Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. PRIIT PIKAMÄE
presentadas el 15 de junio de 2023 (1)
Asunto C‑118/22
NG
Procedimiento contencioso-administrativo
contra
Direktor na Glavna direktsia «Natsionalna politsia» pri MVR — Sofia,
con intervención de
Varhovna administrativna prokuratura
[Petición de decisión prejudicial planteada por el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria)]
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva (UE) 2016/680 — Artículos 4, 5, 8, 10 y 16 — Conservación de los datos de una persona física condenada por un delito doloso hasta su fallecimiento — Persona física condenada mediante sentencia firme y posteriormente rehabilitada — Desestimación de la solicitud de supresión de datos — Necesidad y proporcionalidad de la injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea»
1. ¿Debe ser motivo de preocupación que se conserven en los ficheros policiales datos personales que encasillan a la persona inscrita, en ocasiones durante el resto de su vida, en un papel de elemento antisocial, peligroso ad infinitum? ¿No es, por el contrario, de agradecer que exista este prontuario policial vista la resolución por los investigadores de antiguos casos sin resolver, más conocidos hoy en día como «cold cases», para gran alivio de las familias de las víctimas?
2. El presente asunto se inscribe precisamente en este cuestionamiento antagónico que remite a la conciliación del interés público asociado a la lucha contra la delincuencia con el interés de las personas en la protección de sus datos personales y el respeto de su vida privada. Así brinda al Tribunal de Justicia la oportunidad de pronunciarse sobre la cuestión del tratamiento de tales datos con fines policiales en su dimensión temporal, a la luz de las disposiciones pertinentes de la Directiva (UE) 2016/680. (2)
I. Marco jurídico
A. Derecho de la Unión
3. En el presente asunto son pertinentes los artículos 4, 5, 8, 10 y 16 de la Directiva 2016/680 y el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).
B. Derecho búlgaro
4. El artículo 26, apartados 1 y 2, de la zakon za Ministerstvo na vatreshnite raboti (Ley del Ministerio del Interior, en lo sucesivo, «LMint») dispone lo siguiente:
«1. Al tratar datos personales en relación con actividades de protección de la seguridad nacional, lucha contra la delincuencia, mantenimiento del orden público y tramitación de procedimientos penales, las autoridades del Ministerio del Interior:
[…]
3. podrán tratar todas las categorías de datos personales que sean necesarias;
2. El Ministerio del Interior fijará los plazos de conservación de los datos a que se refiere el apartado 1 o para una revisión periódica de la necesidad de conservarlos. Dichos datos también se suprimirán en virtud de un acto judicial o de una decisión de la Comisión de Protección de Datos Personales».
5. El artículo 27 de la LMint establece:
«Los datos obtenidos mediante la inscripción de personas en el registro policial al amparo del artículo 68 se utilizarán únicamente con fines de protección de la seguridad nacional, lucha contra la delincuencia y mantenimiento del orden público.»
6. El artículo 68 de la LMint preceptúa lo siguiente:
«(1) Las autoridades policiales incluirán en el registro policial a las personas investigadas por delitos públicos dolosos. Las autoridades encargadas de la investigación deberán adoptar las medidas necesarias para que las autoridades policiales procedan a la inscripción en el registro.
(2) La inscripción en el registro policial es un tipo de tratamiento de datos personales de las personas a que se refiere el apartado 1 y deberá llevarse a cabo con arreglo a lo dispuesto en la presente Ley.
(3) A efectos de la inscripción en el registro policial, las autoridades policiales deberán:
1. recoger los datos personales mencionados en el artículo 18 de la zakon za balgaskite lichni dokumenti (Ley relativa a los documentos de identidad búlgaros);
2) realizar fotografías del investigado y tomar sus huellas dactilares;
3) obtener muestras para la elaboración de un perfil de ADN.
[…]
(6) La inscripción en el registro policial se cancelará previa decisión escrita del responsable del tratamiento de los datos personales o de un funcionario autorizado por dicho responsable, de oficio o previa solicitud escrita motivada de la persona inscrita, cuando:
1. tal inscripción se haya realizado vulnerando la ley;
2. el proceso penal haya sido archivado, salvo en los casos previstos en el artículo 24, apartado 3, del [Nakazatelno-protsesualen kodeks (Código de Procedimiento Penal)];
3. el proceso penal haya finalizado con una resolución absolutoria definitiva;
4. no se considere a la persona penalmente responsable y se le imponga una sanción administrativa;
5. se produzca el fallecimiento del investigado, en cuyo caso sus sucesores podrán solicitar la cancelación de los datos.
(7) Las modalidades de inscripción en el registro policial y de supresión de dicha inscripción se determinarán mediante un reglamento del Consejo de Ministros.»
II. Hechos, procedimiento principal y cuestión prejudicial
7. NG fue inscrito en un fichero policial, en el marco de un procedimiento de instrucción, por prestar falso testimonio, hecho constitutivo de un delito tipificado en el artículo 290, apartado 1, del Nakazatelen Kodeks (Código Penal). A raíz de este procedimiento, el 2 de julio de 2015 se formuló acusación contra él y, mediante sentencia de 28 de junio de 2016, confirmada en apelación mediante sentencia de 2 de diciembre de 2016, fue declarado culpable y condenado a una pena de libertad vigilada de un año. El 14 de marzo de 2018 finalizó el cumplimiento de la pena impuesta.
8. El 15 de julio de 2020, NG presentó ante la autoridad administrativa territorial competente del Ministerstvo na vatreshnite raboti (Ministerio del Interior, Bulgaria) una solicitud de cancelación de dicha inscripción, acompañada de un certificado de buena conducta que demostraba que no tenía antecedentes.
9. Mediante decisión de 2 de septiembre de 2020, la autoridad administrativa competente desestimó esta solicitud basándose en que una condena firme no formaba parte de los motivos para la cancelación de una inscripción en el fichero policial, enumerados exhaustivamente en el artículo 68, apartado 6, de la LMint, aunque se hubiera producido la rehabilitación a efectos del artículo 85 del Código Penal. El 8 de octubre de 2020, NG recurrió esta decisión ante el Administrativen sad Sofia-grad (Tribunal de lo Contencioso-Administrativo de la Ciudad de Sofía, Bulgaria). Mediante resolución de 2 de febrero de 2021, dicho órgano jurisdiccional desestimó este recurso.
10. Mediante decisión de 2 de septiembre de 2020, la autoridad administrativa competente desestimó esta solicitud basándose en que una condena firme no formaba parte de los motivos para la cancelación de una inscripción en el fichero policial, enumerados exhaustivamente en el artículo 68, apartado 6, de la LMint, aunque se hubiera producido la rehabilitación a efectos del artículo 85 del Código Penal. El 8 de octubre de 2020, NG recurrió esta decisión ante el Administrativen sad Sofia-grad (Tribunal de lo Contencioso-Administrativo de la Ciudad de Sofía, Bulgaria). Mediante resolución de 2 de febrero de 2021, dicho órgano jurisdiccional desestimó este recurso.
11. NG interpuso recurso de casación contra la resolución del Administrativen sad Sofia-grad (Tribunal de lo Contencioso-Administrativo de la Ciudad de Sofía) ante el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria). El motivo principal formulado en el recurso de casación se basa en la violación del principio, derivado de los artículos 5, 13 y 14 de la Directiva 2016/680, según el cual el tratamiento de los datos personales mediante la conservación de estos no puede tener una duración ilimitada. Pues bien, según NG, en ausencia de un motivo para la cancelación de la inscripción en el registro policial, un condenado no puede solicitar, tras su rehabilitación, la supresión de sus datos recogidos en relación con el delito por el que ha cumplido su pena, de modo que la conservación de tales datos es ilimitada.
12. Al albergar dudas sobre la conformidad con el Derecho de la Unión de la normativa nacional que regula el fichero policial controvertido, el órgano jurisdiccional remitente decidió suspender el procedimiento principal y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«¿Puede interpretarse el artículo 5, en relación con el artículo 13, apartados 2, letra b), y 3, de la [Directiva 2016/680], en el sentido de que autoriza la adopción de medidas legislativas nacionales que conduzcan a reconocer a las autoridades competentes un derecho prácticamente ilimitado al tratamiento de datos personales con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a dejar sin efecto el derecho del interesado a la limitación del tratamiento, a la supresión o a la destrucción de sus datos?»
III. Procedimiento ante el Tribunal de Justicia
13. Han presentado observaciones escritas los Gobiernos búlgaro, checo, irlandés, español y polaco y la Comisión Europea. En la vista celebrada el 7 de febrero de 2023, se oyeron también las observaciones orales de la parte demandante en el litigio principal y de los Gobiernos búlgaro, irlandés, español, neerlandés y polaco y de la Comisión.
IV. Análisis
A. Aplicabilidad de la Directiva 2016/680
14. De la petición de decisión prejudicial se desprende que el órgano jurisdiccional remitente considera manifiesto que la normativa nacional controvertida está comprendida en el ámbito de aplicación material de la Directiva 2016/680, apreciación que, desde mi punto de vista, requiere de una serie de observaciones.
