Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)
de 21 de marzo de 2024 (*)
«Procedimiento prejudicial — Reglamento (UE) 2019/1157 — Refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión Europea — Validez — Base jurídica — Artículo 21 TFUE, apartado 2 — Artículo 77 TFUE, apartado 3 — Reglamento (UE) 2019/1157 — Artículo 3, apartado 5 — Obligación de los Estados miembros de integrar en el medio de almacenamiento de los documentos de identidad dos impresiones dactilares en formatos digitales interoperables — Artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea — Respeto de la vida privada y familiar — Artículo 8 de la Carta de los Derechos Fundamentales — Protección de datos de carácter personal — Reglamento (UE) 2016/679 — Artículo 35 — Obligación de realizar una evaluación de impacto relativa a la protección de datos — Mantenimiento en el tiempo de los efectos de un reglamento declarado inválido»
En el asunto C‑61/22,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), mediante resolución de 13 de enero de 2022, recibida en el Tribunal de Justicia el 1 de febrero de 2022, en el procedimiento entre
RL
y
Landeshauptstadt Wiesbaden,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. K. Lenaerts, Presidente, el Sr. L. Bay Larsen, Vicepresidente, el Sr. A. Arabadjiev, la Sra. A. Prechal y los Sres. E. Regan (Ponente), T. von Danwitz, F. Biltgen y Z. Csehi, Presidentes de Sala, y los Sres. J.‑C. Bonichot, S. Rodin y D. Gratsias, la Sra. M. L. Arastey Sahún y el Sr. M. Gavalec, Jueces;
Abogada General: Sra. L. Medina;
Secretario: Sr. D. Dittert, jefe de unidad;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 14 de marzo de 2023;
consideradas las observaciones presentadas:
– en nombre de RL, por el Sr. W. Achelpöhler, Rechtsanwalt;
– en nombre del Gobierno alemán, por los Sres. J. Möller y P.‑L. Krüger, en calidad de agentes;
– en nombre del Gobierno belga, por el Sr. P. Cottin y la Sra. A. Van Baelen, en calidad de agentes, asistidos por el Sr. P. Wytinck, advocaat;
– en nombre del Gobierno español, por el Sr. L. Aguilera Ruiz, en calidad de agente;
– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;
– en nombre del Parlamento Europeo, por las Sras. G. C. Bartram y P. López‑Carceller y por el Sr. J. Rodrigues, en calidad de agentes;
– en nombre del Consejo de la Unión Europea, por el Sr. M. França y la Sra. Z. Šustr, en calidad de agentes;
– en nombre de la Comisión Europea, por el Sr. H. Kranenborg, la Sra. E. Montaguti y el Sr. I. Zaloguin, en calidad de agentes;
oídas las conclusiones de la Abogada General, presentadas en audiencia pública el 29 de junio de 2023;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la validez del Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación (DO 2019, L 188, p. 67), y, en particular, de su artículo 3, apartado 5.
2 Esta petición se ha presentado en el contexto de un litigio entre RL y el Landeshauptstadt Wiesbaden (Ayuntamiento de Wiesbaden, capital del estado federado de Hesse, Alemania; en lo sucesivo, «Ayuntamiento de Wiesbaden») en relación con la denegación por este último de su solicitud de expedición de un documento de identidad que no incluya sus impresiones dactilares.
I. Marco jurídico
A. Derecho de la Unión
1. Reglamento 2019/1157
3 Los considerandos 1, 2, 4, 5, 17 a 21, 23, 26 a 29, 32, 33, 36, 40 a 42 y 46 del Reglamento 2019/1157 están redactados como sigue:
«(1) El Tratado [UE] resolvió facilitar la libre circulación de personas, garantizando al mismo tiempo la seguridad y la protección de los pueblos de Europa, mediante el establecimiento de un espacio de libertad, seguridad y justicia, de conformidad con sus disposiciones y las del Tratado [FUE].
(2) La ciudadanía de la Unión [Europea] confiere a todo ciudadano de la Unión el derecho a la libre circulación, con sujeción a determinadas limitaciones y condiciones. La Directiva 2004/38/CE del Parlamento Europeo y del Consejo[, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros, por la que se modifica el Reglamento (CEE) n.º 1612/68 y se derogan las Directivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE y 93/96/CEE (DO 2004, L 158, p. 77; corrección de errores en DO 2004, L 229, p. 35),] da efecto a ese derecho. El artículo 45 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo “la Carta”) establece asimismo la libertad de circulación y residencia. La libertad de circulación implica el derecho de salida y entrada en los Estados miembros con un documento de identidad o pasaporte válidos.
[…]
(4) La Directiva [2004/38] establece que los Estados miembros adoptarán las medidas necesarias para denegar, extinguir o retirar cualquier derecho conferido por esa Directiva en caso de abuso de Derecho o fraude. La falsificación de documentos o la presentación falsa de un hecho material referente a las condiciones vinculadas al derecho de residencia son casos típicos de fraude en el marco de la Directiva.
(5) Existen diferencias considerables entre los niveles de seguridad de los documentos de identidad nacionales expedidos por los Estados miembros y de los permisos de residencia de los ciudadanos de la Unión y los miembros de sus familias que residen en otro Estado miembro. Esas diferencias incrementan el riesgo de falsificación y fraude documental y provocan, además, dificultades prácticas para los ciudadanos cuando desean ejercer su derecho a la libre circulación. Las estadísticas de la Red europea de análisis del riesgo de fraude documental muestran que con el tiempo han aumentado los casos de documentos de identidad fraudulentos.
[…]
(17) Las medidas de seguridad son necesarias para verificar si un documento es auténtico y para comprobar la identidad de una persona. El establecimiento de normas mínimas de seguridad y la integración de datos biométricos en los documentos de identidad y las tarjetas de residencia de miembros de la familia que no tengan la nacionalidad de un Estado miembro son pasos importantes para hacer más seguro su uso en la Unión. La inclusión de este tipo de identificadores biométricos debe permitir que los ciudadanos de la Unión se beneficien plenamente de sus derechos de libre circulación.
(18) El almacenamiento de una imagen facial y dos impresiones dactilares (en lo sucesivo, “datos biométricos”) en los documentos de identidad y tarjetas de residencia, como ya se contempla para los pasaportes biométricos y los permisos de residencia para ciudadanos de terceros países, es un método apropiado para combinar una identificación y una autenticación fiables con un riesgo reducido de fraude, con el fin de abordar adecuadamente el objetivo de reforzar la seguridad de los documentos de identidad y las tarjetas de residencia.
(19) Como práctica general, los Estados miembros deben, a fin de comprobar la autenticidad del documento y la identidad del titular, verificar principalmente la imagen facial y, cuando sea necesario para confirmar sin duda la autenticidad del documento y la identidad del titular, los Estados miembros deben también comprobar las impresiones dactilares.
(20) Los Estados miembros deben garantizar que, cuando la comprobación de los datos biométricos no confirme la autenticidad del documento o la identidad de su titular, personal cualificado efectúe un control manual obligatorio.
(21) El presente Reglamento no establece una base jurídica para crear o mantener bases de datos a nivel nacional para el almacenamiento de datos biométricos en los Estados miembros, pues se trata de una cuestión de Derecho nacional que tiene que cumplir con el Derecho de la Unión en materia de protección de datos. Asimismo, el presente Reglamento no establece una base jurídica para la creación o el mantenimiento de una base de datos centralizada a nivel de la Unión.
[…]
(23) Deben tenerse en cuenta a efectos del presente Reglamento las especificaciones del documento 9303 de la [Organización de Aviación Civil Internacional (OACI)] que garantizan la interoperabilidad global, tanto para la legibilidad mecánica como para su inspección visual.
[…]
(26) Los Estados miembros deben garantizar la existencia de procedimientos adecuados y eficaces para la recogida de identificadores biométricos, y que dichos procedimientos respeten los derechos y principios establecidos en la Carta, en el Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales del Consejo de Europa[, firmado en Roma el 4 de noviembre de 1950,] y en la Convención de las Naciones Unidas sobre los Derechos del Niño[, aprobada por la Asamblea General de las Naciones Unidas el 20 de noviembre de 1989 (Recopilación de Tratados de las Naciones Unidas, vol. 1577, p. 3), que entró en vigor el 2 de septiembre de 1990]. Los Estados miembros deben garantizar que el mejor interés del niño sea una prioridad en el procedimiento de recogida. Para este fin, debe impartirse al personal cualificado formación adecuada sobre prácticas adaptadas a la infancia para la recogida de identificadores biométricos.
(27) Si se presentan dificultades en la recogida de los identificadores biométricos, los Estados miembros deben garantizar que se establezcan procedimientos adecuados que respeten la dignidad del interesado. Por consiguiente, deben tenerse en cuenta consideraciones particulares respecto al género y a las necesidades específicas de los niños y las personas vulnerables.
(28) La introducción de normas mínimas en materia de seguridad y de formato de los documentos de identidad debe permitir a los Estados miembros confiar en la autenticidad de dichos documentos cuando los ciudadanos de la Unión ejerzan su derecho de libre circulación. La introducción de normas reforzadas de seguridad debe proporcionar garantías suficientes a las autoridades públicas y a las entidades privadas que les permitan confiar en la autenticidad de los documentos de identidad cuando los utilicen los ciudadanos de la Unión a efectos de identificación.
(29) Un signo distintivo en forma de código de dos letras del Estado miembro que expide el documento, impreso en negativo en un rectángulo azul y rodeado de doce estrellas amarillas, facilita la inspección visual del documento, en especial cuando el titular ejerce el derecho de libre circulación.
[…]
(32) Los Estados miembros deben adoptar todas las medidas necesarias para garantizar que los datos biométricos identifican correctamente a la persona a la que se expide un documento de identidad. A este fin, los Estados miembros podrían considerar la recogida de identificadores biométricos, en particular de la imagen facial, mediante el registro presencial a cargo de las autoridades nacionales que expiden los documentos de identidad.
(33) Los Estados miembros deben intercambiar cualquier otra información que sea necesaria para acceder, autenticar y verificar la información contenida en el medio de almacenamiento seguro. Los formatos utilizados para el medio de almacenamiento seguro deben ser interoperables, incluso en relación con los puntos fronterizos automatizados.
[…]
(36) Los documentos de residencia expedidos a ciudadanos de la Unión deben incluir información específica para garantizar que sean identificados como tales en todos los Estados miembros. Esto debe facilitar el reconocimiento del uso por los ciudadanos de la Unión del derecho a la libre circulación y de los derechos inherentes a este uso, pero la armonización no debe ir más allá de lo adecuado para abordar las deficiencias de los documentos actuales. Los Estados miembros son libres de seleccionar el formato en que se expiden los documentos y pueden expedirlos en un formato que respete las especificaciones del documento 9303 de la OACI.
