CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:483

Edición provisional

CONCLUSIONES DEL ABOGADO GENERAL

SR. PRIIT PIKAMÄE

presentadas el 15 de junio de 2023 (1)

Asunto C‑118/22

Procedimiento contencioso-administrativo

contra

Direktor na Glavna direktsia «Natsionalna politsia» pri MVR — Sofia,

con intervención de

Varhovna administrativna prokuratura

[Petición de decisión prejudicial planteada por el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria)]

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva (UE) 2016/680 — Artículos 4, 5, 8, 10 y 16 — Conservación de los datos de una persona física condenada por un delito doloso hasta su fallecimiento — Persona física condenada mediante sentencia firme y posteriormente rehabilitada — Desestimación de la solicitud de supresión de datos — Necesidad y proporcionalidad de la injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea»

1. ¿Debe ser motivo de preocupación que se conserven en los ficheros policiales datos personales que encasillan a la persona inscrita, en ocasiones durante el resto de su vida, en un papel de elemento antisocial, peligroso ad infinitum? ¿No es, por el contrario, de agradecer que exista este prontuario policial vista la resolución por los investigadores de antiguos casos sin resolver, más conocidos hoy en día como «cold cases», para gran alivio de las familias de las víctimas?

2. El presente asunto se inscribe precisamente en este cuestionamiento antagónico que remite a la conciliación del interés público asociado a la lucha contra la delincuencia con el interés de las personas en la protección de sus datos personales y el respeto de su vida privada. Así brinda al Tribunal de Justicia la oportunidad de pronunciarse sobre la cuestión del tratamiento de tales datos con fines policiales en su dimensión temporal, a la luz de las disposiciones pertinentes de la Directiva (UE) 2016/680. (2)

I. Marco jurídico

A. Derecho de la Unión

3. En el presente asunto son pertinentes los artículos 4, 5, 8, 10 y 16 de la Directiva 2016/680 y el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

B. Derecho búlgaro

4. El artículo 26, apartados 1 y 2, de la zakon za Ministerstvo na vatreshnite raboti (Ley del Ministerio del Interior, en lo sucesivo, «LMint») dispone lo siguiente:

«1. Al tratar datos personales en relación con actividades de protección de la seguridad nacional, lucha contra la delincuencia, mantenimiento del orden público y tramitación de procedimientos penales, las autoridades del Ministerio del Interior:

[…]

3. podrán tratar todas las categorías de datos personales que sean necesarias;

2. El Ministerio del Interior fijará los plazos de conservación de los datos a que se refiere el apartado 1 o para una revisión periódica de la necesidad de conservarlos. Dichos datos también se suprimirán en virtud de un acto judicial o de una decisión de la Comisión de Protección de Datos Personales».

5. El artículo 27 de la LMint establece:

«Los datos obtenidos mediante la inscripción de personas en el registro policial al amparo del artículo 68 se utilizarán únicamente con fines de protección de la seguridad nacional, lucha contra la delincuencia y mantenimiento del orden público.»

6. El artículo 68 de la LMint preceptúa lo siguiente:

«(1) Las autoridades policiales incluirán en el registro policial a las personas investigadas por delitos públicos dolosos. Las autoridades encargadas de la investigación deberán adoptar las medidas necesarias para que las autoridades policiales procedan a la inscripción en el registro.

(2) La inscripción en el registro policial es un tipo de tratamiento de datos personales de las personas a que se refiere el apartado 1 y deberá llevarse a cabo con arreglo a lo dispuesto en la presente Ley.

(3) A efectos de la inscripción en el registro policial, las autoridades policiales deberán:

1. recoger los datos personales mencionados en el artículo 18 de la zakon za balgaskite lichni dokumenti (Ley relativa a los documentos de identidad búlgaros);

2) realizar fotografías del investigado y tomar sus huellas dactilares;

3) obtener muestras para la elaboración de un perfil de ADN.

[…]

(6) La inscripción en el registro policial se cancelará previa decisión escrita del responsable del tratamiento de los datos personales o de un funcionario autorizado por dicho responsable, de oficio o previa solicitud escrita motivada de la persona inscrita, cuando:

1. tal inscripción se haya realizado vulnerando la ley;

2. el proceso penal haya sido archivado, salvo en los casos previstos en el artículo 24, apartado 3, del [Nakazatelno-protsesualen kodeks (Código de Procedimiento Penal)];

3. el proceso penal haya finalizado con una resolución absolutoria definitiva;

4. no se considere a la persona penalmente responsable y se le imponga una sanción administrativa;

5. se produzca el fallecimiento del investigado, en cuyo caso sus sucesores podrán solicitar la cancelación de los datos.

(7) Las modalidades de inscripción en el registro policial y de supresión de dicha inscripción se determinarán mediante un reglamento del Consejo de Ministros.»

II. Hechos, procedimiento principal y cuestión prejudicial

7. NG fue inscrito en un fichero policial, en el marco de un procedimiento de instrucción, por prestar falso testimonio, hecho constitutivo de un delito tipificado en el artículo 290, apartado 1, del Nakazatelen Kodeks (Código Penal). A raíz de este procedimiento, el 2 de julio de 2015 se formuló acusación contra él y, mediante sentencia de 28 de junio de 2016, confirmada en apelación mediante sentencia de 2 de diciembre de 2016, fue declarado culpable y condenado a una pena de libertad vigilada de un año. El 14 de marzo de 2018 finalizó el cumplimiento de la pena impuesta.

8. El 15 de julio de 2020, NG presentó ante la autoridad administrativa territorial competente del Ministerstvo na vatreshnite raboti (Ministerio del Interior, Bulgaria) una solicitud de cancelación de dicha inscripción, acompañada de un certificado de buena conducta que demostraba que no tenía antecedentes.

9. Mediante decisión de 2 de septiembre de 2020, la autoridad administrativa competente desestimó esta solicitud basándose en que una condena firme no formaba parte de los motivos para la cancelación de una inscripción en el fichero policial, enumerados exhaustivamente en el artículo 68, apartado 6, de la LMint, aunque se hubiera producido la rehabilitación a efectos del artículo 85 del Código Penal. El 8 de octubre de 2020, NG recurrió esta decisión ante el Administrativen sad Sofia-grad (Tribunal de lo Contencioso-Administrativo de la Ciudad de Sofía, Bulgaria). Mediante resolución de 2 de febrero de 2021, dicho órgano jurisdiccional desestimó este recurso.

10. Mediante decisión de 2 de septiembre de 2020, la autoridad administrativa competente desestimó esta solicitud basándose en que una condena firme no formaba parte de los motivos para la cancelación de una inscripción en el fichero policial, enumerados exhaustivamente en el artículo 68, apartado 6, de la LMint, aunque se hubiera producido la rehabilitación a efectos del artículo 85 del Código Penal. El 8 de octubre de 2020, NG recurrió esta decisión ante el Administrativen sad Sofia-grad (Tribunal de lo Contencioso-Administrativo de la Ciudad de Sofía, Bulgaria). Mediante resolución de 2 de febrero de 2021, dicho órgano jurisdiccional desestimó este recurso.

11. NG interpuso recurso de casación contra la resolución del Administrativen sad Sofia-grad (Tribunal de lo Contencioso-Administrativo de la Ciudad de Sofía) ante el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria). El motivo principal formulado en el recurso de casación se basa en la violación del principio, derivado de los artículos 5, 13 y 14 de la Directiva 2016/680, según el cual el tratamiento de los datos personales mediante la conservación de estos no puede tener una duración ilimitada. Pues bien, según NG, en ausencia de un motivo para la cancelación de la inscripción en el registro policial, un condenado no puede solicitar, tras su rehabilitación, la supresión de sus datos recogidos en relación con el delito por el que ha cumplido su pena, de modo que la conservación de tales datos es ilimitada.

12. Al albergar dudas sobre la conformidad con el Derecho de la Unión de la normativa nacional que regula el fichero policial controvertido, el órgano jurisdiccional remitente decidió suspender el procedimiento principal y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«¿Puede interpretarse el artículo 5, en relación con el artículo 13, apartados 2, letra b), y 3, de la [Directiva 2016/680], en el sentido de que autoriza la adopción de medidas legislativas nacionales que conduzcan a reconocer a las autoridades competentes un derecho prácticamente ilimitado al tratamiento de datos personales con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a dejar sin efecto el derecho del interesado a la limitación del tratamiento, a la supresión o a la destrucción de sus datos?»

III. Procedimiento ante el Tribunal de Justicia

13. Han presentado observaciones escritas los Gobiernos búlgaro, checo, irlandés, español y polaco y la Comisión Europea. En la vista celebrada el 7 de febrero de 2023, se oyeron también las observaciones orales de la parte demandante en el litigio principal y de los Gobiernos búlgaro, irlandés, español, neerlandés y polaco y de la Comisión.

IV. Análisis

A. Aplicabilidad de la Directiva 2016/680

14. De la petición de decisión prejudicial se desprende que el órgano jurisdiccional remitente considera manifiesto que la normativa nacional controvertida está comprendida en el ámbito de aplicación material de la Directiva 2016/680, apreciación que, desde mi punto de vista, requiere de una serie de observaciones.

15. De conformidad con el artículo 1, apartado 1, en relación con el artículo 2, apartado 1, de la Directiva 2016/680, esta se aplica al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a amenazas contra la seguridad pública. El artículo 2, apartado 3, letra a), de dicha Directiva excluye de su ámbito de aplicación el tratamiento de datos personales «en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión». Los considerandos 12 y 14 de la Directiva 2016/680 precisan el contenido de esta excepción de inaplicabilidad indicando que comprende, en particular, las actividades relacionadas con la seguridad nacional, a diferencia de las relativas al mantenimiento del orden público, como labor encomendada a la policía o, en su caso, a otras fuerzas y cuerpos de seguridad con fines de protección y prevención frente a las amenazas para la seguridad pública y para los intereses públicos fundamentales jurídicamente protegidos que puedan ser constitutivas de infracciones penales.

16. Con ocasión de la interpretación del artículo 2, apartado 2, letra a), del Reglamento (UE) 2016/679, (3) que establece una excepción a la aplicabilidad de dicho Reglamento en términos idénticos a los del artículo 2, apartado 3, letra a), de la Directiva 2016/680, el Tribunal de Justicia ha declarado que debe considerarse que la primera disposición, interpretada a la luz del considerando 16 del citado Reglamento, tiene como único objeto excluir del ámbito de aplicación de esta norma los tratamientos de datos personales efectuados por autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o una actividad que pueda incluirse en la misma categoría, de modo que el mero hecho de que una actividad sea propia del Estado o de una autoridad pública no basta para que dicha excepción sea automáticamente aplicable a tal actividad. El Tribunal de Justicia ha precisado que las actividades cuya finalidad es preservar la seguridad nacional cubren, en particular, las que tienen por objeto proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad. (4)

17. Pues bien, en el presente asunto, los datos registrados y conservados por la policía en virtud del artículo 68 de la LMint se registran y conservan, de conformidad con el artículo 27 de dicha Ley, con fines de protección de la seguridad nacional, lucha contra la delincuencia y mantenimiento del orden público. Así pues, resulta que el fichero policial de que se trata constituye una base de datos única e híbrida, ya que reúne información que puede ser objeto de tratamientos que atienden a finalidades distintas, en particular la relativa a la protección de la seguridad nacional, que no está comprendida en el ámbito de aplicación material de la Directiva 2016/680. En estas circunstancias, la licitud de la conservación de los datos que figuran en tal fichero solo puede examinarse a la luz de las exigencias de la citada Directiva en la medida en que esos datos únicamente se utilicen para los fines contemplados en el artículo 1, apartado 1, de esta, extremo que corresponde verificar al órgano jurisdiccional remitente. (5) Habida cuenta de los documentos que obran en los autos remitidos al Tribunal de Justicia, no parece que la conservación de los datos de NG en el fichero policial, cuya supresión se solicita, pueda considerarse un tratamiento que quede fuera del ámbito de aplicación material de la Directiva 2016/680.