15. De conformidad con el artículo 1, apartado 1, en relación con el artículo 2, apartado 1, de la Directiva 2016/680, esta se aplica al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a amenazas contra la seguridad pública. El artículo 2, apartado 3, letra a), de dicha Directiva excluye de su ámbito de aplicación el tratamiento de datos personales «en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión». Los considerandos 12 y 14 de la Directiva 2016/680 precisan el contenido de esta excepción de inaplicabilidad indicando que comprende, en particular, las actividades relacionadas con la seguridad nacional, a diferencia de las relativas al mantenimiento del orden público, como labor encomendada a la policía o, en su caso, a otras fuerzas y cuerpos de seguridad con fines de protección y prevención frente a las amenazas para la seguridad pública y para los intereses públicos fundamentales jurídicamente protegidos que puedan ser constitutivas de infracciones penales.
16. Con ocasión de la interpretación del artículo 2, apartado 2, letra a), del Reglamento (UE) 2016/679, (3) que establece una excepción a la aplicabilidad de dicho Reglamento en términos idénticos a los del artículo 2, apartado 3, letra a), de la Directiva 2016/680, el Tribunal de Justicia ha declarado que debe considerarse que la primera disposición, interpretada a la luz del considerando 16 del citado Reglamento, tiene como único objeto excluir del ámbito de aplicación de esta norma los tratamientos de datos personales efectuados por autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o una actividad que pueda incluirse en la misma categoría, de modo que el mero hecho de que una actividad sea propia del Estado o de una autoridad pública no basta para que dicha excepción sea automáticamente aplicable a tal actividad. El Tribunal de Justicia ha precisado que las actividades cuya finalidad es preservar la seguridad nacional cubren, en particular, las que tienen por objeto proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad. (4)
17. Pues bien, en el presente asunto, los datos registrados y conservados por la policía en virtud del artículo 68 de la LMint se registran y conservan, de conformidad con el artículo 27 de dicha Ley, con fines de protección de la seguridad nacional, lucha contra la delincuencia y mantenimiento del orden público. Así pues, resulta que el fichero policial de que se trata constituye una base de datos única e híbrida, ya que reúne información que puede ser objeto de tratamientos que atienden a finalidades distintas, en particular la relativa a la protección de la seguridad nacional, que no está comprendida en el ámbito de aplicación material de la Directiva 2016/680. En estas circunstancias, la licitud de la conservación de los datos que figuran en tal fichero solo puede examinarse a la luz de las exigencias de la citada Directiva en la medida en que esos datos únicamente se utilicen para los fines contemplados en el artículo 1, apartado 1, de esta, extremo que corresponde verificar al órgano jurisdiccional remitente. (5) Habida cuenta de los documentos que obran en los autos remitidos al Tribunal de Justicia, no parece que la conservación de los datos de NG en el fichero policial, cuya supresión se solicita, pueda considerarse un tratamiento que quede fuera del ámbito de aplicación material de la Directiva 2016/680.
18. Aquí, procede señalar que la normativa nacional controvertida en el litigio principal ya fue objeto de una sentencia del Tribunal de Justicia a raíz de una cuestión prejudicial planteada por un órgano jurisdiccional búlgaro encargado de apreciar la negativa de una persona investigada por un delito de fraude fiscal a someterse a la recogida de sus datos. En ese asunto, el Tribunal de Justicia se pronunció, en particular, sobre la licitud de la recogida de datos en relación con las exigencias del artículo 10 de la Directiva 2016/680 y declaró que esta disposición, en relación con los artículos 4, apartado 1, letras a) a c), y 8, apartados 1 y 2, de dicha Directiva, debe interpretarse en el sentido de que se opone a una normativa nacional que establece la recogida sistemática de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso a efectos de su registro, sin obligar a la autoridad competente a comprobar y demostrar, por una parte, si esa recogida es estrictamente necesaria para satisfacer los objetivos concretos perseguidos y, por otra parte, si tales objetivos no pueden lograrse mediante medidas que constituyan injerencias menos graves en los derechos y libertades del interesado. (6) El presente asunto lleva al Tribunal de Justicia a tener que examinar la licitud de una injerencia distinta, a saber, la conservación de la información relativa a las personas físicas condenadas penalmente identificadas por su nombre y apellidos en el fichero policial en cuestión, conservación esta que constituye un tratamiento de datos personales por parte de una autoridad pública competente con fines de prevención, investigación y detección de infracciones penales, en el caso que nos ocupa el Ministerio del Interior búlgaro, en el sentido del artículo 3, puntos 1, 2 y 7, letra a), de la Directiva 2016/680.
B. Reformulación de la cuestión prejudicial
19. Con carácter preliminar, debe recordarse que, en el marco del procedimiento de cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, establecido por el artículo 267 TFUE, corresponde a este Tribunal proporcionar al órgano jurisdiccional nacional una respuesta útil que le permita dirimir el litigio del que conoce. Desde este punto de vista, corresponde al Tribunal de Justicia reformular en su caso las cuestiones prejudiciales que se le han planteado. En efecto, el Tribunal de Justicia tiene la misión de interpretar cuantas disposiciones del Derecho de la Unión sean necesarias para que los órganos jurisdiccionales nacionales puedan resolver los litigios que se les hayan sometido, aun cuando tales disposiciones no se mencionen expresamente en las cuestiones remitidas por dichos órganos jurisdiccionales. (7)
20. Los hechos del litigio principal se refieren a una solicitud de cancelación de la inscripción de datos personales en el fichero policial, presentada por una persona física que, tras haber sido condenada por falso testimonio, cumplió su condena y quedó rehabilitada el 14 de marzo de 2020, esto es, casi cinco años después de la referida inscripción. Esta solicitud fue desestimada mediante decisión de la autoridad administrativa competente, confirmada en primera instancia mediante resolución del Administrativen sad Sofia-grad (Tribunal de lo Contencioso-Administrativo de la Ciudad de Sofía), contra la que se ha interpuesto un recurso de casación ante el órgano jurisdiccional remitente, el cual alberga dudas sobre la compatibilidad de la normativa nacional con la Directiva 2016/680 en lo que respecta a la cuestión de la conservación de datos en el fichero policial. Por lo tanto, es evidente que el litigio principal se refiere al derecho a la supresión de los datos personales sin dilación indebida, establecido en el artículo 16, apartado 2, de la Directiva 2016/680, cuando el tratamiento infrinja disposiciones adoptadas en virtud de los artículos 4, 8 o 10 de esta o cuando estos datos deban ser suprimidos en virtud de una obligación legal a la que esté sujeto el responsable del tratamiento.
21. El artículo 4, apartado 1, letras c) y e), de la Directiva 2016/680 dispone que los Estados miembros deben cerciorarse de que, conforme a los principios de minimización de datos personales y de limitación de su plazo de conservación, respectivamente, esos datos sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados y conservados de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados. (8) Por su parte, el artículo 8 de dicha Directiva se refiere a la licitud del tratamiento, la cual depende de que el tratamiento sea necesario para la ejecución de una tarea realizada por una autoridad competente, para los fines enunciados en el artículo 1, apartado 1, de esta misma Directiva, y de una base jurídica europea o nacional, debiendo esta última indicar al menos los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento. Por último, el artículo 10 de la Directiva 2016/680 determina el régimen jurídico del tratamiento de categorías especiales de datos personales, como los datos biométricos y genéticos utilizados en el fichero policial con el fin de identificar de manera unívoca a una persona física.
22. Es preciso señalar que la cuestión prejudicial no hace referencia a las disposiciones mencionadas en el punto anterior, siendo así que son claramente pertinentes para la respuesta que debe dar el Tribunal de Justicia en el caso que nos ocupa. El órgano jurisdiccional remitente solicitó una interpretación de los artículos 5 y 13, apartados 2, letra b), y 3, de la Directiva 2016/680, que no figuran entre las disposiciones expresamente mencionadas en el artículo 16, apartado 2, de dicha Directiva, cuya infracción por una normativa nacional justifica la aplicación del derecho de supresión reconocido al interesado. Sin embargo, este derecho también se reconoce cuando los datos deben suprimirse para cumplir una obligación legal a la que está sujeto el responsable del tratamiento, lo que puede corresponder a las situaciones contempladas en los artículos 5 y 13, apartado 2, letra b), de la citada Directiva, a saber, respectivamente, la fijación de plazos máximos de conservación de los datos o para revisiones periódicas de la necesidad de la conservación de tales datos (9) y el suministro al interesado por parte del responsable del tratamiento, en casos concretos, de información adicional a la contemplada en el artículo 13, apartado 1, a fin de permitir el ejercicio de sus derechos. En cambio, el apartado 3 de dicho artículo 13 se refiere a la posibilidad de que los Estados miembros adopten, en determinadas condiciones, medidas legislativas por las que se retrase, limite u omita la puesta a disposición del interesado de la información en virtud del apartado 2, lo que no puede constituir una obligación legal impuesta al responsable del tratamiento.
