CONCLUZIILE AVOCATULUI GENERAL

DOMNUL PRIIT PIKAMÄE

prezentate la 15 iunie 2023(1)

Cauza C‑118/22

NG

Procedura penală

împotriva

Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia

cu participarea

Varhovna administrativna prokuratura

[cerere de decizie preliminară formulată de Varhoven administrativen sad (Curtea Administrativă Supremă, Bulgaria)]

„Trimitere preliminară – Protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal – Directiva (UE) 2016/680 – Articolele 4, 5, 8, 10 și 16 – Păstrarea datelor unei persoane fizice condamnate pentru o infracțiune săvârșită cu intenție până la decesul acesteia – Persoană fizică care a fost condamnată printr‑o hotărâre definitivă și reabilitată ulterior – Respingerea cererii de ștergere – Necesitatea și proporționalitatea ingerinței în drepturile fundamentale consacrate la articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene”

1.        Trebuie să ne îngrijorăm cu privire la păstrarea datelor cu caracter personal în sistemele de evidență ale poliției, care încadrează persoana înscrisă, eventual pe durata întregii sale vieți, într‑un statut de deviant social, pentru totdeauna periculos? Nu ar trebui, dimpotrivă, să salutăm această memorie a poliției atunci când constatăm soluționarea de către anchetatori a unor cauze vechi neelucidate, mai bine cunoscute în prezent sub denumirea de „cold cases”, spre alinarea familiilor victimelor?

2.        Prezenta cauză se înscrie tocmai în această problematică antagonistă, care face trimitere la concilierea interesului public legat de combaterea criminalității cu cel al individului referitor la protecția datelor sale cu caracter personal și la respectarea vieții sale private. Aceasta oferă Curții ocazia de a se pronunța cu privire la aspectul prelucrării acestor date în scopuri represive în dimensiunea sa temporală, din perspectiva dispozițiilor relevante ale Directivei (UE) 2016/680(2).

I.      Cadrul juridic

A.      Dreptul Uniunii

3.        Sunt relevante în cadrul prezentei cauze articolele 4, 5, 8, 10 și 16 din Directiva 2016/680, precum și articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

B.      Dreptul bulgar

4.        Articolul 26 alineatele (1) și (2) din zakon za Ministerstvo na vatreshnite raboti (Legea privind Ministerul de Interne, denumită în continuare „ZMVR”) prevede:

„(1)      Atunci când prelucrează date cu caracter personal în legătură cu activitățile de protecție a securității naționale, de combatere a criminalității, de menținere a ordinii publice și de desfășurare a procedurilor penale, autoritățile Ministerului de Interne:

[…]

3.      pot prelucra toate categoriile necesare de date cu caracter personal;

[…]

(2)      Termenele de păstrare a datelor prevăzute la alineatul (1) sau de verificare periodică a necesității stocării acestora sunt stabilite de ministrul de interne. Aceste date sunt șterse, de asemenea, în temeiul unui act judiciar sau al unei decizii a Comisiei pentru protecția datelor cu caracter personal.”

5.        Articolul 27 din ZMVR prevede:

„Datele provenite din înscrierea persoanelor în registrul poliției efectuată în temeiul articolului 68 sunt utilizate numai în scopul protejării securității naționale, al combaterii criminalității și al menținerii ordinii publice.”

6.        Articolul 68 din ZMVR prevede următoarele:

„(1)      Autoritățile de poliție efectuează o înregistrare polițienească a persoanelor care sunt acuzate de săvârșirea cu intenție a unei infracțiuni pentru care acțiunea penală se pune în mișcare din oficiu. Autoritățile de cercetare penală sunt obligate să ia măsurile necesare pentru înregistrarea de către organele de poliție.

(2)      Înregistrarea polițienească este o categorie de prelucrare a datelor cu caracter personal ale persoanelor menționate la alineatul (1), care se efectuează în condițiile prezentei legi.

(3)      În scopul înregistrării polițienești, autoritățile de poliție:

1.      colectează datele personale prevăzute la articolul 18 din Legea privind documentele de identitate bulgare;

2.      prelevă amprentele digitale ale persoanelor și le fotografiază;

3.      prelevă probe în scopul realizării profilului ADN al persoanelor.