[…]
(40) A los datos personales que deben tratarse en el contexto de la aplicación del presente Reglamento se les aplica el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo[, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2018, L 127, p. 3; en lo sucesivo, “RGPD”)]. Es necesario especificar con más detalle las salvaguardias aplicables al tratamiento de los datos personales y, en particular, a datos sensibles como los identificadores biométricos. Debe ponerse en conocimiento de los interesados la existencia en sus documentos del medio de almacenamiento que contiene sus datos biométricos, incluida su accesibilidad en formato sin contacto, así como de todos los casos en que se utilicen los datos contenidos en sus documentos de identidad y documentos de residencia. En cualquier caso, los interesados deben tener acceso a los datos personales tratados en sus documentos de identidad y documentos de residencia, y deben tener derecho a que se […] rectifiquen mediante la expedición de un nuevo documento, cuando tales datos sean erróneos o incompletos. El medio de almacenamiento debe ser altamente seguro y proteger eficazmente los datos personales almacenados contra todo acceso no autorizado.
(41) Los Estados miembros deben ser responsables del tratamiento adecuado de los datos biométricos, desde su recogida a su integración en el medio de almacenamiento de alta seguridad, de conformidad con el [RGPD].
(42) Los Estados miembros deben ser especialmente cautelosos cuando cooperen con un proveedor de servicios externo. Dicha cooperación no debe excluir la responsabilidad de los Estados miembros que se derive del Derecho de la Unión o nacional por el incumplimiento de obligaciones en materia de datos personales.
[…]
(46) Dado que los objetivos del presente Reglamento, a saber mejorar la seguridad y facilitar el ejercicio de los derechos de libre circulación de los ciudadanos de la Unión y de los miembros de sus familias, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a las dimensiones o efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 [TUE]. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.».
4 El artículo 1 del Reglamento 2019/1157, titulado «Objeto», dispone lo siguiente:
«El presente Reglamento refuerza las normas de seguridad aplicables a los documentos de identidad expedidos por los Estados miembros a sus nacionales y a los documentos de residencia expedidos por los Estados miembros a los ciudadanos de la Unión y a los miembros de sus familias en el ejercicio de su derecho a la libre circulación.»
5 Según el artículo 2 de este Reglamento, titulado «Ámbito de aplicación»:
«El presente Reglamento se aplicará a:
a) los documentos de identidad expedidos por los Estados miembros a sus ciudadanos a que se refiere el artículo 4, apartado 3, de la Directiva [2004/38].
El presente Reglamento no se aplicará a los documentos de identificación expedidos con carácter provisional cuyo período de validez sea inferior a seis meses;
b) los certificados de registro expedidos de conformidad con el artículo 8 de la Directiva [2004/38] a los ciudadanos de la Unión que residan durante más de tres meses en un Estado miembro de acogida y los documentos acreditativos de la residencia permanente expedidos de conformidad con el artículo 19 de dicha Directiva a ciudadanos de la Unión que lo soliciten;
c) las tarjetas de residencia expedidas de conformidad con el artículo 10 de la Directiva [2004/38] a miembros de la familia de un ciudadano de la Unión que no tengan la nacionalidad de un Estado miembro y las tarjetas de residencia permanente expedidas de conformidad con el artículo 20 de dicha Directiva a miembros de la familia de un ciudadano de la Unión que no tengan la nacionalidad de un Estado miembro.»
6 El artículo 3 de dicho Reglamento, titulado «Normas de seguridad, formato y especificaciones», establece lo siguiente en sus apartados 5 a 7 y 10:
«5. Los documentos de identidad incluirán un medio de almacenamiento de alta seguridad que contendrá una imagen facial del titular del documento y dos impresiones dactilares en formatos digitales interoperables. Para la captura de identificadores biométricos, los Estados miembros aplicarán las especificaciones técnicas definidas en la Decisión de Ejecución C(2018) 7767 de la Comisión[, de 30 de noviembre de 2018, por la que se establecen las especificaciones técnicas para el modelo uniforme de permiso de residencia para los nacionales de terceros países y por la que se deroga la Decisión C(2002) 3069].
6. El medio de almacenamiento deberá tener capacidad suficiente y garantizará la integridad, la autenticidad y la confidencialidad de los datos. Los datos almacenados serán accesibles en formato sin contacto y seguro, de conformidad con lo dispuesto en la Decisión C(2018) 7767. Los Estados miembros intercambiarán la información necesaria para autenticar el medio de almacenamiento y comprobar los datos biométricos a que se refiere el apartado 5.
7. Los menores de 12 años podrán estar exentos de la obligación de facilitar las impresiones dactilares.
Los menores de seis años estarán exentos de la obligación de facilitar las impresiones dactilares.
Las personas a las que sea físicamente imposible tomar las impresiones dactilares quedarán exentas del requisito de facilitarlas.
[…]
10. Cuando los Estados miembros almacenen en los documentos de identidad datos para servicios electrónicos tales como la Administración electrónica y el comercio electrónico, esos datos nacionales deberán estar separados física o lógicamente de los datos biométricos a que se refiere el apartado 5.»
7 A tenor del artículo 5 de este mismo Reglamento, titulado «Eliminación progresiva»:
«1. Los documentos de identidad que no cumplan los requisitos establecidos en el artículo 3 dejarán de ser válidos a su expiración o a más tardar el 3 de agosto de 2031, si esta fecha es anterior.
2. No obstante lo dispuesto en el apartado 1:
a) los documentos de identidad que […] no incluyan una zona de lectura mecánica funcional, según se define en el apartado 3, dejarán de ser válidos a su expiración o a más tardar el 3 de agosto de 2026, si esta fecha es anterior;
[…]
3. A efectos del apartado 2, se entenderá por zona de lectura mecánica funcional:
a) una zona de lectura mecánica que cumpla con la parte 3 del documento 9303 de la OACI, o
b) cualquier otra zona de lectura mecánica para la cual el Estado miembro de expedición notifique las normas necesarias para la lectura y la visualización de la información que contiene, a menos que un Estado miembro notifique a la Comisión [Europea], a más tardar el 2 de agosto de 2021, que carece de capacidad para la lectura y visualización de dicha información.
[…]»
8 El artículo 6 del Reglamento 2019/1157, titulado «Información mínima que deberá figurar», dispone cuanto sigue en su párrafo primero:
«Los documentos de residencia que expidan los Estados miembros a ciudadanos de la Unión deberán indicar, como mínimo, lo siguiente:
[…]
f) la información que debe figurar en los certificados de registro y en los documentos que certifican la residencia permanente, expedidos de conformidad con los artículos 8 y 19 de la Directiva [2004/38], respectivamente;
[…]».
9 Con arreglo al artículo 10 de este Reglamento, titulado «Recogida de los identificadores biométricos»:
«1. Los identificadores biométricos serán recogidos exclusivamente por personal cualificado y debidamente autorizado designado por las autoridades responsables de la expedición de los documentos de identidad o las tarjetas de residencia con el fin de integrarlos en el medio de almacenamiento de alta seguridad a que se refiere el artículo 3, apartado 5, para los documentos de identidad y el artículo 7, apartado 1, para las tarjetas de residencia. Como excepción a lo que precede, únicamente el personal cualificado y debidamente autorizado de dichas autoridades recogerá las impresiones dactilares, salvo en el caso de solicitudes presentadas [a las] autoridades diplomáticas y consulares del Estado miembro.
Con objeto de garantizar la coherencia de los identificadores biométricos con la identidad del solicitante, este deberá comparecer en persona por lo menos una vez durante el proceso de expedición para cada solicitud.
2. Los Estados miembros garantizarán que se establezcan procedimientos adecuados y eficaces para la recogida de identificadores biométricos, que respeten los derechos y principios establecidos en la Carta, en el Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales y en la Convención de las Naciones Unidas sobre los Derechos del Niño.
Si se presentan dificultades en la recogida de los identificadores biométricos, los Estados miembros garantizarán que se establezcan procedimientos adecuados que respeten la dignidad del interesado.
3. [Salvo que sean necesarios a efectos del tratamiento de conformidad con el] Derecho de la Unión y nacional, los identificadores biométricos almacenados a fines de personalización de los documentos de identidad o de los documentos de residencia deben mantenerse de manera extremamente segura y solo hasta la fecha de recogida del documento y, en cualquier caso, no más de 90 días después de la fecha de expedición del documento. Superado este período, dichos identificadores biométricos deben ser suprimidos o destruidos inmediatamente.»
10 El artículo 11 de dicho Reglamento, titulado «Protección de datos personales y responsabilidad», establece lo siguiente en sus apartados 4 y 6:
«4. La cooperación con proveedores de servicios externos no excluirá a ningún Estado miembro de cualquier responsabilidad que pueda derivarse del Derecho de la Unión o nacional por el incumplimiento de las obligaciones en materia de datos personales.
[…]
6. Los datos biométricos almacenados en el medio de almacenamiento de los documentos de identidad y de los documentos de residencia solo se utilizarán de conformidad con la legislación nacional y de la Unión, por parte de personal debidamente autorizado de las autoridades nacionales competentes y de las agencias de la Unión, a fin de verificar:
a) la autenticidad del documento de identidad o del documento de residencia;
b) la identidad del titular mediante características comparables accesibles directamente, cuando las leyes exijan la presentación del documento de identidad o del documento de residencia.»
11 El artículo 14 de ese mismo Reglamento, titulado «Especificaciones técnicas adicionales», dispone, en sus apartados 1 y 2, cuanto sigue:
«1. Con el fin de asegurar, en su caso, que los documentos de identidad y los documentos de residencia a que se hace referencia en el artículo 2, letras a) y c), cumplen las futuras normas mínimas de seguridad, la Comisión determinará, por medio de actos de ejecución, especificaciones técnicas adicionales relativas a lo siguiente:
a) elementos y requisitos de seguridad complementarios, incluidas normas más estrictas contra la producción de documentos falsos y falsificados;
b) especificaciones técnicas relativas al soporte de almacenamiento de los elementos biométricos a que se hace referencia en el artículo 3, apartado 5, y a su seguridad, incluidas la prevención del acceso no autorizado y la facilitación de la validación;
c) requisitos de calidad y normas técnicas comunes para la imagen facial y las impresiones dactilares.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 15, apartado 2.
2. De conformidad con el procedimiento mencionado en el artículo 15, apartado 2, podrá decidirse que las especificaciones mencionadas en el presente artículo sean secretas y no se publiquen. […]»
2. RGPD
12 Según el considerando 51 del RGPD:
«Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. […] El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas […]».
13 A tenor del artículo 4 de este Reglamento, titulado «Definiciones»:
«A efectos del presente Reglamento se entenderá por:
[…]
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[…]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
[…]».