23. En cualquier caso, de la resolución de remisión no se desprende que en el litigio principal se haya planteado la cuestión de la información a NG acerca de sus derechos, puesto que el interesado pudo manifiestamente ejercerlos, como demuestra la interposición de sendos recursos ante las autoridades administrativas y, a continuación, judiciales en relación con la conservación de sus datos. Por consiguiente, no parece que la cuestión prejudicial planteada al Tribunal de Justicia requiera la interpretación del artículo 13, apartados 2, letra b), y 3, de la Directiva 2016/680. Así pues, las disposiciones controvertidas en el litigio principal son, en particular, el artículo 16, apartado 2, de la Directiva 2016/680, por un lado, y los artículos 4, 5, 8 y 10 de esta misma Directiva, por otro.
24. Además, como se indica en su considerando 104, la Directiva 2016/680 respeta los derechos fundamentales y observa los principios reconocidos en la Carta, consagrados en el TFUE, en particular el derecho al respeto de la vida privada y familiar y el derecho a la protección de los datos personales. Según el considerando 46 de esta Directiva, toda restricción de los derechos del interesado debe cumplir con lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950 (en lo sucesivo, «CEDH»), según los ha interpretado la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos (en lo sucesivo, «Tribunal EDH»), respectivamente, y, en particular, respetar el contenido esencial de los citados derechos y libertades. Procede recordar que los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, garantizados en los artículos 7 y 8 de la Carta, no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad y ponderarse con otros derechos fundamentales. Así pues, podrán introducirse limitaciones, siempre que, de conformidad con el artículo 52, apartado 1, de la Carta, sean establecidas por la ley y respeten el contenido esencial de los derechos fundamentales y el principio de proporcionalidad. En virtud de este último principio, solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Dichas limitaciones no deben exceder de lo estrictamente necesario y la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión. (10)
25. En estas circunstancias, debe considerarse que el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 4, 5, 8, 10 y 16, apartado 2, de la Directiva 2016/680, en relación con el artículo 52, apartado 1, de la Carta y a la luz de esta disposición, deben interpretarse en el sentido de que se oponen a una normativa nacional que prevé la conservación de datos personales en un fichero policial, incluidos los datos biométricos y genéticos del interesado, hasta el fallecimiento de este, y que no permite a dicho interesado obtener la supresión de tales datos tras haber sido rehabilitado después de su condena penal. (11)
C. Conservación de datos personales con fines policiales
26. Antes de examinar la compatibilidad de la normativa nacional relativa al fichero policial de que se trata, considero necesario abordar la problemática de la conservación de datos con fines policiales a la luz de determinadas disposiciones de la Directiva 2016/680 y de la jurisprudencia del Tribunal de Justicia y del Tribunal EDH.
27. En primer lugar, procede señalar que la Directiva 2016/680 pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia dentro de la Unión, al tiempo que establece un marco para la protección de los datos personales sólido y coherente con el fin de garantizar el respeto del derecho fundamental a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, reconocido en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1, derecho que se vincula íntimamente con el derecho al respeto de la vida privada, consagrado en el artículo 7 de la Carta. (12) A tal fin, los capítulos II y III de la Directiva 2016/680 enuncian, respectivamente, los principios que regulan los tratamientos de los datos personales, así como los derechos de la persona afectada que todo tratamiento de tales datos debe respetar. En particular, todo tratamiento de datos personales debe ser conforme con los principios relativos al tratamiento de datos y a los requisitos de licitud del tratamiento enunciados en los artículos 4 y 8 de dicha Directiva. Dado que estos imperativos contenidos en esta última disposición constituyen una expresión de los que derivan del artículo 52, apartado 1, de la Carta, deben interpretarse a la luz de este artículo. (13)
28. Por consiguiente, en la respuesta que ha de darse al órgano jurisdiccional remitente debe tenerse en cuenta el principio de «minimización de datos» enunciado en el artículo 4, apartado 1, letra c), de la Directiva 2016/680, que refleja el principio de proporcionalidad. (14) Lo mismo cabe decir respecto del principio de limitación del plazo de conservación de los datos, contenido en el artículo 4, apartado 1, letra e), de dicha Directiva, que implica proceder a una apreciación del carácter proporcionado del tratamiento en relación con su finalidad a la luz del transcurso del tiempo. Violará este principio la conservación de los datos durante un período superior al necesario, es decir, durante un período superior al necesario para los fines para los que dichos datos fueron conservados. (15) De ello se deduce que incluso un tratamiento de datos inicialmente lícito puede devenir, con el tiempo, incompatible con el Directiva 2016/680 cuando los datos ya no sean necesarios para la consecución de tales fines y que los datos deben suprimirse una vez se hayan alcanzado dichos fines. (16)
29. La problemática temporal de la conservación de los datos también se aborda en el artículo 5 de la Directiva 2016/680 como complemento y puntualización de las exigencias establecidas en el artículo 4 de esta misma Directiva. (17) Como se menciona en el considerando 26 de la citada Directiva, con el fin de garantizar que los datos no se conserven más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su eliminación o revisión periódica. Es preciso señalar que el artículo 5 de la Directiva 2016/680, por una parte, deja a los Estados miembros la tarea de apreciar y fijar el plazo de conservación pertinente y, por otra, contempla la verificación periódica de la necesidad de conservar los datos como alternativa a la fijación a priori de un plazo máximo de conservación. Considero que esta segunda observación reviste una importancia particular en el presente asunto, puesto que refleja el reconocimiento del legislador de la Unión de una posible conservación de los datos por tiempo indefinido para fines policiales. (18) Esta constatación debe ponerse en relación con los términos del artículo 16, apartado 3, de la Directiva 2016/680, que prevé la posibilidad de limitar el tratamiento de los datos como alternativa a su supresión, en particular, en su letra b), cuando los datos personales hayan de conservarse «a efectos probatorios», lo que demuestra que no existe un derecho absoluto a la supresión. (19)
30. La cuestión de la licitud de la conservación de los datos incluye necesariamente la de la naturaleza de esos datos, que, en el caso de autos, comprende, en particular, las huellas dactilares, fotografías y una muestra de ADN de la persona sospechosa de haber cometido un delito o condenada penalmente por este motivo, datos estos cuya tipología hace que su tratamiento esté comprendido en el ámbito de aplicación del artículo 10 de la Directiva 2016/680. Es importante señalar que, si bien el régimen jurídico definido por la citada disposición no contiene, a diferencia del previsto en el artículo 9 del RGPD, una prohibición de principio del tratamiento de tales datos, este tratamiento «solo» se permite «cuando sea estrictamente necesario», con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y, en particular, cuando lo autorice el Derecho de la Unión o del Estado miembro.
31. Según la jurisprudencia, la finalidad del artículo 10 de la Directiva 2016/680 es garantizar una mayor protección con respecto a tales tratamientos, que, en atención a la particular sensibilidad de los datos en cuestión y del contexto en el que son tratados, pueden generar, como se desprende del considerando 37 de dicha Directiva, riesgos importantes para las libertades y los derechos fundamentales, como el derecho al respeto de la vida privada y el derecho a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta. Como resulta del propio tenor con el que se enuncia en el artículo 10 de la Directiva 2016/680, el requisito de que el tratamiento de tales datos «solo» se permitirá «cuando sea estrictamente necesario» debe interpretarse en el sentido de que define unas condiciones reforzadas de licitud del tratamiento de datos sensibles, a la luz de las condiciones que se derivan de los artículos 4, apartado 1, letras b) y c), y 8, apartado 1, de esa Directiva, que se refieren únicamente a la «necesidad» de un tratamiento de datos comprendido, con carácter general, en el ámbito de aplicación de dicha Directiva. Así, por una parte, el empleo del adverbio «solo» delante de la expresión «cuando sea estrictamente necesario» hace hincapié en que el tratamiento de categorías especiales de datos, en el sentido del artículo 10 de la Directiva 2016/680, solo podrá considerarse necesario en un número limitado de supuestos. Por otra parte, el carácter «estricto» de la necesidad de un tratamiento de tales datos conlleva que esa necesidad se aprecie de un modo especialmente riguroso. (20)
32. En segundo lugar, debe señalarse que, si bien el Tribunal de Justicia ya se ha pronunciado en varias ocasiones sobre la cuestión de la licitud de la conservación de los datos con fines policiales, lo ha hecho en contextos normativos y fácticos singularmente distintos de aquel en el que se encuadra el presente asunto. En este sentido, el Tribunal de Justicia ha declarado (21) que el Derecho de la Unión derivado de la Directiva 2002/58/CE, (22) del que se desprende que los usuarios de los medios de comunicaciones electrónicas tienen derecho a contar con que, en principio, de no mediar su consentimiento, sus comunicaciones y los datos relativos a ellas permanezcan anónimos y no puedan registrarse, se opone a la conservación generalizada e indiferenciada, con carácter preventivo, de los datos de tráfico y de localización a efectos de la lucha contra la delincuencia, cualquiera que sea su nivel de gravedad, conservación esta que únicamente es admisible, bajo determinadas condiciones, en caso de amenaza grave, real y actual o previsible para la seguridad nacional. Añadió que el Derecho de la Unión no se opone, en cambio, a medidas que prevén, a efectos de la lucha contra la delincuencia grave, una conservación generalizada e indiferenciada de datos relativos a la identidad civil de los usuarios y, para un período temporalmente limitado a lo estrictamente necesario, de sus direcciones IP, a una conservación selectiva de los datos delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse, y a una conservación rápida, durante un período determinado, de los datos de que dispongan los proveedores de servicios, debiendo dichas medidas garantizar, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso.
