CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:483

CONCLUSÕES DO ADVOGADO‑GERAL

PRIIT PIKAMÄE

apresentadas em 15 de junho 2023 (1)

Processo C‑118/22

Procedimento administrativo

contra

Direktor na Glavna direktsia «Natsionalna politsia» pri MVR ‑ Sofia,

sendo interveniente:

Varhovna administrativna prokuratura

[pedido de decisão prejudicial apresentado pelo Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária)]

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva (UE) 2016/680 — Artigos 4.o, 5.o, 8.o, 10.o e 16.o — Conservação dos dados de uma pessoa singular condenada pela prática de uma infração dolosa até à sua morte — Pessoa singular condenada por uma sentença transitada em julgado e posteriormente reabilitada — Indeferimento do pedido de apagamento — Necessidade e proporcionalidade da ingerência nos direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta dos Direitos Fundamentais da União Europeia»

1. Deveremos preocupar‑nos com a conservação de dados pessoais em registos policiais que confinam o indivíduo registado, eventualmente durante toda a sua vida, ao estatuto de desviante social, perigoso até morrer? Não deveríamos, pelo contrário, congratular‑nos com o facto de os investigadores terem conseguido resolver casos antigos não resolvidos, mais conhecidos atualmente sob a designação de «cold cases», para grande alívio das famílias das vítimas?

2. O presente processo inscreve‑se precisamente neste questionamento antagónico, que remete para a conciliação entre o interesse público ligado ao combate à criminalidade e o interesse do indivíduo no que toca à proteção dos seus dados pessoais e ao respeito pela sua vida privada. Ele dá oportunidade ao Tribunal de Justiça de se pronunciar sobre a questão do tratamento desses dados para efeitos de repressão na sua dimensão temporal, à luz das disposições pertinentes da Diretiva (UE) 2016/680 (2).

I. Quadro jurídico

A. Direito da União

3. São pertinentes no âmbito do presente processo, os artigos 4.^o, 5.^o, 8.^o, 10.^o e 16.^o da Diretiva 2016/680, bem como o artigo 52.^o, n.^o 1, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).

B. Direito búlgaro

4. O artigo 26.^o, n.^os 1 e 2, da zakon za Ministerstvo na vatreshnite raboti (Lei relativa ao Ministério da Administração Interna, a seguir «ZMVR») dispõe:

«(1) Quando tratam dados pessoais relacionados com as atividades de proteção da segurança nacional, de combate à criminalidade, de manutenção da ordem pública e de condução de processos penais, as autoridades do Ministério da Administração Interna:

[…]

3. podem tratar todas as categorias necessárias de dados pessoais;

[…]

(2) Os prazos para a conservação dos dados referidos no n.^o 1 ou para a avaliação periódica da necessidade do seu armazenamento são fixados pelo Ministro da Administração Interna. Esses dados são igualmente apagados por força de um ato judicial ou de uma decisão da Comissão de Proteção dos Dados Pessoais.»

5. O artigo 27.^o da ZMVR enuncia:

«Os dados provenientes da inscrição das pessoas no registo policial efetuada com base no artigo 68.^o apenas são utilizados para efeitos da proteção da segurança nacional, do combate à criminalidade e da manutenção da ordem pública.»

6. O artigo 68.^o da ZMVR prevê o seguinte:

«(1) As autoridades policiais inscrevem no registo policial as pessoas constituídas arguidas pela prática de uma infração dolosa objeto da ação pública. As autoridades responsáveis pelo inquérito estão obrigadas a tomar as medidas necessárias para efeitos da inscrição no registo pelas autoridades policiais.

(2) A inscrição no registo policial constitui um tipo de tratamento de dados pessoais das pessoas referidas no n.^o 1, que é efetuado nos termos da presente lei.

(3) Para efeitos de inscrição no registo policial, as autoridades policiais devem:

1. recolher os dados pessoais das pessoas referidas no artigo 18.^o da Lei relativa aos Documentos de Identificação Búlgaros;

2. recolher as impressões digitais das pessoas e respetiva fotografia;

3. proceder à recolha de amostras para efeitos da elaboração de um perfil ADN das pessoas.

[…]

(6) A inscrição no registo policial é suprimida com base numa ordem escrita do responsável pelo tratamento dos dados pessoais ou dos funcionários por ele mandatados, oficiosamente ou mediante pedido escrito e fundamentado da pessoa inscrita, quando:

1. o registo tiver sido efetuado em violação da lei;

2. o processo penal for arquivado, exceto nos casos previstos no artigo 24.^o do [Nakazatelno‑protsesualen kodeks (Código de Processo Penal)];

3. o processo penal tiver resultado numa absolvição;

4. a pessoa tiver sido declarada penalmente inocente e lhe tiver sido aplicada uma sanção administrativa;

5 a pessoa falecer, caso em que o pedido pode ser apresentado pelos seus herdeiros.

(7) As modalidades de inscrição no registo policial e de apagamento dessa inscrição são estabelecidas por regulamento do Conselho de Ministros.»

II. Factos na origem do litígio, tramitação do processo principal e questão prejudicial

7. NG foi objeto de inscrição no registo policial, efetuado no âmbito de um inquérito, por falso testemunho, infração penal prevista no artigo 290.^o, n.^o 1, do Nakazatelen Kodeks (Código Penal). Na sequência desse inquérito, foi deduzida acusação contra ele em 2 de julho de 2015, e, por Sentença de 28 de junho de 2016, confirmada em sede recurso por Sentença de 2 de dezembro de 2016, foi declarado culpado e condenado a uma pena suspensa de um ano, com sujeição a regime de prova. A pena foi cumprida em 14 de março de 2018.

8. Em 15 de julho de 2020, NG apresentou à administração territorial competente do Ministerstvo na vatreshnite raboti (Ministério da Administração Interna, Bulgária) um pedido de apagamento do referido registo, apresentando um certificado do seu registo criminal, que declarava não estar condenado.

9. Por Decisão de 2 de setembro de 2020, a autoridade administrativa competente indeferiu este pedido com o fundamento de que uma condenação por sentença transitada em julgado não faz parte dos motivos de apagamento da inscrição no registo policial, enumerados exaustivamente no artigo 68.^o, n.^o 6, da ZMVR, incluindo em caso de reabilitação, na aceção do artigo 85.^o do Código Penal. Em 8 de outubro de 2020, NG interpôs recurso desta decisão para o Administrativen sad Sofia grad (Tribunal Administrativo da cidade de Sófia, Bulgária). Por Decisão de 2 de fevereiro de 2021, o referido órgão jurisdicional negou provimento ao recurso.

10. NG interpôs recurso da decisão do Administrativen sad Sofia grad (Tribunal Administrativo da cidade de Sófia) para o Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária). O principal fundamento do recurso é relativo à violação do princípio, que decorreria dos artigos 5.^o, 13.^o e 14.^o da Diretiva 2016/680, segundo o qual o tratamento de dados pessoais por armazenamento não pode ter uma duração ilimitada. Ora, na falta de um motivo de apagamento da inscrição no registo policial, uma pessoa condenada não poderia pedir, após a sua reabilitação, o apagamento dos seus dados recolhidos, relacionados com a infração penal pela qual tinha cumprido a sua pena, de modo que a duração do respetivo armazenamento seria ilimitada.

11. Por ter dúvidas quanto à conformidade da regulamentação nacional que regula o registo policial em causa com o direito da União, o órgão jurisdicional de reenvio decidiu suspender a instância no processo principal e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«Pode o artigo 5.^o, em conjugação com o artigo 13.^o, n.^o 2, alínea b), e n.^o 13, da [Diretiva 2016/680] ser interpretado no sentido de que permite a adoção de medidas legislativas nacionais que tenham por efeito reconhecer às autoridades nacionais competentes um direito praticamente ilimitado ao tratamento de dados pessoais para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais e/ou à [perda pela] pessoa em causa [do seu direito] à limitação do tratamento, apagamento ou destruição dos seus dados?»

III. Tramitação processual no Tribunal de Justiça

12. Os Governos búlgaro, checo, irlandês, espanhol e polaco e a Comissão Europeia apresentaram observações escritas. Na audiência de 7 de fevereiro de 2023, foram igualmente ouvidas as observações orais do recorrente no processo principal, dos Governos búlgaro, irlandês, espanhol, neerlandês e polaco, bem como da Comissão.

IV. Análise

A. Quanto à aplicabilidade da Diretiva 2016/680

13. Resulta do pedido de decisão prejudicial que o órgão jurisdicional de reenvio dá manifestamente por adquirido que a regulamentação nacional em causa é abrangida pelo âmbito de aplicação ratione materiae da Diretiva 2016/680, posição que considero justificar algumas observações.

14. Em conformidade com uma leitura conjugada do artigo 1.^o, n.^o 1, e do artigo 2.^o, n.^o 1, da Diretiva 2016/680, esta aplica‑se ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública. O artigo 2.^o, n.^o 3, alínea a), da Diretiva 2016/680 exclui do seu âmbito de aplicação o tratamento de dados pessoais efetuado «no exercício de atividades não sujeitas à aplicação do direito da União». Os considerandos 12 e 14 da referida diretiva clarificam o âmbito desta exceção de inaplicabilidade, indicando que abrange, nomeadamente, as atividades relacionadas com a segurança nacional, distintas das relacionadas com a manutenção da ordem pública, quando esta função é confiada à polícia ou a outras autoridades de aplicação da lei, quando tal é necessário para efeitos de proteção e prevenção de ameaças à segurança pública e aos interesses fundamentais da sociedade protegidos por lei, suscetíveis de conduzir a uma infração penal.

15. Interpretando o artigo 2.^o, n.^o 2, alínea a), do Regulamento (UE) 2016/679 (3), que prevê uma exceção à aplicabilidade deste regulamento redigida nos mesmos termos que o artigo 2.^o, n.^o 3, alínea a), da Diretiva 2016/680, o Tribunal de Justiça declarou que esta primeira disposição, lida à luz do considerando 16 do referido regulamento, tem por único objetivo excluir do âmbito de aplicação desta norma os tratamentos de dados pessoais efetuados pelas autoridades estatais no âmbito de uma atividade que visa preservar a segurança nacional ou de uma atividade que pode ser classificada na mesma categoria, pelo que o simples facto de uma atividade ser própria do Estado ou de uma autoridade pública não é suficiente para que essa exceção seja automaticamente aplicável a essa atividade. Esclareceu que as atividades que têm por finalidade preservar a segurança nacional abrangem, especialmente as que têm por objeto proteger as funções essenciais do Estado e os interesses fundamentais da sociedade (4).

16. Ora, no caso vertente, os dados registados e conservados pela polícia nos termos do artigo 68.^o da ZMVR são‑no, em conformidade com o artigo 27.^o desta lei, para efeitos da proteção da segurança nacional, do combate à criminalidade e da manutenção da ordem pública. Assim, o registo policial em causa constitui uma base de dados única e híbrida, uma vez que reúne informações que podem ser objeto de tratamentos que respondem a finalidades distintas, incluindo a de proteção da segurança nacional, que não é abrangida pelo âmbito de aplicação material da Diretiva 2016/680. Nestas circunstâncias, a licitude da conservação dos dados que figuram nesse registo não pode ser examinada à luz das exigências desta diretiva, uma vez que esses dados são utilizados exclusivamente para os fins indicados no artigo 1.^o, n.^o 1, da referida diretiva, o que incumbe ao órgão jurisdicional de reenvio verificar (5). Tal como os autos foram submetidos ao Tribunal de Justiça, não parece que a conservação dos dados de NG no registo policial, cujo apagamento este pede, possa ser considerada um tratamento não abrangido pelo âmbito de aplicação material da Diretiva 2016/680.