18. Aquí, procede señalar que la normativa nacional controvertida en el litigio principal ya fue objeto de una sentencia del Tribunal de Justicia a raíz de una cuestión prejudicial planteada por un órgano jurisdiccional búlgaro encargado de apreciar la negativa de una persona investigada por un delito de fraude fiscal a someterse a la recogida de sus datos. En ese asunto, el Tribunal de Justicia se pronunció, en particular, sobre la licitud de la recogida de datos en relación con las exigencias del artículo 10 de la Directiva 2016/680 y declaró que esta disposición, en relación con los artículos 4, apartado 1, letras a) a c), y 8, apartados 1 y 2, de dicha Directiva, debe interpretarse en el sentido de que se opone a una normativa nacional que establece la recogida sistemática de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso a efectos de su registro, sin obligar a la autoridad competente a comprobar y demostrar, por una parte, si esa recogida es estrictamente necesaria para satisfacer los objetivos concretos perseguidos y, por otra parte, si tales objetivos no pueden lograrse mediante medidas que constituyan injerencias menos graves en los derechos y libertades del interesado. (6) El presente asunto lleva al Tribunal de Justicia a tener que examinar la licitud de una injerencia distinta, a saber, la conservación de la información relativa a las personas físicas condenadas penalmente identificadas por su nombre y apellidos en el fichero policial en cuestión, conservación esta que constituye un tratamiento de datos personales por parte de una autoridad pública competente con fines de prevención, investigación y detección de infracciones penales, en el caso que nos ocupa el Ministerio del Interior búlgaro, en el sentido del artículo 3, puntos 1, 2 y 7, letra a), de la Directiva 2016/680.

B. Reformulación de la cuestión prejudicial

19. Con carácter preliminar, debe recordarse que, en el marco del procedimiento de cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, establecido por el artículo 267 TFUE, corresponde a este Tribunal proporcionar al órgano jurisdiccional nacional una respuesta útil que le permita dirimir el litigio del que conoce. Desde este punto de vista, corresponde al Tribunal de Justicia reformular en su caso las cuestiones prejudiciales que se le han planteado. En efecto, el Tribunal de Justicia tiene la misión de interpretar cuantas disposiciones del Derecho de la Unión sean necesarias para que los órganos jurisdiccionales nacionales puedan resolver los litigios que se les hayan sometido, aun cuando tales disposiciones no se mencionen expresamente en las cuestiones remitidas por dichos órganos jurisdiccionales. (7)

20. Los hechos del litigio principal se refieren a una solicitud de cancelación de la inscripción de datos personales en el fichero policial, presentada por una persona física que, tras haber sido condenada por falso testimonio, cumplió su condena y quedó rehabilitada el 14 de marzo de 2020, esto es, casi cinco años después de la referida inscripción. Esta solicitud fue desestimada mediante decisión de la autoridad administrativa competente, confirmada en primera instancia mediante resolución del Administrativen sad Sofia-grad (Tribunal de lo Contencioso-Administrativo de la Ciudad de Sofía), contra la que se ha interpuesto un recurso de casación ante el órgano jurisdiccional remitente, el cual alberga dudas sobre la compatibilidad de la normativa nacional con la Directiva 2016/680 en lo que respecta a la cuestión de la conservación de datos en el fichero policial. Por lo tanto, es evidente que el litigio principal se refiere al derecho a la supresión de los datos personales sin dilación indebida, establecido en el artículo 16, apartado 2, de la Directiva 2016/680, cuando el tratamiento infrinja disposiciones adoptadas en virtud de los artículos 4, 8 o 10 de esta o cuando estos datos deban ser suprimidos en virtud de una obligación legal a la que esté sujeto el responsable del tratamiento.

21. El artículo 4, apartado 1, letras c) y e), de la Directiva 2016/680 dispone que los Estados miembros deben cerciorarse de que, conforme a los principios de minimización de datos personales y de limitación de su plazo de conservación, respectivamente, esos datos sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados y conservados de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados. (8) Por su parte, el artículo 8 de dicha Directiva se refiere a la licitud del tratamiento, la cual depende de que el tratamiento sea necesario para la ejecución de una tarea realizada por una autoridad competente, para los fines enunciados en el artículo 1, apartado 1, de esta misma Directiva, y de una base jurídica europea o nacional, debiendo esta última indicar al menos los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento. Por último, el artículo 10 de la Directiva 2016/680 determina el régimen jurídico del tratamiento de categorías especiales de datos personales, como los datos biométricos y genéticos utilizados en el fichero policial con el fin de identificar de manera unívoca a una persona física.

22. Es preciso señalar que la cuestión prejudicial no hace referencia a las disposiciones mencionadas en el punto anterior, siendo así que son claramente pertinentes para la respuesta que debe dar el Tribunal de Justicia en el caso que nos ocupa. El órgano jurisdiccional remitente solicitó una interpretación de los artículos 5 y 13, apartados 2, letra b), y 3, de la Directiva 2016/680, que no figuran entre las disposiciones expresamente mencionadas en el artículo 16, apartado 2, de dicha Directiva, cuya infracción por una normativa nacional justifica la aplicación del derecho de supresión reconocido al interesado. Sin embargo, este derecho también se reconoce cuando los datos deben suprimirse para cumplir una obligación legal a la que está sujeto el responsable del tratamiento, lo que puede corresponder a las situaciones contempladas en los artículos 5 y 13, apartado 2, letra b), de la citada Directiva, a saber, respectivamente, la fijación de plazos máximos de conservación de los datos o para revisiones periódicas de la necesidad de la conservación de tales datos (9) y el suministro al interesado por parte del responsable del tratamiento, en casos concretos, de información adicional a la contemplada en el artículo 13, apartado 1, a fin de permitir el ejercicio de sus derechos. En cambio, el apartado 3 de dicho artículo 13 se refiere a la posibilidad de que los Estados miembros adopten, en determinadas condiciones, medidas legislativas por las que se retrase, limite u omita la puesta a disposición del interesado de la información en virtud del apartado 2, lo que no puede constituir una obligación legal impuesta al responsable del tratamiento.

23. En cualquier caso, de la resolución de remisión no se desprende que en el litigio principal se haya planteado la cuestión de la información a NG acerca de sus derechos, puesto que el interesado pudo manifiestamente ejercerlos, como demuestra la interposición de sendos recursos ante las autoridades administrativas y, a continuación, judiciales en relación con la conservación de sus datos. Por consiguiente, no parece que la cuestión prejudicial planteada al Tribunal de Justicia requiera la interpretación del artículo 13, apartados 2, letra b), y 3, de la Directiva 2016/680. Así pues, las disposiciones controvertidas en el litigio principal son, en particular, el artículo 16, apartado 2, de la Directiva 2016/680, por un lado, y los artículos 4, 5, 8 y 10 de esta misma Directiva, por otro.

24. Además, como se indica en su considerando 104, la Directiva 2016/680 respeta los derechos fundamentales y observa los principios reconocidos en la Carta, consagrados en el TFUE, en particular el derecho al respeto de la vida privada y familiar y el derecho a la protección de los datos personales. Según el considerando 46 de esta Directiva, toda restricción de los derechos del interesado debe cumplir con lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950 (en lo sucesivo, «CEDH»), según los ha interpretado la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos (en lo sucesivo, «Tribunal EDH»), respectivamente, y, en particular, respetar el contenido esencial de los citados derechos y libertades. Procede recordar que los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, garantizados en los artículos 7 y 8 de la Carta, no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad y ponderarse con otros derechos fundamentales. Así pues, podrán introducirse limitaciones, siempre que, de conformidad con el artículo 52, apartado 1, de la Carta, sean establecidas por la ley y respeten el contenido esencial de los derechos fundamentales y el principio de proporcionalidad. En virtud de este último principio, solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Dichas limitaciones no deben exceder de lo estrictamente necesario y la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión. (10)

25. En estas circunstancias, debe considerarse que el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 4, 5, 8, 10 y 16, apartado 2, de la Directiva 2016/680, en relación con el artículo 52, apartado 1, de la Carta y a la luz de esta disposición, deben interpretarse en el sentido de que se oponen a una normativa nacional que prevé la conservación de datos personales en un fichero policial, incluidos los datos biométricos y genéticos del interesado, hasta el fallecimiento de este, y que no permite a dicho interesado obtener la supresión de tales datos tras haber sido rehabilitado después de su condena penal. (11)

C. Conservación de datos personales con fines policiales

26. Antes de examinar la compatibilidad de la normativa nacional relativa al fichero policial de que se trata, considero necesario abordar la problemática de la conservación de datos con fines policiales a la luz de determinadas disposiciones de la Directiva 2016/680 y de la jurisprudencia del Tribunal de Justicia y del Tribunal EDH.

27. En primer lugar, procede señalar que la Directiva 2016/680 pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia dentro de la Unión, al tiempo que establece un marco para la protección de los datos personales sólido y coherente con el fin de garantizar el respeto del derecho fundamental a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, reconocido en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1, derecho que se vincula íntimamente con el derecho al respeto de la vida privada, consagrado en el artículo 7 de la Carta. (12) A tal fin, los capítulos II y III de la Directiva 2016/680 enuncian, respectivamente, los principios que regulan los tratamientos de los datos personales, así como los derechos de la persona afectada que todo tratamiento de tales datos debe respetar. En particular, todo tratamiento de datos personales debe ser conforme con los principios relativos al tratamiento de datos y a los requisitos de licitud del tratamiento enunciados en los artículos 4 y 8 de dicha Directiva. Dado que estos imperativos contenidos en esta última disposición constituyen una expresión de los que derivan del artículo 52, apartado 1, de la Carta, deben interpretarse a la luz de este artículo. (13)

28. Por consiguiente, en la respuesta que ha de darse al órgano jurisdiccional remitente debe tenerse en cuenta el principio de «minimización de datos» enunciado en el artículo 4, apartado 1, letra c), de la Directiva 2016/680, que refleja el principio de proporcionalidad. (14) Lo mismo cabe decir respecto del principio de limitación del plazo de conservación de los datos, contenido en el artículo 4, apartado 1, letra e), de dicha Directiva, que implica proceder a una apreciación del carácter proporcionado del tratamiento en relación con su finalidad a la luz del transcurso del tiempo. Violará este principio la conservación de los datos durante un período superior al necesario, es decir, durante un período superior al necesario para los fines para los que dichos datos fueron conservados. (15) De ello se deduce que incluso un tratamiento de datos inicialmente lícito puede devenir, con el tiempo, incompatible con el Directiva 2016/680 cuando los datos ya no sean necesarios para la consecución de tales fines y que los datos deben suprimirse una vez se hayan alcanzado dichos fines. (16)