33. El Tribunal de Justicia también empleó el criterio relativo al respeto de los límites de lo estrictamente necesario en relación con el tratamiento de datos personales en el contexto de la transferencia, la conservación y la utilización de los datos incluidos en los registros de nombres de los pasajeros de vuelos exteriores de la Unión creados por los transportistas aéreos (en lo sucesivo, «datos del PNR») para la prevención y la detección de delitos de terrorismo y delitos graves. (23) El Tribunal de Justicia tuvo ocasión de señalar que, dado que, con arreglo al Acuerdo PNR UE-Canadá, el período de conservación de los datos del PNR puede prolongarse hasta cinco años, dicho Acuerdo permite disponer de información sobre la vida privada de los pasajeros aéreos durante un período particularmente largo y que, por lo que se refiere a los pasajeros aéreos respecto de los cuales no se haya identificado un riesgo en materia de terrorismo o de delincuencia grave de carácter transnacional a su llegada a Canadá ni hasta su partida de dicho país tercero, no parece que exista, una vez que hayan abandonado el país, relación alguna, siquiera indirecta, entre sus datos del PNR y el objetivo perseguido por el Acuerdo previsto que justifique la conservación de esos datos. En consecuencia, concluyó que no estaba justificado el almacenamiento continuado de los datos del PNR de la totalidad de los pasajeros aéreos después de su partida de Canadá a efectos del eventual acceso a dichos datos, con independencia de todo vínculo con la lucha contra el terrorismo y los delitos graves de carácter transnacional. (24)
34. El Tribunal de Justicia se pronunció, en el contexto de una petición de decisión prejudicial, sobre la validez y la interpretación de la Directiva (UE) 2016/681, (25) que obliga a los transportistas aéreos a transferir los datos de todo pasajero aéreo que tome un vuelo exterior de la Unión, entre un tercer país y la Unión Europea, a la Unidad de Información sobre los Pasajeros del Estado miembro de destino o de salida del vuelo de que se trate, con el fin de luchar contra el terrorismo y las formas graves de delincuencia. Los datos PNR así transferidos son objeto de una evaluación previa por parte de la Unidad de Información sobre los Pasajeros durante un período de seis meses y, a continuación, se conservan durante cinco años con vistas a una eventual evaluación posterior por parte de las autoridades competentes de los Estados miembros, lo que puede dar lugar a la realización de análisis durante un tiempo considerable, que puede ser incluso indefinido en el caso de las personas que viajan en avión más de una vez cada cinco años. El Tribunal de Justicia consideró que dicha Directiva comporta injerencias de una gravedad cierta en los derechos garantizados por los artículos 7 y 8 de la Carta, ya que, en particular, tiene por objeto la implantación de un régimen de vigilancia continuo, no selectivo y sistemático, que incluye la evaluación automatizada de datos de carácter personal de todas las personas que utilizan los servicios de transporte aéreo, al tiempo que se presta a una interpretación conforme con los artículos 7, 8, 21 y 52, apartado 1, de la Carta. El Tribunal de Justicia precisó que no se ha acreditado que la conservación de los datos PNR, después de la expiración del período de conservación inicial de seis meses, se limite a lo estrictamente necesario en lo que se refiere a los pasajeros aéreos respecto de los cuales ni la evaluación previa, ni las eventuales verificaciones realizadas durante el período de conservación inicial de seis meses ni ninguna otra circunstancia han revelado la existencia de elementos objetivos que permitan apreciar la existencia de un riesgo en materia de delitos de terrorismo o de delitos graves que tenga una relación, siquiera indirecta, con el transporte aéreo de pasajeros. En cambio, consideró que la conservación, durante el período inicial de seis meses, de los datos PNR de todos los pasajeros aéreos cubiertos por el sistema establecido por dicha Directiva no parece, en principio, exceder los límites de lo estrictamente necesario.
35. En contraposición a la jurisprudencia recordada anteriormente, es preciso señalar, por una parte, que, contrariamente a lo establecido en relación con el tratamiento de datos en la Directiva 2002/58, (26) el consentimiento del interesado no constituye un fundamento jurídico para el tratamiento de los datos personales por las autoridades competentes para los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680. Como se precisa en el considerando 35 de esta, el ejercicio de las funciones de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales que la legislación atribuye institucionalmente a las autoridades competentes permite a estas exigir u ordenar a las personas físicas que atiendan a las solicitudes que se les dirijan. Por otra parte, en el presente asunto no se trata de la conservación y el análisis automatizado de una «inmensidad de datos» (27) generados en el sector de las comunicaciones electrónicas o del transporte aéreo, almacenados por operadores privados y transferidos a servicios de investigación, sino de un fichero policial único que contiene datos relativos a personas respecto de las cuales existen motivos fundados para presumir que han cometido una infracción, sospechosas y condenadas penalmente, controlado exclusivamente por una autoridad pública y estrictamente confidencial.
36. La especificidad del contexto normativo y fáctico de la jurisprudencia antes citada impide, en mi opinión, cualquier transposición pura y simple de las soluciones adoptadas en ella al efecto de responder a la presente cuestión prejudicial, en particular en cuanto atañe a la distinción entre los objetivos de conservación de los datos (protección de la seguridad nacional, lucha contra la delincuencia grave o contra infracciones no comprendidas en esta última) y la necesaria correlación entre la importancia de dichos objetivos y el nivel de gravedad de las injerencias en los derechos fundamentales que puedan justificarse. (28) Dicho de otro modo, en el caso que nos ocupa no tiene cabida la afirmación de que la lucha contra la delincuencia en general solo puede justificar injerencias que no presenten un carácter grave, (29) so pena de reducir considerablemente la utilidad de la Directiva 2016/680 y de los instrumentos nacionales de investigación/seguridad pública, como el fichero de policía de que se trata, comprendido en el ámbito de aplicación de esta norma cuyo objetivo expresa precisamente la necesidad de poder tratar datos con fines policiales de manera proporcionada. Procede señalar que, como se desprende de los considerandos 10 y 11 de la Directiva 2016/680, el legislador de la Unión quiso adoptar normas que tuvieran en cuenta la naturaleza específica del ámbito regulado por dicha Directiva. A este respecto, el considerando 12 establece que las actividades realizadas por la Policía u otras fuerzas y cuerpos de seguridad se centran principalmente en la prevención, investigación, detección —sin mayores precisiones— o enjuiciamiento de infracciones penales, incluidas las actuaciones policiales en las que no hay constancia de si un incidente es o no constitutivo de infracción penal. (30)
37. En tercer lugar, debe señalarse que el artículo 7 de la Carta, referido al derecho al respeto de la vida privada y familiar, contiene derechos equivalentes a los garantizados por el artículo 8, apartado 1, del CEDH, y que la protección de los datos personales desempeña un papel fundamental en el ejercicio del derecho al respeto de la vida privada y familiar que se consagra en el artículo 8 del CEDH. En consecuencia, conforme al artículo 52, apartado 3, de la Carta, debe darse a dicho artículo 7 el mismo sentido y el mismo alcance que los conferidos al artículo 8, apartado 1, del CEDH, tal como lo interpreta la jurisprudencia del Tribunal EDH. (31)
38. El Tribunal EDH considera que la protección de los datos personales desempeña un papel fundamental en el ejercicio del derecho al respeto de la vida privada que se consagra en el artículo 8 del CEDH y que el simple almacenamiento de datos relativos a la vida privada de las personas supone una injerencia en el sentido de lo dispuesto en el artículo 8, independientemente de que la información almacenada se utilice o no posteriormente. Según dicho órgano jurisdiccional, el Derecho nacional debe garantizar, en particular, que estos datos son relevantes y no son excesivos en relación con el objetivo por el cual se registran, y que se conservan de un modo que permite la identificación de los interesados por un lapso de tiempo que no supere el requerido para alcanzar el objetivo por razón del cual se registran. El Derecho nacional también debe contener garantías idóneas para proteger eficazmente los datos personales registrados contra usos indebidos y abusivos, ofreciendo al mismo tiempo la posibilidad concreta de presentar una solicitud de supresión de los datos almacenados. No obstante, el Tribunal EDH se cuidó de precisar que es plenamente consciente de que, para proteger a su población como es su deber, las autoridades nacionales se ven abocadas a establecer ficheros que contribuyan eficazmente a la represión y la prevención de determinadas infracciones, en particular, las más graves. Sin embargo, tales dispositivos no pueden aplicarse con una lógica de maximización excesiva de la información que figura en ellos y de la duración de su conservación. (32) Sobre este último punto, el Tribunal EDH considera que la falta de un plazo máximo para la conservación de los datos personales de los condenados no es necesariamente incompatible con el artículo 8 del CEDH, pero que, en tal caso, la existencia y el funcionamiento de determinadas garantías procesales son tanto más necesarias. (33)
D. Injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta
39. Como se desprende del artículo 68 de la LMint y de las observaciones formuladas por el Gobierno búlgaro en la vista, los datos a los que se refiere la normativa nacional comprenden, entre otros, el estado civil del interesado, los hechos sancionables que se sospecha ha cometido o por los que ha sido condenado penalmente, sus huellas dactilares, fotografías y muestras de ADN tomadas a efectos de la elaboración de un perfil personal. Toda vez que estos datos incluyen, pues, información sobre personas físicas identificadas, los diversos tratamientos de que dichos datos pueden ser objeto afectan al derecho fundamental al respeto de la vida privada, garantizado por el artículo 7 de la Carta. Además, el artículo 8 de la Carta es también aplicable a los tratamientos de dichos datos, como los que son objeto de la normativa nacional, porque constituyen tratamientos de datos personales en el sentido de dicho artículo y, en consecuencia, deben cumplir necesariamente los requisitos de protección de los datos previstos en él. (34)
40. Al igual que el Tribunal EDH, según el cual el simple almacenamiento de datos relativos a la vida privada de las personas supone una injerencia en el sentido de lo dispuesto en el artículo 8 del CEDH, (35) el Tribunal de Justicia considera que la conservación de datos constituye, por sí sola, una injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal, consagrados en los artículos 7 y 8 de la Carta, siendo irrelevante que la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia, o si los datos conservados serán utilizados o no en un futuro. (36)