17. Importa sublinhar, nesta fase, que a legislação nacional em causa no processo principal já foi objeto de um acórdão do Tribunal de Justiça na sequência de uma questão prejudicial de um órgão jurisdicional búlgaro chamado a apreciar a recusa de uma pessoa constituída arguida por um crime de fraude fiscal de se submeter à recolha dos seus dados. No âmbito do referido processo, o Tribunal de Justiça pronunciou‑se, nomeadamente, sobre a licitude da recolha dos dados em relação às exigências do artigo 10.^o da Diretiva 2016/680, declarando que este último, lido em conjugação com o artigo 4.^o, n.^o 1, alíneas a) a c), e o artigo 8.^o, n.^os 1 e 2, desta diretiva, deve ser interpretado no sentido de que se opõe a uma legislação nacional que prevê a recolha sistemática de dados biométricos e genéticos de qualquer pessoa constituída arguida por uma infração dolosa objeto de ação penal ex officio para efeitos do seu registo, sem prever a obrigação de a autoridade competente verificar e demonstrar, por um lado, que essa recolha é estritamente necessária à realização dos objetivos concretos prosseguidos e, por outro, que esses objetivos não podem ser alcançados através de medidas que constituam uma ingerência menos gravosa nos direitos e nas liberdades do titular de dados (6). O presente processo leva o Tribunal de Justiça a ter de examinar a licitude de uma ingerência distinta, a saber, a conservação de informações relativas a pessoas singulares condenadas penalmente, identificadas pelo seu nome e apelido no registo policial em causa, a qual constitui um tratamento de dados pessoais efetuado por uma autoridade pública competente para efeitos de prevenção, deteção e investigação de infrações penais, a saber, o Ministério da Administração Interna búlgaro, na aceção do artigo 3.^o, n.^os 1 e 2, e do artigo 3.^o, n.^o 7, alínea a), da Diretiva 2016/680.

B. Quanto à reformulação da questão prejudicial

18. A título preliminar, importa recordar que, no âmbito do processo de cooperação entre os órgãos jurisdicionais nacionais e o Tribunal de Justiça, instituído pelo artigo 267.^o TFUE, cabe a este dar ao órgão jurisdicional nacional uma resposta útil que lhe permita decidir o litígio que lhe foi apresentado. Nesta ótica, incumbe ao Tribunal de Justiça, se necessário, reformular as questões que lhe são submetidas. Com efeito, o Tribunal de Justiça tem por missão interpretar todas as disposições do direito da União de que os órgãos jurisdicionais nacionais necessitem para decidir os litígios que lhes são submetidos, ainda que essas disposições não sejam expressamente referidas nas questões que lhe são apresentadas por esses órgãos jurisdicionais (7).

19. Os factos do processo principal dizem respeito a um pedido de apagamento de dados pessoais no registo policial, apresentado por uma pessoa singular, que, após ter sido condenada por falso testemunho, cumpriu a sua pena e foi reabilitada em 14 de março de 2020, ou seja, quase cinco anos após a inscrição acima referida. Este pedido foi indeferido por decisão da autoridade administrativa competente, confirmada em primeira instância pela decisão do Administrativen sad Sofia grad (Tribunal Administrativo da cidade de Sófia), que é objeto de um recurso no órgão jurisdicional de reenvio, o qual tem dúvidas quanto à compatibilidade da regulamentação nacional com a Diretiva 2016/680, no que diz respeito à questão da conservação dos dados no registo policial. Por conseguinte, o processo principal diz claramente respeito ao direito de apagamento dos dados pessoais sem demora injustificada, como previsto no artigo 16.^o, n.^o 2, da Diretiva 2016/680, quando o tratamento infrinja as disposições adotadas nos termos dos seus artigos 4.^o, 8.^o ou 10.^o ou caso esses dados tenham de ser apagados a fim de cumprir uma obrigação legal a que o responsável pelo tratamento está sujeito.

20. O artigo 4.^o, n.^o 1, alíneas c) e e), da Diretiva 2016/680 dispõe que os Estados‑Membros devem assegurar que os dados pessoais sejam, em conformidade com os princípios da minimização e da limitação da conservação dos dados, respetivamente, adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para as quais são tratados e conservados, de forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados (8). O artigo 8.^o desta diretiva é consagrado à licitude do tratamento, que está condicionada à necessidade de um tratamento efetuado para o exercício de uma atribuição pela autoridade competente para os efeitos previstos no artigo 1.^o, n.^o 1, da referida diretiva e tiver uma base jurídica europeia ou nacional, devendo esta última especificar pelo menos, os objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento. Por último, no que diz respeito ao artigo 10.^o da Diretiva 2016/680, este determina o regime jurídico do tratamento de categorias especiais de dados pessoais, como os dados biométricos e genéticos utilizados no registo policial a fim de identificar uma pessoa singular de forma inequívoca.

21. Não se pode deixar de observar que as disposições evocadas no número anterior não são referidas na questão prejudicial, embora sejam manifestamente pertinentes para efeitos da resposta que o Tribunal de Justiça é chamado a dar no caso em apreço. O órgão jurisdicional de reenvio solicitou a interpretação dos artigos 5.^o e 13.^o, n.^os 2, alínea b), e 3, da Diretiva 2016/680, que não fazem parte das disposições expressamente mencionadas no artigo 16.^o, n.^o 2, desta diretiva, cuja violação pela regulamentação nacional justifica a aplicação do direito ao apagamento concedido à pessoa em causa. Todavia, este direito é igualmente reconhecido quando os dados devem ser apagados para cumprir uma obrigação legal a que o responsável pelo tratamento está sujeito, o que é suscetível de corresponder às situações previstas nos artigos 5.^o e 13.^o, n.^o 2, alínea b), da referida diretiva, a saber e respetivamente: a fixação de prazos máximos de conservação dos dados ou de avaliações periódicas da necessidade dessa conservação (9) e o fornecimento, pelo responsável pelo tratamento, ao titular dos dados, em casos especiais, de informações adicionais às referidas no artigo 13.^o, n.^o 1, a fim de lhe permitir exercer os seus direitos. Em contrapartida, o artigo 13.^o, n.^o 3, deste artigo diz respeito à possibilidade de os Estados‑Membros adotarem, em determinadas condições, medidas legislativas que prevejam o adiamento, a limitação ou a não prestação aos titulares dos dados das informações a que se refere o n.^o 2, o que não pode constituir uma obrigação legal imposta ao responsável pelo tratamento.

22. Em todo o caso, não resulta da decisão de reenvio que, no processo principal, se tenha colocado a questão de saber se NG tinha sido informado dos seus direitos, uma vez que este os pôde manifestamente exercer, como demonstra a ação que intentou perante as autoridades administrativas e, em seguida, as autoridades judiciais relativamente à conservação dos seus dados. A questão submetida ao Tribunal de Justiça não parece, portanto, exigir a interpretação do artigo 13.^o, n.^os 2, alínea b), e 3, da Diretiva 2016/680. Por conseguinte, são o artigo 16.^o, n.^o 2, da Diretiva 2016/680 e os artigos 4.^o, 5.^o, 8.^o e 10.^o desta mesma diretiva que estão especialmente em causa no processo principal.

23. Além disso, como enuncia o seu considerando 104, a Diretiva 2016/680 respeita os direitos fundamentais e observa os princípios reconhecidos pela Carta, consagrados no Tratado sobre o Funcionamento da União Europeia, nomeadamente o direito ao respeito da vida privada e familiar e o direito à proteção dos dados pessoais. Segundo o considerando 46 desta diretiva, as restrições dos direitos do titular dos dados devem respeitar a Carta e a Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma, em 4 de novembro de 1950 (a seguir «CEDH»), de acordo com a interpretação na jurisprudência do Tribunal de Justiça e do Tribunal Europeu dos Direitos do Homem (a seguir «TEDH»), respetivamente, e devem respeitar, particularmente, o conteúdo essencial desses direitos e liberdades. Importa recordar que os direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais garantidos pelos artigos 7.^o e 8.^o da Carta não são prerrogativas absolutas, mas devem ser tomados em consideração de acordo com a sua função na sociedade e ser objeto de ponderação juntamente com outros direitos fundamentais. Podem, assim, ser introduzidas restrições, desde que, em conformidade com o artigo 52.^o, n.^o 1, da Carta, sejam previstas por lei e respeitem o conteúdo essencial dos direitos fundamentais e o princípio da proporcionalidade. Por força deste último princípio, só podem ser introduzidas restrições se forem necessárias e corresponderem efetivamente a objetivos de interesse geral reconhecidos pela União, ou à necessidade de proteção dos direitos e liberdades de terceiros. Tais restrições devem ocorrer na estrita medida do necessário e a regulamentação que contenha a ingerência deve prever regras claras e precisas que regulem o alcance e a aplicação da medida em causa (10).

24. Nestas circunstâncias, deve considerar‑se que o órgão jurisdicional de reenvio pergunta, em substância, se os artigos 4.^o, 5.^o, 8.^o, 10.^o e o artigo 16.^o, n.^o 2, da Diretiva 2016/680, lidos em conjugação e à luz do artigo 52.^o, n.^o 1, da Carta, devem ser interpretados no sentido de que se opõem a uma legislação nacional que prevê a conservação de dados pessoais num registo policial, que inclui os dados biométricos e genéticos do titular dos dados, até à sua morte, e não lhe permite obter o apagamento desses dados na sequência da reabilitação de que beneficiou posteriormente à sua condenação penal (11).

C. Quanto à conservação de dados pessoais para efeitos de repressão

25. Antes de examinar a compatibilidade da regulamentação nacional relativa ao registo policial em causa, afigura‑se‑me necessário analisar a problemática da conservação de dados para efeitos de repressão à luz de certas disposições da Diretiva 2016/680, bem como da jurisprudência do Tribunal de Justiça e do TEDH.

26. Em primeiro lugar, há que salientar que a Diretiva 2016/680 visa contribuir para a realização de um espaço de liberdade, segurança e justiça na União, ao mesmo tempo que estabelece um quadro para a proteção dos dados pessoais sólido e coerente, a fim de assegurar o respeito do direito fundamental da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, reconhecido no artigo 8.^o, n.^o 1, da Carta e no artigo 16.^o, n.^o 1, TFUE, estando este direito estreitamente ligado ao direito ao respeito pela vida privada, consagrado no artigo 7.^o da Carta (12). Para o efeito, os capítulos II e III da Diretiva 2016/680 enunciam, respetivamente, os princípios que regem o tratamento de dados pessoais e os direitos da pessoa em causa que qualquer tratamento desses dados deve respeitar. Em especial, qualquer tratamento de dados pessoais deve respeitar os princípios relativos ao tratamento de dados e às condições de licitude do tratamento enunciadas nos artigos 4.^o e 8.^o desta diretiva. Uma vez que as exigências contidas nesta última disposição constituem uma expressão das que decorrem do artigo 52.^o, n.^o 1, da Carta, devem ser interpretadas à luz deste artigo (13).

27. Por conseguinte, na resposta a dar ao órgão jurisdicional de reenvio, importa ter em conta o princípio da «minimização dos dados» enunciado no artigo 4.^o, n.^o 1, alínea c), da Diretiva 2016/680, que dá expressão ao princípio da proporcionalidade (14). O mesmo se aplica ao princípio da limitação da conservação, contido no artigo 4.^o, n.^o 1, alínea e), desta diretiva, que implica proceder a uma apreciação do caráter proporcionado do tratamento relativamente à sua finalidade, tendo em conta o decurso do tempo. A conservação dos dados durante um período superior ao necessário, ou seja, que ultrapasse a duração necessária para a realização das finalidades para as quais esses dados foram conservados, infringirá esse princípio (15). Daqui resulta que, mesmo um tratamento de dados inicialmente lícito se pode tornar, com o tempo, incompatível com a Diretiva 2016/680, quando esses dados já não sejam necessários para a realização dessas finalidades e devam ser eliminados após a realização dessas finalidades (16).