[…]

(6)      Înregistrarea polițienească se șterge pe baza unui ordin scris al operatorului de date cu caracter personal sau al funcționarilor abilitați de acesta, din oficiu sau în urma unei cereri scrise și motivate a persoanei înscrise, în cazul în care:

1.      înregistrarea a fost efectuată cu încălcarea legii;

2.      procedura penală este clasată, cu excepția cazurilor menționate la articolul 24 alineatul (3) din [Nakazatelno‑protsesualen kodeks (Codul de procedură penală)];

3.      procedura penală a condus la o achitare;

4.      nu a fost angajată răspunderea penală a persoanei, aplicându‑i‑se o sancțiune administrativă;

5.      persoana a decedat, caz în care cererea poate fi formulată de moștenitorii săi.

(7)      Modalitățile de realizare și de ștergere a înregistrării polițienești sunt stabilite prin regulament al Consiliului de miniștri.”

II.    Situația de fapt aflată la originea litigiului, procedura principală și întrebarea preliminară

7.        NG a făcut obiectul unei înscrieri în sistemul de evidență al poliției, efectuată în cadrul unei proceduri de cercetare penală, pentru mărturie mincinoasă, infracțiune prevăzută la articolul 290 alineatul (1) din Nakazatelen Kodeks (Codul penal). În urma acestei proceduri, la 2 iulie 2015, împotriva sa a fost întocmit un rechizitoriu și, prin hotărârea din 28 iunie 2016, confirmată în apel prin hotărârea din 2 decembrie 2016, a fost declarat vinovat și condamnat la o pedeapsă cu suspendare de un an. Pedeapsa a fost executată la 14 martie 2018.

8.        La 15 iulie 2020, NG a depus o cerere de ștergere a acestei înscrieri la administrația teritorială competentă a Ministerstvo na vatreshnite raboti (Ministerul Afacerilor Interne, Bulgaria), prezentând un extras din cazierul său judiciar care certifica faptul că nu era condamnat.

9.        Prin decizia din 2 septembrie 2020, autoritatea administrativă competentă a respins această cerere pentru motivul că o condamnare prin hotărâre definitivă nu face parte dintre motivele de ștergere a înscrierii din sistemul de evidență al poliției, enumerate în mod exhaustiv la articolul 68 alineatul (6) din ZMVR, inclusiv în caz de reabilitare, în sensul articolului 85 din Codul penal. La 8 octombrie 2020, NG a formulat o acțiune împotriva acestei decizii la Administrativen sad Sofia grad (Tribunalul Administrativ din Sofia, Bulgaria). Prin decizia din 2 februarie 2021, această instanță a respins acțiunea.

10.      NG a formulat recurs împotriva deciziei Administrativen sad Sofia grad (Tribunalul Administrativ din Sofia) la Varhoven administrativen sad (Curtea Administrativă Supremă, Bulgaria). Motivul principal de recurs este întemeiat pe încălcarea principiului, care s‑ar deduce din articolele 5, 13 și 14 din Directiva 2016/680, potrivit căruia prelucrarea datelor cu caracter personal prin stocare nu poate avea o durată nelimitată. Or, în lipsa unui motiv de ștergere a înscrierii din sistemul de evidență al poliției, o persoană condamnată nu ar putea solicita, după reabilitarea sa, ștergerea datelor sale colectate în legătură cu infracțiunea pentru care a executat pedeapsa, astfel încât durata stocării acestora ar fi nelimitată.

11.      Având îndoieli cu privire la conformitatea cu dreptul Uniunii a normelor naționale care reglementează sistemul de evidență al poliției în cauză, instanța de trimitere a hotărât să suspende judecarea litigiului principal și să adreseze Curții următoarea întrebare preliminară:

„Interpretarea articolului 5 coroborat cu articolul 13 alineatul (2) litera (b) și alineatul (3) din [Directiva 2016/680] permite măsuri legislative naționale care conduc la un drept practic nelimitat la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și/sau eliminarea dreptului persoanei vizate la restricționarea prelucrării, la ștergerea sau la distrugerea datelor sale?”