41. En cuanto atañe a la gravedad de la injerencia que constituye la conservación, esta se aprecia a la luz de la naturaleza de determinados datos, concretamente los datos biométricos y genéticos contenidos en el fichero policial, habiendo calificado el Tribunal de Justicia de importantes los riesgos que representa el tratamiento de datos sensibles en relación con los derechos y libertades de los interesados, en particular en el contexto de las tareas de las autoridades competentes respecto a los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680. (37) A este respecto, en el considerando 23 de esta Directiva se precisa que, habida cuenta de la complejidad y la sensibilidad de la información genética, existe un alto riesgo de que el responsable del tratamiento haga un uso indebido de la misma o la reutilice con fines no autorizados. Por su parte, el considerando 51 de la Directiva enuncia que los riesgos para los derechos y libertades de los interesados pueden producirse debido a un tratamiento de datos capaz de provocar daños físicos, materiales o inmateriales, en particular cuando se traten datos genéticos o datos biométricos que permiten la identificación unívoca de una persona o cuando se traten datos relativos a los antecedentes e infracciones penales.
42. La duración de la conservación de los datos en el fichero policial contribuye también a la consideración de la gravedad de la injerencia, en la medida en que es posible conservar los datos durante toda la vida del condenado. Por último, del artículo 26, apartado 6, de la LMint resulta que los datos personales pueden transferirse a autoridades competentes y a otros destinatarios de los Estados miembros de la Unión, a órganos y agencias de la Unión, a terceros países o a organizaciones internacionales. A este respecto, procede recordar que la Directiva 2016/680 tiene por objeto facilitar la libre circulación de datos personales entre las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública en el seno de la Unión y la transferencia de estos datos personales a terceros países y organizaciones internacionales, con el fin de garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial. (38) A este respecto, se ha de tener en mente que el derecho a la protección de los datos de carácter personal exige, en concreto, que, en caso de transferencia de tales datos desde la Unión a un país tercero, quede garantizada la continuidad del elevado nivel de protección de los derechos y libertades fundamentales conferido por el Derecho de la Unión. (39)
43. Habida cuenta de cuanto antecede, procede concluir que la normativa nacional controvertida en el procedimiento principal comporta injerencias de una gravedad cierta en los derechos garantizados por los artículos 7 y 8 de la Carta, ya que, en particular, tiene por objeto la implantación de un instrumento de conservación continuada de datos sensibles, capaces de rebasar las fronteras del Estado de que se trata, de personas condenadas penalmente.
E. Justificación de la injerencia
44. Como se ha expuesto anteriormente, los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta no constituyen prerrogativas absolutas y del artículo 52, apartado 1, de la Carta se desprende que esta admite limitaciones del ejercicio de estos derechos, siempre que esas limitaciones sean establecidas por la ley, respeten el contenido esencial de esos derechos y, dentro del respeto del principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. (40) Según el considerando 26 de la Directiva 2016/680, las autoridades policiales pueden llevar a cabo actividades con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas para la seguridad pública, siempre y cuando estén previstas en la legislación y constituyan una medida necesaria y proporcionada en una sociedad democrática, con el debido respeto a los intereses legítimos de la persona física afectada.
45. Por lo que respecta al respeto del principio de proporcionalidad, debe recordarse que la protección del derecho fundamental a la intimidad exige, conforme a la jurisprudencia reiterada del Tribunal de Justicia, que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario, entendiéndose que, cuando se ofrezca una elección entre varias medidas adecuadas para la consecución de los objetivos legítimos perseguidos, deberá recurrirse a la menos onerosa. Además, no puede perseguirse un objetivo de interés general sin tener en cuenta que tal objetivo debe conciliarse con los derechos fundamentales a los que afecta la medida, efectuando una ponderación equilibrada entre, por un lado, el objetivo de interés general, y, por otro, los derechos en cuestión, para asegurarse de que los inconvenientes causados por esa medida no sean desmesurados en relación con los objetivos perseguidos. Así pues, la posibilidad de justificar una limitación a los derechos garantizados en los artículos 7 y 8 de la Carta debe apreciarse midiendo la gravedad de la injerencia que implica tal limitación y verificando que la importancia del objetivo de interés general perseguido por dicha limitación guarde relación con esa gravedad. (41)
1. Respeto del principio de legalidad
46. El requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate. A este respecto, el Tribunal de Justicia ha declarado, además, que toda normativa que implique una medida que permita tal injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger de manera eficaz esos datos contra los riesgos de abuso. En consecuencia, la base jurídica de todo tratamiento de datos personales comprendido en el ámbito de aplicación de la Directiva 2016/680 debe, como ha señalado, por lo demás, el legislador de la Unión en el considerando 33 de esta, ser clara y precisa y su aplicación previsible para los justiciables. En particular, estos deben poder identificar las circunstancias y las condiciones en las que el alcance de los derechos que les confiere dicha Directiva puede limitarse. (42)
47. El examen de la normativa nacional controvertida, tal como se expone en la resolución de remisión y se completa con las observaciones del Gobierno búlgaro, permite, en mi opinión, considerar que se cumple el requisito relativo a la «calidad» de la ley, debiendo recordarse que este no excluye que la limitación de que se trate se formule en términos suficientemente abiertos como para poder adaptarse a supuestos distintos, así como a cambios de la situación. (43)
48. Así pues, resulta que la inscripción y la conservación de los datos en el fichero policial tienen como fines exhaustivos, según el artículo 27 de la LMint, la protección de la seguridad nacional, la lucha contra la delincuencia y el mantenimiento del orden público, y que ese tratamiento tiene como objetivo facilitar la actividad de investigación operativa descrita detalladamente en el artículo 8 de dicha Ley. (44) El alcance del tratamiento por lo que respecta a la naturaleza de las infracciones relacionadas con dicho tratamiento, a los datos de que se trata, a las condiciones de su recogida, a las bases de datos en las que se lleva a cabo el tratamiento y al plazo de conservación de estos datos se establece con suficiente detalle en el artículo 68 de la LMint y en el artículo 28 del Naredba za reda za izvarshvane i snemane na politseyska registratsia (Reglamento por el que se regulan las modalidades de inscripción en el registro policial y la supresión de dicha inscripción; en lo sucesivo, «RISRP»). La normativa nacional establece, explícitamente y de conformidad con el considerando 26 de la Directiva 2016/680, una serie de procedimientos para garantizar la integridad y confidencialidad de los datos personales y la destrucción de estos a través de la información facilitada al interesado, de conformidad con los artículos 54 y 55 de la zakon za zashtita na lichnite danni (Ley de Protección de Datos Personales), en particular en lo que respecta a los derechos del interesado a solicitar al responsable del tratamiento el acceso a los datos, su rectificación o su supresión. A este respecto, los motivos de cancelación, el procedimiento y los efectos que se derivan de este se especifican en el artículo 68 de la LMint y en los artículos 18 y siguientes del RISRP. Estas disposiciones están redactadas con la suficiente precisión y claridad para permitir que los destinatarios de la Ley adapten su conducta y responde así a la exigencia de previsibilidad que se desprende de la jurisprudencia del Tribunal EDH. (45)
2. Respeto del contenido esencial de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta
49. Por lo que atañe al contenido esencial del derecho fundamental al respeto de la vida privada, consagrado en el artículo 7 de la Carta, la naturaleza de la información contenida en el fichero policial se limita a un aspecto concreto de la vida privada, atinente a los antecedentes penales del interesado, lo que no permite extraer conclusiones relativas, con carácter general, a la vida privada de esta persona, como sus hábitos de la vida cotidiana, sus lugares de residencia permanentes o temporales, sus desplazamientos diarios u otros, las actividades que realiza, sus relaciones sociales y los círculos sociales que frecuenta y, de este modo, elaborar su perfil. En cuanto al contenido esencial del derecho a la protección de los datos de carácter personal, consagrado en el artículo 8 de la Carta, las consideraciones anteriores revelan que la normativa nacional controvertida circunscribe los fines del tratamiento de datos y establece una enumeración exhaustiva de los datos conservados y de las normas dirigidas a garantizar el acceso a esos datos y su rectificación o supresión. En estas circunstancias, la injerencia que supone la conservación de datos prevista por dicha normativa no menoscaba el contenido esencial de los derechos fundamentales consagrados en los artículos antes mencionados. (46)
3. Objetivo de interés general e idoneidad del tratamiento de datos controvertido a la luz de dicho objetivo
50. Como se ha señalado en las presentes conclusiones, los datos obtenidos mediante la inscripción de personas en el fichero policial al amparo del artículo 68 de la LMint se utilizan paras fines de protección de la seguridad nacional, lucha contra la delincuencia y mantenimiento del orden público. El Gobierno búlgaro ha indicado que los datos se recogen y tratan a efectos del procedimiento penal en el que es investigado el interesado y para contrastarlos con otros datos recopilados en investigaciones relativas a otras infracciones. Esta última finalidad incluye asimismo el contraste con datos recogidos en otros Estados miembros. (47)
51. Según dicho Gobierno, este tratamiento forma parte de la actividad de investigación operativa descrita en el artículo 8 de la LMint, cuyos fines se definen del siguiente modo: la prevención y detección de delitos, amenazas a la seguridad nacional y alteraciones del orden público; la búsqueda de personas que eludan su responsabilidad penal o que hayan eludido la ejecución de una pena impuesta en una causa penal por un delito público y la búsqueda de personas desaparecidas; la búsqueda de objetos que sean la herramienta o el instrumento de la comisión de un delito o que puedan servir como prueba, la preparación y la conservación de pruebas materiales y su presentación a las autoridades judiciales competentes.
