La limitación del derecho fundamental a la protección de los datos de carácter personal también debe respetar el principio de proporcionalidad, es decir, ser necesaria y responder efectivamente al objetivo perseguido.
a) La limitación es idónea para lograr el objetivo de interés general reconocido por la Unión
47. A este respecto, el demandante en el procedimiento principal niega que la recogida obligatoria de impresiones dactilares de los ciudadanos de la Unión que deseen obtener un pasaporte constituya un medio adecuado para realizar el objetivo perseguido y duda de que contribuya de forma efectiva a proteger las fronteras exteriores. En esencia, sostiene que el método biométrico escogido es particularmente insatisfactorio y tiene, en todo caso, una utilidad limitada para los ciudadanos de la Unión respecto de los que no sea posible efectuar la recogida por motivos de enfermedad, lesiones o quemaduras. Añade que el citado método no puede garantizar la realización del objetivo perseguido por la fragilidad intrínseca del chip de almacenamiento, cuya vida útil es mucho más breve que la vigencia del pasaporte. Por último, dicho método presenta, según él, una tasa de error importante y no es suficientemente seguro para garantizar la existencia de un vínculo absolutamente fiable entre el titular legítimo del pasaporte y el propio documento.
48. Sin embargo, parece poco discutible que, en sí misma, la inclusión de datos biométricos en un pasaporte hace necesariamente no solo más compleja la tarea de su falsificación, sino también más seguro el proceso de identificación del titular legítimo del pasaporte, dado que las autoridades encargadas del control en las fronteras exteriores de la Unión cuentan con dos elementos biométricos, además de la fotografía facial. (38) También es innegable que los datos biométricos de que se trata constituyen, salvo escasas excepciones, datos adecuados para individualizar e identificar a las personas.
49. En cuanto a la alegación relativa a la falibilidad del método, es correcto afirmar que el reconocimiento mediante comparación de huellas dactilares no es un método de identificación seguro al 100 % y que adolece, por consiguiente, de una tasa de error superior al 0 %. (39) Por otra parte, nadie se arriesgaría a mantener que el pasaporte cuyas características técnicas recoge el Reglamento nº 2252/2004, en su versión modificada, es un documento infalsificable. Sin embargo, está claro que el legislador de la Unión actuó de forma plenamente coherente con sus funciones al intentar complicar la tarea de los falsificadores añadiendo dos datos biométricos y profundizando en la armonización de las medidas de seguridad. En otras palabras, la circunstancia de que el método biométrico elegido sea falible y que no haga del pasaporte un documento completamente infalsificable o inmune a cualquier intento de destrucción no puede tener por consecuencia que dicho método no resulte adecuado para lograr el objetivo perseguido, dado que –conviene recordarlo– a día de hoy no existe ningún método infalible. Asimismo, en ciertos aspectos dicha falibilidad se ve compensada por la flexibilización de la obligación de recogida. Por ejemplo, cuando la recogida de las impresiones dactilares no resulte satisfactoria desde el punto de vista de la identificación, como sucede, en particular, en el caso de los niños, el legislador de la Unión ha previsto un régimen de excepción. (40)
b) El artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, es necesario para lograr el objetivo de interés general reconocido por la Unión
50. Procede comprobar si las instituciones «ponderaron equilibradamente, por un lado, el interés de la Unión» (41) en consolidar la seguridad de sus fronteras exteriores y, por otro, el menoscabo para la protección de los datos de carácter personal de los ciudadanos de la Unión que solicitan la expedición de un pasaporte. Pues bien, «las excepciones a la protección de los datos de carácter personal y las limitaciones de dicha protección deben establecerse sin sobrepasar los límites de lo estrictamente necesario», (42) de modo que no debe existir ninguna medida igual de eficaz y menos lesiva que la que establece las excepciones al derecho fundamental a la protección de los datos de carácter personal.