III. Procedura în fața Curții

12.      Guvernele bulgar, ceh, irlandez, spaniol și polonez, precum și Comisia Europeană au depus observații scrise. În ședința care a avut loc la 7 februarie 2023 au fost de asemenea ascultate observațiile orale ale reclamantei din litigiul principal, ale guvernelor bulgar, irlandez, spaniol, neerlandez și polonez, precum și ale Comisiei.

IV.    Analiză

A.      Cu privire la aplicabilitatea Directivei 2016/680

13.      Din cererea de decizie preliminară reiese că instanța de trimitere consideră în mod vădit indiscutabil faptul că reglementarea națională în litigiu intră în domeniul de aplicare ratione materiae al Directivei 2016/680, poziție care justifică, în opinia noastră, câteva observații.

14.      În conformitate cu articolul 1 alineatul (1) coroborat cu articolul 2 alineatul (1) din Directiva 2016/680, aceasta din urmă se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora. Articolul 2 alineatul (3) litera (a) din Directiva 2016/680 exclude din domeniul său de aplicare prelucrarea datelor cu caracter personal efectuată „în cadrul unei activități care nu intră sub incidența dreptului Uniunii”. Considerentele (12) și (14) ale acestei directive precizează conținutul acestei excepții de inaplicabilitate, indicând că ea acoperă printre altele activitățile privind securitatea națională, spre deosebire de cele privind menținerea legii și ordinii ca atribuții ale poliției sau ale altor autorități de aplicare a legii atunci când aceasta se impune pentru a se asigura protecția împotriva amenințărilor la adresa securității publice și la adresa intereselor fundamentale ale societății protejate prin lege și pentru prevenirea acestor amenințări, care pot conduce la o infracțiune.

15.      Interpretând articolul 2 alineatul (2) litera (a) din Regulamentul (UE) 2016/679(3), care prevede o excepție de la aplicabilitatea acestui regulament redactată în termeni identici cu cei ai articolului 2 alineatul (3) litera (a) din Directiva 2016/680, Curtea a statuat că această primă dispoziție, interpretată în lumina considerentului (16) al regulamentului menționat, trebuie considerată ca având ca unic obiectiv excluderea din domeniul de aplicare al regulamentului menționat a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități de apărare a securității naționale sau al unei activități care poate fi încadrată în aceeași categorie, astfel încât simplul fapt că o activitate este proprie statului sau unei autorități publice nu este suficient pentru ca această excepție să fie automat aplicabilă unei asemenea activități. Curtea a precizat că activitățile care au ca scop apărarea securității naționale cuprind în special activitățile care au ca obiect protejarea funcțiilor esențiale ale statului și a intereselor fundamentale ale societății(4).

16.      Or, în speță, datele înregistrate și păstrate de poliție în temeiul articolului 68 din ZMVR sunt înregistrate și păstrate, conform articolului 27 din această lege, în scopul protejării securității naționale, al combaterii criminalității și al menținerii ordinii publice. Rezultă astfel că sistemul de evidență al poliției în cauză constituie o bază de date unică și hibridă, întrucât regrupează informații care pot face obiectul unor prelucrări care răspund unor scopuri distincte, printre care cel referitor la protecția securității naționale, care nu intră în domeniul de aplicare material al Directivei 2016/680. În aceste împrejurări, legalitatea păstrării datelor care figurează într‑un astfel de fișier nu poate fi examinată în raport cu cerințele acestei directive atât timp cât datele respective sunt utilizate numai în scopurile prevăzute la articolul 1 alineatul (1) din directiva menționată, aspect a cărui verificare revine instanței de trimitere(5). În stadiul dosarului prezentat Curții, nu reiese că păstrarea datelor lui NG în sistemul de evidență al poliției, a căror ștergere o solicită acesta, poate fi considerată o prelucrare exclusă din domeniul de aplicare material al Directivei 2016/680.