28. A problemática temporal da conservação de dados é igualmente abordada no artigo 5.^o da Diretiva 2016/680, sob a forma de um complemento e de uma precisão aos requisitos do seu artigo 4.^o (17). Como menciona o considerando 26 da referida diretiva, a fim de assegurar que os dados são conservados apenas durante o período considerado necessário, o responsável pelo tratamento deverá fixar prazos para o seu apagamento ou revisão periódica. Há que observar que o artigo 5.^o da Diretiva 2016/680, por um lado, deixa aos Estados‑Membros a tarefa de avaliar e fixar a duração pertinente da conservação, e, por outro, prevê a avaliação periódica da necessidade de conservar os dados como alternativa à fixação a priori de um período máximo de conservação. Esta segunda observação parece‑me ter uma certa importância no presente processo, uma vez que traduz o reconhecimento pelo legislador da União de uma possível conservação de dados por um período indefinido, para fins de repressão (18). Esta constatação deve ser relacionada com os termos do artigo 16.^o, n.^o 3, da Diretiva 2016/680, que prevê a possibilidade de limitar o tratamento de dados em alternativa ao seu apagamento, nomeadamente na sua alínea b), caso os dados pessoais tenham de ser conservados «para efeitos de prova», o que demonstra que não existe um direito absoluto ao apagamento (19).

29. A questão da licitude da conservação dos dados inclui necessariamente a da sua natureza, que, no caso em apreço, abarca, nomeadamente, as impressões digitais, fotografias e uma amostra de ADN da pessoa suspeita de ter cometido uma infração ou condenada penalmente a esse título, fazendo este tipo de dados com que o respetivo tratamento seja abrangido pelo âmbito de aplicação do artigo 10.^o da Diretiva 2016/680. Importa sublinhar que, embora o regime jurídico definido por esta disposição não contenha, ao contrário do previsto no artigo 9.^o do RGPD, uma proibição de princípio do tratamento desses dados, este último só é autorizado «se for estritamente necessário», se estiver sujeito a garantias adequadas dos direitos e liberdades do titular dos dados e se for, nomeadamente, autorizado pelo direito da União ou de um Estado‑Membro.

30. Segundo a jurisprudência, a finalidade do artigo 10.^o da Diretiva 2016/680 é assegurar uma maior proteção relativamente a esses tratamentos, que, devido à particular sensibilidade dos dados em causa e ao contexto do seu tratamento, são suscetíveis de implicar, como decorre do considerando 37 da referida diretiva, riscos significativos para os direitos e as liberdades fundamentais, como o direito ao respeito pela vida privada e o direito à proteção dos dados pessoais, garantidos pelos artigos 7.^o e 8.^o da Carta. Como resulta dos próprios termos em que é enunciado no artigo 10.^o da Diretiva 2016/680, o requisito segundo o qual o tratamento desses dados «só é autorizado se for estritamente necessário» deve ser interpretado no sentido de que define condições reforçadas de licitude do tratamento de dados sensíveis, em comparação com as que decorrem do artigo 4.^o, n.^o 1, alíneas b) e c), e do artigo 8.^o, n.^o 1, desta diretiva, que se referem apenas à «necessidade» de um tratamento de dados abrangido, de modo geral, pelo âmbito de aplicação da referida diretiva. Assim, por um lado, a utilização do advérbio «só» antes da expressão «se for estritamente necessário» sublinha que o tratamento de categorias especiais de dados, na aceção do artigo 10.^o da Diretiva 2016/680, só pode ser considerado necessário num número limitado de casos. Por outro lado, o caráter «estrito» da necessidade de um tratamento de tais dados implica que essa necessidade seja apreciada de maneira particularmente rigorosa (20).

31. Em segundo lugar, saliento que, embora o Tribunal de Justiça já se tenha pronunciado em várias ocasiões sobre a questão da licitude da conservação de dados para efeitos de repressão, fê‑lo em contextos normativos e factuais que são singularmente diferentes do presente caso. Assim, o Tribunal de Justiça declarou (21) que o direito da União resultante da Diretiva 2002/58/CE (22), da qual decorre que os utilizadores dos meios de comunicação eletrónicos têm o direito de esperar, em princípio, que, caso não tenham dado consentimento, as suas comunicações e respetivos dados permaneçam anónimos e não possam ser objeto de registo, se opõe a uma conservação geral e indiferenciada, a título preventivo, de dados de tráfego e de dados de localização para efeitos de combate à criminalidade, independentemente do seu grau de gravidade, sendo essa conservação autorizada, sob certas condições, apenas em caso de ameaça grave, real e atual ou previsível para a segurança nacional. O Tribunal de Justiça acrescentou que, em contrapartida, o direito da União não se opõe a medidas que prevejam, para efeitos do combate à criminalidade grave, uma conservação geral e indiferenciada de dados relativos à identidade civil dos utilizadores, e, por um período temporalmente limitado ao estritamente necessário, dos seus endereços IP, uma conservação seletiva de dados delimitada, com base em fatores objetivos e não discriminatórios, em função das categorias de pessoas em causa ou através de um critério geográfico, por um período temporalmente limitado ao estritamente necessário, mas que pode ser renovado, e uma conservação rápida dos dados relativos de que dispõem os prestadores de serviços por um período de tempo determinado, devendo todas estas medidas assegurar, mediante regras claras e precisas, que a conservação dos dados em causa está subordinada ao respeito das respetivas condições materiais e processuais e que as pessoas em causa dispõem de garantias efetivas contra os riscos de abuso.

32. O Tribunal de Justiça recorreu igualmente ao critério relativo ao respeito dos limites do estritamente necessário para o tratamento de dados pessoais no contexto da transferência, da conservação e da utilização dos dados contidos nos registos de identificação dos passageiros de voos extra‑UE criados pelas transportadoras aéreas (a seguir «dados PNR»), a fim de prevenir, detetar, investigar e reprimir as infrações terroristas e a criminalidade grave (23). O Tribunal de Justiça teve ocasião de sublinhar que, uma vez que o período de conservação dos dados PNR pode, em conformidade com o Acordo PNR UE‑Canadá, ir até cinco anos, este acordo permite dispor de informações sobre a vida privada dos passageiros aéreos durante um período particularmente longo, e que, quanto aos passageiros aéreos relativamente aos quais esse risco não tenha sido identificado à sua chegada ao Canadá e até à sua saída deste país terceiro, não se afigura existir, uma vez saídos desse país, qualquer relação, ainda que indireta, entre os seus dados PNR e o objetivo prosseguido pelo acordo projetado, que justifique a conservação destes dados. Concluiu, por conseguinte, que não se justificava o armazenamento contínuo dos dados PNR de todos os passageiros aéreos após a sua saída do Canadá para efeitos de um eventual acesso aos referidos dados, independentemente de uma qualquer relação com a luta contra o terrorismo e a criminalidade transnacional grave (24).

33. O Tribunal de Justiça pronunciou‑se, no âmbito de um reenvio prejudicial, sobre a validade e a interpretação da Diretiva (UE) 2016/681 (25), que obriga as transportadoras aéreas a transferir os dados de qualquer passageiro de um voo extra‑UE, operado entre um país terceiro e a União Europeia, para a unidade de informações de passageiros do Estado‑Membro de destino ou de partida do voo em causa, a fim de lutar contra o terrorismo e a criminalidade grave. Os dados PNR assim transferidos são objeto de uma avaliação prévia pela unidade de informações de passageiros durante um período de seis meses e seguidamente conservados durante cinco anos, com vista a uma eventual avaliação posterior pelas autoridades competentes dos Estados‑Membros, o que pode levar a efetuar análises durante um período considerável, ou mesmo indefinido, no caso de pessoas que viajam de avião mais do que uma vez de cinco em cinco anos. O Tribunal de Justiça considerou que esta diretiva contém ingerências de certa gravidade nos direitos garantidos nos artigos 7.^o e 8.^o da Carta, visto que, nomeadamente, visa instaurar um regime de vigilância continuada, não seletiva e sistemática, que incluía a avaliação automatizada de dados pessoais do todas as pessoas que utilizavam serviços de transporte aéreo, que se prestava a uma interpretação conforme com os artigos 7.^o, 8.^o e 21.^o, e com o artigo 52.^o, n.^o 1, da Carta. O Tribunal de Justiça precisou que, após o termo do período de conservação inicial de seis meses, a conservação dos dados PNR não parecia estar limitada ao estritamente necessário no que diz respeito aos passageiros aéreos relativamente aos quais nem a avaliação prévia, nem as eventuais avaliações efetuadas durante o período de conservação inicial de seis meses, nem mais nenhuma circunstância, tinham revelado a existência de elementos objetivos suscetíveis de estabelecer um risco em matéria de infrações terroristas ou de criminalidade grave que apresentassem relação objetiva, ainda que indireta, com a viagem aérea efetuada por esses passageiros. Em contrapartida, o Tribunal de Justiça considerou que, durante o período inicial de seis meses, a conservação dos dados PNR de todos os passageiros aéreos sujeitos ao sistema instituído por esta diretiva não parecia, em princípio, exceder os limites do estritamente necessário.

34. Por oposição à jurisprudência acima recordada, importa sublinhar, por um lado, que, contrariamente ao que está estabelecido em matéria de tratamento de dados na Diretiva 2002/58 (26), o consentimento dos titulares dos dados não constitui uma base jurídica para o tratamento de dados pessoais pelas autoridades competentes para os efeitos das finalidades enunciadas no artigo 1.^o, n.^o 1, da Diretiva 2016/680. Como é precisado no considerando 35 desta diretiva, o exercício das funções de prevenção, investigação, deteção ou repressão de infrações penais conferidas institucionalmente por lei às autoridades competentes permite‑lhes exigir que as pessoas singulares cumpram o que lhes é solicitado. Por outro lado, no presente processo não está em causa a conservação e a análise automatizada de um «mar de dados» (27) gerados no setor das comunicações eletrónicas ou dos transportes aéreos, armazenados por operadores privados e transferidos para serviços de investigação, mas de um registo policial único, sob controlo exclusivo de uma autoridade pública, e estritamente confidencial, que contém os dados de pessoas relativamente às quais existem motivos sérios para crer que cometeram uma infração, que são suspeitas e que foram condenadas penalmente.

35. A especificidade do contexto normativo e factual da referida jurisprudência impede, a meu ver, qualquer transposição pura e simples das soluções aí adotadas para responder à presente questão prejudicial, nomeadamente no que respeita à distinção entre os objetivos de conservação de dados (salvaguarda da segurança nacional, luta contra a criminalidade grave ou contra infrações não abrangidas por esta última) e à necessária correlação entre a importância desses objetivos e o grau de gravidade das ingerências nos direitos fundamentais suscetíveis de ser justificadas (28). Por outras palavras, a afirmação de que a luta contra a criminalidade em geral pode justificar unicamente ingerências sem caráter grave (29) não pode ser aceite no caso em apreço, sob pena de se reduzir grandemente o efeito útil da Diretiva 2016/680 e dos instrumentos nacionais de inquérito/segurança pública, como o registo policial em causa, abrangidos pelo âmbito de aplicação desta norma, cujo objeto exprime precisamente a necessidade de se poder tratar dados para fins policiais de forma proporcionada. Há que salientar que, como resulta dos considerandos 10 e 11 da Diretiva 2016/680, o legislador da União pretendeu adotar regras que têm em conta a natureza específica do domínio abrangido por esta diretiva. A este respeito, o considerando 12 indica que as funções da polícia ou de outras autoridades de aplicação da lei se centram principalmente na prevenção, investigação, deteção, ou repressão de infrações penais, sem outra precisão, incluindo as atividades policiais exercidas sem conhecimento prévio de que um incidente constitui ou não uma infração penal (30).