29. La problemática temporal de la conservación de los datos también se aborda en el artículo 5 de la Directiva 2016/680 como complemento y puntualización de las exigencias establecidas en el artículo 4 de esta misma Directiva. (17) Como se menciona en el considerando 26 de la citada Directiva, con el fin de garantizar que los datos no se conserven más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su eliminación o revisión periódica. Es preciso señalar que el artículo 5 de la Directiva 2016/680, por una parte, deja a los Estados miembros la tarea de apreciar y fijar el plazo de conservación pertinente y, por otra, contempla la verificación periódica de la necesidad de conservar los datos como alternativa a la fijación a priori de un plazo máximo de conservación. Considero que esta segunda observación reviste una importancia particular en el presente asunto, puesto que refleja el reconocimiento del legislador de la Unión de una posible conservación de los datos por tiempo indefinido para fines policiales. (18) Esta constatación debe ponerse en relación con los términos del artículo 16, apartado 3, de la Directiva 2016/680, que prevé la posibilidad de limitar el tratamiento de los datos como alternativa a su supresión, en particular, en su letra b), cuando los datos personales hayan de conservarse «a efectos probatorios», lo que demuestra que no existe un derecho absoluto a la supresión. (19)

30. La cuestión de la licitud de la conservación de los datos incluye necesariamente la de la naturaleza de esos datos, que, en el caso de autos, comprende, en particular, las huellas dactilares, fotografías y una muestra de ADN de la persona sospechosa de haber cometido un delito o condenada penalmente por este motivo, datos estos cuya tipología hace que su tratamiento esté comprendido en el ámbito de aplicación del artículo 10 de la Directiva 2016/680. Es importante señalar que, si bien el régimen jurídico definido por la citada disposición no contiene, a diferencia del previsto en el artículo 9 del RGPD, una prohibición de principio del tratamiento de tales datos, este tratamiento «solo» se permite «cuando sea estrictamente necesario», con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y, en particular, cuando lo autorice el Derecho de la Unión o del Estado miembro.

31. Según la jurisprudencia, la finalidad del artículo 10 de la Directiva 2016/680 es garantizar una mayor protección con respecto a tales tratamientos, que, en atención a la particular sensibilidad de los datos en cuestión y del contexto en el que son tratados, pueden generar, como se desprende del considerando 37 de dicha Directiva, riesgos importantes para las libertades y los derechos fundamentales, como el derecho al respeto de la vida privada y el derecho a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta. Como resulta del propio tenor con el que se enuncia en el artículo 10 de la Directiva 2016/680, el requisito de que el tratamiento de tales datos «solo» se permitirá «cuando sea estrictamente necesario» debe interpretarse en el sentido de que define unas condiciones reforzadas de licitud del tratamiento de datos sensibles, a la luz de las condiciones que se derivan de los artículos 4, apartado 1, letras b) y c), y 8, apartado 1, de esa Directiva, que se refieren únicamente a la «necesidad» de un tratamiento de datos comprendido, con carácter general, en el ámbito de aplicación de dicha Directiva. Así, por una parte, el empleo del adverbio «solo» delante de la expresión «cuando sea estrictamente necesario» hace hincapié en que el tratamiento de categorías especiales de datos, en el sentido del artículo 10 de la Directiva 2016/680, solo podrá considerarse necesario en un número limitado de supuestos. Por otra parte, el carácter «estricto» de la necesidad de un tratamiento de tales datos conlleva que esa necesidad se aprecie de un modo especialmente riguroso. (20)

32. En segundo lugar, debe señalarse que, si bien el Tribunal de Justicia ya se ha pronunciado en varias ocasiones sobre la cuestión de la licitud de la conservación de los datos con fines policiales, lo ha hecho en contextos normativos y fácticos singularmente distintos de aquel en el que se encuadra el presente asunto. En este sentido, el Tribunal de Justicia ha declarado (21) que el Derecho de la Unión derivado de la Directiva 2002/58/CE, (22) del que se desprende que los usuarios de los medios de comunicaciones electrónicas tienen derecho a contar con que, en principio, de no mediar su consentimiento, sus comunicaciones y los datos relativos a ellas permanezcan anónimos y no puedan registrarse, se opone a la conservación generalizada e indiferenciada, con carácter preventivo, de los datos de tráfico y de localización a efectos de la lucha contra la delincuencia, cualquiera que sea su nivel de gravedad, conservación esta que únicamente es admisible, bajo determinadas condiciones, en caso de amenaza grave, real y actual o previsible para la seguridad nacional. Añadió que el Derecho de la Unión no se opone, en cambio, a medidas que prevén, a efectos de la lucha contra la delincuencia grave, una conservación generalizada e indiferenciada de datos relativos a la identidad civil de los usuarios y, para un período temporalmente limitado a lo estrictamente necesario, de sus direcciones IP, a una conservación selectiva de los datos delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse, y a una conservación rápida, durante un período determinado, de los datos de que dispongan los proveedores de servicios, debiendo dichas medidas garantizar, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso.

33. El Tribunal de Justicia también empleó el criterio relativo al respeto de los límites de lo estrictamente necesario en relación con el tratamiento de datos personales en el contexto de la transferencia, la conservación y la utilización de los datos incluidos en los registros de nombres de los pasajeros de vuelos exteriores de la Unión creados por los transportistas aéreos (en lo sucesivo, «datos del PNR») para la prevención y la detección de delitos de terrorismo y delitos graves. (23) El Tribunal de Justicia tuvo ocasión de señalar que, dado que, con arreglo al Acuerdo PNR UE-Canadá, el período de conservación de los datos del PNR puede prolongarse hasta cinco años, dicho Acuerdo permite disponer de información sobre la vida privada de los pasajeros aéreos durante un período particularmente largo y que, por lo que se refiere a los pasajeros aéreos respecto de los cuales no se haya identificado un riesgo en materia de terrorismo o de delincuencia grave de carácter transnacional a su llegada a Canadá ni hasta su partida de dicho país tercero, no parece que exista, una vez que hayan abandonado el país, relación alguna, siquiera indirecta, entre sus datos del PNR y el objetivo perseguido por el Acuerdo previsto que justifique la conservación de esos datos. En consecuencia, concluyó que no estaba justificado el almacenamiento continuado de los datos del PNR de la totalidad de los pasajeros aéreos después de su partida de Canadá a efectos del eventual acceso a dichos datos, con independencia de todo vínculo con la lucha contra el terrorismo y los delitos graves de carácter transnacional. (24)

34. El Tribunal de Justicia se pronunció, en el contexto de una petición de decisión prejudicial, sobre la validez y la interpretación de la Directiva (UE) 2016/681, (25) que obliga a los transportistas aéreos a transferir los datos de todo pasajero aéreo que tome un vuelo exterior de la Unión, entre un tercer país y la Unión Europea, a la Unidad de Información sobre los Pasajeros del Estado miembro de destino o de salida del vuelo de que se trate, con el fin de luchar contra el terrorismo y las formas graves de delincuencia. Los datos PNR así transferidos son objeto de una evaluación previa por parte de la Unidad de Información sobre los Pasajeros durante un período de seis meses y, a continuación, se conservan durante cinco años con vistas a una eventual evaluación posterior por parte de las autoridades competentes de los Estados miembros, lo que puede dar lugar a la realización de análisis durante un tiempo considerable, que puede ser incluso indefinido en el caso de las personas que viajan en avión más de una vez cada cinco años. El Tribunal de Justicia consideró que dicha Directiva comporta injerencias de una gravedad cierta en los derechos garantizados por los artículos 7 y 8 de la Carta, ya que, en particular, tiene por objeto la implantación de un régimen de vigilancia continuo, no selectivo y sistemático, que incluye la evaluación automatizada de datos de carácter personal de todas las personas que utilizan los servicios de transporte aéreo, al tiempo que se presta a una interpretación conforme con los artículos 7, 8, 21 y 52, apartado 1, de la Carta. El Tribunal de Justicia precisó que no se ha acreditado que la conservación de los datos PNR, después de la expiración del período de conservación inicial de seis meses, se limite a lo estrictamente necesario en lo que se refiere a los pasajeros aéreos respecto de los cuales ni la evaluación previa, ni las eventuales verificaciones realizadas durante el período de conservación inicial de seis meses ni ninguna otra circunstancia han revelado la existencia de elementos objetivos que permitan apreciar la existencia de un riesgo en materia de delitos de terrorismo o de delitos graves que tenga una relación, siquiera indirecta, con el transporte aéreo de pasajeros. En cambio, consideró que la conservación, durante el período inicial de seis meses, de los datos PNR de todos los pasajeros aéreos cubiertos por el sistema establecido por dicha Directiva no parece, en principio, exceder los límites de lo estrictamente necesario.

35. En contraposición a la jurisprudencia recordada anteriormente, es preciso señalar, por una parte, que, contrariamente a lo establecido en relación con el tratamiento de datos en la Directiva 2002/58, (26) el consentimiento del interesado no constituye un fundamento jurídico para el tratamiento de los datos personales por las autoridades competentes para los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680. Como se precisa en el considerando 35 de esta, el ejercicio de las funciones de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales que la legislación atribuye institucionalmente a las autoridades competentes permite a estas exigir u ordenar a las personas físicas que atiendan a las solicitudes que se les dirijan. Por otra parte, en el presente asunto no se trata de la conservación y el análisis automatizado de una «inmensidad de datos» (27) generados en el sector de las comunicaciones electrónicas o del transporte aéreo, almacenados por operadores privados y transferidos a servicios de investigación, sino de un fichero policial único que contiene datos relativos a personas respecto de las cuales existen motivos fundados para presumir que han cometido una infracción, sospechosas y condenadas penalmente, controlado exclusivamente por una autoridad pública y estrictamente confidencial.