52. El Tribunal de Justicia ha precisado que el objetivo de protección de la seguridad pública constituye un objetivo de interés general de la Unión que puede justificar injerencias, incluso graves, en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta. Por lo demás, tal protección contribuye también a la protección de los derechos y libertades de los demás. A este respecto, el artículo 6 de la Carta establece el derecho de todas las personas no solo a la libertad, sino también a la seguridad, dado que dicho artículo garantiza los derechos correspondientes a los garantizados por el artículo 5 del CEDH. (48) En cuanto atañe a la compatibilidad de la recogida de los datos que figuran en el mismo fichero policial búlgaro, el Tribunal de Justicia ha considerado claramente que dicho tratamiento relativo a los investigados en un procedimiento penal a efectos de su registro persigue las finalidades establecidas en el artículo 1, apartado 1, de la Directiva 2016/680, en particular las relativas a la prevención, investigación, detección o enjuiciamiento de infracciones penales, que son objetivos de interés general reconocidos por la Unión. El Tribunal de Justicia ha declarado asimismo que esa recogida puede contribuir al objetivo enunciado en el considerando 27 de la Directiva 2016/680, según el cual, para la prevención, investigación y enjuiciamiento de las infracciones penales, es necesario que las autoridades competentes traten datos personales recopilados en el contexto de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales concretas más allá de ese contexto específico, con el fin de adquirir un mejor conocimiento de las actividades delictivas y establecer vínculos entre las distintas infracciones penales detectadas. (49) Evidentemente, estas consideraciones también son válidas para la medida de conservación de datos.
53. El hecho de que la conservación de datos en el fichero policial sea un tratamiento que permite alcanzar los objetivos de interés general de detección y, por ende, de prevención de infracciones penales me parece difícilmente rebatible. Es evidente que un fichero policial que contenga los datos relativos a la identidad civil, las fotografías, los datos biométricos y genéticos y, por lo tanto, las características físicas únicas e infalsificables de las personas registradas constituye un instrumento de investigación plenamente pertinente para que los servicios de seguridad puedan investigar delitos e identificar a sus autores. En este sentido, la normativa nacional controvertida responde a criterios objetivos y existe una relación entre los datos que deben conservarse y el objetivo que se pretende lograr. (50)
4. Carácter necesario y proporcionado de la injerencia de que se trata
54. Si bien la conservación de datos en el fichero policial de que se trata es manifiestamente adecuada para alcanzar el objetivo de interés general perseguido, queda por verificar si la injerencia en los derechos garantizados por los artículos 7 y 8 de la Carta que resulta de tal conservación se limita a lo estrictamente necesario, en el sentido de que el objetivo no podría alcanzarse razonablemente de manera igualmente eficaz por otros medios menos atentatorios contra esos derechos fundamentales de las personas afectadas, y si no es desproporcionada en relación con ese objetivo, lo que implica, en particular, una ponderación de la importancia de este último y la gravedad de dicha injerencia. (51)
55. En la ejecución de dicho control, deben tenerse en cuenta, en el presente asunto, el objeto del fichero policial, la naturaleza de las infracciones de que se trata y el número de personas que pueden quedar registradas en él, la especial sensibilidad de los datos personales recogidos y la duración de su conservación, las garantías jurídicas o técnicas establecidas en la normativa nacional para la consulta del fichero y el control del mantenimiento de los datos que contiene.
a) Objeto del fichero policial
56. En sus observaciones escritas, el Gobierno irlandés alegó, en esencia, que la conservación de los datos puede ser necesaria para fines de control conexo en aras del interés público en la prevención de la delincuencia y la protección de la seguridad pública. Así, debe ser posible consultar la información contenida en un fichero policial no solo para buscar a los autores de infracciones, sino también con fines de policía administrativa, en el contexto de averiguaciones previas a decisiones de contratación o de habilitación para determinados empleos públicos o puestos sensibles, con el objetivo de comprobar que la conducta de los interesados no es incompatible con el ejercicio de estas funciones.
57. En la vista, el Gobierno búlgaro confirmó lo que podía deducirse de la redacción explícita del artículo 27 de la LMint, a saber, que el fichero policial de que se trata es un instrumento de asistencia a las investigaciones judiciales y no administrativas. Esta constatación reviste cierta importancia por lo que se refiere a las consecuencias de la inscripción de una persona en un fichero de antecedentes penales, en el sentido de que el inconveniente de estar fichado no implica la imposibilidad de acceder a determinadas actividades profesionales. (52) La inscripción en el fichero policial de que se trata no es ni una sanción ni una pena accesoria, su finalidad se circunscribe claramente a la investigación judicial y su utilización está reservada a servicios sujetos a la obligación de confidencialidad.
58. No obstante, se trata de un fichero único que atiende a fines de policía judicial extremadamente amplios, que contiene informaciones diversas que abarcan desde meros datos relativos al estado civil hasta datos biométricos y genéticos, y en el que figuran personas que no tienen el mismo estatuto procesal. En otras normativas se ha considerado preferible disponer la existencia de varios ficheros policiales con fines específicos, destinados a un solo uso y a almacenar un solo tipo de datos en lugar de contemplar un único tratamiento que abarque toda la información.
b) Infracciones e interesados
59. La conservación de datos en el fichero policial afecta a las personas investigadas y condenadas por delitos dolosos públicos, en el sentido de que la acusación es ejercida por el fiscal. Según indica el Gobierno búlgaro, están excluidos de esta categoría las infracciones culposas, las faltas y las infracciones y delitos de carácter privado, y determinadas infracciones que hayan sido objeto de sanción administrativa. Ya se ha señalado que son dolosos la gran mayoría de los delitos previstos en el Código Penal y casi todos son públicos. (53)
60. Es necesario señalar que la normativa nacional no se refiere a infracciones enumeradas de modo taxativo, no distingue los delitos en función de su naturaleza, a su vez vinculada a la gravedad de los hechos y a la pena aplicable, ni establece un criterio relativo a un quantum preciso de una pena de prisión. Por consiguiente, se agrupan en un conjunto único y amplio diversas conductas infractoras, si bien con una reserva relativa a la existencia de dolo, lo que conduce a priori a excluir las infracciones de escasa gravedad en las que basta la mera comisión material de los hechos imputados (54) y las infracciones caracterizadas por una falta por simple negligencia o imprudencia. Cuando en la vista se solicitó al Gobierno búlgaro que precisara el contenido de la categoría de infracciones en cuestión, este se limitó, lamentablemente, a indicar que no solo se trata de infracciones sancionables con pena de prisión no inferior a cinco años.