17.      În acest stadiu, trebuie subliniat că reglementarea națională în discuție în cauza principală a făcut deja obiectul unei hotărâri a Curții în urma unei întrebări adresate de o instanță bulgară însărcinată cu aprecierea refuzului unei persoane urmărite penal pentru o infracțiune de fraudă fiscală de a se supune colectării datelor sale. Curtea s‑a pronunțat printre altele cu privire la legalitatea colectării datelor în raport cu cerințele articolului 10 din Directiva 2016/680, statuând că acesta din urmă, coroborat cu articolul 4 alineatul (1) literele (a)-(c), precum și cu articolul 8 alineatele (1) și (2) din această directivă trebuie interpretat în sensul că se opune unei legislații naționale care prevede colectarea sistematică a datelor biometrice și genetice ale oricărei persoane inculpate pentru săvârșirea cu intenție a unei infracțiuni pentru care acțiunea penală se pune în mișcare din oficiu, în scopul înregistrării lor, fără a prevedea obligația autorității competente de a verifica și de a demonstra, pe de o parte, că această colectare este strict necesară pentru realizarea obiectivelor concrete urmărite și, pe de altă parte, că aceste obiective nu pot fi atinse prin măsuri care constituie o ingerință de mai mică gravitate pentru drepturile și libertățile persoanei vizate(6). Prezenta cauză determină Curtea să examineze legalitatea unei ingerințe diferite, și anume păstrarea informațiilor privind persoanele fizice condamnate penal identificate cu prenumele și numele lor în sistemul de evidență al poliției în cauză, care constituie o prelucrare de date cu caracter personal efectuată de o autoritate publică competentă în scopul prevenirii, depistării și investigării infracțiunilor, respectiv Ministerul de Interne bulgar, în sensul articolului 3 alineatele (1) și (2) și al articolului 3 alineatul (7) litera (a) din Directiva 2016/680.

B.      Cu privire la reformularea întrebării preliminare

18.      Cu titlu preliminar, trebuie amintit că, în cadrul procedurii de cooperare între instanțele naționale și Curte instituite la articolul 267 TFUE, este de competența acesteia din urmă să ofere instanței naționale un răspuns util, care să îi permită să soluționeze litigiul cu care este sesizată. Din această perspectivă, Curtea trebuie, dacă este cazul, să reformuleze întrebările care îi sunt adresate. Astfel, misiunea Curții este aceea de a interpreta toate dispozițiile de drept al Uniunii care sunt necesare instanțelor naționale pentru a statua în cauzele cu care sunt sesizate, chiar dacă respectivele dispoziții nu sunt expres indicate în întrebările adresate de aceste instanțe(7).

19.      Faptele din cauza principală se referă la o cerere de ștergere a înscrierii din sistemul de evidență al poliției a unor date cu caracter personal, formulată de o persoană fizică care, după ce a fost condamnată pentru mărturie falsă, și‑a executat pedeapsa și a fost reabilitată la 14 martie 2020, respectiv la aproape cinci de ani de la înscrierea sus‑menționată. Această cerere a fost respinsă prin decizia autorității administrative competente, confirmată în primă instanță prin decizia Administrativen sad Sofia grad (Tribunalul Administrativ din Sofia), supusă unui recurs în fața instanței de trimitere, care are îndoieli cu privire la compatibilitatea reglementării naționale cu Directiva 2016/680 în ceea ce privește problema păstrării datelor în sistemul de evidență al poliției. Prin urmare, cauza principală privește în mod evident dreptul la ștergerea datelor cu caracter personal fără întârzieri nejustificate, astfel cum este prevăzut la articolul 16 alineatul (2) din Directiva 2016/680, în cazul în care prelucrarea încalcă dispozițiile adoptate în temeiul articolelor 4, 8 sau 10 din aceasta sau în cazul în care datele respective trebuie șterse pentru îndeplinirea unei obligații legale care îi revine operatorului.

20.      Articolul 4 alineatul (1) literele (c) și (e) din Directiva 2016/680 prevede că statele membre trebuie să se asigure că datele cu caracter personal sunt, în conformitate cu principiul reducerii la minimum a acestor date și, respectiv, al limitării păstrării lor, adecvate, relevante și neexcesive în ceea ce privește scopurile în care sunt prelucrate și sunt păstrate într‑o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele respective(8). În ceea ce privește articolul 8 din această directivă, acesta este consacrat legalității prelucrării, care este condiționată de necesitatea unei prelucrări efectuate pentru îndeplinirea unei sarcini de către o autoritate competentă, în scopurile stabilite la articolul 1 alineatul (1) din directiva menționată, și de un temei juridic european sau național, acesta din urmă trebuind să precizeze cel puțin obiectivele prelucrării, datele cu caracter personal care urmează să fie prelucrate și scopurile prelucrării. În sfârșit, în ceea ce privește articolul 10 din Directiva 2016/680, acesta stabilește regimul juridic al prelucrării unor categorii speciale de date cu caracter personal precum datele biometrice și genetice utilizate în sistemul de evidență al poliției în scopul identificării unice a unei persoane fizice.