36. La especificidad del contexto normativo y fáctico de la jurisprudencia antes citada impide, en mi opinión, cualquier transposición pura y simple de las soluciones adoptadas en ella al efecto de responder a la presente cuestión prejudicial, en particular en cuanto atañe a la distinción entre los objetivos de conservación de los datos (protección de la seguridad nacional, lucha contra la delincuencia grave o contra infracciones no comprendidas en esta última) y la necesaria correlación entre la importancia de dichos objetivos y el nivel de gravedad de las injerencias en los derechos fundamentales que puedan justificarse. (28) Dicho de otro modo, en el caso que nos ocupa no tiene cabida la afirmación de que la lucha contra la delincuencia en general solo puede justificar injerencias que no presenten un carácter grave, (29) so pena de reducir considerablemente la utilidad de la Directiva 2016/680 y de los instrumentos nacionales de investigación/seguridad pública, como el fichero de policía de que se trata, comprendido en el ámbito de aplicación de esta norma cuyo objetivo expresa precisamente la necesidad de poder tratar datos con fines policiales de manera proporcionada. Procede señalar que, como se desprende de los considerandos 10 y 11 de la Directiva 2016/680, el legislador de la Unión quiso adoptar normas que tuvieran en cuenta la naturaleza específica del ámbito regulado por dicha Directiva. A este respecto, el considerando 12 establece que las actividades realizadas por la Policía u otras fuerzas y cuerpos de seguridad se centran principalmente en la prevención, investigación, detección —sin mayores precisiones— o enjuiciamiento de infracciones penales, incluidas las actuaciones policiales en las que no hay constancia de si un incidente es o no constitutivo de infracción penal. (30)

37. En tercer lugar, debe señalarse que el artículo 7 de la Carta, referido al derecho al respeto de la vida privada y familiar, contiene derechos equivalentes a los garantizados por el artículo 8, apartado 1, del CEDH, y que la protección de los datos personales desempeña un papel fundamental en el ejercicio del derecho al respeto de la vida privada y familiar que se consagra en el artículo 8 del CEDH. En consecuencia, conforme al artículo 52, apartado 3, de la Carta, debe darse a dicho artículo 7 el mismo sentido y el mismo alcance que los conferidos al artículo 8, apartado 1, del CEDH, tal como lo interpreta la jurisprudencia del Tribunal EDH. (31)

38. El Tribunal EDH considera que la protección de los datos personales desempeña un papel fundamental en el ejercicio del derecho al respeto de la vida privada que se consagra en el artículo 8 del CEDH y que el simple almacenamiento de datos relativos a la vida privada de las personas supone una injerencia en el sentido de lo dispuesto en el artículo 8, independientemente de que la información almacenada se utilice o no posteriormente. Según dicho órgano jurisdiccional, el Derecho nacional debe garantizar, en particular, que estos datos son relevantes y no son excesivos en relación con el objetivo por el cual se registran, y que se conservan de un modo que permite la identificación de los interesados por un lapso de tiempo que no supere el requerido para alcanzar el objetivo por razón del cual se registran. El Derecho nacional también debe contener garantías idóneas para proteger eficazmente los datos personales registrados contra usos indebidos y abusivos, ofreciendo al mismo tiempo la posibilidad concreta de presentar una solicitud de supresión de los datos almacenados. No obstante, el Tribunal EDH se cuidó de precisar que es plenamente consciente de que, para proteger a su población como es su deber, las autoridades nacionales se ven abocadas a establecer ficheros que contribuyan eficazmente a la represión y la prevención de determinadas infracciones, en particular, las más graves. Sin embargo, tales dispositivos no pueden aplicarse con una lógica de maximización excesiva de la información que figura en ellos y de la duración de su conservación. (32) Sobre este último punto, el Tribunal EDH considera que la falta de un plazo máximo para la conservación de los datos personales de los condenados no es necesariamente incompatible con el artículo 8 del CEDH, pero que, en tal caso, la existencia y el funcionamiento de determinadas garantías procesales son tanto más necesarias. (33)

D. Injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta

39. Como se desprende del artículo 68 de la LMint y de las observaciones formuladas por el Gobierno búlgaro en la vista, los datos a los que se refiere la normativa nacional comprenden, entre otros, el estado civil del interesado, los hechos sancionables que se sospecha ha cometido o por los que ha sido condenado penalmente, sus huellas dactilares, fotografías y muestras de ADN tomadas a efectos de la elaboración de un perfil personal. Toda vez que estos datos incluyen, pues, información sobre personas físicas identificadas, los diversos tratamientos de que dichos datos pueden ser objeto afectan al derecho fundamental al respeto de la vida privada, garantizado por el artículo 7 de la Carta. Además, el artículo 8 de la Carta es también aplicable a los tratamientos de dichos datos, como los que son objeto de la normativa nacional, porque constituyen tratamientos de datos personales en el sentido de dicho artículo y, en consecuencia, deben cumplir necesariamente los requisitos de protección de los datos previstos en él. (34)

40. Al igual que el Tribunal EDH, según el cual el simple almacenamiento de datos relativos a la vida privada de las personas supone una injerencia en el sentido de lo dispuesto en el artículo 8 del CEDH, (35) el Tribunal de Justicia considera que la conservación de datos constituye, por sí sola, una injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal, consagrados en los artículos 7 y 8 de la Carta, siendo irrelevante que la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia, o si los datos conservados serán utilizados o no en un futuro. (36)

41. En cuanto atañe a la gravedad de la injerencia que constituye la conservación, esta se aprecia a la luz de la naturaleza de determinados datos, concretamente los datos biométricos y genéticos contenidos en el fichero policial, habiendo calificado el Tribunal de Justicia de importantes los riesgos que representa el tratamiento de datos sensibles en relación con los derechos y libertades de los interesados, en particular en el contexto de las tareas de las autoridades competentes respecto a los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680. (37) A este respecto, en el considerando 23 de esta Directiva se precisa que, habida cuenta de la complejidad y la sensibilidad de la información genética, existe un alto riesgo de que el responsable del tratamiento haga un uso indebido de la misma o la reutilice con fines no autorizados. Por su parte, el considerando 51 de la Directiva enuncia que los riesgos para los derechos y libertades de los interesados pueden producirse debido a un tratamiento de datos capaz de provocar daños físicos, materiales o inmateriales, en particular cuando se traten datos genéticos o datos biométricos que permiten la identificación unívoca de una persona o cuando se traten datos relativos a los antecedentes e infracciones penales.

42. La duración de la conservación de los datos en el fichero policial contribuye también a la consideración de la gravedad de la injerencia, en la medida en que es posible conservar los datos durante toda la vida del condenado. Por último, del artículo 26, apartado 6, de la LMint resulta que los datos personales pueden transferirse a autoridades competentes y a otros destinatarios de los Estados miembros de la Unión, a órganos y agencias de la Unión, a terceros países o a organizaciones internacionales. A este respecto, procede recordar que la Directiva 2016/680 tiene por objeto facilitar la libre circulación de datos personales entre las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública en el seno de la Unión y la transferencia de estos datos personales a terceros países y organizaciones internacionales, con el fin de garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial. (38) A este respecto, se ha de tener en mente que el derecho a la protección de los datos de carácter personal exige, en concreto, que, en caso de transferencia de tales datos desde la Unión a un país tercero, quede garantizada la continuidad del elevado nivel de protección de los derechos y libertades fundamentales conferido por el Derecho de la Unión. (39)

43. Habida cuenta de cuanto antecede, procede concluir que la normativa nacional controvertida en el procedimiento principal comporta injerencias de una gravedad cierta en los derechos garantizados por los artículos 7 y 8 de la Carta, ya que, en particular, tiene por objeto la implantación de un instrumento de conservación continuada de datos sensibles, capaces de rebasar las fronteras del Estado de que se trata, de personas condenadas penalmente.

E. Justificación de la injerencia

44. Como se ha expuesto anteriormente, los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta no constituyen prerrogativas absolutas y del artículo 52, apartado 1, de la Carta se desprende que esta admite limitaciones del ejercicio de estos derechos, siempre que esas limitaciones sean establecidas por la ley, respeten el contenido esencial de esos derechos y, dentro del respeto del principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. (40) Según el considerando 26 de la Directiva 2016/680, las autoridades policiales pueden llevar a cabo actividades con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas para la seguridad pública, siempre y cuando estén previstas en la legislación y constituyan una medida necesaria y proporcionada en una sociedad democrática, con el debido respeto a los intereses legítimos de la persona física afectada.

45. Por lo que respecta al respeto del principio de proporcionalidad, debe recordarse que la protección del derecho fundamental a la intimidad exige, conforme a la jurisprudencia reiterada del Tribunal de Justicia, que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario, entendiéndose que, cuando se ofrezca una elección entre varias medidas adecuadas para la consecución de los objetivos legítimos perseguidos, deberá recurrirse a la menos onerosa. Además, no puede perseguirse un objetivo de interés general sin tener en cuenta que tal objetivo debe conciliarse con los derechos fundamentales a los que afecta la medida, efectuando una ponderación equilibrada entre, por un lado, el objetivo de interés general, y, por otro, los derechos en cuestión, para asegurarse de que los inconvenientes causados por esa medida no sean desmesurados en relación con los objetivos perseguidos. Así pues, la posibilidad de justificar una limitación a los derechos garantizados en los artículos 7 y 8 de la Carta debe apreciarse midiendo la gravedad de la injerencia que implica tal limitación y verificando que la importancia del objetivo de interés general perseguido por dicha limitación guarde relación con esa gravedad. (41)

1. Respeto del principio de legalidad

46. El requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate. A este respecto, el Tribunal de Justicia ha declarado, además, que toda normativa que implique una medida que permita tal injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger de manera eficaz esos datos contra los riesgos de abuso. En consecuencia, la base jurídica de todo tratamiento de datos personales comprendido en el ámbito de aplicación de la Directiva 2016/680 debe, como ha señalado, por lo demás, el legislador de la Unión en el considerando 33 de esta, ser clara y precisa y su aplicación previsible para los justiciables. En particular, estos deben poder identificar las circunstancias y las condiciones en las que el alcance de los derechos que les confiere dicha Directiva puede limitarse. (42)

47. El examen de la normativa nacional controvertida, tal como se expone en la resolución de remisión y se completa con las observaciones del Gobierno búlgaro, permite, en mi opinión, considerar que se cumple el requisito relativo a la «calidad» de la ley, debiendo recordarse que este no excluye que la limitación de que se trate se formule en términos suficientemente abiertos como para poder adaptarse a supuestos distintos, así como a cambios de la situación. (43)

48. Así pues, resulta que la inscripción y la conservación de los datos en el fichero policial tienen como fines exhaustivos, según el artículo 27 de la LMint, la protección de la seguridad nacional, la lucha contra la delincuencia y el mantenimiento del orden público, y que ese tratamiento tiene como objetivo facilitar la actividad de investigación operativa descrita detalladamente en el artículo 8 de dicha Ley. (44) El alcance del tratamiento por lo que respecta a la naturaleza de las infracciones relacionadas con dicho tratamiento, a los datos de que se trata, a las condiciones de su recogida, a las bases de datos en las que se lleva a cabo el tratamiento y al plazo de conservación de estos datos se establece con suficiente detalle en el artículo 68 de la LMint y en el artículo 28 del Naredba za reda za izvarshvane i snemane na politseyska registratsia (Reglamento por el que se regulan las modalidades de inscripción en el registro policial y la supresión de dicha inscripción; en lo sucesivo, «RISRP»). La normativa nacional establece, explícitamente y de conformidad con el considerando 26 de la Directiva 2016/680, una serie de procedimientos para garantizar la integridad y confidencialidad de los datos personales y la destrucción de estos a través de la información facilitada al interesado, de conformidad con los artículos 54 y 55 de la zakon za zashtita na lichnite danni (Ley de Protección de Datos Personales), en particular en lo que respecta a los derechos del interesado a solicitar al responsable del tratamiento el acceso a los datos, su rectificación o su supresión. A este respecto, los motivos de cancelación, el procedimiento y los efectos que se derivan de este se especifican en el artículo 68 de la LMint y en los artículos 18 y siguientes del RISRP. Estas disposiciones están redactadas con la suficiente precisión y claridad para permitir que los destinatarios de la Ley adapten su conducta y responde así a la exigencia de previsibilidad que se desprende de la jurisprudencia del Tribunal EDH. (45)