61. Por lo que respecta a los interesados, procede señalar que el tratamiento en cuestión de los datos está limitado atendiendo a la edad de dichos interesados, ya que del artículo 4 del RISRP se desprende que los menores no están sujetos a inscripción en el fichero policial, lo que reduce en la misma medida el número de personas registradas en este. La medida controvertida distingue entre dos categorías de personas, a saber, las investigadas y las condenadas penalmente. Esas personas han sido identificadas previamente, en el marco de los procedimientos nacionales aplicables y sobre la base de elementos objetivos y no discriminatorios, como una amenaza para la seguridad pública o el mantenimiento del orden público. Los Estados miembros tienen la facultad de adoptar medidas de conservación sobre personas a las que se identifica porque están siendo investigadas, es decir, una categoría de personas respecto de las cuales existan motivos fundados para creer que han cometido una infracción penal, o que han sido condenadas, lo que refleja que se ha determinado que son penalmente responsables, situaciones estas que pueden implicar un elevado riesgo de reincidencia. (55) La reincidencia, entendida en el sentido general más amplio de conducta infractora reiterada, es un fenómeno que cada Estado miembro trata de medir y cuyos factores determinantes intenta comprender, tarea esta que resulta delicada por cuanto depende de la disponibilidad de datos estadísticos objetivos y fiables relativos a la delincuencia. Cuando estos datos existen, pueden revelar que los antecedentes penales constituyen un determinante importante de la reincidencia. (56)
62. También es importante señalar que las personas investigadas y sus datos deben «desaparecer» del fichero policial cuando, con arreglo al artículo 68 de la LMint, el proceso penal del que sean objeto finalice por archivo de la causa o mediante resolución absolutoria, lo que obviamente influye en el número de personas que figuran en ese fichero policial, número este que el Gobierno búlgaro no ha podido comunicar. (57)
c) Naturaleza de los datos y plazo de conservación
63. Por lo que se refiere a los datos de que se trata, el Tribunal de Justicia ha declarado que, habida cuenta de la mayor protección de las personas respecto del tratamiento de datos sensibles, el responsable de dicho tratamiento debe asegurarse de que no se pueda satisfacer este objetivo recurriendo a categorías de datos distintas de las que se relacionan en el artículo 10 de la Directiva 2016/680. (58) Como se ha apuntado, los datos cuya conservación se establece contribuyen manifiestamente a la prevención, detección o enjuiciamiento de infracciones a efectos de la lucha contra la delincuencia y el mantenimiento del orden público. Del mismo modo, me parece difícil considerar que estos fines puedan alcanzarse con igual eficacia únicamente a partir de información relativa el estado civil o de fotografías del interesado, so pena de limitar en exceso la capacidad de los investigadores para explicar los delitos en virtud de una comparación de los datos recogidos durante la investigación con los datos registrados en el fichero policial en pesquisas anteriores. (59) Afortunadamente, la consideración de la confesión como prueba reina ya es cosa del pasado y los elementos recabados por los servicios de policía técnica y forense han sustituido favorablemente en la jerarquía probatoria a una prueba cuestionable. Por consiguiente, cabe concluir que los datos de que se trata son al mismo tiempo pertinentes y no excesivos en relación con los fines asignados al tratamiento.
64. Por otro lado, es preciso señalar la falta en la normativa nacional controvertida de la fijación de un plazo máximo preciso para la conservación de la información registrada en el fichero, conservándose los datos solo mientras dure el procedimiento, en caso de que finalice con una resolución de archivo de la causa o mediante resolución absolutoria en lo que respecta a algunos investigados, o durante el resto de su vida, en el caso de los condenados por sentencia firme. Según la información facilitada por el Gobierno búlgaro en la vista, que incumbe comprobar al órgano jurisdiccional, la eliminación se produce automáticamente al fallecimiento del interesado, teniendo además sus sucesores, derecho a solicitar la supresión de la inscripción con arreglo al artículo 68, apartado 6, de la LMint. ¿Debe considerarse que esta situación constituye, a efectos del artículo 5 de la Directiva 2016/680, una falta de fijación de plazos apropiados para la supresión de los datos personales, en el sentido de que el concepto de plazo debe corresponder necesariamente a un período expresado en años, meses o días? En caso de respuesta afirmativa, esta misma disposición implicaría, como alternativa, la fijación de plazos en la normativa nacional para una verificación periódica de la necesidad de conservar tales datos. (60)
65. Por lo que se refiere a los datos de las personas investigadas, y habida cuenta de la decisión del legislador búlgaro de no conservarlos en caso de que el enjuiciamiento de esas personas no concluya con la imposición de una condena penal, la duración necesariamente aleatoria del procedimiento no deja sino la opción de definir un plazo máximo con el fin de evitar que este se prolongue en exceso. Por lo que respecta a las personas condenadas, considero que la referencia al fallecimiento es efectivamente la de un límite temporal, vinculado a la vida biológica del interesado, que excluye que se califique de indefinido o ilimitado el plazo de conservación de los datos. (61) La expiración del plazo de conservación está predeterminada aunque la fecha exacta de este plazo sea, por definición, indeterminada. En cualquier caso, ha de señalarse que el Gobierno búlgaro indicó en la vista que existe una verificación periódica interna de las inscripciones en el fichero, efectuada en este caso cada tres meses, que cumple los requisitos establecidos por el artículo 5 de la Directiva 2016/680.
66. No obstante, es indiscutible que, según sea la edad del interesado en el momento de su registro en el fichero policial y la fecha de su fallecimiento, el período de conservación puede ser muy largo, superior al previsto para constatar una reincidencia o al plazo de prescripción de la acción pública señalado para los delitos más graves. (62) No obstante, este plazo de conservación está justificado por los fines de policía judicial del tratamiento, a saber, reunir indicios y pruebas con vistas a identificar a los autores de infracciones pasadas o futuras, pues cabe observar que el riesgo asociado con las infracciones penales, graves o no, es general y permanente. (63) La elucidación en ocasiones muy tardía de casos por resolver revela tanto la gran dificultad a la que se enfrentan los servicios de investigación como la pertinencia de la conservación a largo plazo de los datos biométricos y genéticos recogidos en los ficheros. (64)
d) Existencia de garantías jurídicas y técnicas en materia de conservación y acceso a los datos
67. La proporcionalidad de la injerencia que supone la conservación de los datos en el fichero policial no puede examinarse con independencia de las normas que regulan el acceso a dicho fichero y la verificación de las razones que justifican la conservación en él de los datos. Según el Tribunal EDH, cuando un Estado se atribuye el más amplio poder de conservación de duración indefinida, la existencia y el funcionamiento de determinadas salvaguardias efectivas resultan decisivos. Así pues, el Derecho interno debe contener garantías que permitan proteger eficazmente los datos personales registrados contra usos indebidos y abusivos y admitir la supresión de tales datos cuando su conservación continuada resulte desproporcionada, en particular ofreciendo la posibilidad concreta de solicitar la cancelación de los datos almacenados. (65)
1) Condiciones de consulta del fichero policial
68. De los considerandos 28, 56 y 57 de la Directiva 2016/680 y de los artículos 24, 25 y 29 de esta se desprende que los Estados miembros deben adoptar medidas para que los datos personales sean tratados de modo que se garantice un nivel adecuado de seguridad y confidencialidad, en particular impidiendo el acceso sin autorización a dichos datos y al equipo utilizado para su tratamiento o el uso no autorizado de esos datos y de ese equipo. Estas medidas comprenden el mantenimiento por el responsable del tratamiento de registros que permitan poner a disposición de la autoridad de control, a instancias de esta, cierta información sobre los tratamientos de datos efectuados, y registros diarios de determinadas operaciones de tratamiento, como la consulta, la transmisión y la supresión de datos. Según el considerando 60 de la Directiva 2016/680, el responsable del tratamiento debe aplicar medidas para mitigar estos riesgos, previamente evaluados, inherentes al tratamiento de que se trate, relativos, en particular, a la comunicación y al acceso no autorizados de los datos.
69. En la vista, el Gobierno búlgaro afirmó que la normativa nacional cumple estas exigencias, refiriéndose a la existencia de un cuerpo normativo que establece, en particular, la elaboración de listas nominativas del personal con acceso a los datos, la necesidad de que cada usuario indique la justificación de su derecho de acceso, sus datos de identidad y la fecha y hora del acceso. (66) Parece que estas garantías en cuanto al círculo de personas habilitadas para consultar el fichero policial y a las modalidades de consulta de este pueden prevenir cualquier uso abusivo o indebido del acceso a los ficheros y, por ende, un menoscabo excesivo de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, lo que corresponderá comprobar al órgano jurisdiccional remitente.