21.      Trebuie să se constate că dispozițiile evocate la punctul precedent nu sunt avute în vedere în întrebarea preliminară, deși sunt în mod vădit relevante pentru răspunsul pe care Curtea este chemată să îl furnizeze în speță. Instanța de trimitere a solicitat interpretarea articolului 5 și a articolului 13 alineatul (2) litera (b) și alineatul (3) din Directiva 2016/680, care nu fac parte dintre dispozițiile menționate în mod expres la articolul 16 alineatul (2) din această directivă, a căror încălcare de către reglementarea națională justifică punerea în aplicare a dreptului la ștergerea datelor acordat persoanei vizate. Totuși, acest drept este recunoscut de asemenea atunci când datele trebuie să fie șterse pentru a respecta o obligație legală care se aplică operatorului, ceea ce poate corespunde situațiilor avute în vedere la articolul 5 și la articolul 13 alineatul (2) litera (b) din directiva menționată, și anume: stabilirea unor termene maxime pentru păstrarea datelor sau pentru revizuirea periodică a necesității unei astfel de păstrări(9) și, respectiv, comunicarea de către operator persoanei vizate, în anumite cazuri, a unor informații suplimentare față de cele prevăzute la articolul 13 alineatul (1), pentru a permite acesteia exercitarea drepturilor sale. În schimb, alineatul (3) al acestui articol 13 privește posibilitatea statelor membre de a adopta, în anumite condiții, măsuri legislative de amânare, restricționare sau chiar omitere a furnizării de informații persoanei vizate în conformitate cu alineatul (2), ceea ce nu poate intra sub incidența unei obligații legale impuse operatorului.

22.      În orice caz, din decizia de trimitere nu reiese că în cauza principală s‑a pus problema informării lui NG cu privire la drepturile sale, întrucât persoana interesată a putut în mod vădit să le exercite, astfel cum demonstrează acțiunea cu care a sesizat autoritățile administrative și apoi pe cele judiciare cu privire la păstrarea datelor sale. Întrebarea adresată Curții nu pare, așadar, să necesite interpretarea articolului 13 alineatul (2) litera (b) și alineatul (3) din Directiva 2016/680. Prin urmare, în cauza principală sunt în discuție în special articolul 16 alineatul (2) din Directiva 2016/680, precum și articolele 4, 5, 8 și 10 din aceasta.

23.      Pe de altă parte, astfel cum enunță considerentul (104) al Directivei 2016/680, aceasta respectă drepturile fundamentale și principiile recunoscute de cartă, astfel cum sunt consacrate în Tratatul privind funcționarea Uniunii Europene, în special dreptul la respectarea vieții private și de familie și dreptul la protecția datelor cu caracter personal. Potrivit considerentului (46) al acestei directive, orice limitare a drepturilor persoanei vizate trebuie să fie în conformitate cu carta și cu Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950 (denumită în continuare „CEDO”), astfel cum au fost interpretate în jurisprudența Curții de Justiție și, respectiv, a Curții Europene a Drepturilor Omului (denumită în continuare „Curtea EDO”) și, îndeosebi, trebuie să respecte esența drepturilor și libertăților respective. Trebuie amintit că drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, garantate la articolele 7 și 8 din cartă, nu sunt prerogative absolute, ci trebuie să fie luate în considerare în raport cu funcția lor în societate și trebuie evaluate comparativ cu alte drepturi fundamentale. Astfel, pot fi impuse restrângeri, cu condiția ca, în conformitate cu articolul 52 alineatul (1) din cartă, acestea să fie prevăzute de lege și să respecte substanța drepturilor fundamentale, precum și principiul proporționalității. În temeiul acestui din urmă principiu, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și a libertăților celorlalți. Acestea trebuie să fie efectuate în limitele strictului necesar, iar reglementarea care presupune o ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective(10).