2. Respeto del contenido esencial de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta

49. Por lo que atañe al contenido esencial del derecho fundamental al respeto de la vida privada, consagrado en el artículo 7 de la Carta, la naturaleza de la información contenida en el fichero policial se limita a un aspecto concreto de la vida privada, atinente a los antecedentes penales del interesado, lo que no permite extraer conclusiones relativas, con carácter general, a la vida privada de esta persona, como sus hábitos de la vida cotidiana, sus lugares de residencia permanentes o temporales, sus desplazamientos diarios u otros, las actividades que realiza, sus relaciones sociales y los círculos sociales que frecuenta y, de este modo, elaborar su perfil. En cuanto al contenido esencial del derecho a la protección de los datos de carácter personal, consagrado en el artículo 8 de la Carta, las consideraciones anteriores revelan que la normativa nacional controvertida circunscribe los fines del tratamiento de datos y establece una enumeración exhaustiva de los datos conservados y de las normas dirigidas a garantizar el acceso a esos datos y su rectificación o supresión. En estas circunstancias, la injerencia que supone la conservación de datos prevista por dicha normativa no menoscaba el contenido esencial de los derechos fundamentales consagrados en los artículos antes mencionados. (46)

3. Objetivo de interés general e idoneidad del tratamiento de datos controvertido a la luz de dicho objetivo

50. Como se ha señalado en las presentes conclusiones, los datos obtenidos mediante la inscripción de personas en el fichero policial al amparo del artículo 68 de la LMint se utilizan paras fines de protección de la seguridad nacional, lucha contra la delincuencia y mantenimiento del orden público. El Gobierno búlgaro ha indicado que los datos se recogen y tratan a efectos del procedimiento penal en el que es investigado el interesado y para contrastarlos con otros datos recopilados en investigaciones relativas a otras infracciones. Esta última finalidad incluye asimismo el contraste con datos recogidos en otros Estados miembros. (47)

51. Según dicho Gobierno, este tratamiento forma parte de la actividad de investigación operativa descrita en el artículo 8 de la LMint, cuyos fines se definen del siguiente modo: la prevención y detección de delitos, amenazas a la seguridad nacional y alteraciones del orden público; la búsqueda de personas que eludan su responsabilidad penal o que hayan eludido la ejecución de una pena impuesta en una causa penal por un delito público y la búsqueda de personas desaparecidas; la búsqueda de objetos que sean la herramienta o el instrumento de la comisión de un delito o que puedan servir como prueba, la preparación y la conservación de pruebas materiales y su presentación a las autoridades judiciales competentes.

52. El Tribunal de Justicia ha precisado que el objetivo de protección de la seguridad pública constituye un objetivo de interés general de la Unión que puede justificar injerencias, incluso graves, en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta. Por lo demás, tal protección contribuye también a la protección de los derechos y libertades de los demás. A este respecto, el artículo 6 de la Carta establece el derecho de todas las personas no solo a la libertad, sino también a la seguridad, dado que dicho artículo garantiza los derechos correspondientes a los garantizados por el artículo 5 del CEDH. (48) En cuanto atañe a la compatibilidad de la recogida de los datos que figuran en el mismo fichero policial búlgaro, el Tribunal de Justicia ha considerado claramente que dicho tratamiento relativo a los investigados en un procedimiento penal a efectos de su registro persigue las finalidades establecidas en el artículo 1, apartado 1, de la Directiva 2016/680, en particular las relativas a la prevención, investigación, detección o enjuiciamiento de infracciones penales, que son objetivos de interés general reconocidos por la Unión. El Tribunal de Justicia ha declarado asimismo que esa recogida puede contribuir al objetivo enunciado en el considerando 27 de la Directiva 2016/680, según el cual, para la prevención, investigación y enjuiciamiento de las infracciones penales, es necesario que las autoridades competentes traten datos personales recopilados en el contexto de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales concretas más allá de ese contexto específico, con el fin de adquirir un mejor conocimiento de las actividades delictivas y establecer vínculos entre las distintas infracciones penales detectadas. (49) Evidentemente, estas consideraciones también son válidas para la medida de conservación de datos.

53. El hecho de que la conservación de datos en el fichero policial sea un tratamiento que permite alcanzar los objetivos de interés general de detección y, por ende, de prevención de infracciones penales me parece difícilmente rebatible. Es evidente que un fichero policial que contenga los datos relativos a la identidad civil, las fotografías, los datos biométricos y genéticos y, por lo tanto, las características físicas únicas e infalsificables de las personas registradas constituye un instrumento de investigación plenamente pertinente para que los servicios de seguridad puedan investigar delitos e identificar a sus autores. En este sentido, la normativa nacional controvertida responde a criterios objetivos y existe una relación entre los datos que deben conservarse y el objetivo que se pretende lograr. (50)

4. Carácter necesario y proporcionado de la injerencia de que se trata

54. Si bien la conservación de datos en el fichero policial de que se trata es manifiestamente adecuada para alcanzar el objetivo de interés general perseguido, queda por verificar si la injerencia en los derechos garantizados por los artículos 7 y 8 de la Carta que resulta de tal conservación se limita a lo estrictamente necesario, en el sentido de que el objetivo no podría alcanzarse razonablemente de manera igualmente eficaz por otros medios menos atentatorios contra esos derechos fundamentales de las personas afectadas, y si no es desproporcionada en relación con ese objetivo, lo que implica, en particular, una ponderación de la importancia de este último y la gravedad de dicha injerencia. (51)

55. En la ejecución de dicho control, deben tenerse en cuenta, en el presente asunto, el objeto del fichero policial, la naturaleza de las infracciones de que se trata y el número de personas que pueden quedar registradas en él, la especial sensibilidad de los datos personales recogidos y la duración de su conservación, las garantías jurídicas o técnicas establecidas en la normativa nacional para la consulta del fichero y el control del mantenimiento de los datos que contiene.

a) Objeto del fichero policial

56. En sus observaciones escritas, el Gobierno irlandés alegó, en esencia, que la conservación de los datos puede ser necesaria para fines de control conexo en aras del interés público en la prevención de la delincuencia y la protección de la seguridad pública. Así, debe ser posible consultar la información contenida en un fichero policial no solo para buscar a los autores de infracciones, sino también con fines de policía administrativa, en el contexto de averiguaciones previas a decisiones de contratación o de habilitación para determinados empleos públicos o puestos sensibles, con el objetivo de comprobar que la conducta de los interesados no es incompatible con el ejercicio de estas funciones.

57. En la vista, el Gobierno búlgaro confirmó lo que podía deducirse de la redacción explícita del artículo 27 de la LMint, a saber, que el fichero policial de que se trata es un instrumento de asistencia a las investigaciones judiciales y no administrativas. Esta constatación reviste cierta importancia por lo que se refiere a las consecuencias de la inscripción de una persona en un fichero de antecedentes penales, en el sentido de que el inconveniente de estar fichado no implica la imposibilidad de acceder a determinadas actividades profesionales. (52) La inscripción en el fichero policial de que se trata no es ni una sanción ni una pena accesoria, su finalidad se circunscribe claramente a la investigación judicial y su utilización está reservada a servicios sujetos a la obligación de confidencialidad.

58. No obstante, se trata de un fichero único que atiende a fines de policía judicial extremadamente amplios, que contiene informaciones diversas que abarcan desde meros datos relativos al estado civil hasta datos biométricos y genéticos, y en el que figuran personas que no tienen el mismo estatuto procesal. En otras normativas se ha considerado preferible disponer la existencia de varios ficheros policiales con fines específicos, destinados a un solo uso y a almacenar un solo tipo de datos en lugar de contemplar un único tratamiento que abarque toda la información.

b) Infracciones e interesados

59. La conservación de datos en el fichero policial afecta a las personas investigadas y condenadas por delitos dolosos públicos, en el sentido de que la acusación es ejercida por el fiscal. Según indica el Gobierno búlgaro, están excluidos de esta categoría las infracciones culposas, las faltas y las infracciones y delitos de carácter privado, y determinadas infracciones que hayan sido objeto de sanción administrativa. Ya se ha señalado que son dolosos la gran mayoría de los delitos previstos en el Código Penal y casi todos son públicos. (53)

60. Es necesario señalar que la normativa nacional no se refiere a infracciones enumeradas de modo taxativo, no distingue los delitos en función de su naturaleza, a su vez vinculada a la gravedad de los hechos y a la pena aplicable, ni establece un criterio relativo a un quantum preciso de una pena de prisión. Por consiguiente, se agrupan en un conjunto único y amplio diversas conductas infractoras, si bien con una reserva relativa a la existencia de dolo, lo que conduce a priori a excluir las infracciones de escasa gravedad en las que basta la mera comisión material de los hechos imputados (54) y las infracciones caracterizadas por una falta por simple negligencia o imprudencia. Cuando en la vista se solicitó al Gobierno búlgaro que precisara el contenido de la categoría de infracciones en cuestión, este se limitó, lamentablemente, a indicar que no solo se trata de infracciones sancionables con pena de prisión no inferior a cinco años.

61. Por lo que respecta a los interesados, procede señalar que el tratamiento en cuestión de los datos está limitado atendiendo a la edad de dichos interesados, ya que del artículo 4 del RISRP se desprende que los menores no están sujetos a inscripción en el fichero policial, lo que reduce en la misma medida el número de personas registradas en este. La medida controvertida distingue entre dos categorías de personas, a saber, las investigadas y las condenadas penalmente. Esas personas han sido identificadas previamente, en el marco de los procedimientos nacionales aplicables y sobre la base de elementos objetivos y no discriminatorios, como una amenaza para la seguridad pública o el mantenimiento del orden público. Los Estados miembros tienen la facultad de adoptar medidas de conservación sobre personas a las que se identifica porque están siendo investigadas, es decir, una categoría de personas respecto de las cuales existan motivos fundados para creer que han cometido una infracción penal, o que han sido condenadas, lo que refleja que se ha determinado que son penalmente responsables, situaciones estas que pueden implicar un elevado riesgo de reincidencia. (55) La reincidencia, entendida en el sentido general más amplio de conducta infractora reiterada, es un fenómeno que cada Estado miembro trata de medir y cuyos factores determinantes intenta comprender, tarea esta que resulta delicada por cuanto depende de la disponibilidad de datos estadísticos objetivos y fiables relativos a la delincuencia. Cuando estos datos existen, pueden revelar que los antecedentes penales constituyen un determinante importante de la reincidencia. (56)

62. También es importante señalar que las personas investigadas y sus datos deben «desaparecer» del fichero policial cuando, con arreglo al artículo 68 de la LMint, el proceso penal del que sean objeto finalice por archivo de la causa o mediante resolución absolutoria, lo que obviamente influye en el número de personas que figuran en ese fichero policial, número este que el Gobierno búlgaro no ha podido comunicar. (57)

c) Naturaleza de los datos y plazo de conservación

63. Por lo que se refiere a los datos de que se trata, el Tribunal de Justicia ha declarado que, habida cuenta de la mayor protección de las personas respecto del tratamiento de datos sensibles, el responsable de dicho tratamiento debe asegurarse de que no se pueda satisfacer este objetivo recurriendo a categorías de datos distintas de las que se relacionan en el artículo 10 de la Directiva 2016/680. (58) Como se ha apuntado, los datos cuya conservación se establece contribuyen manifiestamente a la prevención, detección o enjuiciamiento de infracciones a efectos de la lucha contra la delincuencia y el mantenimiento del orden público. Del mismo modo, me parece difícil considerar que estos fines puedan alcanzarse con igual eficacia únicamente a partir de información relativa el estado civil o de fotografías del interesado, so pena de limitar en exceso la capacidad de los investigadores para explicar los delitos en virtud de una comparación de los datos recogidos durante la investigación con los datos registrados en el fichero policial en pesquisas anteriores. (59) Afortunadamente, la consideración de la confesión como prueba reina ya es cosa del pasado y los elementos recabados por los servicios de policía técnica y forense han sustituido favorablemente en la jerarquía probatoria a una prueba cuestionable. Por consiguiente, cabe concluir que los datos de que se trata son al mismo tiempo pertinentes y no excesivos en relación con los fines asignados al tratamiento.