2) Control de la conservación de datos en el fichero
70. Consta que el control antes mencionado, previsto en el artículo 68, apartado 6, de la LMint, tiene un doble carácter, ya que se lleva a cabo tanto de oficio por las autoridades competentes, en forma de autocontrol, como a petición de parte, mediante solicitud motivada del interesado o de sus sucesores. En ambos supuestos, los motivos de cancelación de una inscripción en el fichero están enumerados de forma exhaustiva en dicha disposición. Estos motivos no incluyen la situación de rehabilitación de una persona, que implica la eliminación de la condena correspondiente del registro de antecedentes penales, y solo el motivo contemplado en el artículo 68, apartado 6, punto 1, de la LMint, relativo al registro efectuado con inobservancia de la ley, puede servir de base a la solicitud de supresión de la inscripción de una persona condenada penalmente, presentada, como en el presente asunto, por esa misma persona aún en vida, y, por lo tanto, antes de la expiración del plazo legal de conservación fijado en la fecha de su fallecimiento.
71. Al ser preguntado en la vista sobre el alcance del artículo 68, apartado 6, de la LMint, habida cuenta de la aplicación que de él hacen las autoridades y los órganos jurisdiccionales competentes, el Gobierno búlgaro aclaró que esta disposición permite modificar una inscripción relativa a un investigado que, a raíz de una nueva calificación del delito por el órgano jurisdiccional, resulte inexacta. Descartó por completo la posibilidad de suprimir una inscripción en el fichero a raíz de la rehabilitación del condenado. A este respecto, he de recordar que el fichero de que se trata es un instrumento destinado a la investigación cuyo propósito es facilitar la actividad operativa de policía judicial y no, en sentido estricto, un fichero del historial delictivo de una persona como el registro de antecedentes penales. Estos dos instrumentos no atienden a la misma finalidad: uno es un prontuario a disposición exclusivamente de los investigadores para permitirles elucidar a largo plazo infracciones pasadas o futuras, mientras que el otro tiene por objeto orientar la labor de los jueces a la hora de imponer una sanción penal en una causa determinada. Así, al haber conducido el beneficio de la rehabilitación a la eliminación de la condena de que se trata del registro de antecedentes penales, el interesado podría encontrarse, en su caso, en la situación de una persona que delinque por primera vez, que puede beneficiarse de penas más leves o de medidas de adaptación de la pena. No obstante, la conservación de sus datos en el fichero policial sigue siendo, en principio, necesaria a la luz del objetivo más amplio relativo a la detección, el esclarecimiento y la prevención de infracciones que persigue este fichero policial.
72. Sin embargo, de las observaciones formuladas por el Gobierno búlgaro se desprende que el motivo contemplado en el artículo 68, apartado 6, punto 1, de la LMint no comprende la apreciación de la necesidad de conservar los datos en su dimensión temporal. No parece existir ninguna disposición en la normativa nacional ni ninguna práctica administrativa o judicial que permitan a la autoridad competente cancelar, en el contexto de verificaciones trimestrales, la inscripción en el fichero policial ni al interesado solicitar su supresión en el supuesto de que la conservación de los datos personales ya no resulte necesaria habida cuenta del tiempo transcurrido desde el registro. El órgano jurisdiccional nacional remitente, que debe pronunciarse sobre la legalidad de la resolución denegatoria de la solicitud de supresión, tampoco parece estar en condiciones de efectuar tal apreciación.
F. Conclusión intermedia
73. ¿Puede considerarse que los criterios empleados para la conservación de los datos, descritos anteriormente, son suficientemente concretos, proporcionados y específicos y que el tratamiento de datos personales en cuestión respeta los límites de lo estrictamente necesario? El Tribunal de Justicia podría dar una respuesta negativa a esta cuestión por las siguientes razones.
74. Es importante señalar, en primer lugar, que la problemática de la necesidad de conservación de los datos personales se plantea especialmente cuando el tratamiento de tales datos se autoriza, como en el presente asunto, con fines preventivos. A este respecto, el verdadero criterio que justifica el registro y la conservación de los datos en el fichero policial de que se trata es la peligrosidad de los interesados, lo que implica una evaluación de los riesgos. En el presente asunto, es preciso señalar que esta evaluación se limita a la mera constatación de la existencia de una sospecha o de la comisión probada de un delito doloso, criterio poco específico donde los haya, en lo que concierne a un elemento constitutivo del delito o del fundamento mismo de la responsabilidad penal. Así pues, me parece que el régimen nacional de conservación toma en cuenta un nivel de gravedad mínimo en relación con la infracción y comprende múltiples actos de perturbación del orden social, sin que se exija a priori que sean sancionados con la pena de prisión, lo que permite considerar que se aplica con independencia de la naturaleza o la gravedad del delito. (67) Procede recordar que el Tribunal de Justicia ha declarado que la normativa búlgara, como la controvertida en el procedimiento principal, que establece la recogida de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso es, en principio, contraria al requisito establecido en el artículo 10 de la Directiva 2016/680, por cuanto puede conducir, de manera indiferenciada y generalizada, a la recogida de tales datos, dado que el concepto de «delito público doloso» tiene un carácter especialmente genérico y puede aplicarse a un gran número de delitos, con independencia de su naturaleza y gravedad. (68)
75. Si bien algunos estudios estadísticos revelan que los antecedentes penales son predictores significativos de la reincidencia, también señalan la existencia de factores objetivos que aumentan el riesgo de reincidencia relacionados, en particular, con el género y la edad del infractor y con la naturaleza del delito inicial, el tiempo transcurrido entre las conductas infractoras y el hecho de que la reincidencia está estrechamente vinculada a la naturaleza del delito que dio lugar al ingreso en prisión de su autor. (69) Pues bien, parece que, al emplear como criterio para la conservación de los datos hasta el fallecimiento del interesado la existencia de cualquier condena por un delito doloso, incluso la primera, (70) la lógica subyacente al tratamiento de estos datos es la de una concepción especialmente amplia de la trayectoria infractora, tanto por lo que respecta a la naturaleza o la gravedad de los hechos delictivos como a la edad del malhechor. Siguiendo el ejemplo del Tribunal EDH, cabe preguntarse si una lógica de este tipo, llevada en cierto modo al extremo, no equivale a efectos prácticos a justificar el almacenamiento de información sobre todos los ciudadanos y sus antepasados fallecidos, lo que sería ciertamente excesivo y carente de pertinencia. (71) He de señalar que el Tribunal de Justicia ha considerado que el mero hecho de que se investigue a una persona por la comisión de un delito público doloso no puede considerarse un dato que permita presumir, por sí solo, que la recogida de sus datos biométricos y genéticos es estrictamente necesaria a la vista de los fines que persigue. (72)
76. En segundo lugar, parece que los datos se conservan sin atender a la necesidad de almacenarlos hasta el fallecimiento del interesado. Habida cuenta de la redacción del artículo 68, apartado 6, de la LMint y de la interpretación dada a esta disposición, las autoridades competentes solo están facultadas para suprimir datos en circunstancias excepcionales, al margen de la evolución de la situación de esta persona desde el registro de sus datos en el fichero. Lo mismo sucede, lógicamente, con la vía que ese mismo texto pone a disposición de dicha persona para solicitar la supresión de los datos, la cual no es suficientemente efectiva, ya que no permite verificar que el plazo de conservación de los datos sea proporcionado en relación con la injerencia de que se trate. Esta apreciación debería atender a diferentes criterios, como la naturaleza y la gravedad de los hechos probados, el tiempo transcurrido desde los hechos, el tiempo restante para que expire el plazo legal de conservación o la edad del demandante en el caso concreto, habida cuenta de su situación personal, en lo que respecta a la edad a la que cometió el delito, su comportamiento desde entonces (inserción social, indemnización de las víctimas) y su personalidad, pudiendo el beneficio de la rehabilitación constituir, en este contexto, un elemento de la apreciación de conjunto. En estas circunstancias, el control de que dispone, en particular, la persona que figura en el fichero resulta tan exiguo que es casi hipotético. (73)
77. Las conclusiones anteriores deben ponerse en relación con el hecho de que pueden conservarse durante mucho tiempo datos sensibles y de que el fichero de que se trata puede ofrecer a sus usuarios funciones muy intrusivas, en particular de identificación, análisis y cotejo de datos, para la explotación de estos. Debe señalarse que, con arreglo al artículo 68, apartado 3, de la LMint, las autoridades policiales deben, a efectos de la inscripción de una persona en el fichero policial, tomar muestras de esa persona para la elaboración de un «perfil de ADN» y hacerle fotografías, las cuales, en su caso, pueden ser sometidas a técnicas de reconocimiento facial.
V. Conclusión
78. A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo al Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria):
«Los artículos 4, 5, 8, 10 y 16, apartado 2, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, en relación con el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y a la luz de esta disposición,
deben interpretarse en el sentido de que:
se oponen a una normativa nacional que prevé la conservación de los datos personales en un fichero policial, incluidos los datos biométricos y genéticos, de toda persona condenada penalmente por un delito doloso, sin distinguir en función de la naturaleza o la gravedad del delito, hasta el fallecimiento de esa persona, sin posibilidad de llevar a cabo un control del mantenimiento de los datos que figuran en el fichero a la luz del tiempo transcurrido desde su registro y, en su caso, obtener su posterior supresión.
La rehabilitación del condenado puede formar parte de los elementos considerados al verificar, a la luz de su situación, la proporcionalidad del plazo de conservación de los datos en relación con la finalidad del tratamiento.»