36. Em terceiro lugar, cabe salientar que o artigo 7.^o da Carta, relativo ao direito ao respeito pela vida privada e familiar, consagra direitos correspondentes aos garantidos no artigo 8.^o, n.^o 1, da CEDH, e que a proteção dos dados pessoais desempenha um papel fundamental no exercício do direito ao respeito pela vida privada e familiar consagrado no artigo 8.^o da CEDH. Por conseguinte, em conformidade com o artigo 52.^o, n.^o 3, da Carta, deve dar‑se ao referido 7.^o o mesmo sentido e o mesmo alcance que o sentido e o alcance conferidos ao artigo 8.^o, n.^o 1, da CEDH, tal como interpretado pela jurisprudência do TEDH (31).

37. O TEDH considera que a proteção dos dados pessoais tem um papel fundamental no exercício do direito ao respeito pela vida privada consagrado no artigo 8.^o da CEDH e que o simples facto de armazenar dados relativos à vida privada de um indivíduo constitui uma ingerência, na aceção deste artigo 8.^o, independentemente de as informações armazenadas serem ou não utilizadas posteriormente. Segundo aquele tribunal, o direito interno deve, nomeadamente, assegurar que esses dados são pertinentes e não excessivos em relação às finalidades para as quais são registados, e que são conservados, de forma que permita a identificação dos titulares dos dados durante um período que não exceda o necessário para as finalidades para as quais são registados. O direito interno deve igualmente conter garantias adequadas para proteger eficazmente os dados pessoais armazenados contra a sua utilização indevida e abusiva, prevendo simultaneamente uma possibilidade concreta de solicitar o apagamento dos dados armazenados. No entanto, o TEDH teve o cuidado de precisar que está plenamente consciente de que, para proteger a sua população como é seu dever, as autoridades nacionais devem criar registos que contribuam eficazmente para a repressão e a prevenção de certas infrações, nomeadamente as mais graves. Contudo, tais dispositivos não devem ser implementados numa lógica excessiva de maximização das informações neles contidas e da duração da sua conservação (32). Quanto a este último ponto, o TEDH considera que a inexistência de um período máximo de conservação dos dados pessoais das pessoas condenadas não é necessariamente incompatível com o artigo 8.^o da CEDH, mas que a existência e o funcionamento de certas garantias processuais são ainda mais necessários neste caso (33).

D. Quanto à ingerência nos direitos fundamentais garantidos pelos artigos 7.^o e 8.^o da Carta

38. Como resulta do artigo 68.^o da ZMVR e das observações apresentadas pelo Governo búlgaro na audiência, os dados abrangidos pela legislação nacional incluem, nomeadamente, o estado civil das pessoas em causa, os atos criminosos que se suspeita terem cometido ou pelos quais foram condenadas, as suas impressões digitais, fotografias e amostras de ADN recolhidas para efeitos de elaboração de um perfil. Uma vez que estes dados contêm, assim, informações sobre pessoas singulares identificadas, os diferentes tratamentos de que estas podem ser objeto afetam o direito fundamental ao respeito pela vida privada, garantido pelo artigo 7.^o da Carta. Além disso, os tratamentos desses dados, tal como os previstos pela regulamentação nacional, estão igualmente abrangidos pelo artigo 8.^o da Carta, uma vez que constituem tratamentos de dados pessoais na aceção deste artigo e devem, assim, necessariamente, respeitar os requisitos da proteção de dados previstos no referido artigo (34).

39. À semelhança do TEDH, segundo o qual o simples facto de se conservar dados relativos à vida privada de um indivíduo constitui uma ingerência na aceção do artigo 8.^o da CEDH (35), o Tribunal de Justiça considera que a conservação de dados constitui, em si mesma, uma ingerência nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, consagrados nos artigos 7.^o e 8.^o da Carta, não sendo importante que as informações relativas à vida privada em questão sejam ou não sensíveis, ou que os interessados tenham ou não sofrido inconvenientes em razão dessa ingerência, ou ainda que os dados conservados sejam ou não utilizados posteriormente (36).

40. No que diz respeito à gravidade da ingerência constituída pela conservação, ela é estabelecida à luz da natureza de certos dados, particularmente os dados biométricos e genéticos que figuram no registo policial, tendo o Tribunal de Justiça qualificado como significativos os riscos que representa o tratamento de dados sensíveis para os direitos e liberdades dos titulares de dados, especialmente no contexto das atribuições das autoridades competentes para os efeitos enunciados no artigo 1.^o, n.^o 1, da Diretiva 2016/680 (37). A este respeito, o considerando 23 desta diretiva precisa que, tendo em conta a complexidade e a natureza sensível das informações genéticas, existe um elevado risco de utilização injustificada e de reutilização para diversos fins não autorizados, por parte do responsável pelo tratamento. O considerando 51 da diretiva enuncia que podem resultar riscos para os direitos e liberdades das pessoas singulares de operações de tratamento de dados suscetíveis de causar danos físicos, materiais ou morais, especialmente caso sejam tratados dados genéticos ou dados biométricos a fim de identificar uma pessoa de forma inequívoca ou caso sejam tratados dados relativos a condenações e infrações.

41. O período durante o qual os dados são conservados no registo policial também contribui para a determinação da gravidade da ingerência, uma vez que é possível conservar os dados durante toda a vida da pessoa condenada penalmente. Por último, decorre do artigo 26.^o, n.^o 6, da ZMVR que os dados pessoais podem ser transferidos para autoridades competentes e destinatários nos Estados‑Membros da União, organismos e agências da União, países terceiros ou organizações internacionais. A este respeito, importa recordar que o objetivo da Diretiva 2016/680 é facilitar a livre circulação de dados pessoais entre as autoridades competentes, para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública a nível da União, e a sua transferência para países terceiros e organizações internacionais, a fim de assegurar a eficácia da cooperação judiciária em matéria penal e da cooperação policial (38). A este respeito, recorde‑se que o direito à proteção dos dados pessoais exige, nomeadamente, que a continuidade do nível elevado de proteção das liberdades e dos direitos fundamentais conferido pelo direito da União seja assegurada em caso de transferência de dados pessoais da União para um país terceiro (39).

42. Atendendo a todas as considerações anteriores, deve concluir‑se que a regulamentação nacional em causa no processo principal comporta ingerências graves nos direitos garantidos pelos artigos 7.^o e 8.^o da Carta, dado que, nomeadamente, visa criar um instrumento de armazenamento contínuo de dados sensíveis, suscetíveis de atravessar as fronteiras do Estado em causa, relativos a pessoas condenadas penalmente.

E. Quanto à justificação da ingerência

43. Como já foi explicado, os direitos fundamentais consagrados nos artigos 7.^o e 8.^o da Carta não são prerrogativas absolutas e resulta do artigo 52.^o, n.^o 1, da Carta que esta admite restrições ao exercício desses direitos, desde que essas restrições estejam previstas por lei, respeitem o conteúdo essencial desses direitos e, na observância do princípio da proporcionalidade, sejam necessárias e correspondam efetivamente a objetivos de interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e liberdades de terceiros (40). De acordo com o considerando 26 da Diretiva 2016/680, as autoridades de aplicação da lei podem exercer atividades para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, desde que estejam previstas na lei e constituam uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os interesses legítimos da pessoa singular em causa.

44. No que toca ao respeito pelo princípio da proporcionalidade, importa recordar que a proteção do direito fundamental ao respeito pela vida privada exige, em conformidade com jurisprudência constante do Tribunal de Justiça, que as derrogações à proteção dos dados pessoais e as respetivas restrições devem ocorrer na estrita medida do necessário, entendendo‑se que, quando exista uma escolha entre várias medidas adequadas à satisfação dos objetivos legítimos prosseguidos, se deve recorrer à menos restritiva. Além disso, um objetivo de interesse geral não pode ser prosseguido sem que se tenha em conta o facto de que deve ser conciliado com os direitos fundamentais afetados pela medida, através de uma ponderação equilibrada entre, por um lado, o objetivo de interesse geral, e, por outro, os direitos em causa, a fim de assegurar que os inconvenientes causados por esta medida não sejam desproporcionados relativamente aos objetivos prosseguidos. Assim, a possibilidade de justificar uma restrição aos direitos garantidos pelos artigos 7.^o e 8.^o da Carta deve ser apreciada através da medição da gravidade da ingerência que tal restrição implica e da verificação de que a importância do objetivo de interesse geral prosseguido por esta restrição está relacionada com essa gravidade (41).

1. Quanto ao respeito pelo princípio da legalidade

45. A exigência de que qualquer limitação ao exercício dos direitos fundamentais esteja prevista na lei implica que a base jurídica que permite a ingerência nesses direitos deve definir ela própria o alcance da limitação do exercício do direito em causa. A este respeito, o Tribunal de Justiça declarou ainda que a regulamentação que permite essa ingerência deve prever regras claras e precisas que regulem o alcance e a aplicação da medida em causa e imponham exigências mínimas, de modo que as pessoas cujos dados foram transferidos disponham de garantias suficientes que permitam proteger eficazmente esses dados pessoais contra os riscos de abusos. Por conseguinte, a base jurídica de qualquer tratamento de dados pessoais abrangido pelo âmbito de aplicação da Diretiva 2016/680 deve, como aliás sublinhou o legislador da União no seu considerando 33, ser clara e precisa e a sua aplicação previsível para os seus destinatários. Em especial, estes últimos devem poder identificar as circunstâncias e as condições em que o alcance dos direitos que a referida diretiva lhes confere pode ser objeto de uma limitação (42).

46. O exame da regulamentação nacional em causa, fornecida na decisão de reenvio e completada pelas observações do Governo búlgaro, permite, a meu ver, considerar que a exigência relativa à «qualidade» da lei está satisfeita, não excluindo esta última que a limitação em causa seja formulada em termos suficientemente abertos para poder adaptar‑se a situações diferentes bem como à evolução das circunstâncias (43).

47. Assim, o registo e a conservação de dados no registo policial destinam‑se exclusivamente, nos termos do artigo 27.^o da ZMVR, à proteção da segurança nacional, ao combate à criminalidade e à manutenção da ordem pública, destinando‑se esse tratamento a facilitar a atividade de investigação operacional descrita em pormenor no artigo 8.^o desta lei (44). O alcance do tratamento no que diz respeito à natureza das infrações em causa, aos dados em questão, às condições da sua recolha, aos suportes de informação em que são tratados e à duração da sua conservação é fixado de forma suficientemente pormenorizada no artigo 68.^o da ZMVR e no artigo 28.^o do Naredba za reda za izvarshvane i snemane na politseyska registratsia (Regulamento relativo às Modalidades de Inscrição no Registo Policial e de Supressão dessa Inscrição, a seguir designado «NRISPR»). A regulamentação nacional prevê, explicitamente e em conformidade com o considerando 26 da Diretiva 2016/680, procedimentos para garantir a integridade e a confidencialidade dos dados pessoais, bem como a destruição desses dados através de informações fornecidas à pessoa em causa, em conformidade com os artigos 54.^o e 55.^o da zakon za zashtita na lichnite danni (Lei da Proteção de Dados Pessoais), especialmente quanto aos direitos dessa pessoa de solicitar ao responsável pelo tratamento o acesso aos dados, a sua retificação ou o seu apagamento. A este respeito, os motivos de apagamento, bem como o procedimento e os efeitos desse apagamento, são especificados no artigo 68.^o da ZMVR e nos artigos 18.^o e seguintes do NRISPR. Estas disposições estão redigidas com precisão e clareza suficientes para permitir que os destinatários da lei pautem o seu comportamento e cumpram, assim, o requisito de previsibilidade estabelecido na jurisprudência do TEDH (45).