64. Por otro lado, es preciso señalar la falta en la normativa nacional controvertida de la fijación de un plazo máximo preciso para la conservación de la información registrada en el fichero, conservándose los datos solo mientras dure el procedimiento, en caso de que finalice con una resolución de archivo de la causa o mediante resolución absolutoria en lo que respecta a algunos investigados, o durante el resto de su vida, en el caso de los condenados por sentencia firme. Según la información facilitada por el Gobierno búlgaro en la vista, que incumbe comprobar al órgano jurisdiccional, la eliminación se produce automáticamente al fallecimiento del interesado, teniendo además sus sucesores, derecho a solicitar la supresión de la inscripción con arreglo al artículo 68, apartado 6, de la LMint. ¿Debe considerarse que esta situación constituye, a efectos del artículo 5 de la Directiva 2016/680, una falta de fijación de plazos apropiados para la supresión de los datos personales, en el sentido de que el concepto de plazo debe corresponder necesariamente a un período expresado en años, meses o días? En caso de respuesta afirmativa, esta misma disposición implicaría, como alternativa, la fijación de plazos en la normativa nacional para una verificación periódica de la necesidad de conservar tales datos. (60)

65. Por lo que se refiere a los datos de las personas investigadas, y habida cuenta de la decisión del legislador búlgaro de no conservarlos en caso de que el enjuiciamiento de esas personas no concluya con la imposición de una condena penal, la duración necesariamente aleatoria del procedimiento no deja sino la opción de definir un plazo máximo con el fin de evitar que este se prolongue en exceso. Por lo que respecta a las personas condenadas, considero que la referencia al fallecimiento es efectivamente la de un límite temporal, vinculado a la vida biológica del interesado, que excluye que se califique de indefinido o ilimitado el plazo de conservación de los datos. (61) La expiración del plazo de conservación está predeterminada aunque la fecha exacta de este plazo sea, por definición, indeterminada. En cualquier caso, ha de señalarse que el Gobierno búlgaro indicó en la vista que existe una verificación periódica interna de las inscripciones en el fichero, efectuada en este caso cada tres meses, que cumple los requisitos establecidos por el artículo 5 de la Directiva 2016/680.

66. No obstante, es indiscutible que, según sea la edad del interesado en el momento de su registro en el fichero policial y la fecha de su fallecimiento, el período de conservación puede ser muy largo, superior al previsto para constatar una reincidencia o al plazo de prescripción de la acción pública señalado para los delitos más graves. (62) No obstante, este plazo de conservación está justificado por los fines de policía judicial del tratamiento, a saber, reunir indicios y pruebas con vistas a identificar a los autores de infracciones pasadas o futuras, pues cabe observar que el riesgo asociado con las infracciones penales, graves o no, es general y permanente. (63) La elucidación en ocasiones muy tardía de casos por resolver revela tanto la gran dificultad a la que se enfrentan los servicios de investigación como la pertinencia de la conservación a largo plazo de los datos biométricos y genéticos recogidos en los ficheros. (64)

d) Existencia de garantías jurídicas y técnicas en materia de conservación y acceso a los datos

67. La proporcionalidad de la injerencia que supone la conservación de los datos en el fichero policial no puede examinarse con independencia de las normas que regulan el acceso a dicho fichero y la verificación de las razones que justifican la conservación en él de los datos. Según el Tribunal EDH, cuando un Estado se atribuye el más amplio poder de conservación de duración indefinida, la existencia y el funcionamiento de determinadas salvaguardias efectivas resultan decisivos. Así pues, el Derecho interno debe contener garantías que permitan proteger eficazmente los datos personales registrados contra usos indebidos y abusivos y admitir la supresión de tales datos cuando su conservación continuada resulte desproporcionada, en particular ofreciendo la posibilidad concreta de solicitar la cancelación de los datos almacenados. (65)

1) Condiciones de consulta del fichero policial

68. De los considerandos 28, 56 y 57 de la Directiva 2016/680 y de los artículos 24, 25 y 29 de esta se desprende que los Estados miembros deben adoptar medidas para que los datos personales sean tratados de modo que se garantice un nivel adecuado de seguridad y confidencialidad, en particular impidiendo el acceso sin autorización a dichos datos y al equipo utilizado para su tratamiento o el uso no autorizado de esos datos y de ese equipo. Estas medidas comprenden el mantenimiento por el responsable del tratamiento de registros que permitan poner a disposición de la autoridad de control, a instancias de esta, cierta información sobre los tratamientos de datos efectuados, y registros diarios de determinadas operaciones de tratamiento, como la consulta, la transmisión y la supresión de datos. Según el considerando 60 de la Directiva 2016/680, el responsable del tratamiento debe aplicar medidas para mitigar estos riesgos, previamente evaluados, inherentes al tratamiento de que se trate, relativos, en particular, a la comunicación y al acceso no autorizados de los datos.

69. En la vista, el Gobierno búlgaro afirmó que la normativa nacional cumple estas exigencias, refiriéndose a la existencia de un cuerpo normativo que establece, en particular, la elaboración de listas nominativas del personal con acceso a los datos, la necesidad de que cada usuario indique la justificación de su derecho de acceso, sus datos de identidad y la fecha y hora del acceso. (66) Parece que estas garantías en cuanto al círculo de personas habilitadas para consultar el fichero policial y a las modalidades de consulta de este pueden prevenir cualquier uso abusivo o indebido del acceso a los ficheros y, por ende, un menoscabo excesivo de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, lo que corresponderá comprobar al órgano jurisdiccional remitente.

2) Control de la conservación de datos en el fichero

70. Consta que el control antes mencionado, previsto en el artículo 68, apartado 6, de la LMint, tiene un doble carácter, ya que se lleva a cabo tanto de oficio por las autoridades competentes, en forma de autocontrol, como a petición de parte, mediante solicitud motivada del interesado o de sus sucesores. En ambos supuestos, los motivos de cancelación de una inscripción en el fichero están enumerados de forma exhaustiva en dicha disposición. Estos motivos no incluyen la situación de rehabilitación de una persona, que implica la eliminación de la condena correspondiente del registro de antecedentes penales, y solo el motivo contemplado en el artículo 68, apartado 6, punto 1, de la LMint, relativo al registro efectuado con inobservancia de la ley, puede servir de base a la solicitud de supresión de la inscripción de una persona condenada penalmente, presentada, como en el presente asunto, por esa misma persona aún en vida, y, por lo tanto, antes de la expiración del plazo legal de conservación fijado en la fecha de su fallecimiento.

71. Al ser preguntado en la vista sobre el alcance del artículo 68, apartado 6, de la LMint, habida cuenta de la aplicación que de él hacen las autoridades y los órganos jurisdiccionales competentes, el Gobierno búlgaro aclaró que esta disposición permite modificar una inscripción relativa a un investigado que, a raíz de una nueva calificación del delito por el órgano jurisdiccional, resulte inexacta. Descartó por completo la posibilidad de suprimir una inscripción en el fichero a raíz de la rehabilitación del condenado. A este respecto, he de recordar que el fichero de que se trata es un instrumento destinado a la investigación cuyo propósito es facilitar la actividad operativa de policía judicial y no, en sentido estricto, un fichero del historial delictivo de una persona como el registro de antecedentes penales. Estos dos instrumentos no atienden a la misma finalidad: uno es un prontuario a disposición exclusivamente de los investigadores para permitirles elucidar a largo plazo infracciones pasadas o futuras, mientras que el otro tiene por objeto orientar la labor de los jueces a la hora de imponer una sanción penal en una causa determinada. Así, al haber conducido el beneficio de la rehabilitación a la eliminación de la condena de que se trata del registro de antecedentes penales, el interesado podría encontrarse, en su caso, en la situación de una persona que delinque por primera vez, que puede beneficiarse de penas más leves o de medidas de adaptación de la pena. No obstante, la conservación de sus datos en el fichero policial sigue siendo, en principio, necesaria a la luz del objetivo más amplio relativo a la detección, el esclarecimiento y la prevención de infracciones que persigue este fichero policial.

72. Sin embargo, de las observaciones formuladas por el Gobierno búlgaro se desprende que el motivo contemplado en el artículo 68, apartado 6, punto 1, de la LMint no comprende la apreciación de la necesidad de conservar los datos en su dimensión temporal. No parece existir ninguna disposición en la normativa nacional ni ninguna práctica administrativa o judicial que permitan a la autoridad competente cancelar, en el contexto de verificaciones trimestrales, la inscripción en el fichero policial ni al interesado solicitar su supresión en el supuesto de que la conservación de los datos personales ya no resulte necesaria habida cuenta del tiempo transcurrido desde el registro. El órgano jurisdiccional nacional remitente, que debe pronunciarse sobre la legalidad de la resolución denegatoria de la solicitud de supresión, tampoco parece estar en condiciones de efectuar tal apreciación.

F. Conclusión intermedia

73. ¿Puede considerarse que los criterios empleados para la conservación de los datos, descritos anteriormente, son suficientemente concretos, proporcionados y específicos y que el tratamiento de datos personales en cuestión respeta los límites de lo estrictamente necesario? El Tribunal de Justicia podría dar una respuesta negativa a esta cuestión por las siguientes razones.

74. Es importante señalar, en primer lugar, que la problemática de la necesidad de conservación de los datos personales se plantea especialmente cuando el tratamiento de tales datos se autoriza, como en el presente asunto, con fines preventivos. A este respecto, el verdadero criterio que justifica el registro y la conservación de los datos en el fichero policial de que se trata es la peligrosidad de los interesados, lo que implica una evaluación de los riesgos. En el presente asunto, es preciso señalar que esta evaluación se limita a la mera constatación de la existencia de una sospecha o de la comisión probada de un delito doloso, criterio poco específico donde los haya, en lo que concierne a un elemento constitutivo del delito o del fundamento mismo de la responsabilidad penal. Así pues, me parece que el régimen nacional de conservación toma en cuenta un nivel de gravedad mínimo en relación con la infracción y comprende múltiples actos de perturbación del orden social, sin que se exija a priori que sean sancionados con la pena de prisión, lo que permite considerar que se aplica con independencia de la naturaleza o la gravedad del delito. (67) Procede recordar que el Tribunal de Justicia ha declarado que la normativa búlgara, como la controvertida en el procedimiento principal, que establece la recogida de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso es, en principio, contraria al requisito establecido en el artículo 10 de la Directiva 2016/680, por cuanto puede conducir, de manera indiferenciada y generalizada, a la recogida de tales datos, dado que el concepto de «delito público doloso» tiene un carácter especialmente genérico y puede aplicarse a un gran número de delitos, con independencia de su naturaleza y gravedad. (68)