14 El artículo 9 de dicho RGPD, titulado «Tratamiento de categorías especiales de datos personales», establece lo siguiente en su apartado 1:
«Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.»
15 El artículo 35 de ese mismo Reglamento, titulado «Evaluación de impacto relativa a la protección de datos», dispone lo siguiente en sus apartados 1, 3 y 10:
«1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
[…]
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
[…]
10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.»
3. Reglamento (UE) 2016/399
16 El artículo 8 del Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, por el que se establece un código de normas de la Unión para el cruce de personas por las fronteras (código de fronteras Schengen) (DO 2016, L 77, p. 1), en su versión modificada por el Reglamento (UE) 2017/458 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017 (DO 2017, L 74, p. 1), establece, en sus apartados 1 y 2, lo siguiente:
«1. La circulación transfronteriza en las fronteras exteriores estará sometida a las inspecciones de la guardia de fronteras. Las inspecciones se efectuarán de conformidad con el presente capítulo.
[…]
2. Tanto en el momento de entrada como de salida, los beneficiarios del derecho a la libre circulación en virtud de la legislación de la Unión estarán sujetos a las inspecciones siguientes:
a) La comprobación de la identidad y la nacionalidad de la persona y de la autenticidad y validez del documento de viaje para cruzar la frontera, incluso mediante la consulta de las bases de datos pertinentes […]
[…]
b) La comprobación de que un beneficiario del derecho a la libre circulación en virtud de la legislación de la Unión no se considera una amenaza para el orden público, la seguridad interior, la salud pública o las relaciones internacionales de cualquiera de los Estados miembros, […]
En caso de que existan dudas sobre la autenticidad del documento de viaje o sobre la identidad de su titular, se efectuará la comprobación de al menos uno de los identificadores biométricos integrados en los pasaportes y en los documentos de viaje emitidos de conformidad con el Reglamento (CE) n.º 2252/2004 [del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros (DO 2004, L 385, p. 1)]. Siempre que sea posible, esta comprobación se efectuará igualmente en relación con los documentos de viaje no cubiertos por ese Reglamento.
[…]»
4. Directiva 2004/38
17 El artículo 4 de la Directiva 2004/38, titulado «Derecho de salida», establece, en sus apartados 1 y 3, cuanto sigue:
«1. Sin perjuicio de las disposiciones que regulan los documentos de viaje en controles fronterizos nacionales, todo ciudadano de la Unión en posesión de un documento de identidad o un pasaporte válidos y los miembros de su familia que no sean nacionales de un Estado miembro y que estén en posesión de un pasaporte válido, tendrán derecho a salir del territorio de un Estado miembro para trasladarse a otro Estado miembro.
[…]
3. Los Estados miembros expedirán o renovarán a sus ciudadanos, de acuerdo con su legislación, un documento de identidad o un pasaporte en el que conste su nacionalidad.»
18 El artículo 5 esta Directiva, titulado «Derecho de entrada», dispone lo siguiente en su apartado 1:
«Sin perjuicio de las disposiciones que regulan los documentos de viaje en controles fronterizos nacionales, los Estados miembros admitirán en su territorio a todo ciudadano de la Unión en posesión de un documento de identidad o un pasaporte válidos y a los miembros de su familia que no sean nacionales de un Estado miembro y que estén en posesión de un pasaporte válido.
A los ciudadanos de la Unión no se les podrá imponer ningún visado de entrada ni obligación equivalente.»
19 Según el artículo 6 de dicha Directiva, titulado «Derecho de residencia por un período de hasta tres meses»:
«1. Los ciudadanos de la Unión tendrán derecho de residencia en el territorio de otro Estado miembro por un período de hasta tres meses sin estar sometidos a otra condición o formalidad que la de estar en posesión de un documento de identidad o pasaporte válidos.
2. Las disposiciones del apartado 1 se aplicarán asimismo a los miembros de la familia en posesión de un pasaporte válido que no sean nacionales de un Estado miembro y acompañen al ciudadano de la Unión, o se reúnan con él.»
20 El artículo 8 de la Directiva 2004/38, titulado «Trámites administrativos para los ciudadanos de la Unión», establece, en sus apartados 1 y 3, lo siguiente:
«1. Sin perjuicio de lo dispuesto en el apartado 5 del artículo 5, para períodos de residencia superiores a tres meses el Estado miembro de acogida podrá imponer a los ciudadanos de la Unión la obligación de registrarse ante las autoridades competentes.
[…]
3. Para la expedición del certificado de registro, los Estados miembros solo podrán exigir:
– al ciudadano de la Unión contemplado en la letra a) del apartado 1 del artículo 7, que presente un documento de identidad o un pasaporte válidos y una declaración de contratación del empleador o un certificado de empleo, o una prueba de que trabaja por cuenta propia,
– al ciudadano de la Unión contemplado en la letra b) del apartado 1 del artículo 7, que presente un documento de identidad o un pasaporte válidos y una prueba de que cumple las condiciones establecidas en dicha letra,
– al ciudadano de la Unión contemplado en la letra c) del apartado 1 del artículo 7, que presente un documento de identidad o un pasaporte válidos, una prueba de que está matriculado en un centro reconocido y de que tiene un seguro de enfermedad que cubra todos los riesgos y la declaración o medio equivalente contemplado en dicha letra. Los Estados miembros no podrán exigir que la mencionada declaración haga referencia a una cantidad determinada en concepto de recursos.»
5. Acuerdo Interinstitucional
21 A tenor de los puntos 12 a 14 del Acuerdo Interinstitucional entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea sobre la Mejora de la Legislación, de 13 de abril de 2016 (DO 2016, L 123, p. 1; en lo sucesivo, «Acuerdo Interinstitucional»):
«12. […]
Las evaluaciones de impacto son un instrumento que ayuda a las tres Instituciones a tomar decisiones fundadas y que no sustituyen a las decisiones políticas durante el proceso democrático de adopción de decisiones. […]
Las evaluaciones de impacto deben abordar la existencia, la magnitud y las consecuencias de un problema y valorar si es necesaria la actuación de la Unión. Deben indicar soluciones alternativas y, cuando sea posible, los costes y beneficios potenciales a corto y largo plazo, evaluando de forma integrada y equilibrada las repercusiones económicas, medioambientales y sociales mediante análisis cualitativos y cuantitativos. Es preciso respetar plenamente los principios de subsidiariedad y proporcionalidad, así como los derechos fundamentales. […] Las evaluaciones de impacto deben estar basadas en información precisa, objetiva y completa y ser proporcionadas en lo que atañe a su alcance y a su enfoque.
13. La Comisión realizará evaluaciones de impacto de sus iniciativas legislativas […] que previsiblemente tengan un impacto económico, medioambiental o social significativo. Las iniciativas incluidas en el Programa de Trabajo de la Comisión o en la declaración conjunta irán acompañadas, por regla general, de una evaluación de impacto.
[…] Los resultados finales de las evaluaciones de impacto se pondrán a disposición del Parlamento Europeo, del Consejo [de la Unión Europea] y de los Parlamentos nacionales y se publicarán, junto con los dictámenes del Comité de Control Reglamentario, en el momento de la adopción de la iniciativa de la Comisión.
14. Cuando el Parlamento […] y el Consejo estudien las propuestas legislativas de la Comisión, tendrán plenamente en cuenta las evaluaciones de impacto de esta institución. A tal fin, las evaluaciones de impacto se presentarán de manera que el Parlamento […] y el Consejo puedan analizar con facilidad las opciones elegidas por la Comisión.»
B. Derecho alemán
22 El artículo 5 de la Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Ley sobre los Documentos de Identidad y el Documento de Identidad Electrónico), de 18 de junio de 2009 (BGBl. I, p. 1346), en su versión aplicable a los hechos del litigio principal (en lo sucesivo, «PAuswG»), titulado «Modelo de documento de identidad; datos almacenados», dispone lo siguiente en su apartado 9:
«Las dos impresiones dactilares del solicitante [del documento de identidad] que deban conservarse en el medio de almacenamiento electrónico con arreglo al Reglamento [2019/1157] se almacenarán en forma de impresión plana de los dedos índices izquierdo y derecho en el soporte electrónico de almacenamiento y tratamiento del documento de identidad. En ausencia de dedo índice o en caso de calidad insuficiente de la impresión dactilar o de lesión en la yema de un dedo, se almacenará en su lugar una impresión plana del dedo pulgar, del dedo corazón o del dedo anular. No se registrarán impresiones dactilares cuando tomarlas resulte imposible por razones médicas que no sean únicamente de carácter temporal.»
23 A tenor del artículo 6, apartados 1 y 2, de la PAuswG:
«(1) Los documentos de identidad se expedirán por un período de validez de diez años.
(2) Antes de que expire la validez de un documento de identidad, podrá solicitarse un nuevo documento de identidad si puede justificarse un interés legítimo en la expedición de un nuevo documento.»
24 El artículo 9 de la PAuswG, titulado «Expedición del documento», establece lo siguiente en su apartado 1, primera frase:
«Los documentos de identidad y los documentos de identidad provisionales se expedirán previa solicitud de los alemanes en el sentido del artículo 116, apartado 1, de la Ley Fundamental.»
25 El artículo 28 de la PAuswG, titulado «Invalidez», dispone lo siguiente en su apartado 3:
«Los fallos de funcionamiento del soporte electrónico de almacenamiento y tratamiento no afectarán a la validez del documento de identidad.»
II. Litigio principal y cuestión prejudicial
26 El 30 de noviembre de 2021, el demandante en el litigio principal solicitó al Ayuntamiento de Wiesbaden la expedición de un nuevo documento de identidad, alegando que el chip electrónico de su antiguo documento era defectuoso. No obstante, solicitó que el nuevo documento no incluyera sus impresiones dactilares.
27 El Ayuntamiento de Wiesbaden denegó esta solicitud por un doble motivo. Por un lado, consideró que el demandante en el litigio principal no tenía derecho a la expedición de un nuevo documento de identidad, puesto que ya estaba en posesión de uno válido. Con arreglo al artículo 28, apartado 3, de la PAuswG, un documento de identidad conserva su validez aun cuando su chip electrónico sea defectuoso. Por otro lado, señaló que, en cualquier caso, desde el 2 de agosto de 2021, la integración de dos impresiones dactilares en el medio de almacenamiento de los documentos de identidad es obligatoria en virtud del artículo 5, apartado 9, de la PAuswG, que transpone el artículo 3, apartado 5, del Reglamento 2019/1157.
28 El 21 de diciembre de 2021, el demandante en el litigio principal interpuso un recurso ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), que es el tribunal remitente, con objeto de que se conminara al Ayuntamiento de Wiesbaden a expedirle un documento de identidad sin que se recojan sus impresiones dactilares.