2. Quanto ao respeito pelo conteúdo essencial dos direitos fundamentais garantidos nos artigos 7.^o e 8.^o da Carta

48. No que diz respeito ao conteúdo essencial do direito fundamental ao respeito pela vida privada, consagrado no artigo 7.^o da Carta, a natureza das informações contidas no registo policial limita‑se a um aspeto específico dessa vida privada, relacionado com o passado criminal da pessoa em causa, o que não permite retirar conclusões sobre a vida privada dessa pessoa em geral, como os seus hábitos quotidianos, os seus locais de residência permanente ou temporária, as suas deslocações diárias ou outras, as suas atividades, as suas relações sociais e os círculos sociais por ela frequentados, e, assim, elaborar o seu perfil. No que diz respeito ao conteúdo essencial do direito à proteção dos dados pessoais, consagrado no artigo 8.^o da Carta, a análise precedente revela que a regulamentação nacional em causa circunscreve as finalidades do tratamento de dados e prevê uma enumeração exaustiva dos dados armazenados, bem como regras destinadas a garantir o seu acesso, retificação ou apagamento. Nestas condições, a ingerência que a conservação dos dados prevista por estas regras implica não afeta o conteúdo essencial dos direitos fundamentais consagrados nos artigos acima referidos (46).

3. Quanto ao objetivo de interesse geral e à adequação do tratamento dos dados em causa à luz deste objetivo

49. Como foi referido nas presentes conclusões, os dados provenientes da inscrição das pessoas no registo policial efetuada com base no artigo 68.^o da ZMVR são utilizados para efeitos de proteção da segurança nacional, do combate à criminalidade e da manutenção da ordem pública. O Governo búlgaro indicou que os dados são recolhidos e tratados para efeitos do processo penal no âmbito do qual o titular de dados foi constituído arguido e para serem confrontados com outros dados recolhidos durante inquéritos relativos a outras infrações. Esta última finalidade diz igualmente respeito ao confronto com dados recolhidos noutros Estados‑Membros (47).

50. Segundo aquele Governo, este tratamento insere‑se no âmbito da atividade de investigação operacional descrita no artigo 8.^o da ZMVR, cujas finalidades são definidas como segue: a prevenção e a deteção de infrações penais, de ameaças à segurança nacional e de perturbações da ordem pública; a busca de pessoas que se subtraiam à responsabilidade criminal ou que se tenham eximido à execução de uma pena em processos penais decorrentes da ação pública, bem como a busca de pessoas desaparecidas; a procura de objetos que sejam alvo ou instrumento da prática de uma infração penal ou que possam servir de prova; a preparação e a conservação de provas materiais e a sua apresentação às autoridades judiciárias competentes.

51. O Tribunal de Justiça precisou que o objetivo de proteção da segurança pública constitui um objetivo de interesse geral da União suscetível de justificar ingerências, mesmo graves, nos direitos fundamentais consagrados nos artigos 7.^o e 8.^o da Carta. De resto, essa proteção contribui igualmente para a proteção dos direitos e liberdades de terceiros. A este respeito, o artigo 6.^o da Carta consagra o direito de todas as pessoas não só à liberdade, mas também à segurança, garantindo esta disposição direitos correspondentes aos do artigo 5.^o da CEDH (48). No processo relativo à compatibilidade da recolha de dados inscritos no mesmo registo policial búlgaro, o Tribunal de Justiça considerou claramente que esse tratamento relativo a pessoas constituídas arguidas no âmbito de um processo penal para efeitos do seu registo prossegue as finalidades enunciadas no artigo 1.^o, n.^o 1, da Diretiva 2016/680, especialmente as relativas à prevenção, à investigação, à deteção ou à repressão de infrações penais, que constituem objetivos de interesse geral reconhecidos pela União. O Tribunal de Justiça acrescentou que essa recolha é suscetível de contribuir para o objetivo enunciado no considerando 27 da Diretiva 2016/680, segundo o qual, para efeitos de prevenção, investigação ou repressão de infrações penais, é necessário que as autoridades competentes tratem os dados pessoais, recolhidos no contexto da prevenção, investigação, deteção ou repressão de infrações penais específicas além desse contexto, a fim de obter uma melhor compreensão das atividades criminais e de estabelecer ligações entre as diferentes infrações penais detetadas (49). Estas considerações aplicam‑se, obviamente, à medida de conservação de dados.

52. O facto de a conservação dos dados no registo policial ser um tratamento que permite alcançar os objetivos de interesse geral de deteção e, consequentemente, de prevenção das infrações penais parece‑me difícil de contestar. É óbvio que um registo policial que contenha as identidades civis, as fotografias, os dados biométricos e genéticos e, portanto, as características físicas, que são únicas e infalsificáveis, dos indivíduos nele inscritos constitui um instrumento de investigação plenamente relevante para os serviços de segurança, com o objetivo de elucidar as infrações e identificar os seus autores. Neste sentido, a regulamentação nacional em questão responde a critérios objetivos, estabelecendo uma relação entre os dados a conservar e o objetivo prosseguido (50).

4. Quanto ao caráter necessário e proporcionado da ingerência em causa

53. Se é certo que a conservação dos dados no registo policial em causa é manifestamente adequada para alcançar o objetivo de interesse geral prosseguido, resta verificar se a ingerência nos direitos garantidos pelos artigos 7.^o e 8.^o da Carta, que resulta dessa conservação, se limita ao estritamente necessário, no sentido de que o objetivo não pode ser razoavelmente alcançado de maneira tão eficaz através de outros meios menos atentatórios desses direitos fundamentais dos titulares dos direitos, e se essa ingerência não é desproporcionada em relação a esse objetivo, o que implica nomeadamente que se proceda a uma ponderação da sua importância e da gravidade da referida ingerência (51).

54. No exercício dessa fiscalização, há que ter em conta, no presente caso, o objeto do registo policial, a natureza das infrações em causa, o número de pessoas suscetíveis de figurar no registo, a sensibilidade particular dos dados pessoais recolhidos e a duração da sua conservação, as garantias jurídicas e/ou técnicas previstas na regulamentação nacional para a consulta do registo e a fiscalização da conservação dos dados nele contidos.

a) Quanto ao objeto do registo

55. Nas suas observações escritas, o Governo irlandês argumentou, em substância, que a conservação de dados pode ser necessária para fins de fiscalização conexos, servindo o interesse público em matéria de prevenção da criminalidade e de salvaguarda da segurança pública. Assim, as informações contidas num registo policial devem poder ser consultadas, não só para efeitos de investigação dos autores de infrações mas também para fins de polícia administrativa, no âmbito de inquéritos prévios a decisões de recrutamento ou de habilitação para determinados cargos públicos ou sensíveis, com o objetivo de verificar se o comportamento das pessoas em causa não é incompatível com o exercício dessas funções.

56. Na audiência, o Governo búlgaro confirmou o que podia ser deduzido da redação explícita do artigo 27.^o da ZMVR, a saber, que o registo policial em causa é um instrumento de apoio às investigações judiciais e não administrativas. Este facto reveste‑se de alguma importância no que se refere às consequências da inscrição de uma pessoa num registo de antecedentes criminais, visto que o inconveniente da inscrição não implica a impossibilidade de acesso a certas atividades profissionais (52). A inscrição no registo policial em causa não constitui nem uma punição nem uma pena suplementar, a sua finalidade está claramente circunscrita à investigação judicial e a sua utilização está reservada a serviços sujeitos a uma obrigação de confidencialidade.

57. Trata‑se, no entanto, de um registo único com finalidades de polícia judiciária extremamente amplas, contendo informações diversificadas, que vão desde a simples informação sobre o estado civil até aos dados biométricos e genéticos, e listando indivíduos que não têm o mesmo estatuto processual. Em vez de um único tratamento que abranja todas as informações, tem sido considerado preferível, noutras regulamentações, prever uma pluralidade de registos policiais com finalidades específicas, com uma única utilização e um certo tipo de dados.

b) Quanto às infrações e aos titulares dos dados

58. A conservação dos dados no registo policial diz respeito a pessoas constituídas arguidas e condenadas por infrações dolosas objeto de ação penal ex officio, no sentido de que a ação penal é intentada pelo Ministério Público. Segundo as indicações do Governo búlgaro, estão excluídos desta categoria as infrações não dolosas, as contraordenações e os crimes de natureza privada, bem como certas infrações que tenham sido objeto de uma sanção administrativa. Já foi salientado que a grande maioria das infrações previstas no Código Penal são dolosas e quase todas são objeto de ação penal ex officio (53).

59. Refira‑se que a regulamentação nacional não visa infrações enumeradas de forma exaustiva, não distingue as infrações em função da sua natureza, que está, por sua vez, ligada à gravidade dos factos e à pena aplicável, nem consagra um critério relativo ao quantum exato de uma pena de prisão. Assim, encontram‑se agrupados num conjunto único e amplo comportamentos delituosos diversos, com uma ressalva, é certo, relacionada com necessidade de dolo, o que conduz, a priori, à exclusão das infrações de pouca gravidade, para as quais é suficiente a simples prática material da infração (54), bem como das infrações caracterizadas por simples descuido ou negligência. Convidado na audiência a especificar o teor da categoria de infrações em causa, o Governo búlgaro limitou‑se, infelizmente, a indicar que não se trata apenas de infrações puníveis com uma pena de prisão de, pelo menos, cinco anos.

60. No que diz respeito aos titulares dos dados, o tratamento criticado é limitado no que diz respeito à idade dessas pessoas, uma vez que decorre do artigo 4.^o da NRISPR que os menores não estão sujeitos a inscrição no registo policial, o que reduz o número de pessoas inscritas neste registo em conformidade. A medida em causa distingue duas categorias de pessoas, a saber, as pessoas constituídas arguidas e as pessoas objeto de condenações penais. As pessoas assim visadas foram previamente identificadas, no âmbito dos processos nacionais aplicáveis e com base em elementos objetivos e não discriminatórios, como uma ameaça para a segurança pública ou para a manutenção da ordem pública. Os Estados‑Membros têm a faculdade de adotar medidas de conservação contra pessoas que, a título dessa identificação, sejam constituídas arguidas, isto é, uma categoria de pessoas relativamente às quais existem motivos sérios para acreditar que cometeram uma infração penal, ou que sejam objeto de uma condenação, que reflete o facto de terem sido consideradas penalmente responsáveis, situações estas que podem implicar um elevado risco de reincidência (55). A reincidência, entendida no sentido comum mais lato de prática reiterada de uma infração, é um fenómeno que cada Estado‑Membro procura medir e cujos fatores determinantes tenta compreender, tarefa delicada, porquanto depende da disponibilidade de dados estatísticos objetivos e fiáveis sobre a delinquência. Quando esses dados existem, podem revelar que os antecedentes criminais são um fator determinante importante da reincidência (56).