75. Si bien algunos estudios estadísticos revelan que los antecedentes penales son predictores significativos de la reincidencia, también señalan la existencia de factores objetivos que aumentan el riesgo de reincidencia relacionados, en particular, con el género y la edad del infractor y con la naturaleza del delito inicial, el tiempo transcurrido entre las conductas infractoras y el hecho de que la reincidencia está estrechamente vinculada a la naturaleza del delito que dio lugar al ingreso en prisión de su autor. (69) Pues bien, parece que, al emplear como criterio para la conservación de los datos hasta el fallecimiento del interesado la existencia de cualquier condena por un delito doloso, incluso la primera, (70) la lógica subyacente al tratamiento de estos datos es la de una concepción especialmente amplia de la trayectoria infractora, tanto por lo que respecta a la naturaleza o la gravedad de los hechos delictivos como a la edad del malhechor. Siguiendo el ejemplo del Tribunal EDH, cabe preguntarse si una lógica de este tipo, llevada en cierto modo al extremo, no equivale a efectos prácticos a justificar el almacenamiento de información sobre todos los ciudadanos y sus antepasados fallecidos, lo que sería ciertamente excesivo y carente de pertinencia. (71) He de señalar que el Tribunal de Justicia ha considerado que el mero hecho de que se investigue a una persona por la comisión de un delito público doloso no puede considerarse un dato que permita presumir, por sí solo, que la recogida de sus datos biométricos y genéticos es estrictamente necesaria a la vista de los fines que persigue. (72)

76. En segundo lugar, parece que los datos se conservan sin atender a la necesidad de almacenarlos hasta el fallecimiento del interesado. Habida cuenta de la redacción del artículo 68, apartado 6, de la LMint y de la interpretación dada a esta disposición, las autoridades competentes solo están facultadas para suprimir datos en circunstancias excepcionales, al margen de la evolución de la situación de esta persona desde el registro de sus datos en el fichero. Lo mismo sucede, lógicamente, con la vía que ese mismo texto pone a disposición de dicha persona para solicitar la supresión de los datos, la cual no es suficientemente efectiva, ya que no permite verificar que el plazo de conservación de los datos sea proporcionado en relación con la injerencia de que se trate. Esta apreciación debería atender a diferentes criterios, como la naturaleza y la gravedad de los hechos probados, el tiempo transcurrido desde los hechos, el tiempo restante para que expire el plazo legal de conservación o la edad del demandante en el caso concreto, habida cuenta de su situación personal, en lo que respecta a la edad a la que cometió el delito, su comportamiento desde entonces (inserción social, indemnización de las víctimas) y su personalidad, pudiendo el beneficio de la rehabilitación constituir, en este contexto, un elemento de la apreciación de conjunto. En estas circunstancias, el control de que dispone, en particular, la persona que figura en el fichero resulta tan exiguo que es casi hipotético. (73)

77. Las conclusiones anteriores deben ponerse en relación con el hecho de que pueden conservarse durante mucho tiempo datos sensibles y de que el fichero de que se trata puede ofrecer a sus usuarios funciones muy intrusivas, en particular de identificación, análisis y cotejo de datos, para la explotación de estos. Debe señalarse que, con arreglo al artículo 68, apartado 3, de la LMint, las autoridades policiales deben, a efectos de la inscripción de una persona en el fichero policial, tomar muestras de esa persona para la elaboración de un «perfil de ADN» y hacerle fotografías, las cuales, en su caso, pueden ser sometidas a técnicas de reconocimiento facial.

V. Conclusión

78. A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo al Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria):

«Los artículos 4, 5, 8, 10 y 16, apartado 2, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, en relación con el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y a la luz de esta disposición,

deben interpretarse en el sentido de que:

se oponen a una normativa nacional que prevé la conservación de los datos personales en un fichero policial, incluidos los datos biométricos y genéticos, de toda persona condenada penalmente por un delito doloso, sin distinguir en función de la naturaleza o la gravedad del delito, hasta el fallecimiento de esa persona, sin posibilidad de llevar a cabo un control del mantenimiento de los datos que figuran en el fichero a la luz del tiempo transcurrido desde su registro y, en su caso, obtener su posterior supresión.

La rehabilitación del condenado puede formar parte de los elementos considerados al verificar, a la luz de su situación, la proporcionalidad del plazo de conservación de los datos en relación con la finalidad del tratamiento.»

1 Lengua original: francés.

2 Directiva del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89).

3 Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

4 Véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos impuestos por infracciones de tráfico) (C‑439/19, EU:C:2021:504), apartados 61 a 67. En la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartado 61, el Tribunal de Justicia precisó que el objetivo de protección de la seguridad nacional corresponde al interés primordial de proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad e incluye la prevención y la represión de actividades que puedan desestabilizar gravemente las estructuras constitucionales, políticas, económicas o sociales fundamentales de un país, y, en particular, amenazar directamente a la sociedad, a la población o al propio Estado, tales como las actividades terroristas.

5 Es cierto que, en la práctica, la tarea de llevar a cabo tal verificación puede ser delicada al existir un fichero policial único «cajón de sastre», debido a que el registro y la conservación de los datos obedecen a una lógica a la vez retrospectiva y prospectiva que no se presta necesariamente a una diferenciación objetiva de los tratamientos en cuestión atendiendo a una finalidad muy concreta.

6 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 135. He de observar que el Tribunal de Justicia se ha pronunciado anteriormente sobre una cuestión relativa a la compatibilidad del artículo 52, apartado 1, de la Carta con la normativa búlgara que presenta la particularidad de referirse al RGPD y con una disposición de Derecho interno que transpone el artículo 10 de la Directiva 2016/680, sin remisión formal a esta última. El Tribunal de Justicia declaró que el Derecho del Estado miembro autoriza, con arreglo al artículo 10, letra a), de dicha Directiva, el tratamiento de datos biométricos y genéticos por parte de las autoridades policiales a efectos de sus actividades de investigación, «con fines de lucha contra la delincuencia y de mantenimiento del orden público», siempre que el Derecho de ese Estado miembro contenga una base jurídica suficientemente clara y precisa que lo autorice, y que la doble referencia antes mencionada no puede desvirtuar, en sí misma, la existencia de esa autorización, siempre que de la interpretación del conjunto de las disposiciones aplicables del Derecho nacional se desprenda, de manera suficientemente clara, precisa e inequívoca, que el tratamiento de los datos biométricos y genéticos de que se trata está comprendido en el ámbito de aplicación de esa Directiva y no en el del RGPD.

7 Sentencia de 8 de mayo de 2019, PI (C‑230/18, EU:C:2019:383), apartado 42.

8 El cumplimiento del artículo 4, apartado 1, letra b), de la Directiva 2016/680, según el cual los datos deben ser recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incompatible con esos fines, no se discute en el presente asunto, en la medida en que el objetivo del tratamiento posterior a la recogida de los datos que constituye la conservación de estos es idéntico al del tratamiento de la recogida de datos.

9 El artículo 26 de la LMint establece que los plazos de conservación de los datos personales o para una revisión periódica de la necesidad de conservar estos datos son fijados por el Ministro del Interior. En la vista, el Gobierno búlgaro indicó que tal revisión tiene lugar cada tres meses.

10 Sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (C‑439/19, EU:C:2021:504), apartado 105.

11 He de señalar que el artículo 18 de la Directiva 2016/680, según el cual los Estados miembros pueden disponer que el ejercicio de los derechos a los que se hace referencia, entre otros, en el artículo 16, se lleve a cabo de conformidad con el Derecho del Estado miembro cuando los datos personales figuren en una resolución judicial o en un registro o expediente tramitado en el curso de investigaciones y procesos penales, no me parece pertinente por cuanto el fichero de que se trata es una herramienta destinada a facilitar la actividad operativa de los servicios de investigación, cuyo responsable es el Ministro del Interior, y no un instrumento judicial propiamente dicho, como los mencionados anteriormente.

12 Véanse, en este sentido, las sentencias de 25 de febrero de 2021, Comisión/España (Directiva de datos personales — Ámbito penal) (C‑658/19, EU:C:2021:138), apartado 75, y de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), apartado 61.

13 Véase, por analogía, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), apartados 62 y 69.

14 Véase, por analogía, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (C‑439/19, EU:C:2021:504), apartado 98.

15 Véanse, en este sentido, las sentencias de 7 de mayo de 2009, Rijkeboer (C‑553/07, EU:C:2009:293), apartado 33, y de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 92.

16 Véase, por analogía, la sentencia de 20 de octubre de 2022, Digi (C‑77/21, EU:C:2022:805), apartado 54.

17 Esta problemática también se contempla en el considerando 26 y en el artículo 4, apartado 3, de la Directiva 2016/680, de los que se desprende que el legislador de la Unión previó la posibilidad de conservar durante un período prolongado los datos archivados en el interés público, el uso científico, estadístico o histórico para los fines establecidos en el artículo 1, apartado 1, de dicha Directiva con sujeción a las salvaguardias adecuadas para los derechos y libertades de los interesados. No es tal la situación en el presente asunto, ya que la conservación de los datos en el fichero policial tiene una finalidad puramente operativa, a saber, facilitar la actividad de los servicios de investigación con el fin de esclarecer delitos.

18 Cabe plantearse si el artículo 5 de la Directiva 2016/680 no oculta algún tipo de contradicción lógica intrínseca. En efecto, de conformidad con esta disposición, puede haber datos personales tratados por las autoridades policiales para los que resulte inadecuado fijar plazos para su supresión, pero es necesario, en tal situación de conservación temporalmente indefinida, prever, por una lado, la revisión periódica por las autoridades competentes de la necesidad de conservar tales datos y, por otro, la posibilidad de proceder a su supresión, si la conservación de estos ya no está justificada a la luz de la finalidad del tratamiento. Sin embargo, es comprensible y aceptable que el objetivo, legítimo, sea establecer un correctivo dirigido a evitar abusos en la aplicación de un dispositivo intrusivo.

19 El presente asunto versa sobre una denegación total de supresión, cuyas razones deben comunicarse al solicitante de conformidad con el artículo 16, apartado 4, de la Directiva 2016/680, que establece, no obstante, que los Estados miembros pueden adoptar medidas legislativas por las que se restrinja total o parcialmente esta obligación, en particular para evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales.

20 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartados 116 a 118. Habida cuenta de estas consideraciones, ¿debe entenderse que el Tribunal de Justicia supedita la licitud del tratamiento de datos sensibles con arreglo a la Directiva 2016/680 al respeto de un criterio más riguroso que el empleado habitualmente en relación con cualquier tipo de datos en la jurisprudencia del Tribunal de Justicia en materia de protección de datos personales, a saber, el respeto por el tratamiento en cuestión de los límites de lo «estrictamente necesario»? En respuesta a una observación formulada por el Gobierno francés sobre el hecho de que, en ciertas versiones lingüísticas, el artículo 10 de la Directiva 2016/680 se refiere a los supuestos en los que el tratamiento de datos sea «absolutamente necesario», el Tribunal de Justicia respondió, en el apartado 119 de dicha sentencia, que esta variación terminológica no modifica la naturaleza del criterio así contemplado ni el nivel de exigencia preciso, puesto que esas versiones lingüísticas también definen una condición reforzada para que se permita el tratamiento de datos sensibles, lo que conlleva una apreciación más rigurosa de su necesidad que en el supuesto de que los datos tratados no estén comprendidos en el ámbito de aplicación de dicho artículo. Sin embargo, cabe preguntarse sobre esta distinción conceptual en lo que se refiere al grado de intensidad de la necesidad del tratamiento y la dificultad de su aplicación en un caso concreto.

21 Véanse, en particular, las sentencias de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), y de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258).