29 El tribunal remitente expresa sus dudas sobre la legalidad de los dos motivos de la resolución controvertida en el litigio principal. Por lo que respecta, en particular, al segundo motivo, tiende a pensar que es cuestionable la validez del Reglamento 2019/1157 o, al menos, la de su artículo 3, apartado 5.
30 En primer lugar, el tribunal remitente se pregunta si dicho Reglamento no debería haberse adoptado sobre la base del artículo 77 TFUE, apartado 3, y, en consecuencia, al término del procedimiento legislativo especial establecido en dicha disposición, en lugar de sobre la base del artículo 21 TFUE, apartado 2, y con arreglo al procedimiento legislativo ordinario. En su opinión, por un lado, el artículo 77 TFUE, apartado 3, se refiere específicamente a la competencia de la Unión para adoptar, entre otras cosas, disposiciones en materia de documentos de identidad y, por lo tanto, es una disposición más específica que el artículo 21 TFUE, apartado 2. Por otro lado, en la sentencia de 17 de octubre de 2013, Schwarz (C‑291/12, EU:C:2013:670), el Tribunal de Justicia declaró que el Reglamento n.º 2252/2004, en la medida en que establece normas relativas a los datos biométricos integrados en los pasaportes, se basaba válidamente en el artículo 62 CE, punto 2, letra a), que ahora se corresponde con el artículo 77 TFUE, apartado 3.
31 En segundo lugar, el tribunal remitente invoca la posible existencia de un vicio de procedimiento en la adopción del Reglamento 2019/1157. Señala que, como subrayó el Supervisor Europeo de Protección de Datos (en lo sucesivo, «SEPD») en su Dictamen 7/2018, de 10 de agosto de 2018, sobre la propuesta de Reglamento sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de otros documentos (en lo sucesivo, «Dictamen 7/2018»), la toma y el almacenamiento de impresiones dactilares constituyen tratamientos de datos personales que deben ser objeto de una evaluación de impacto en virtud del artículo 35, apartado 10, del RGPD. Pues bien, en el caso de autos, no se realizó tal evaluación. En particular, el documento que acompañaba a esa propuesta de Reglamento, titulado «Impact assessment», no puede considerarse una evaluación de impacto en el sentido de dicha disposición.
32 En tercer lugar, el tribunal remitente se pregunta más concretamente sobre la compatibilidad del artículo 3, apartado 5, del Reglamento 2019/1157 con los artículos 7 y 8 de la Carta, relativos al respeto de la vida privada y familiar y a la protección de datos de carácter personal, respectivamente. En su opinión, la obligación impuesta a los Estados miembros de expedir documentos de identidad cuyo medio de almacenamiento contenga dos impresiones dactilares constituye una limitación del ejercicio de los derechos reconocidos en esas dos disposiciones de la Carta, limitación que únicamente puede justificarse si cumple los requisitos establecidos en el artículo 52, apartado 1, de la Carta.
33 Pues bien, por un lado, considera que dicha limitación podría no responder a un objetivo de interés general. Es cierto que el Tribunal de Justicia admitió, en la sentencia de 17 de octubre de 2013, Schwarz (C‑291/12, EU:C:2013:670), que la lucha contra la entrada ilegal de nacionales de terceros países en el territorio de la Unión es un objetivo reconocido por el Derecho de la Unión. Sin embargo, el documento de identidad no es primariamente un documento de viaje, como el pasaporte, y su objetivo es únicamente permitir la comprobación de la identidad de un ciudadano de la Unión en sus relaciones tanto con autoridades administrativas como con terceros particulares.
34 Por otro lado, manifiesta que, aun suponiendo que dicho Reglamento persiga un objetivo de interés general reconocido por el Derecho de la Unión, existen dudas en cuanto a la proporcionalidad de la referida limitación. En su opinión, la solución adoptada por el Tribunal de Justicia en la sentencia de 17 de octubre de 2013, Schwarz (C‑291/12, EU:C:2013:670), no es extrapolable al Reglamento 2019/1157 porque se refería a los pasaportes, cuya posesión, contrariamente a los documentos de identidad, es facultativa en Alemania y cuyo uso persigue un objetivo diferente.
35 En cambio, del Dictamen 7/2018 se desprende, a su juicio, que el hecho de integrar y almacenar impresiones dactilares tiene una repercusión considerable, pues podría afectar a hasta 370 millones de ciudadanos de la Unión y obligar al 85 % de la población de la Unión a cumplir con el requisito obligatorio de las impresiones dactilares. Pues bien, esa considerable repercusión, unida al carácter altamente sensible de los datos tratados (una imagen facial junto con dos impresiones dactilares), implica, en su opinión, que la limitación introducida en el ejercicio de los derechos garantizados en los artículos 7 y 8 de la Carta, resultante de la recogida obligatoria de impresiones dactilares a efectos de la elaboración de los documentos de identidad, tiene mayor importancia que en el caso de los pasaportes, lo que exige, como contrapartida, una justificación más sólida y un examen riguroso de la medida en cuestión conforme a una estricta evaluación de la necesidad.
36 En cualquier caso, considera que la necesidad de llevar a cabo un estricto control de proporcionalidad se deriva también del artículo 9, apartado 1, del RGPD, en virtud del cual el tratamiento de tales datos biométricos está, en principio, prohibido y únicamente puede autorizarse en casos excepcionales y estrictamente limitados.
37 En este contexto, si bien el tribunal remitente considera que la utilización de datos biométricos reduce el riesgo de que un documento pueda ser falsificado, alberga dudas sobre si esta única circunstancia puede justificar el alcance de la limitación del derecho a la protección de los datos personales habida cuenta, en particular, de las siguientes razones.
38 En primer lugar, el tribunal remitente manifiesta que el SEPD, en su Dictamen 7/2018, subrayó que otras técnicas de impresión segura para los documentos de identificación, como los hologramas o las marcas de agua, eran claramente menos intrusivas, al tiempo que permitían impedir la falsificación de esos documentos y comprobar su autenticidad. Por otra parte, el hecho de que el Derecho alemán admita que sigue siendo válido un documento de identidad cuyo chip electrónico es defectuoso demuestra que los elementos físicos, en particular las microimpresiones o las sobreimpresiones reactivas a los rayos ultravioleta, bastan para garantizar la seguridad de dichos documentos.
39 En segundo lugar, manifiesta que el artículo 3, apartado 7, del Reglamento 2019/1157 autoriza a los Estados miembros a eximir a los menores de doce años de la obligación de facilitar sus impresiones dactilares y, en cualquier caso, les obliga a eximir a los menores de seis años de esta obligación, lo que demuestra que la toma de dos impresiones dactilares no es estrictamente necesaria.
40 Por otra parte, considera que el artículo 3, apartado 5, del Reglamento 2019/1157 no respeta el principio de minimización de datos, enunciado en el artículo 5 del RGPD, del que se desprende que la toma y la utilización de datos personales deben ser adecuadas, pertinentes y limitadas a lo necesario en relación con los fines para los que son tratados. En efecto, si bien permite favorecer la interoperabilidad de los diferentes tipos de sistemas, la recogida de dos impresiones dactilares completas, y no solamente de los puntos característicos de esas impresiones, aumenta también la cantidad de datos personales almacenados y, por lo tanto, el riesgo de suplantación de identidad en caso de filtración de datos. Añade que este riesgo no es insignificante, ya que los chips electrónicos utilizados en los documentos de identidad podrían ser leídos por escáneres no autorizados.
41 Por último, y en esencia, manifiesta que la limitación introducida en el ejercicio de los derechos garantizados en los artículos 7 y 8 de la Carta puede no ser legítima puesto que el SEPD, en su Dictamen 7/2018, señaló que, cuando se adoptó el Reglamento 2019/1157, el número de documentos de identidad fraudulentos era relativamente reducido en proporción al número de documentos expedidos (38 870 documentos fraudulentos constatados entre 2013 y 2017) y que ese número venía disminuyendo desde hacía varios años.
42 En este contexto, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«La obligación de tomar y conservar impresiones dactilares en los documentos de identidad con arreglo al artículo 3, apartado 5, del Reglamento [2019/1157], ¿es contraria a disposiciones del Derecho de la Unión de rango superior, en particular:
a) al artículo 77 TFUE, apartado 3
b) a los artículos 7 y 8 de la Carta
c) al artículo 35, apartado 10, del RGPD
y, por ende, es inválida por alguno de [esos] motivos?»
III. Sobre la cuestión prejudicial
43 Mediante su cuestión prejudicial, el tribunal remitente desea saber, en esencia, si el Reglamento 2019/1157 es inválido, total o parcialmente, debido a que, en primer lugar, se adoptó sobre una base jurídica errónea; en segundo lugar, infringe el artículo 35, apartado 10, del RGPD, y, en tercer lugar, infringe los artículos 7 y 8 de la Carta.
A. Sobre el primer motivo de invalidez, basado en la elección de una base jurídica errónea
44 El primer motivo de invalidez invocado por el tribunal remitente se refiere a si, habida cuenta, en particular, de la referencia expresa a los documentos de identidad que figura en el artículo 77 TFUE, apartado 3, así como de la solución adoptada en la sentencia de 17 de octubre de 2013, Schwarz (C‑291/12, EU:C:2013:670), el Reglamento 2019/1157 debió haberse adoptado sobre la base de dicho artículo 77, apartado 3, y con arreglo al procedimiento legislativo especial que en él se establece y no, como sucedió, sobre la base del artículo 21 TFUE, apartado 2.
1. Observaciones preliminares
45 Según reiterada jurisprudencia, la elección de la base jurídica de un acto de la Unión debe fundarse en elementos objetivos susceptibles de control judicial, entre los que figuran la finalidad y el contenido de dicho acto (sentencias de 16 de febrero de 2022, Hungría/Parlamento y Consejo, C‑156/21, EU:C:2022:97, apartado 107, y de 16 de febrero de 2022, Polonia/Parlamento y Consejo, C‑157/21, EU:C:2022:98, apartado 121).
46 Además, debe señalarse que, cuando exista en los Tratados una disposición más específica que pueda constituir la base jurídica del acto controvertido, este debe fundarse en esa disposición (sentencias de 6 de septiembre de 2012, Parlamento/Consejo, C‑490/10, EU:C:2012:525, apartado 44, y de 8 de diciembre de 2020, Polonia/Parlamento y Consejo, C‑626/18, EU:C:2020:1000, apartado 48 y jurisprudencia citada).
47 Por último, si el examen de un acto de la Unión demuestra que este persigue diversos objetivos o que tiene varios componentes y si uno de esos objetivos o de esos componentes puede identificarse como principal o preponderante, mientras que los demás son meramente accesorios o solo tienen un alcance sumamente limitado, la base jurídica para adoptar dicho acto debe determinarse conforme a esa finalidad o ese componente principal [véase, en este sentido, la sentencia de 20 de noviembre de 2018, Comisión/Consejo (AMP Antártida), C‑626/15 y C‑659/16, EU:C:2018:925, apartado 77, y el dictamen 1/19 (Convenio de Estambul), de 6 de octubre de 2021, EU:C:2021:832, apartado 286].