61. Importa ainda sublinhar que as pessoas constituídas arguidas e os seus dados «desaparecerão» do registo policial se o processo penal contra elas for concluído por uma decisão de arquivamento ou de absolvição, tal como previsto no artigo 68.^o da ZMVR, o que obviamente afeta o número de pessoas inscritas no registo que o Governo búlgaro não conseguiu comunicar (57).

c) Quanto à natureza dos dados e ao período de conservação

62. No que diz respeito aos dados em causa, o Tribunal de Justiça considerou que, tendo em conta a maior proteção das pessoas no que diz respeito ao tratamento de dados sensíveis, é necessário que o responsável por esse tratamento se certifique de que esse objetivo não pode ser alcançado recorrendo a categorias de dados diferentes das enumeradas no artigo 10.^o da Diretiva 2016/680 (58). Como já foi explicado, os dados cuja conservação está prevista podem manifestamente contribuir para a prevenção, deteção ou repressão de infrações relacionadas com o combate à criminalidade e a manutenção da ordem pública. Do mesmo modo, parece‑me difícil considerar que estes objetivos podem ser alcançados de forma tão eficaz apenas com base em informações sobre o estado civil ou em imagens fotográficas da pessoa em causa, sem restringir excessivamente a capacidade dos investigadores de esclarecer as infrações com base numa comparação dos dados recolhidos em inquéritos anteriores (59). Felizmente, já lá vai o tempo em que a confissão era considerada a prova mais importante, tendo os elementos recolhidos pelos serviços técnicos e forenses da polícia substituído com vantagem, na hierarquia das provas, uma prova questionável. Por conseguinte, pode concluir‑se que os dados em causa são pertinentes e não excessivos em relação às finalidades do seu tratamento.

63. Além disso, cabe salientar que a regulamentação nacional em causa não fixa um período máximo preciso durante o qual as informações inscritas no registo podem ser conservadas, sendo os dados conservados apenas durante o período de duração do processo, no caso em que este termina com a decisão de arquivamento ou de absolvição para algumas pessoas constituídas arguidas, ou durante o resto da sua vida, no caso das pessoas que acabam por ser condenadas. De acordo com as informações fornecidas na audiência pelo Governo búlgaro, que caberá ao tribunal verificar, a supressão dos dados ocorre automaticamente após a morte do interessado, dispondo os herdeiros, além disso, do direito de solicitar o apagamento da inscrição nos termos do artigo 68.^o, n.^o 6, da ZMVR. Deverá considerar‑se que esta situação corresponde, em relação com os termos do artigo 5.^o da Diretiva 2016/680, à não fixação de prazos adequados para o apagamento de dados pessoais, no sentido de que o conceito de prazo deve necessariamente corresponder a um período expresso em anos, meses ou dias? Em caso afirmativo, esta mesma disposição implica, em alternativa, a fixação, na regulamentação nacional, de prazos para a avaliação periódica da necessidade de conservar esses dados (60).

64. No que diz respeito aos dados de pessoas constituídas arguidas e tendo em conta a escolha do legislador búlgaro de não os conservar no caso de não ser proferida uma condenação penal no final do processo que lhes diz respeito, a duração necessariamente aleatória do processo não permite outra alternativa se não formalizar um limite temporal para evitar uma duração excessiva do processo. No que diz respeito às pessoas condenadas, considero que a menção da morte corresponde efetivamente a um limite temporal, ligado à vida biológica da pessoa em causa, que exclui qualquer qualificação de duração indefinida ou ilimitada para a conservação dos dados (61). O termo do período de conservação é predeterminado, mesmo que a data exata seja, por definição, indeterminada. Em todo o caso, saliento que o Governo búlgaro indicou na audiência que existe uma avaliação interna periódica das inscrições no registo, realizada de três em três meses, o que cumpre os requisitos do artigo 5.^o da Diretiva 2016/680.

65. No entanto, continua a ser inegável que, consoante a idade com que a pessoa em causa será inscrita no registo e a da sua morte, o período de conservação pode ser muito longo, de duração superior ao prazo previsto para a constatação de uma reincidência ou ao prazo de prescrição da ação pública para a infração mais grave (62). Este período de conservação justifica‑se, no entanto, pela finalidade de polícia judiciária do tratamento, a saber, recolher indícios e provas com vista à identificação dos autores de infrações passadas ou futuras, dado que o risco associado às infrações penais, graves ou não, é geral e permanente (63). A resolução, por vezes muito tardia, de casos não resolvidos mostra tanto a grande dificuldade com que se deparam os serviços de investigação como a pertinência da conservação a longo prazo dos dados biométricos e genéticos recolhidos nos registos (64).

d) Quanto à existência de garantias jurídicas e técnicas em matéria de conservação e de acesso aos dados

66. A proporcionalidade da ingerência que a conservação dos dados no registo policial implica não pode ser examinada independentemente das regras que regulam o acesso ao registo e a fiscalização da justificação da conservação dos dados no registo. Segundo o TEDH, quando um Estado se atribui o mais amplo poder de conservação por tempo indeterminado, a existência e o funcionamento de certas garantias efetivas tornam‑se decisivos. Assim, a legislação nacional deve conter garantias que protejam eficazmente os dados pessoais registados contra utilizações indevidas e abusivas e que permitam a supressão desses dados quando a sua conservação contínua se tornar desproporcionada, nomeadamente oferecendo uma possibilidade concreta de apresentar um pedido de apagamento dos dados armazenados (65).

1) Quanto às condições de consulta do registo

67. Decorre dos considerandos 28, 56 e 57 e dos artigos 24.^o, 25.^o e 29.^o da Diretiva 2016/680 que os Estados‑Membros devem tomar medidas para assegurar que os dados pessoais sejam tratados de uma forma que garanta um nível adequado de segurança e confidencialidade, nomeadamente para evitar o acesso a desses dados e ao equipamento utilizado para o seu tratamento por parte de pessoas não autorizadas, bem como a utilização não autorizada desses dados e desse equipamento. Estas medidas incluem a manutenção, pelo responsável pelo tratamento, de registos capazes de fornecer à autoridade de controlo, a pedido desta, um certo número de informações sobre o tratamento dos dados efetuado, bem como registos de certas operações de tratamento, como as consultas, as transferências e o apagamento. De acordo com o considerando 60 da Diretiva 2016/680, o responsável pelo tratamento deve aplicar medidas para atenuar os riscos, previamente avaliados, inerentes ao tratamento em causa, riscos relacionados, nomeadamente, com a divulgação e o acesso não autorizados de dados.

68. Na audiência, o Governo búlgaro indicou que a regulamentação nacional satisfazia estas exigências, tendo referido a existência de um conjunto de regras que prevê, nomeadamente, a elaboração de listas nominativas de funcionários com acesso aos dados, a necessidade de cada utilizador indicar a justificação do seu direito de acesso, a sua identidade, bem como a data e a hora do acesso (66). Estas garantias relativas às pessoas autorizadas a consultar o registo e às modalidades de consulta parecem suscetíveis de evitar qualquer utilização abusiva ou fraudulenta do acesso aos registos, e, por conseguinte, uma violação excessiva dos direitos fundamentais consagrados nos artigos 7.^o e 8.^o da Carta, o que caberá ao órgão jurisdicional de reenvio verificar.

2) Quanto à fiscalização da conservação de dados no registo

69. É consensual que a fiscalização acima referida, tal como prevista no artigo 68.^o, n.^o 6, da ZMVR, tem uma dupla natureza, uma vez que é efetuada oficiosamente pelas autoridades competentes, na forma de um autocontrolo, e com base num pedido fundamentado do interessado ou dos seus herdeiros, encontrando‑se em ambos os casos os motivos de apagamento de uma inscrição no registo exaustivamente enumerados nessa disposição. Estes motivos não incluem a situação de uma pessoa que tenha sido objeto de reabilitação, que conduzisse ao apagamento da condenação em causa do seu registo criminal, e apenas o motivo referido no artigo 68.^o, n.^o 6, ponto 1, da ZMVR, relativo a um registo efetuado em violação da lei, pode constituir a base de um pedido de apagamento do registo de uma pessoa condenada por uma infração penal, apresentado, como no caso em apreço, quando essa pessoa ainda está viva e, por conseguinte, antes do termo do período legal de conservação, fixado no momento da sua morte.

70. Questionado na audiência sobre o alcance do artigo 68.^o, n.^o 6, da ZMVR, tendo em conta a sua aplicação pelas autoridades e tribunais competentes, o Governo búlgaro esclareceu que a referida disposição permite alterar uma inscrição relativa a uma pessoa constituída arguida que se tenha tornado incorreta na sequência de uma reclassificação da infração pelo tribunal. Excluiu qualquer possibilidade de apagamento de uma inscrição no registo na sequência de uma reabilitação da pessoa condenada. Recordo, a este respeito, que o registo em causa é um instrumento de investigação destinado a facilitar a atividade operacional da polícia judiciária e não, propriamente, um registo de antecedentes criminais como o registo criminal. Estes dois instrumentos não têm a mesma finalidade: um é uma memória ao serviço exclusivo dos investigadores para lhes permitir, a longo prazo, elucidar infrações passadas ou futuras, ao passo que o outro se destina a orientar o trabalho dos juízes na aplicação da sanção penal num determinado processo. Assim, se a reabilitação conduzisse ao apagamento da condenação correspondente do registo criminal, o indivíduo poderia encontrar‑se, sendo caso disso, na situação de um delinquente primário, suscetível de beneficiar de penas mais leves ou de uma pena adaptada. No entanto, a conservação dos seus dados no registo continua a ser, em princípio, necessária, tendo em conta o objetivo mais amplo deste último, relativo à deteção, elucidação e prevenção de infrações.

71. Contudo, resulta claramente das observações do Governo búlgaro que o fundamento referido no artigo 68.^o, n.^o 6, ponto 1, da ZMVR não abrange uma avaliação da necessidade de conservação dos dados na sua dimensão temporal. Com efeito, não parece existir nenhuma disposição na regulamentação nacional, nem prática administrativa ou judicial, que permita à autoridade competente suprimir a inscrição do registo, no âmbito de verificações trimestrais, ou à pessoa em causa solicitar o apagamento da inscrição, se a conservação dos dados pessoais já não se for necessária, tendo em conta o tempo decorrido desde essa inscrição no registo. O órgão jurisdicional de reenvio, que é chamado a examinar a legalidade da decisão que indefere o pedido de apagamento, também não parece estar em condições de efetuar essa apreciação.

F. Conclusão intercalar

72. Poderá considerar‑se que os critérios utilizados para a conservação dos dados, tal como acima descritos, são suficientemente seletivos, proporcionados e específicos e que o tratamento dos dados pessoais em causa respeita os limites do estritamente necessário ou da necessidade absoluta? O Tribunal de Justiça poderia dar uma resposta negativa a esta questão pelas razões que se seguem.

73. Importa sublinhar, em primeiro lugar, que o problema da necessidade de conservar os dados pessoais coloca‑se com particular acuidade quando o tratamento desses dados é autorizado, como no caso vertente, para fins preventivos. A este respeito, o verdadeiro critério que justifica a inscrição e a conservação dos dados no registo policial em causa é a perigosidade das pessoas, o que implica uma avaliação do risco. No caso em apreço, refira‑se que esta avaliação se esgota na simples constatação da existência de uma suspeita ou da prática comprovada de uma infração dolosa, critério este que não é muito específico, uma vez que se trata de um elemento constitutivo das infrações, senão mesmo da própria base da responsabilidade penal. Assim, o regime nacional de conservação parece‑me ter em conta um grau mínimo de gravidade em relação à infração e abrange um vasto leque de infrações contra a ordem social, sem exigir a priori uma sanção que consista numa pena de prisão, o que permite considerar que é aplicável qualquer que seja a natureza ou a gravidade da infração (67). Recordo que o Tribunal de Justiça declarou que a legislação búlgara, como a que está em causa no processo principal, que prevê a recolha sistemática de dados biométricos e genéticos de qualquer pessoa constituída arguida por uma infração dolosa objeto de ação penal ex officio é, em princípio, contrária ao requisito enunciado no artigo 10.^o da Diretiva 2016/680, porquanto é suscetível de conduzir, indiferenciada e generalizadamente, a essa recolha, uma vez que o conceito de «infração dolosa objeto de ação penal ex officio» reveste caráter particularmente genérico e é suscetível de se aplicar a um grande número de infrações penais, independentemente da sua natureza e da sua gravidade (68).