51. Una cuestión particularmente debatida ante el Tribunal de Justicia fue la justificación de la elección por el legislador del método biométrico consistente en la comparación de las impresiones dactilares. Según el demandante en el procedimiento principal, el legislador no desarrolló ni expuso, en particular desde el punto de vista estadístico, los motivos por los que consideró necesario, cuando adoptó los Reglamentos nº 2252/2004 y nº 444/2009, obligar a los Estados miembros a incluir dos impresiones dactilares en los pasaportes. En el fondo, el demandante en el procedimiento principal se opone a cualquier recurso a un método biométrico, salvo la fotografía facial, e incluso a la necesidad misma de identificar de forma tan precisa a los ciudadanos de la Unión en sus fronteras exteriores. (43) Se enardeció especialmente ante la posibilidad de que se recupere, sin el conocimiento de sus titulares, la imagen de las impresiones dactilares, lo que, a la postre, haría de éstas datos escasamente protegidos, (44) dado que cada acto de nuestra vida diaria constituye una ocasión para dejar impresas nuestras huellas dactilares. Por otra parte, el insuficiente nivel de protección del chip de almacenamiento no permite garantizar que los datos biométricos sólo sean leídos por las autoridades facultadas para ello. En último término, la gravedad del menoscabo del derecho fundamental que reconoce el artículo 8 de la Carta sería intolerable, pues, en primer lugar, afectaría a todos los ciudadanos de la Unión durante un período de diez años, es decir, durante toda la vigencia del pasaporte; en segundo lugar, se repetiría la injerencia en cada control en las fronteras exteriores; en tercer lugar, existiría un riesgo real de que se conservaran en ficheros de datos biométricos, y, en cuarto lugar, la identificación mediante impresiones dactilares podría dar lugar a desviaciones e implicaría el riesgo de estigmatizar a ciertas categorías de personas. Por estos motivos, el Sr. Schwarz considera que la lesión del derecho fundamental no se corresponde con las dificultades realmente surgidas en los controles en las fronteras exteriores de la Unión, ya sea a la hora de identificar a ciudadanos de la Unión o de luchar contra los intentos de entrada ilegal en el territorio de la Unión mediante un pasaporte falso.
52. Aunque es cierto que la exposición de motivos del Reglamento nº 2252/2004 no recoge en particular los motivos por los cuales el legislador optó por la inclusión de imágenes de impresiones dactilares, explica claramente sin embargo la necesidad de dar coherencia al planteamiento adoptado con respecto a los pasaportes de los ciudadanos de la Unión en relación con los documentos de viaje expedidos a los nacionales de terceros países. (45) Pues bien, en lo que atañe a estos últimos documentos, la inclusión de las impresiones ya estaba prevista. (46) Por otra parte, la exposición de motivos se refiere asimismo a los resultados de los trabajos de la Organización de Aviación Civil Internacional (OACI), que «también eligió la imagen facial como principal elemento de definición biométrica interoperable, así como las huellas dactilares y/o la imagen del iris». (47) En cualquier caso, todos los dictámenes emitidos sobre la cuestión de la inclusión de datos biométricos distintos de la imagen facial, bien por el Supervisor Europeo de Protección de Datos, (48) bien por el Grupo de trabajo del artículo 29, (49) advirtieron a las instituciones sobre los riesgos intrínsecos de recurrir a la biometría en general, pero nunca pusieron en entredicho la elección de la imagen de las impresiones dactilares. Todos estos dictámenes han recordado unánimemente que el carácter sensible por definición de los datos biométricos requiere garantías concretas, pero no han señalado en ningún momento que la elección de las impresiones dactilares como dato biométrico adicional a incluir en los documentos de viaje carezca por completo de pertinencia. Por último, habida cuenta de que, en principio, cada individuo puede proporcionar fácilmente una imagen de sus impresiones dactilares y de que estas son singulares en la medida en que le son propias, el legislador ha considerado, legítimamente en mi opinión, que las impresiones dactilares constituyen un dato biométrico de identificación idóneo para dar mayor fiabilidad al vínculo entre el pasaporte y su titular y dificultar los intentos de uso fraudulento o falsificación.
53. Así pues, parece que debe descartarse la hipótesis de un error manifiesto del legislador de la Unión –única que puede sancionarse cuando, como sucede en el presente asunto, dispone «en un contexto técnico complejo y cambiante […] de una amplia facultad de apreciación, en particular, en cuanto a la apreciación de hechos de carácter científico y técnico de gran complejidad para determinar la naturaleza y alcance de las medidas que adopte»– , (50) sobre todo porque el Tribunal de Justicia no puede, en este contexto, sustituir su apreciación por la del legislador, al que el Tratado ha encomendado dicha tarea.
54. En cuanto a la existencia de medidas alternativas menos lesivas del derecho fundamental a la protección de los datos de carácter personal, el recurso al escaneo del iris no puede considerarse menos lesivo. Además, presenta una serie de inconvenientes relativos tanto al coste intrínseco de dicho método –que está patentado– como al riesgo para la salud que conlleva el proceso de escaneado del iris o incluso a la ralentización que la comprobación de la concordancia del iris crearía en los controles en las fronteras exteriores de la Unión. (51) Por su parte, la sola inclusión de la fotografía facial es, sin duda, menos lesiva pero, habida cuenta de la evolución en la apariencia física que no puede reflejar, no resulta tan eficaz en caso de necesidad, para las autoridades de control, de confirmar la identidad de una persona y su vínculo legítimo con el pasaporte que presenta.