2. Sobre los ámbitos de aplicación respectivos de los artículos 21 TFUE, apartado 2, y 77 TFUE, apartado 3
48 El artículo 21 TFUE, apartado 2, establece que, cuando una acción de la Unión resulte necesaria para garantizar a todo ciudadano de la Unión el derecho a circular y residir libremente en el territorio de los Estados miembros, y a menos que los Tratados hayan previsto los poderes de acción al respecto, el Parlamento y el Consejo podrán adoptar, con arreglo al procedimiento legislativo ordinario, disposiciones destinadas a facilitar el ejercicio de esos derechos.
49 De lo anterior resulta que dicha disposición atribuye a la Unión una competencia general para adoptar las disposiciones necesarias a fin de facilitar el ejercicio del derecho de los ciudadanos de la Unión a circular y residir libremente en el territorio de los Estados miembros, mencionado en el artículo 20 TFUE, apartado 2, letra a), sin perjuicio de las facultades de actuación previstas a tal efecto en los Tratados.
50 Pues bien, a diferencia del artículo 21 TFUE, apartado 2, el artículo 77 TFUE, apartado 3, prevé expresamente tales facultades de actuación en lo referente a la adopción de medidas relativas a los pasaportes, documentos de identidad, permisos de residencia o cualquier otro documento asimilado expedidos a los ciudadanos de la Unión con el fin de facilitar el ejercicio del derecho, mencionado en el artículo 20 TFUE, apartado 2, letra a), de circular y residir libremente en el territorio de los Estados miembros.
51 Es cierto que el artículo 77 TFUE, apartado 3, figura en el título V de dicho Tratado, dedicado al espacio de libertad, seguridad y justicia, y, más concretamente, en el capítulo 2 de dicho título, titulado «Políticas sobre controles en las fronteras, asilo e inmigración». Sin embargo, según el artículo 77 TFUE, apartado 1, la Unión desarrollará una política que tendrá por objetivo garantizar tanto la ausencia total de controles de las personas, sea cual sea su nacionalidad, cuando crucen las fronteras interiores, como los controles de las personas y la vigilancia eficaz en el cruce de las fronteras exteriores, así como instaurar progresivamente un sistema integrado de gestión de estas fronteras. Pues bien, las disposiciones relativas a los pasaportes, documentos de identidad, los permisos de residencia o cualquier otro documento asimilado a las que se refiere la competencia establecida en dicho artículo 77, apartado 3, forman parte integrante de tal política de la Unión. En efecto, por lo que respecta a los ciudadanos de la Unión, esos documentos les permiten, entre otras cosas, acreditar su condición de beneficiarios del derecho a circular y residir libremente en el territorio de los Estados miembros y, por lo tanto, ejercer ese derecho. Así pues, el citado artículo 77, apartado 3, puede fundamentar la adopción de medidas relativas a dichos documentos si tal acción resulta necesaria para facilitar el ejercicio de ese derecho, reconocido en el artículo 20 TFUE, apartado 2, letra a).
52 Esta interpretación del alcance material del artículo 77 TFUE, apartado 3, no queda desvirtuada ni por la evolución histórica que han experimentado los Tratados en materia de competencia de la Unión para adoptar medidas relativas a los pasaportes, documentos de identidad, permisos de residencia y otros documentos asimilados, a la que hacen referencia el Parlamento, el Consejo y la Comisión, ni por el hecho, mencionado por el Gobierno alemán, de que esta disposición establece que se aplica «a menos que los Tratados hayan previsto poderes de actuación a tal efecto».
53 Es cierto que el Tratado de Lisboa suprimió la disposición enunciada con anterioridad en el artículo 18 CE, apartado 3, que excluía expresamente la posibilidad de que el legislador de la Unión recurriera al artículo 18 CE, apartado 2 (actualmente artículo 21 TFUE, apartado 2), como base jurídica para la adopción tanto de «disposiciones relativas a los pasaportes, documentos de identidad, permisos de residencia o cualquier otro documento asimilado», como de disposiciones sobre «seguridad social o protección social». Sin embargo, al mismo tiempo, este Tratado atribuyó expresamente a la Unión una facultad de actuación en esos dos ámbitos —a saber, por un lado, en el artículo 21 TFUE, apartado 3, por lo que respecta a la seguridad social y a la protección social y, por otro lado, en el artículo 77 TFUE, apartado 3, por lo que respecta a las disposiciones relativas a los pasaportes, documentos de identidad, permisos de residencia o cualquier otro documento asimilado— y supeditó la adopción de medidas en dichos ámbitos a un procedimiento legislativo especial y, en particular, a la unanimidad en el Consejo.
54 En estas circunstancias, no cabe deducir de la supresión de la disposición enunciada con anterioridad en el artículo 18 CE, apartado 3, que en lo sucesivo sería posible adoptar «disposiciones relativas a los pasaportes, documentos de identidad, permisos de residencia o cualquier otro documento asimilado» sobre la base del artículo 21 TFUE, apartado 2. Por el contrario, de la evolución histórica se desprende que, frente a la competencia más general prevista en ese artículo 21, apartado 2, los autores de los Tratados pretendieron atribuir a la Unión, mediante el artículo 77 TFUE, apartado 3, una competencia más específica relativa a la adopción de tales disposiciones a fin de facilitar el ejercicio del derecho a circular y residir libremente en el territorio de los Estados miembros, garantizado en el artículo 20 TFUE, apartado 2, letra a).
55 Además, la indicación que figura en el artículo 77 TFUE, apartado 3, de que esta disposición se aplica «a menos que los Tratados hayan previsto poderes de actuación a tal efecto» debe entenderse, habida cuenta del sistema general del Tratado FUE, en el sentido de que las facultades de actuación a las que se refiere no son las conferidas por una disposición de alcance más general, como el artículo 21 TFUE, apartado 2, sino por una disposición aún más específica.
56 Por consiguiente, la adopción del Reglamento 2019/1157 únicamente podía basarse en el artículo 21 TFUE, apartado 2, si el objetivo o el componente principal o preponderante de dicho Reglamento se situaba fuera del ámbito de aplicación específico del artículo 77 TFUE, apartado 3, a saber, la expedición de pasaportes, documentos de identidad, permisos de residencia o cualquier otro documento asimilado, con el fin de facilitar el ejercicio del derecho mencionado en el artículo 20 TFUE, apartado 2, letra a).
3. Sobre el objetivo o componente principal o preponderante del Reglamento 2019/1157
57 En primer lugar, por lo que respecta al objetivo del Reglamento 2019/1157, su artículo 1 establece que tiene por objeto reforzar las normas de seguridad aplicables a los documentos de identidad expedidos por los Estados miembros a sus nacionales y a los documentos de residencia expedidos por los Estados miembros a los ciudadanos de la Unión y a los miembros de sus familias en el ejercicio de su derecho a la libre circulación.
58 En el mismo sentido, según el considerando 46 de este Reglamento, los objetivos de este último consisten en «mejorar la seguridad» de esos documentos de viaje e identidad «y facilitar el ejercicio de los derechos de libre circulación de los ciudadanos de la Unión y de los miembros de sus familias», lo que se confirma también en los considerandos 1, 2, 5, 17, 28, 29 y 36 de dicho Reglamento.
59 En segundo lugar, por lo que respecta al contenido del Reglamento 2019/1157, es preciso señalar que consta de dieciséis artículos. Los artículos 1 y 2 de este Reglamento definen su objeto y su ámbito de aplicación, respectivamente. Los artículos 3, 4, 6 y 7 de dicho Reglamento, que constituyen sus componentes principales, establecen, entre otras cosas, los requisitos en materia de seguridad, contenido, formato o especificaciones que deben cumplir los documentos de identidad y los documentos de residencia expedidos por los Estados miembros, mientras que los artículos 5 y 8 del Reglamento prevén la eliminación progresiva de los documentos de identidad y de las tarjetas de residencia que no cumplan los requisitos que en él se establecen. Por último, los artículos 9 a 16 del Reglamento 2019/1157 precisan cómo deben cumplirse las obligaciones que en él se establecen, especialmente por lo que respecta a la recogida de identificadores biométricos y a la protección de los datos personales.
60 Es cierto que el artículo 2 del Reglamento 2019/1157 indica que este se aplica no solo a los documentos de identidad expedidos por los Estados miembros a sus ciudadanos, sino también a los certificados de registro expedidos de conformidad con el artículo 8 de la Directiva 2004/38 a los ciudadanos de la Unión que residan durante más de tres meses en un Estado miembro de acogida y a los documentos acreditativos de la residencia permanente expedidos de conformidad con el artículo 19 de dicha Directiva, certificados y documentos que no pueden asimilarse a los documentos de identidad, a los pasaportes o a los permisos de residencia. Sin embargo, el Reglamento 2019/1157 no contiene ninguna disposición que regule tales certificados y se limita a indicar, en su artículo 6, párrafo primero, letra f), que los documentos de residencia expedidos por los Estados miembros a ciudadanos de la Unión deben indicar la información que debe figurar en los certificados de registro y en los documentos que certifican la residencia permanente, expedidos de conformidad con los artículos 8 y 19 de la Directiva 2004/38, respectivamente. En consecuencia, debe considerarse que el objetivo y el componente de dicho Reglamento relativos a tales certificados tienen un alcance sumamente limitado, de modo que la base jurídica del citado Reglamento no puede determinarse a la luz de ese objetivo o de ese componente.
61 En estas circunstancias, del objetivo y de los componentes principales del Reglamento 2019/1157 se deriva que este Reglamento figura entre los actos comprendidos en el ámbito de aplicación específico del artículo 77 TFUE, apartado 3, tal como se ha determinado en los apartados 48 a 51 de la presente sentencia.
62 En consecuencia, al adoptar el Reglamento 2019/1157 sobre la base del artículo 21 TFUE, apartado 2, el legislador de la Unión incumplió lo dispuesto en el artículo 77 TFUE, apartado 3, y eligió un procedimiento legislativo inadecuado.
63 De lo anterior se deduce que el primer motivo invocado por el tribunal remitente, basado en que el Reglamento 2019/1157 se adoptó erróneamente sobre la base del artículo 21 TFUE, apartado 2, y con arreglo al procedimiento legislativo ordinario, puede implicar la invalidez de dicho Reglamento.
B. Sobre el segundo motivo de invalidez, basado en la infracción del artículo 35, apartado 10, del RGPD
64 El segundo motivo de invalidez invocado por el tribunal remitente se basa en que el Reglamento 2019/1157 se adoptó sin haber realizado una evaluación de impacto relativa a la protección de datos, infringiendo el artículo 35, apartado 10, del RGPD.