74. Embora possa haver estudos estatísticos que revelam que os antecedentes criminais são um importante fator determinante da reincidência, também apontam para a existência de fatores objetivos que agravam o risco de reincidência, ligados, nomeadamente, ao género, à idade, à natureza da infração inicial, ao tempo necessário para que a infração se repita e ao facto de a reincidência estar muito ligada à natureza da infração pela qual a pessoa é detida (69). Ora, ao utilizar como critério de conservação dos dados até à morte do interessado qualquer condenação por um crime doloso, incluindo a primeira (70), parece que a lógica subjacente ao tratamento desses dados é a de uma apreensão particularmente extensiva do percurso de delinquência, quer se trate da natureza e/ou gravidade dos atos criminosos ou da idade do delinquente. À semelhança do TEDH, podemos interrogar‑nos se, levado de uma certa forma ao extremo, este tipo de lógica não equivale, na prática, a justificar o armazenamento de informações sobre toda a população e sobre os seus parentes falecidos, o que seria certamente excessivo e irrelevante (71). Observo que o Tribunal de Justiça considerou que o simples facto de uma pessoa ser constituída arguida por uma infração dolosa objeto de ação penal ex officio não pode ser considerado um elemento que permite, por si só, presumir que a recolha dos seus dados biométricos e genéticos é estritamente necessária à luz das finalidades que visa (72).

75. Em segundo lugar, parece que os dados são mantidos, independentemente da necessidade de serem conservados, até à morte da pessoa em causa. Tendo em conta a redação do artigo 68.^o, n.^o 6, da ZMVR e a interpretação que dele é feita, as autoridades competentes só estão habilitadas a apagar os dados em circunstâncias excecionais, não relacionadas com a evolução da situação da pessoa desde a sua inscrição no registo. O mesmo se aplica, logicamente, à ação com vista ao apagamento, prevista no mesmo texto, de que a referida pessoa dispõe, a qual não é suficientemente eficaz, uma vez que não permite verificar se o período de conservação dos dados é proporcionado à finalidade da ingerência em causa. Esta apreciação deve ter em conta diversos critérios, como a natureza e a gravidade dos factos verificados, o tempo decorrido desde a prática dos factos, o período legal de conservação remanescente ou a idade do requerente no caso em apreço, e isso à luz da sua situação pessoal, tendo em conta a idade em que cometeu os factos, o seu comportamento desde então (integração social, indemnização das vítimas) e a sua personalidade, podendo o benefício de uma reabilitação, neste contexto, constituir um elemento de apreciação global. Nestas circunstâncias, o controlo de que dispõe, nomeadamente, a pessoa inscrita no registo parece tão limitado que é quase hipotético (73).

76. As constatações anteriores devem ser vistas à luz do facto de os dados sensíveis poderem ser conservados durante muito tempo e de o registo em causa poder oferecer aos seus utilizadores funcionalidades de exploração desses dados, nomeadamente de identificação, de análise e de comparação, muito intrusivas. Saliente‑se que, em conformidade com o artigo 68.^o, n.^o 3, da ZMVR, as autoridades policiais devem, para efeitos da inscrição no registo policial, recolher amostras com vista à elaboração de um «perfil ADN» das pessoas e fotografá‑las, fotos essas que podem, se for caso disso, ser sujeitas à aplicação de técnicas de reconhecimento facial.

V. Conclusão

77. À luz das considerações anteriores, proponho ao Tribunal de Justiça que responda da seguinte forma ao Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária):

Os artigos 4.^o, 5.^o, 8.^o, 10.^o e o artigo 16.^o, n.^o 2, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho, lidos em conjugação e à luz do artigo 52.^o, n.^o 1, da Carta dos Direitos Fundamentais da União Europeia,

devem ser interpretados no sentido de que:

se opõem a uma legislação nacional que prevê a conservação de dados pessoais num registo policial, que inclui os dados biométricos e genéticos, de qualquer pessoa condenada penalmente por uma infração dolosa, sem distinguir quanto à natureza ou à gravidade da infração, e isso até à sua morte, sem possibilidade de fiscalização da conservação dos dados ali inscritos, tendo em conta o tempo decorrido desde o seu registo, e, eventualmente, da posterior obtenção do seu apagamento.

A verificação da proporcionalidade da duração de conservação dos dados em relação à finalidade do tratamento, tendo em conta a situação da pessoa condenada, pode incluir a reabilitação de que essa pessoa tenha sido objeto.

1 Língua original: francês.

2 Diretiva do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89).

3 Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGDP»).

4 V., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização) (C‑439/19, EU:C:2021:504, n.^os 61 a 67). No Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, EU:C:2022:258, n.^o 61), o Tribunal de Justiça esclareceu que o objetivo de preservação da segurança nacional corresponde ao interesse primordial de proteger as funções essenciais do Estado e os interesses fundamentais da sociedade, através da prevenção e da repressão de atividades suscetíveis de desestabilizar gravemente as estruturas constitucionais, políticas, económicas ou sociais fundamentais de um país e, em especial, de ameaçar diretamente a sociedade, a população ou o Estado enquanto tal, como, nomeadamente, as atividades terroristas.

5 É verdade que pode parecer delicado fazer essa verificação na prática, na presença de um único registo policial «apanha‑tudo», uma vez que o registo e a conservação dos dados obedecem a uma lógica simultaneamente retrospetiva e prospetiva e não se prestam necessariamente a uma diferenciação objetiva dos tratamentos em causa com base numa finalidade muito precisa.

6 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^o 135). Saliento que o Tribunal de Justiça se pronunciou previamente sobre uma questão de compatibilidade do artigo 52.^o, n.^o 1, da Carta com a legislação búlgara, que tem a particularidade de remeter para o RGPD, e com uma disposição de direito interno que transpõe o artigo 10.^o da Diretiva 2016/680, sem que esta última seja formalmente referida. O Tribunal de Justiça declarou que o tratamento de dados biométricos e genéticos pelas autoridades policiais com vista às suas atividades de investigação, «para efeitos de luta contra a criminalidade e de manutenção da ordem pública», é autorizado pelo direito de um Estado‑Membro, na aceção do artigo 10.^o, alínea a), desta diretiva, desde que o direito desse Estado‑Membro contenha uma base jurídica suficientemente clara e precisa para autorizar o referido tratamento, não sendo a dupla referência acima mencionada suscetível, em si mesma, de pôr em causa a existência de tal essa autorização, desde que resulte, de forma suficientemente clara, precisa e inequívoca da interpretação de todas as disposições aplicáveis do direito nacional, que o tratamento dos dados biométricos e genéticos em causa é abrangido pelo âmbito de aplicação desta diretiva, e não pelo RGDP.

7 Acórdão de 8 de maio de 2019, PI (C‑230/18, EU:C:2019:383, n.^o 42).

8 O cumprimento do artigo 4.^o, n.^o 1, alínea b), da Diretiva 2016/680, segundo o qual os dados são recolhidos para finalidades determinadas, explícitas e legítimas e não são tratados de forma incompatível com essas finalidades, não é discutido no caso em apreço, dado que o objetivo do tratamento posterior à recolha dos dados que constitui a sua conservação é igual ao da recolha.

9 O artigo 26.^o da ZMVR estabelece que os prazos de conservação dos dados pessoais ou de avaliação periódica da necessidade da sua conservação são fixados pelo Ministro da Administração Interna. Na audiência, o Governo búlgaro indicou que essa avaliação é feita de três em três meses.

10 Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização) (C‑439/19, EU:C:2021:504, n.^o 105).

11 Saliento que o artigo 18.^o da Diretiva 2016/680, segundo o qual os Estados‑Membros podem prever que os direitos referidos, nomeadamente, no artigo 16.^o sejam exercidos nos termos do direito dos Estados‑Membros, se os dados pessoais constarem de uma decisão judicial ou de um registo criminal ou de um processo objeto de tratamento no âmbito de uma investigação ou de uma ação penal, não me parece relevante, uma vez que o registo em causa é um instrumento destinado a facilitar a atividade operacional dos serviços de investigação, da responsabilidade do Ministro da Administração Interna, e não um instrumento judicial propriamente dito, do tipo dos acima referidos.

12 V., neste sentido, Acórdãos de 25 de fevereiro de 2021, Comissão/Espanha (Diretiva Dados Pessoais ‑ Matéria penal) (C‑658/19, EU:C:2021:138, n.^o 75), e de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, n.^o 61)

13 V., por analogia, Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, n.^os 62 e 69).

14 V, por analogia, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização) (C‑439/19, EU:C:2021:504, n.^o 98).

15 V., neste sentido, Acórdãos de 7 de maio de 2009, Rijkeboer (C‑553/07, EU:C:2009:293, n.^o 33), e de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.^o 92).

16 V., por analogia, Acórdão de 20 de outubro de 2022, Digi (C‑77/21, EU:C:2022:805, n.^o 54).

17 Esta problemática está igualmente prevista no considerando 26 e no artigo 4.^o, n.^o 3, da Diretiva 2016/680, dos quais resulta que o legislador da União previu uma possível conservação de longa duração de dados objeto de arquivo no interesse público e a utilização científica, estatística ou histórica de dados para as finalidades previstas no artigo 1.^o, n.^o 1, desta diretiva, sob reserva de garantias adequadas dos direitos e liberdades do titular dos dados. Não é o que sucede no caso em apreço, dado que a conservação de dados no registo policial tem uma finalidade puramente operacional, a saber, facilitar o trabalho dos serviços de inquérito na elucidação das infrações.

18 Podemos perguntar‑nos se o artigo 5.^o da Diretiva 2016/680 não conterá uma forma de contradição lógica intrínseca. Com efeito, em conformidade com esta disposição, pode haver dados pessoais tratados pelos serviços policiais relativamente aos quais não é adequado prever prazos para o seu apagamento, mas exige‑se, nessa situação de conservação temporalmente indefinida que seja prevista uma avaliação periódica, pelas autoridades competentes, da necessidade de conservar esses dados e a possibilidade de apagamento, se a conservação já não se justificar, tendo em conta a finalidade do tratamento. Podemos, contudo, compreender e admitir que o objetivo, legítimo, é prever uma solução destinada a evitar abusos na aplicação de um dispositivo intrusivo.

19 O presente processo diz respeito a uma recusa total de apagamento, cujos motivos devem ser comunicados ao requerente nos termos do artigo 16.^o, n.^o 4, da Diretiva 2016/680, que prevê, no entanto, que os Estados‑Membros podem adotar medidas legislativas que limitem total ou parcialmente essa obrigação, nomeadamente a fim de evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais.

20 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^os 116 a 118). À luz destas considerações, deve entender‑se que o Tribunal de Justiça condiciona a licitude do tratamento de dados sensíveis, no âmbito da Diretiva 2016/680, à observância de um critério que vai além do critério habitualmente aplicado a qualquer tipo de dados na jurisprudência do Tribunal de Justiça em matéria de proteção de dados pessoais, que se prende com o respeito dos limites do «estritamente necessário» pelo tratamento em causa? Em resposta a uma observação do Governo francês sobre o facto de, em certas versões linguísticas, o artigo 10.^o da Diretiva 2016/680 se referir a casos em que o tratamento de dados é «estritamente necessário», o Tribunal de Justiça respondeu, no n.^o 119 desse acórdão, que essa variação terminológica não altera a natureza do critério assim visado e o nível de exigência imposto, uma vez que essas versões linguísticas definem igualmente uma condição reforçada para que seja autorizado o tratamento de dados sensíveis, que implica uma apreciação mais rigorosa da sua necessidade do que no caso de os dados tratados não estarem abrangidos pelo âmbito de aplicação do referido artigo. Ainda assim, podemos interrogarmo‑nos sobre esta distinção conceptual entre o grau de intensidade da necessidade do tratamento e a dificuldade da sua aplicação num determinado caso.