22 Directiva del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37).

23 Dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), y sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

24 Dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartados 132, 204 y 205.

25 Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (DO 2016, L 119, p. 132).

26 Sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartados 35 a 37. Lo mismo cabe decir por lo que respecta a la comparación con el régimen jurídico del RGPD.

27 Tinière, R., Jurisprudence de la CJUE 2020: décisions et commentaires, Bruylant, Bruselas, 2021, pp. 130 a 139,

28 Sentencias de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartados 56 a 59, y de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartado 148.

29 Sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartado 148.

30 Véase, en este sentido, la sentencia de 8 de diciembre de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de datos personales — Investigación penal) (C‑180/21, EU:C:2022:967), apartados 57 y 58.

31 Sentencia de 8 de diciembre de 2022, Google (Retirada de enlaces a contenido supuestamente inexacto) (C‑460/20, EU:C:2022:962), apartado 59.

32 TEDH, sentencias de 22 de junio de 2017, Aycaguer c. Francia (CE:ECHR:2017:0622JUD000880612), §§ 33, 34 y 38, y de 18 de septiembre de 2014, Brunet c. Francia (CE:ECHR:2014:0918JUD002101010), § 35.

33 TEDH, sentencias de 4 de junio de 2013, Peruzo y Martens c. Alemania (CE:ECHR:2013:0604DEC000784108), § 46, y de 13 de febrero de 2020, Gaughran c. Reino Unido (CE:ECHR:2020:0213JUD004524515), § 88.

34 Véanse, por analogía, el Dictamen 1/15 (Acuerdo PNR UE-Canadá) de 26 de julio de 2017 (EU:C:2017:592), apartados 122 y 123, y la sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartados 94 y 95.

35 TEDH, sentencia de 22 de junio de 2017, Aycaguer c. Francia (CE:ECHR:2017:0622JUD000880612), § 33.

36 Véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartado 44.

37 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 127.

38 Véanse los considerandos 4 y 7 de la Directiva 2016/680.

39 Dictamen 1/15 (Acuerdo PNR UE-Canadá) de 26 de julio de 2017 (EU:C:2017:592), apartado 134.

40 Sentencia de 6 de octubre de 2020, Privacy International (C‑623/17, EU:C:2020:790), apartados 63 y 64.

41 Véanse, en este sentido, las sentencias de 6 de octubre de 2020, Privacy International (C‑623/17, EU:C:2020:790), apartado 67, y de 22 de noviembre de 2022, Luxembourg Business Registers (C‑37/20 y C‑601/20, EU:C:2022:912), apartado 64.

42 Sentencias de 6 de octubre de 2020, Privacy International (C‑623/17, EU:C:2020:790), apartado 65, y de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales) (C‑175/20, EU:C:2022:124), apartados 54 a 56. Es cierto que tal examen ha sido pertinente en sentencias dictadas por el Tribunal de Justicia en el contexto de un análisis pormenorizado de la proporcionalidad de la limitación, en situaciones en las que tan examen no se ha llevado a cabo abordando conjuntamente los dos aspectos vinculados al respeto de los principios de licitud y proporcionalidad [sentencia del 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartados 114 y 117]. En esta parte de las presentes conclusiones me centraré en la verificación del requisito de previsibilidad stricto sensu.

43 Sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartado 114.

44 Véanse los apartados 33 a 35 de las observaciones del Gobierno búlgaro.

45 Véase, en este sentido, la sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/ 00, C‑138/01 y C‑139/01, EU:C:2003:294), apartado 77.

46 Véase, por analogía, el Dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado 150, y, a contrario, la sentencia de 22 de noviembre de 2022, Luxembourg Business Registers (C‑37/20 y C‑601/20, EU:C:2022:912), apartado 51.

47 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 99.

48 Dictamen 1/15 (Acuerdo PNR UE-Canadá) de 26 de julio de 2017 (EU:C:2017:592), apartado 149, y sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C-511/ 18, C‑512/01 y C‑520/01, EU:C:2020:791), apartado 123.

49 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartados 97 y 98. El Tribunal EDH señaló, en el contexto de la obligación positiva derivada del artículo 2 del CEDH, que ha quedado firmemente reconocido el interés público en investigar y, en su caso, obtener el enjuiciamiento y la condena de los autores de actos ilícitos varios años después de los hechos (TEDH, sentencia de 12 de junio de 2014, Jelić c. Croacia, CE:ECHR:2014:0612JUD005785611, § 52).

50 Véase, en este sentido, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartado 55.

51 Sentencia de 22 de noviembre de 2022, Luxembourg Business Registers (C‑37/20 y C‑601/20, EU:C:2022:912), apartado 66.

52 En general, el hecho de figurar en el fichero policial no entraña ninguna obligación positiva para el interesado.

53 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 78.

54 Infracciones frecuentes en el ámbito de la delincuencia contra la seguridad vial.

55 Véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartados 77 y 78. He de señalar que, en la sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartado 198, el Tribunal de Justicia declaró que de la Directiva 2016/681 se desprende que los criterios utilizados a efectos de la evaluación previa de los pasajeros deben determinarse de forma que su aplicación cribe específicamente a los individuos sobre los que pueda existir una sospecha razonable de participación en delitos terroristas o en delitos graves mencionados por esa Directiva.

56 Según el boletín Infostat Justice del Ministerio de Justicia francés, n.º 183, de 2 de julio de 2021, «Mesurer et comprendre les déterminants de la récidive des sortants de prison», el 86 % de las personas excarceladas en 2016 ya figuraban en el registro de antecedentes penales antes de la condena que dio lugar a su ingreso en prisión. El índice de reincidencia aumenta con el número de condenas anteriores: solo el 14 % de los excarcelados que no habían sido objeto de una condena previa en los cinco años anteriores a la condena en virtud de la cual se decretó su ingreso en prisión reinciden en el transcurso de un año, frente al 23 % de aquellos sobre los que pesaba una condena anterior y el 63 % de los que habían sido condenados como mínimo diez veces.

57 Esta constatación refleja, por lo demás, el cumplimiento por dicha disposición de lo dispuesto en el artículo 6 de la Directiva 2016/680, que obliga al responsable del tratamiento, cuando corresponda y en la medida de lo posible, a establecer una distinción clara entre los datos personales de las distintas categorías de interesados, de modo que no se les imponga de modo indiferenciado la misma injerencia en su derecho fundamental a la protección de sus datos personales cualquiera que sea la categoría a la que pertenezcan [sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 83].

58 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 126.

59 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 100. También debe señalarse que el transcurso del tiempo es inevitablemente un obstáculo en lo que se refiere a la localización de testigos y a su capacidad para recordar con exactitud los hechos.

60 El artículo 31 del Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO 2016, L 135, p. 53), establece que los datos personales tratados por Europol solo serán conservados por Europol durante el tiempo que sea necesario y proporcionado para la finalidad para la que se tratan. Europol reexaminará, en todo caso, la necesidad de prolongar el período de conservación a más tardar tres años después del comienzo del tratamiento inicial de los datos y podrá decidir prolongar el período de conservación de los datos hasta el reexamen siguiente, que tendrá lugar transcurrido un nuevo período de tres años, si sigue siendo necesario para el desempeño de sus tareas. De no tomarse una decisión sobre la prolongación de la conservación de los datos personales, estos se cancelarán automáticamente al cabo de tres años.

61 En la sentencia de 13 de febrero de 2020, Gaughran c. Reino Unido (TEDH, EC:ECHR:2020:0213JUD004524515, §§ 79 a 81), relativa a una normativa que prevé la conservación de datos hasta el fallecimiento del interesado, se estableció una distinción entre, por una parte, el ADN y, por otra, las huellas dactilares y las fotografías. El Tribunal EDH consideró que solo estos últimos datos estaban sujetos a un período de conservación asimilable a una conservación de duración indefinida. He de observar que, en el presente asunto, ninguno de estos datos podrá utilizarse tras el fallecimiento del interesado, debiendo señalarse que la conservación post mortem del ADN habría hecho técnicamente posible efectuar una búsqueda relativa a los parientes más próximos del interesado.

62 Además de la existencia de delitos de naturaleza imprescriptible, la cuestión de la relación entre el plazo de conservación de los datos y el de prescripción de la acción penal debe relativizarse en algunos ordenamientos jurídicos debido a los mecanismos de suspensión o interrupción de la prescripción y a la postergación del inicio del plazo de prescripción de los delitos reiterados, continuados o encubiertos y de determinados delitos de los que son víctimas los menores (postergación hasta la mayoría de edad de la víctima). También debe tenerse en cuenta que los actos de violencia sexual son los que más tardan en salir a la luz.

63 Véase, en este sentido, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartado 62.

64 Procede recordar que, en el contexto de la obligación positiva derivada del artículo 2 del CEDH, el Tribunal EDH ha reconocido firmemente el interés público en investigar y, en su caso, obtener el enjuiciamiento y la condena de los autores de actos ilícitos varios años después de los hechos (TEDH, sentencia de 12 de junio de 2014, Jelić c. Croacia, CE:ECHR:2014:0612JUD005785611, § 52) y ha indicado que la investigación de los casos sin resolver también es de interés público, a efectos generales de la lucha contra la delincuencia (TEDH, sentencia de 13 de febrero de 2020, Gaughran c. Reino Unido, CE:ECHR:2020:0213JUD004524515, § 93).

65 TEDH, sentencias de 22 de junio de 2017, Aycaguer c. Francia (CE:ECHR:2017:0622JUD000880612), § 38, y de 13 de febrero de 2020, Gaughran c. Reino Unido (CE:ECHR:2020:0213JUD004524515), § 88.

66 No se ha precisado el plazo de conservación de los registros de consulta del fichero policial.

67 TEDH, sentencia de 13 de febrero de 2020, Gaughran c. Reino Unido (CE:ECHR:2020:0213JUD004524515), § 83.

68 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartados 128 y 129.

69 Boletín Infostat Justice Ministerio de Justicia francés, n.º 183, de 2 de julio de 2021, «Mesurer et comprendre les déterminants de la récidive des sortants de prison».

70 El registro y la posterior conservación de los datos en el fichero policial se refieren, en efecto, a todo aquel que delinque por primera vez y no a una persona ya condenada en una o varias ocasiones.

71 TEDH, sentencia de 13 de febrero de 2020, Gaughran c. Reino Unido (CE:ECHR:2020:0213JUD004524515), § 89.

72 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 130. El Tribunal de Justicia añade (apartados 132 y 133) que incumbe al tribunal remitente comprobar si el Derecho nacional permite apreciar el carácter «estrictamente necesario» de recoger datos biométricos y genéticos del interesado a efectos de su registro, a la luz de la naturaleza y la gravedad de la infracción de la que esta persona es sospechosa, pero también de otros elementos pertinentes como, en particular, las circunstancias concretas de esa infracción, el eventual vínculo de dicha infracción con otros procedimientos en curso, los antecedentes judiciales o el perfil individual de la persona en cuestión. Cabe preguntarse si esta exigencia de individualización pormenorizada es compatible con disposiciones de naturaleza legislativa —con el carácter sistemático y el grado de abstracción y generalidad que estas requieren— dirigidas a establecer un régimen general de conservación de datos personales en un fichero.

73 TEDH, sentencia de 13 de febrero de 2020, Gaughran c. Reino Unido (CE:ECHR:2020:0213JUD004524515), § 94.