65 A este respecto, es preciso señalar que el artículo 35, apartado 1, del RGPD dispone que, cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. El artículo 35, apartado 3, de este Reglamento precisa que tal evaluación se requiere en caso de tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, de dicho Reglamento, tales como los datos biométricos dirigidos a identificar de manera unívoca a una persona física.
66 Dado que, en el presente caso, el Reglamento 2019/1157 no lleva a cabo por sí mismo ninguna operación aplicada a datos o a conjuntos de datos personales, sino que se limita a establecer que los Estados miembros realicen determinados tratamientos en caso de solicitud de un documento de identidad, debe señalarse que la adopción de este Reglamento no estaba supeditada a la realización previa de una evaluación del impacto de las operaciones de tratamiento previstas, en el sentido del artículo 35, apartado 1, del RGPD. Pues bien, el artículo 35, apartado 10, de este Reglamento introduce una excepción al artículo 35, apartado 1, de dicho Reglamento.
67 De ello se deduce que, puesto que, como resulta de lo anterior, el artículo 35, apartado 1, del RGPD no era aplicable en el momento de la adopción del Reglamento 2019/1157, esta adopción no pudo infringir el artículo 35, apartado 10, del RGPD.
68 Habida cuenta de lo anterior, el segundo motivo, basado en la infracción del artículo 35, apartado 10, del RGPD, no puede implicar la invalidez del Reglamento 2019/1157.
C. Sobre el tercer motivo de invalidez, basado en la incompatibilidad del artículo 3, apartado 5, del Reglamento 2019/1157 con los artículos 7 y 8 de la Carta
69 El tercer motivo de invalidez del Reglamento 2019/1157 invocado por el tribunal remitente versa sobre si la obligación de integrar dos impresiones dactilares completas en el medio de almacenamiento de los documentos de identidad expedidos por los Estados miembros, establecida en el artículo 3, apartado 5, de dicho Reglamento, supone una limitación injustificada de los derechos garantizados en los artículos 7 y 8 de la Carta.
1. Sobre la existencia de una limitación
70 El artículo 7 de la Carta establece, entre otras cosas, que toda persona tiene derecho al respeto de su vida privada. En cuanto a su artículo 8, apartado 1, dispone que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. Interpretadas conjuntamente, de estas disposiciones se infiere que, en principio, cualquier tratamiento de datos personales por parte de un tercero puede constituir una vulneración de tales derechos (sentencia de 17 de octubre de 2013, Schwarz, C‑291/12, EU:C:2013:670, apartado 25).
71 En el caso de autos, el artículo 3, apartado 5, del Reglamento 2019/1157 dispone que el medio de almacenamiento de alta seguridad que deben incluir los documentos de identidad expedidos por los Estados miembros a sus ciudadanos debe contener datos biométricos, a saber, una imagen facial y dos impresiones dactilares en formatos digitales interoperables.
72 Pues bien, tales datos personales permiten la identificación precisa de las personas físicas de que se trate y son particularmente sensibles debido a los importantes riesgos para los derechos y las libertades fundamentales que su utilización puede presentar, según resulta del considerando 51 del RGPD, Reglamento que se aplica a los datos en cuestión como recuerda el considerando 40 del Reglamento 2019/1157.
73 En consecuencia, la obligación de integrar dos impresiones dactilares en el medio de almacenamiento de los documentos de identidad, establecida en el artículo 3, apartado 5, del Reglamento 2019/1157, constituye una limitación tanto del derecho al respeto de la vida privada como del derecho a la protección de los datos de carácter personal, reconocidos en los artículos 7 y 8 de la Carta, respectivamente.
74 Además, dicha obligación implica la realización previa de dos operaciones de tratamiento de datos personales sucesivas, a saber, la recogida de dichas impresiones del interesado y, posteriormente, su almacenamiento provisional a fines de personalización de los documentos de identidad, operaciones que se regulan en el artículo 10 de dicho Reglamento. Estas operaciones constituyen también limitaciones de los derechos reconocidos en los artículos 7 y 8 de la Carta.
2. Sobre la justificación de la limitación
75 Como resulta de reiterada jurisprudencia, el derecho al respeto de la vida privada y el derecho a la protección de los datos de carácter personal, respectivamente garantizados en los artículos 7 y 8 de la Carta, no constituyen prerrogativas absolutas, sino que deben considerarse de acuerdo con su función en la sociedad (véase, en este sentido, la sentencia de 20 de septiembre de 2022, SpaceNet y Telekom Deutschland, C‑793/19 y C‑794/19, EU:C:2022:702, apartado 63).
76 Por lo tanto, pueden introducirse limitaciones a estos derechos, siempre que, de conformidad con el artículo 52, apartado 1, primera frase, de la Carta, sean establecidas por la ley y respeten el contenido esencial de dichos derechos. Además, según la segunda frase de ese apartado, dentro del respeto del principio de proporcionalidad, solo podrán introducirse tales limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. A este respecto, el artículo 8, apartado 2, de la Carta precisa que los datos personales deben tratarse, en particular, «para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley».
a) Respeto del principio de legalidad
77 En lo que se refiere al requisito, establecido en el artículo 52, apartado 1, primera frase, de la Carta, de que cualquier limitación del ejercicio de los derechos reconocidos por ella debe ser establecida por la ley, ha de recordarse que este requisito implica que el propio acto que permita la injerencia en dichos derechos debe definir el alcance de la limitación del ejercicio del derecho de que se trate, con la precisión de que, por un lado, este requisito no excluye que la limitación en cuestión se formule en términos lo suficientemente abiertos como para poder adaptarse a supuestos distintos, así como a los cambios de situación, y de que, por otro lado, el Tribunal de Justicia, en su caso, puede precisar, por vía de interpretación, el alcance concreto de la limitación en relación tanto con los propios términos de la normativa de la Unión de que se trate como con su estructura general y los objetivos que persigue, interpretados a la luz de los derechos fundamentales garantizados por la Carta (sentencia de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartado 114).
78 En el caso de autos, las limitaciones del ejercicio de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta derivadas de la obligación de integrar dos impresiones dactilares completas en el medio de almacenamiento de los documentos de identidad expedidos por los Estados miembros, así como los requisitos de aplicación y el alcance de dichas limitaciones, se establecen de manera clara y precisa en los artículos 3, apartado 5, y 10, apartados 1 y 3, del Reglamento 2019/1157, adoptados por el legislador de la Unión con arreglo al procedimiento legislativo ordinario y cuyos efectos mantendrá la presente sentencia.
79 En consecuencia, las referidas limitaciones del ejercicio de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta respetan el principio de legalidad mencionado en el artículo 52, apartado 1, primera frase, de la Carta.
b) Respeto del contenido esencial de los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta
80 Procede señalar que la información proporcionada por las impresiones dactilares no permite, por sí sola, obtener una visión general de la vida privada y familiar de los interesados.
81 En estas circunstancias, la limitación que supone la obligación de integrar dos impresiones dactilares en el medio de almacenamiento de los documentos de identidad expedidos por los Estados miembros, establecida en el artículo 3, apartado 5, del Reglamento 2019/1157, no menoscaba el contenido esencial de los derechos fundamentales recogidos en los artículos 7 y 8 de la Carta (véase, por analogía, la sentencia de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartado 120).
c) Respeto del principio de proporcionalidad
82 Como resulta del artículo 52, apartado 1, segunda frase, de la Carta, para que puedan introducirse limitaciones al ejercicio de los derechos fundamentales garantizados en ella dentro del respeto del principio de proporcionalidad, tales limitaciones deben ser necesarias y responder efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.
83 Más concretamente, las excepciones a la protección de los datos personales y las limitaciones de esta última operan dentro del marco de lo estrictamente necesario, entendiéndose que, cuando se ofrezca una elección entre varias medidas adecuadas para la consecución de los objetivos legítimos perseguidos, deberá recurrirse a la menos onerosa de ellas. Además, no puede perseguirse un objetivo de interés general sin tener en cuenta que tal objetivo debe conciliarse con los derechos fundamentales a los que afecta la medida, efectuando una ponderación equilibrada entre, por un lado, el objetivo de interés general y, por otro, los derechos en cuestión, para garantizar que los inconvenientes causados por esa medida no sean desmesurados en relación con los objetivos perseguidos. Así pues, la posibilidad de justificar una limitación a los derechos garantizados en los artículos 7 y 8 de la Carta debe apreciarse midiendo la gravedad de la injerencia que implica tal limitación y verificando que la importancia del objetivo de interés general perseguido por dicha limitación guarda relación con esa gravedad (sentencia de 22 de noviembre de 2022, Luxembourg Business Registers, C‑37/20 y C‑601/20, EU:C:2022:912, apartado 64 y jurisprudencia citada).
84 En consecuencia, para comprobar si, en el caso de autos, las injerencias en los derechos garantizados en los artículos 7 y 8 de la Carta resultantes de la obligación de integrar dos impresiones dactilares en el medio de almacenamiento de los documentos de identidad, establecida en el artículo 3, apartado 5, del Reglamento 2019/1157, respetan el principio de proporcionalidad, es preciso examinar, en primer término, si dicha medida persigue uno o varios objetivos de interés general reconocidos por la Unión y es efectivamente idónea para alcanzar esos objetivos; en segundo término, si las injerencias derivadas de dicha obligación se limitan a lo estrictamente necesario, en el sentido de que tales objetivos no podrían alcanzarse razonablemente de manera igualmente eficaz por otros medios menos atentatorios contra los derechos fundamentales de los interesados, y, en tercer término, si esas injerencias no son desproporcionadas con respecto a los objetivos, lo que implica, en particular, una ponderación de esos objetivos y la gravedad de dichas injerencias (véanse, en este sentido, las sentencias de 22 de noviembre de 2022, Luxembourg Business Registers, C‑37/20 y C‑601/20, EU:C:2022:912, apartado 66, y de 8 de diciembre de 2022, Orde van Vlaamse Balies y otros, C‑694/20, EU:C:2022:963, apartado 42).
1) Consecución de uno o varios objetivos de interés general reconocidos por la Unión e idoneidad de la medida para alcanzar dichos objetivos
i) Carácter de interés general de los objetivos perseguidos por la medida en cuestión
85 De conformidad con su artículo 1, el Reglamento 2019/1157 tiene por objeto reforzar las normas de seguridad aplicables, entre otros, a los documentos de identidad expedidos por los Estados miembros a sus nacionales en el ejercicio de su derecho a la libre circulación.