21 V., nomeadamente, Acórdãos de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791), e de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, EU:C:2022:258).

22 Diretiva do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à Privacidade e às Comunicações Eletrónicas) (JO 2002, L 201, p. 37).

23 Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592), e Acórdão de 21 de junho de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

24 Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592), n.^os 132, 204 e 205).

25 Diretiva do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, investigação, deteção e repressão das infrações terroristas e da criminalidade grave (JO 2016, L 119, p. 132)

26 Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, EU:C:2022:258, n.^os 35 a 37). O mesmo se pode dizer da comparação com o regime jurídico previsto no RGPD.

27 Tinière, R., Jurisprudência do TJUE 2020, decisões e comentários, Bruylant, Bruxelas, 2021, pp. 130 a 139.

28 Acórdãos de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, EU:C:2022:258, n.^os 56 a 59), e de 21 de junho de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, n.^o 148).

29 Acórdão de 21 de junho de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, n.^o 148).

30 V., neste sentido, Acórdão de 8 de dezembro de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalidades do tratamento de dados pessoais — Inquérito penal) (C‑180/21, EU:C:2022:967, n.^os 57 e 58).

31 Acórdão de 8 de dezembro de 2022, Google (Supressão de conteúdos alegadamente inexatos) (C‑460/20, EU:C:2022:962, n.^o 59).

32 TEDH, de 22 de junho de 2017, Aycaguer c. França (EC:ECHR:2017:0622JUD000880612, §§ 33, 34 e 38), e TEDH, de 18 de setembro de 2014, Brunet c. França (CE:CEDH:2014:0918JUD002101010, § 35).

33 TEDH, de 4 de junho de 2013, Perruzo e Martens c. Alemanha (EC:ECHR:2013:0604DEC000784108, § 46), e TEDH, de 13 de fevereiro de 2020, Gaughran c. Reino Unido (EC:ECHR:2020:0213JUD004524515, § 88).

34 V., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá) de 26 de julho de 2017 (EU:C:2017:592, n.^os 122 e 123), e Acórdão de 21 de junho de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, n.^os 94 e 95).

35 TEDH, de 22 de junho 2017, Aycaguer c. França (CE:ECHR:2017:0622JUD000880612, § 33).

36 V., por analogia, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, EU:C:2022:258, n.^o 44).

37 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^o 127).

38 V. considerandos 4 e 7 da Diretiva 2016/680.

39 Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592, n.^o 134).

40 Acórdão de 6 de outubro de 2020, Privacy International (C‑623/17, EU:C:2020:790, n.^os 63 e 64).

41 V., neste sentido, Acórdãos de 6 de outubro de 2020, Privacy International (C‑623/17, EU:C:2020:790, n.^o 67), e de 22 de novembro de 2022, Luxembourg Business Registers (C‑37/20 e C‑601/20, EU:C:2022:912, n.^o 64).

42 Acórdãos de 6 de outubro de 2020, Privacy International (C‑623/17, EU:C:2020:790, n.^o 65), e de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para fins fiscais) (C‑175/20, EU:C:2022:124, n.^os 54 a 56). É verdade que esse exame encontrou o seu lugar em acórdãos do Tribunal de Justiça no âmbito de uma análise aprofundada da proporcionalidade da restrição, quando esta não é apreciada conjuntamente sob os dois ângulos relacionados com o respeito dos princípios da legalidade e da proporcionalidade [Acórdão de 21 de junho de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, n.^os 114 e 117)]. Nesta parte das presentes conclusões, centrar‑me‑ei na verificação da exigência de previsibilidade stricto sensu.

43 Acórdão de 21 de junho de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, n.^o 114).

44 V. n.^os 33 a 35 das observações do Governo búlgaro.

45 V., neste sentido, Acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.^o 77).

46 V., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592, n.^o 150), e, a contrario, Acórdão de 22 de novembro de 2022, Luxembourg Business Registers (C‑37/20 e C‑601/20, EU:C:2022:912, n.^o 51)

47 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^o 99).

48 Parecer 1/15 (Acordo PNR UE‑Canadá) de 26 de julho de 2017 (EU:C:2017:592, n.^o 149), e Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.^o 123).

49 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^os 97 e 98). O TEDH observou, no contexto da obrigação positiva prevista no artigo 2.^o da CEDH, que o interesse público em investigar e, eventualmente, garantir a acusação e a condenação dos autores de atos ilícitos, vários anos após os factos, foi firmemente reconhecido (TEDH, de 12 de junho de 2014, Jelić c. Croácia, EC:ECHR:2014:0612JUD005785611, § 52).

50 V., neste sentido, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, EU:C:2022:258, n.^o 55).

51 Acórdão de 22 de novembro de 2022, Luxembourg Business Registers (C‑37/20 e C‑601/20, EU:C:2022:912, n.^o 66).

52 Em geral, a inscrição no registo não implica nenhuma obrigação positiva para a pessoa em causa.

53 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^o 78).

54 Infrações frequentes no domínio da criminalidade rodoviária.

55 V., por analogia, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, EU:C:2022:258, n.^os 77 e 78). Saliento que, no Acórdão de 21 de junho de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, n.^o 198), o Tribunal de Justiça declarou que decorre da Diretiva 2016/681 que os critérios utilizados para efeitos da avaliação prévia dos passageiros devem ser determinados, de forma que visem, especificamente, as pessoas sobre as quais possa recair uma suspeita razoável de envolvimento em infrações terroristas ou crimes graves, tal como referidos nessa diretiva.

56 De acordo com o boletim Infostat Justice do Ministério da Justiça francês, n.^o 183, de 2 de julho de 2021, «Mesurer et comprendre les déterminants de la récidive des sortants de prison» («Medir e compreender os fatores determinantes da reincidência entre os egressos da prisão»), 86 % das pessoas que saíram da prisão em 2016 já possuíam cadastro criminal anterior à condenação que levou à sua detenção. A taxa de reincidência aumenta com o número de condenações anteriores: apenas 14 % dos egressos que não tinham nenhuma condenação nos cinco anos anteriores àquela que levou à sua detenção reincidiram no ano, contra 23 % dos que tinham uma condenação e 63 % dos que tinham sido condenados pelo menos dez vezes.

57 Esta conclusão reflete, além disso, a conformidade desta disposição com o artigo 6.^o da Diretiva 2016/680, que exige que o responsável pelo tratamento, se for caso disso e na medida do possível, estabeleça uma distinção clara entre os dados das diferentes categorias de titulares de dados, de modo que não lhes seja imposto indiscriminadamente o mesmo grau de ingerência no seu direito fundamental à proteção dos seus dados pessoais, independentemente da categoria a que pertençam [Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^o 83].

58 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^o 126).

59 V., por analogia, Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^o 100). É igualmente de notar que a passagem do tempo constituirá inevitavelmente um obstáculo à localização das testemunhas e à sua capacidade de se lembrarem bem dos factos.

60 O artigo 31.^o do Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO 2016 L 135, p. 53), estabelece que os dados pessoais tratados pela Europol são conservados por esta apenas durante o tempo necessário e proporcional às finalidades a que se destina o seu tratamento. Em todo o caso, até três anos após o tratamento inicial dos dados pessoais, a Europol avalia a necessidade de prolongar o período de conservação dos mesmos e pode decidir conservá‑los até à avaliação seguinte, que deve ser realizada decorrido um novo período de três anos se a conservação continuar a ser necessária para o exercício das suas atribuições. Se não for tomada uma decisão sobre o prolongamento da conservação dos dados pessoais, estes são automaticamente apagados após três anos.

61 No Acórdão de 13 de fevereiro de 2020, Gaughran c. Reino Unido (EC:ECHR:2020:0213JUD004524515, §§ 79‑81), relativo a um regulamento que previa a conservação de dados que terminava com a morte da pessoa em causa, foi feita uma distinção entre, por um lado, o ADN, e, por outro, as impressões digitais e as fotografias. O TEDH considerou que apenas os últimos dados eram objeto de um período de conservação equiparável a uma conservação de duração indefinida. Sublinho, pelo meu lado, que nenhum destes dados poderá, no caso vertente, ser utilizado após a morte da pessoa em causa, uma vez que a conservação post mortem do ADN teria tornado tecnicamente possível efetuar uma investigação junto dos familiares próximos do interessado.

62 Além da existência de crimes imprescritíveis, a questão da relação entre o prazo de conservação dos dados e o prazo de prescrição da ação pública deve ser relativizada, em certos ordenamentos jurídicos, devido aos mecanismos de suspensão ou interrupção da prescrição e ao adiamento do início do prazo de prescrição para os chamados crimes habituais, continuados ou dissimulados, bem como para certos crimes contra menores (adiamento até à maioridade da vítima). É igualmente importante ter em conta o facto de a violência sexual ser o crime que é revelado mais tardiamente.

63 V., neste sentido, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, EU:C:2022:258, n.^o 62).

64 Recordo que, no contexto da obrigação positiva decorrente do artigo 2.^o da CEDH, o TEDH reconheceu firmemente o interesse público em investigar e, eventualmente, obter a acusação e a condenação dos autores de atos ilícitos vários anos após os factos (TEDH, de 12 de junho de 2014, Jelić c. Croácia, CE:CEDH:2014:0612JUD005785611, § 52), e indicou que a investigação de «cold cases» é também do interesse público, no sentido geral do combate à criminalidade (TEDH, de 13 de fevereiro de 2020, Gaughran c. Reino Unido, CE:CEDH:2020:0213JUD004524515, § 93).

65 TEDH, de 22 de junho de 2017, Aycaguer c. França (EC:ECHR:2017:0622JUD000880612, § 38), e TEDH, de 13 de fevereiro de 2020, Gaughran c. Reino Unido (EC:ECHR:2020:0213JUD004524515, § 88).

66 Não foi especificado o período durante o qual são conservados o histórico de consulta do registo.

67 TEDH, de 13 de fevereiro de 2020, Gaughran c. Reino Unido (EC:ECHR:2020:0213JUD004524515, § 83).

68 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^os 128 e 129).

69 Boletim Infostat Justice do Ministério da Justiça francês, n.^o 183, de 2 de julho de 2021, «Mesurer et comprendre les déterminants de la récidive des sortants de prison» («Medir e compreender os fatores determinantes da reincidência entre os egressos da prisão»).

70 Com efeito, o registo e a subsequente conservação dos dados no registo dizem respeito a qualquer delinquente primário, e não a uma pessoa que já tenha sido condenada uma ou mais vezes.

71 TEDH, de 13 de fevereiro de 2020, Gaughran c. Reino Unido (EC:ECHR:2020:0213JUD004524515, § 89).

72 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia) (C‑205/21, EU:C:2023:49, n.^o 130). O Tribunal de Justiça acrescenta (n.^os 132 e 133) que cabe ao órgão jurisdicional de reenvio verificar se o direito nacional permite apreciar a «estrita necessidade» de proceder à recolha dos dados biométricos e dos dados genéticos do titular dos dados, à luz da natureza e da gravidade da alegada infração pela qual foi constituído arguido, mas também a outros elementos pertinentes como, nomeadamente, as circunstâncias especiais dessa infração, o eventual nexo entre a referida infração e outros processos em curso, os antecedentes criminais ou o perfil individual do titular dos dados. Podemos perguntar‑nos se esta exigência de maior individualização será compatível com disposições de natureza legislativa, tendo em conta o caráter sistemático e o grau de abstração e generalidade que exigem, destinadas a estabelecer um regime geral de conservação de dados pessoais num registo.

73 TEDH, de 13 de fevereiro de 2020, Gaughran c. Reino Unido (EC:ECHR:2020:0213JUD004524515, § 94).