55. Por lo que atañe a la alegación relativa a la posibilidad de recuperación de los datos por terceros o terceros países, (52) me limitaré a señalar que, en el primer caso, no considero que el riesgo sea menos importante en el caso de un sistema en el que el control estuviera exclusivamente basado en la fotografía facial. En cuanto a los terceros países, no comparto la opinión del demandante según la cual el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, constituye la causa de la exposición de los ciudadanos de la Unión al riesgo de sufrir un abuso en dichos Estados. A este respecto, basta señalar que la Unión no influye en la determinación de las formalidades que deben cumplir sus ciudadanos para entrar en el territorio de terceros Estados.
c) Observaciones finales
56. El número de impresiones dactilares cuya imagen debe ser recogida y almacenada se limita a dos. La obligación de recogida sólo afecta a los ciudadanos de la Unión que desean viajar fuera de sus fronteras interiores. La utilización de estos datos debe circunscribirse a fines estrictamente determinados: así, el Reglamento nº 2252/2004, en su versión modificada, prevé que los datos se utilicen «únicamente para verificar» la autenticidad del pasaporte y la identidad del titular. (53) Los datos están contenidos en el único soporte de almacenamiento protegido incluido en el pasaporte, lo que en principio significa que el ciudadano de la Unión es el único que está en posesión de la imagen de sus impresiones. Dicho Reglamento no puede servir de fundamento jurídico –lo cual constituye un elemento esencial– para que los Estados miembros creen bases de datos donde almacenar esta información. (54) El período durante el cual la imagen de las impresiones dactilares permanece almacenada en el pasaporte también está limitada, ya que corresponde a la vigencia del pasaporte.
57. En todo caso, la verificación de la correspondencia de las impresiones dactilares no es sistemática, sino que se produce de forma aleatoria, por ejemplo si el control exclusivamente basado en la fotografía facial y en los elementos contenidos en el pasaporte no ha despejado toda duda sobre la autenticidad del pasaporte y/o sobre la identidad de su titular. Los datos –protegidos– son recogidos por personal cualificado y autorizado (55) y únicamente las autoridades facultadas que disponen de material adecuado pueden acceder a la lectura de dichos datos. (56) Las personas cuyas impresiones dactilares hayan sido recogidas y almacenadas disponen del derecho de verificación, rectificación y supresión. (57) Por último, para limitar los inconvenientes que podrían derivarse de las imperfecciones y de las limitaciones del método y de la tecnología, está previsto que «la falta de concordancia en sí misma no afectará a la validez del pasaporte […] para cruzar las fronteras exteriores» (58) y se ha establecido un régimen de excepciones para los menores de 12 años, para las personas a las que sea físicamente imposible tomar las impresiones dactilares o para las personas a las que no puedan tomarse temporalmente las impresiones. (59) Al establecer dichas excepciones o restricciones, el legislador de la Unión ha velado por proteger la dignidad de las personas.
58. Por lo tanto, sí, la identificación mediante la comparación de las impresiones dactilares es una técnica que tiene sus limitaciones, y no, no considero posible declarar que el Reglamento nº 2252/2004, en su versión modificada, ha establecido un régimen que permite excluir de forma absoluta cualquier riesgo, incluso de utilización fraudulenta o falsificación. Dicho esto, considero, a la luz del conjunto de las consideraciones anteriores y de las precauciones adoptadas, que el legislador ha tomado todas las medidas necesarias para garantizar en la medida de lo posible el tratamiento leal y lícito de los datos personales exigidos para la expedición de un pasaporte. Es innegable que, con su actitud mesurada, ha ponderado equilibradamente los intereses de la Unión presentes.
59. Por consiguiente, la lesión que el artículo 1, apartado 2, del Reglamento nº 2252/2004, en su versión modificada, inflige claramente al derecho fundamental a la protección de los datos de carácter personal debe considerarse proporcionada.
VI. Conclusión
60. Habida cuenta de las consideraciones precedentes, propongo al Tribunal de Justicia que responda lo siguiente a la cuestión prejudicial planteada por el Verwaltungsgericht Gelsenkirchen:
«El examen de la cuestión planteada no ha puesto de manifiesto ningún elemento que afecte a la validez del artículo 1, apartado 2, del Reglamento (CE) nº 2252/2004 del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros, en su versión modificada por el Reglamento (CE) nº 444/2009 del Parlamento Europeo y del Consejo, de 28 de mayo de 2009.»