86 Más concretamente, y como se desprende de los considerandos 4, 5, 17 a 20 y 32 del Reglamento 2019/1157, la integración de los datos biométricos, entre los que figuran dos impresiones dactilares completas, en el medio de almacenamiento de los documentos de identidad tiene por objeto garantizar la autenticidad de dichos documentos y permitir la identificación fiable de su titular, contribuyendo al mismo tiempo, conforme a los considerandos 23 y 33 y al artículo 3, apartado 5, de dicho Reglamento, a la interoperabilidad de los sistemas de verificación de los documentos de identificación, con el fin de reducir el riesgo de falsificación y fraude documental.
87 Pues bien, el Tribunal de Justicia ya ha tenido ocasión de declarar, en relación con la expedición de pasaportes (véase, en este sentido, la sentencia de 17 de octubre de 2013, Schwarz, C‑291/12, EU:C:2013:670, apartados 36 a 38) y con la elaboración de un fichero de identificación de los nacionales de terceros países (véase, en este sentido, la sentencia de 3 de octubre de 2019, A y otros, C‑70/18, EU:C:2019:823, apartado 46 y jurisprudencia citada), que la lucha contra el fraude documental, que comprende, en particular, la lucha contra la producción de documentos de identidad falsos y contra la suplantación de identidad, constituye un objetivo de interés general reconocido por la Unión.
88 En cuanto al objetivo de interoperabilidad de los sistemas de verificación de los documentos de identificación, también reviste tal carácter, puesto que, como se desprende del considerando 17 del Reglamento 2019/1157, contribuye a facilitar a los ciudadanos de la Unión el ejercicio del derecho que les reconoce el artículo 20 TFUE a circular y residir libremente en el territorio de los Estados miembros.
ii) Idoneidad de la medida en cuestión para responder efectivamente a los objetivos de interés general perseguidos
89 En el caso de autos, la integración de dos impresiones dactilares completas en el medio de almacenamiento de los documentos de identidad es idónea para alcanzar los objetivos de interés general de lucha contra la producción de documentos de identidad falsos y la suplantación de identidad, así como de interoperabilidad de los sistemas de verificación, invocados por el legislador de la Unión para justificar dicha medida.
90 En efecto, en primer lugar, la integración de datos biométricos, como unas impresiones dactilares, en los documentos de identidad puede dificultar la producción de documentos de identidad falsos, en la medida en que, de conformidad con el artículo 3, apartado 5, del Reglamento 2019/1157, en relación con el artículo 14, apartados 1 y 2, de dicho Reglamento, tales datos deben almacenarse con arreglo a especificaciones técnicas precisas y que pueden mantenerse en secreto.
91 En segundo lugar, la integración de tales datos biométricos constituye un medio que permite, de conformidad con el artículo 11, apartado 6, y los considerandos 18 y 19 del Reglamento 2019/1157, verificar de manera fiable la autenticidad del documento de identidad y la identidad del titular del documento y reducir así el riesgo de fraude.
92 Por último, la elección efectuada por el legislador de la Unión de establecer la integración de las impresiones dactilares completas también parece idónea para alcanzar el objetivo de interoperabilidad de los sistemas de verificación de los documentos de identidad, puesto que el recurso a las impresiones dactilares completas permite garantizar una compatibilidad con todos los sistemas automatizados de identificación de las impresiones dactilares utilizados por los Estados miembros, aun cuando tales sistemas no recurran necesariamente al mismo mecanismo de identificación.
93 El tribunal remitente también señala que el artículo 3, apartado 7, del Reglamento 2019/1157 autoriza, en su párrafo primero, a los Estados miembros a eximir de la recogida de impresiones dactilares a los menores de doce años e incluso les obliga, en su párrafo segundo, a eximir de ella a los menores de seis años.
94 Es cierto que una normativa solo puede garantizar la consecución del objetivo invocado si las medidas que establece responden verdaderamente al empeño por alcanzarlo y se aplican de manera congruente y sistemática (véase, por analogía, la sentencia de 5 de diciembre de 2023, Nordic Info, C‑128/22, EU:C:2023:951, apartado 84 y jurisprudencia citada).
95 Sin embargo, el Reglamento 2019/1157 cumple este requisito aun cuando establece exenciones a la obligación de proceder a la recogida de las impresiones dactilares de los menores de edad, dado que, como se desprende de su considerando 26, tales exenciones tienen por objeto tener en cuenta el interés superior del menor.
96 Lo mismo sucede con la regla enunciada en el artículo 5 del Reglamento 2019/1157, según la cual los documentos de identidad que no cumplan los requisitos establecidos en el artículo 3 de dicho Reglamento solo dejarán de ser válidos a su expiración o a más tardar el 3 de agosto de 2031. En efecto, el legislador de la Unión podía estimar que ese período transitorio era adecuado para evitar a los Estados miembros la carga de expedir nuevos documentos de identidad para todos los interesados en un período muy breve, sin por ello cuestionar la eficacia a largo plazo de las medidas previstas en dicho Reglamento.
97 En cuanto al hecho de que algunos Estados miembros establezcan en su legislación que los documentos de identidad que expiden siguen siendo válidos pese a ser defectuoso el medio electrónico de almacenamiento, baste señalar que tales legislaciones únicamente son compatibles con el Reglamento 2019/1157 en la medida en que no haya transcurrido el período transitorio mencionado en el apartado anterior.
2) Necesidad de recurrir a la medida en cuestión para alcanzar los objetivos de interés general perseguidos
98 Por lo que respecta, en primer lugar, al principio mismo de la integración de impresiones dactilares en el medio de almacenamiento de los documentos de identidad, debe señalarse que las impresiones dactilares constituyen un medio fiable y eficaz para determinar con certeza la identidad de una persona y que el procedimiento utilizado para la recogida de esas impresiones es fácil de aplicar.
99 En particular, como señaló la Abogada General en el punto 90 de sus conclusiones, la inserción únicamente de una imagen facial constituiría un medio de identificación menos eficaz que la inserción, además de esa imagen, de dos impresiones dactilares, ya que el envejecimiento, el modo de vida, la enfermedad o una operación de cirugía estética o reparadora pueden alterar las características anatómicas del rostro.
100 Es cierto que la evaluación de impacto realizada por la Comisión que acompañaba a la propuesta de Reglamento que dio lugar al Reglamento 2019/1157 indicó que debía preferirse la opción de no hacer obligatoria la integración de dos impresiones dactilares en el medio de almacenamiento de los documentos de identidad.
101 Sin embargo, aparte de que la propia Comisión decidió no recoger esta opción en su propuesta legislativa, es preciso señalar que, si bien el Acuerdo Interinstitucional establece, en su punto 14, que, cuando el Parlamento y el Consejo estudien las propuestas legislativas de la Comisión, deberán tener plenamente en cuenta las evaluaciones de impacto de esta institución, ese mismo Acuerdo indica, en su punto 12, que tales evaluaciones «son un instrumento que ayuda a las tres Instituciones a tomar decisiones fundadas y que no sustituyen a las decisiones políticas durante el proceso democrático de adopción de decisiones». Por consiguiente, aunque el Parlamento y el Consejo estén obligados a tener en cuenta las evaluaciones de impacto de la Comisión, no están vinculados por su contenido, en particular, por lo que respecta a las apreciaciones que figuran en ellas (véase, en este sentido, la sentencia de 21 de junio de 2018, Polonia/Parlamento y Consejo, C‑5/16, EU:C:2018:483, apartado 159 y jurisprudencia citada).
102 En consecuencia, el mero hecho de que el legislador de la Unión haya adoptado una medida distinta y, en su caso, más restrictiva que la recomendada al término de la evaluación de impacto no demuestra que haya rebasado los límites de lo que era necesario para alcanzar el objetivo perseguido (véase, en este sentido, la sentencia de 4 de mayo de 2016, Pillbox 38, C‑477/14, EU:C:2016:324, apartado 65).
103 En el caso de autos, la evaluación de impacto realizada por la Comisión constató que la opción de hacer obligatoria la integración de impresiones dactilares en el medio de almacenamiento de los documentos de identidad era la más eficaz para alcanzar el objetivo específico de luchar contra la producción de documentos de identidad falsos y mejorar la autenticación documental. En estas circunstancias, la opción consistente en no hacer obligatoria tal integración no pone en entredicho, en cualquier caso, la necesidad, en el sentido de la jurisprudencia recordada en el apartado 84 de la presente sentencia, de la medida adoptada por el legislador de la Unión.
104 En segundo lugar, por lo que se refiere a la integración de las dos impresiones dactilares completas y no únicamente de determinados puntos característicos de dichas impresiones, por un lado, como señaló la Abogada General en el punto 93 de sus conclusiones, estos últimos no ofrecen las mismas garantías que una impresión dactilar completa. Por otro lado, la integración de una impresión dactilar completa es necesaria para la interoperabilidad de los sistemas de verificación de los documentos de identificación, lo que constituye uno de los objetivos esenciales perseguidos. En efecto, como se desprende del apartado 47 del Dictamen 7/2018 y como subraya también el tribunal remitente, los Estados miembros utilizan diferentes tecnologías de identificación de impresiones dactilares, de modo que el hecho de integrar en el medio de almacenamiento del documento de identidad únicamente algunas de las características de una impresión digital tendría como efecto comprometer la consecución del objetivo de interoperabilidad de los sistemas de verificación de los documentos de identificación perseguido por el Reglamento 2019/1157.
105 De las consideraciones anteriores se desprende que las limitaciones introducidas a los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta derivadas de la obligación de integrar dos impresiones dactilares completas en el medio de almacenamiento parecen respetar los límites de lo estrictamente necesario.
3) Existencia de una ponderación entre, por un lado, la gravedad de la injerencia en los derechos fundamentales de que se trata y, por otro, los objetivos perseguidos por dicha medida
i) Gravedad de la injerencia causada por la limitación del ejercicio de los derechos garantizados en los artículos 7 y 8 de la Carta
106 La apreciación de la gravedad de la injerencia causada por una limitación de los derechos garantizados en los artículos 7 y 8 de la Carta implica tener en cuenta la naturaleza de los datos personales de que se trate, en particular el carácter potencialmente sensible de esos datos, así como la naturaleza y el modo concreto del tratamiento de los datos, especialmente el número de personas que tienen acceso a ellos y el modo en que acceden. En su caso, también debe tomarse en consideración la existencia de medidas para prevenir el riesgo de que tales datos sean objeto de tratamientos abusivos.
107 En caso de autos, es cierto que la limitación del ejercicio de los derechos garantizados en los artículos 7 y 8 de la Carta resultante del Reglamento 2019/1157 puede afectar a un gran número de personas, número que la Comisión, en su evaluación de impacto, estimó en 370 millones de habitantes de los 440 millones con que contaba entonces la Unión. Las impresiones dactilares, en tanto que datos biométricos, son particularmente sensibles por su naturaleza y gozan, como se desprende del considerando 51 del RGPD, de una protección específica en el Derecho de la Unión.
108 Sin embargo, es preciso subrayar que la recogida y el almacenamiento de dos impresiones dactilares completas solo están autorizados por el Reglamento 2019/1157 con el fin de integrar dichas impresiones dactilares en el medio de almacenamiento de los documentos de identidad.
109 Además, del artículo 3, apartado 5, de dicho Reglamento, en relación con el artículo 10, apartado 3, de este, se deriva que, una vez realizada esa integración y recogido el documento de identidad por el interesado, las impresiones dactilares recogidas se conservan únicamente en el medio de almacenamiento de dicho documento, el cual, en principio, se halla físicamente en poder del interesado.
110 Por último, el Reglamento 2019/1157 establece un conjunto de garantías dirigidas a limitar los riesgos de que, al aplicarlo, se recojan o utilicen datos personales para fines distintos de la consecución de los objetivos que persigue, y ello no solo en lo referente a las operaciones de tratamiento de datos personales que este Reglamento hace obligatorias, sino también en relación con los principales tratamientos de los que pueden ser objeto las impresiones dactilares integradas en el medio de almacenamiento de los documentos de identidad.
111 De este modo, por lo que respecta, en primer término, a la recogida de datos, el artículo 10, apartados 1 y 2, del Reglamento 2019/1157 dispone que los identificadores biométricos son recogidos «exclusivamente por personal cualificado y debidamente autorizado» y que dicho personal ha de observar «procedimientos adecuados y eficaces para la recogida de identificadores biométricos», procedimientos que deben respetar los derechos y principios plasmados en la Carta, en el Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales y en la Convención de las Naciones Unidas sobre los Derechos del Niño. Además, como se ha señalado en el apartado 93 de la presente sentencia, el artículo 3, apartado 7, de dicho Reglamento contiene normas especiales para los menores de doce años (párrafos primero y segundo) y para las personas a las que sea físicamente imposible tomar las impresiones dactilares (párrafo tercero), las cuales quedan «exentas del requisito de facilitarlas».
112 Por lo que respecta, en segundo término, al almacenamiento de los datos, por un lado, el Reglamento 2019/1157 obliga a los Estados miembros a almacenar, como datos biométricos, una imagen facial y dos impresiones dactilares. A este respecto, el considerando 21 de este Reglamento puntualiza expresamente que este no establece «una base jurídica para crear o mantener bases de datos a nivel nacional para el almacenamiento de datos biométricos en los Estados miembros, pues se trata de una cuestión de Derecho nacional que tiene que cumplir con el Derecho de la Unión en materia de protección de datos», como tampoco establece «una base jurídica para la creación o el mantenimiento de una base de datos centralizada a nivel de la Unión». Por otro lado, el artículo 10, apartado 3, de dicho Reglamento establece que esos «identificadores biométricos […] deben mantenerse […] solo hasta la fecha de recogida del documento y, en cualquier caso, no más de 90 días después de la fecha de expedición del documento» y precisa que, «superado este período, dichos identificadores biométricos deben ser suprimidos o destruidos inmediatamente».
113 De lo anterior resulta, en particular, que el artículo 10, apartado 3, del Reglamento 2019/1157 no permite que los Estados miembros traten los datos biométricos para fines distintos de los previstos en este Reglamento. Además, esa misma disposición se opone a una conservación centralizada de impresiones dactilares que vaya más allá del almacenamiento provisional de dichas impresiones a fines de personalización de los documentos de identidad.
114 Por último, el artículo 11, apartado 6, del Reglamento 2019/1157 menciona la posibilidad de que los datos biométricos contenidos en el medio de almacenamiento seguro puedan ser utilizados, de conformidad con la legislación nacional y de la Unión, por parte de personal debidamente autorizado de las autoridades nacionales competentes y de las agencias de la Unión.
115 Por lo que respecta a la letra a) de esta disposición, únicamente permite la utilización de los datos biométricos almacenados en el medio de almacenamiento de los documentos de identidad y de los documentos de residencia a fin de verificar la autenticidad del documento de identidad o del documento de residencia.
116 En cuanto a la letra b) de dicha disposición, establece que los datos biométricos almacenados en el medio de almacenamiento de los documentos de identidad y de los documentos de residencia pueden utilizarse para verificar la identidad del titular «mediante características comparables accesibles directamente, cuando las leyes exijan la presentación del documento de identidad o del documento de residencia». Pues bien, dado que tal tratamiento puede proporcionar información adicional sobre la vida privada de los interesados, solo puede llevarse a cabo con fines estrictamente limitados a la identificación del interesado y en condiciones delimitadas con precisión por la ley que exige la presentación del documento de identidad o del documento de residencia.
117 Por lo que se refiere, en tercer término, a la consulta de los datos biométricos registrados en el medio de almacenamiento de los documentos de identidad, es importante subrayar que el considerando 19 del Reglamento 2019/1157 establece un orden de prioridad en el uso de los medios de comprobación de la autenticidad del documento y la identidad del titular, al disponer que los Estados miembros deben «verificar principalmente la imagen facial» y, cuando sea necesario para confirmar sin duda la autenticidad del documento y la identidad del titular, «comprobar las impresiones dactilares».
118 En cuarto término, por lo que respecta al riesgo de acceso no autorizado a los datos almacenados, el artículo 3, apartados 5 y 6, del Reglamento 2019/1157 establece, para limitar al máximo ese riesgo, que las impresiones dactilares se almacenen en un «medio de almacenamiento de alta seguridad», que tenga «la capacidad suficiente» para garantizar «la integridad, la autenticidad y la confidencialidad de los datos». Además, del artículo 3, apartado 10, de dicho Reglamento resulta que «cuando los Estados miembros almacenen en los documentos de identidad datos para servicios electrónicos tales como la Administración electrónica y el comercio electrónico, esos datos nacionales deberán estar separados física o lógicamente», en particular, de las impresiones dactilares recogidas y almacenadas sobre la base de dicho Reglamento. Por último, de los considerandos 41 y 42 y del artículo 11, apartado 4, de ese mismo Reglamento se desprende que los Estados miembros siguen siendo responsables del tratamiento adecuado de los datos biométricos, incluso cuando cooperen con proveedores de servicios externos.
ii) Importancia de los objetivos perseguidos
119 Como se ha recordado en el apartado 86 de la presente sentencia, la integración de dos impresiones dactilares en el medio de almacenamiento de los documentos de identidad tiene por objeto luchar contra la producción de documentos de identidad falsos y la suplantación de identidad, así como garantizar la interoperabilidad de los sistemas de verificación de los documentos de identificación. Pues bien, en este sentido, puede contribuir a la protección de la vida privada de los interesados y, más en general, a la lucha contra la delincuencia y el terrorismo.
120 Además, tal medida permite responder a la necesidad que tiene todo ciudadano de la Unión de disponer de medios para identificarse de manera fiable y que tienen los Estados miembros de cerciorarse de que las personas que invocan derechos reconocidos por el Derecho de la Unión son realmente titulares de ellos. De este modo, contribuye, en particular, a facilitar el ejercicio por los ciudadanos de la Unión de su derecho a la libertad de circulación y residencia, que constituye también un derecho fundamental garantizado en el artículo 45 de la Carta. Por lo tanto, los objetivos perseguidos por el Reglamento 2019/1157, en particular mediante la integración de dos impresiones dactilares en el medio de almacenamiento de los documentos de identidad, tienen especial importancia no solo para la Unión y los Estados miembros, sino también para los ciudadanos de la Unión.
121 Por otra parte, la legitimidad y la importancia de dichos objetivos no quedan en absoluto desvirtuadas por el hecho, mencionado por el tribunal remitente, de que el Dictamen 7/2018 hacía constar, en sus apartados 24 a 26, que solo se habían detectado 38 870 casos de documentos de identidad fraudulentos entre 2013 y 2017 y que esa cifra venía disminuyendo desde hacía varios años.
122 En efecto, aun considerando que el número de documentos de identidad fraudulentos fuera reducido, el legislador de la Unión no estaba obligado a esperar a que ese número aumentara para adoptar medidas dirigidas a prevenir el riesgo de utilización de tales documentos, sino que podía, en aras del control de los riesgos, anticiparse a esa evolución, siempre que se observaran los demás requisitos relativos al respeto del principio de proporcionalidad.
iii) Ponderación
123 Habida cuenta de lo anterior, debe señalarse que la limitación del ejercicio de los derechos garantizados en los artículos 7 y 8 de la Carta resultante de la integración de dos impresiones dactilares en el medio de almacenamiento de los documentos de identidad no parece ser —considerando la naturaleza de los datos de que se trata, la naturaleza y modalidades de las operaciones de tratamiento y los mecanismos de salvaguardia previstos— tan grave como para resultar desproporcionada en relación con la importancia de los diferentes objetivos perseguidos por dicha medida. Así pues, debe considerarse que tal medida se basa en una ponderación equilibrada entre, por un lado, esos objetivos y, por otro, los derechos fundamentales en juego.
124 En consecuencia, la limitación del ejercicio de los derechos garantizados en los artículos 7 y 8 de la Carta no viola el principio de proporcionalidad, de modo que el tercer motivo no puede suponer la invalidez del Reglamento 2019/1157.
125 De todas las consideraciones anteriores se deriva que el Reglamento 2019/1157 es inválido en la medida en que se adoptó sobre la base del artículo 21 TFUE, apartado 2.
IV. Sobre el mantenimiento en el tiempo de los efectos del Reglamento 2019/1157
126 Los efectos de un acto declarado inválido pueden mantenerse por razones de seguridad jurídica, en particular cuando los efectos inmediatos de la sentencia en la que se declara dicha invalidez entrañen consecuencias negativas graves para los interesados (véase, en este sentido, la sentencia de 17 de marzo de 2016, Parlamento/Comisión, C‑286/14, EU:C:2016:183, apartado 67).
127 En el caso de autos, la declaración de invalidez del Reglamento 2019/1157 con efecto inmediato podría producir consecuencias negativas graves para un considerable número de ciudadanos de la Unión, en particular, para su seguridad en el espacio de libertad, seguridad y justicia.
128 En estas circunstancias, el Tribunal de Justicia decide que procede mantener los efectos de dicho Reglamento hasta la entrada en vigor, en un plazo razonable que no podrá exceder de dos años a partir del 1 de enero del año siguiente a aquel en que se dicta la presente sentencia, de un nuevo reglamento que lo sustituya, basado en el artículo 77 TFUE, apartado 3.
V. Costas
129 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el tribunal nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) El Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación, es inválido.
2) Los efectos del Reglamento 2019/1157 se mantendrán hasta la entrada en vigor, en un plazo razonable que no podrá exceder de dos años a partir del 1 de enero del año siguiente a aquel en que se dicta la presente sentencia, de un nuevo reglamento que lo sustituya, basado en el artículo 77 TFUE, apartado 3.
Firmas