24.      În aceste condiții, este necesar să se considere că instanța de trimitere solicită în esență să se stabilească dacă articolele 4, 5, 8, 10 și articolul 16 alineatul (2) din Directiva 2016/680, coroborate cu articolul 52 alineatul (1) din cartă, trebuie interpretate în sensul că se opun unei legislații naționale care prevede păstrarea datelor cu caracter personal într‑un sistem de evidență al poliției, care include datele biometrice și genetice ale persoanei vizate, până la decesul acesteia, și care nu îi permite să obțină ștergerea acestor date ca urmare a reabilitării de care a beneficiat ulterior condamnării sale penale(11).

C.      Cu privire la păstrarea datelor cu caracter personal în scopuri represive

25.      Înainte de a examina compatibilitatea reglementării naționale privind sistemul de evidență al poliției în cauză, considerăm necesar să fie avută în vedere problematica păstrării datelor în scopuri represive în lumina anumitor dispoziții ale Directivei 2016/680, precum și a jurisprudenței Curții și a Curții EDO.

26.      În primul rând, trebuie arătat că Directiva 2016/680 urmărește să contribuie la realizarea unui spațiu de libertate, securitate și justiție în cadrul Uniunii, instituind totodată un cadru solid și coerent în materie de protecție a datelor cu caracter personal pentru a asigura respectarea dreptului fundamental al protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, recunoscut la articolul 8 alineatul (1) din cartă și la articolul 16 alineatul (1) TFUE, acest drept fiind strâns legat de dreptul la respectarea vieții private, consacrat la articolul 7 din cartă(12). În acest scop, capitolele II și III din Directiva 2016/680 prevăd principiile ce guvernează prelucrările datelor cu caracter personal, precum și, respectiv, drepturile persoanei vizate pe care trebuie să le respecte orice prelucrare a unor astfel de date. În special, orice prelucrare a datelor cu caracter personal trebuie să fie conformă cu principiile referitoare la prelucrarea datelor și la legalitatea prelucrării acestora, prevăzute la articolele 4 și 8 din directiva menționată. Întrucât cerințele cuprinse în această din urmă dispoziție sunt o expresie a celor care rezultă din articolul 52 alineatul (1) din cartă, ele trebuie interpretate în lumina acestui articol(13).

27.      În răspunsul care urmează a fi furnizat instanței de trimitere trebuie, așadar, să se țină seama de principiul „reducerii la minimum a datelor” prevăzut la articolul 4 alineatul (1) litera (c) din Directiva 2016/680, care constituie expresia principiului proporționalității(14). De asemenea trebuie să se țină seama de principiul limitării păstrării, cuprins la articolul 4 alineatul (1) litera (e) din această directivă, care presupune efectuarea unei aprecieri a caracterului proporțional al prelucrării în raport cu scopul său, având în vedere trecerea timpului. Păstrarea datelor pentru o perioadă mai lungă decât cea necesară, cu alte cuvinte pentru o perioadă mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost păstrate datele respective, ar fi contrară acestui principiu(15). Rezultă de aici că chiar și o prelucrare inițial legală a datelor poate deveni, cu timpul, incompatibilă cu Directiva 2016/680 atunci când aceste date nu mai sunt necesare pentru realizarea unor astfel de scopuri și că datele trebuie șterse atunci când scopurile menționate au fost realizate(16).

28.      Problematica temporală a păstrării datelor este abordată de asemenea la articolul 5 din Directiva 2016/680 sub forma unei precizări suplimentare în raport cu cerințele prevăzute la articolul 4 din aceasta(17). După cum enunță considerentul (26) al directivei menționate, în vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică. Trebuie să se constate că articolul 5 din Directiva 2016/680, pe de o parte, lasă statelor membre sarcina de a aprecia și de a stabili perioada relevantă de stocare și, pe de altă parte, are în vedere verificarea regulată a necesității de stocare a datelor ca o alternativă la stabilirea a priori a unei perioade maxime de stocare. Considerăm că această a doua observație are o importanță certă în prezenta cauză, întrucât reflectă recunoașterea de către legiuitorul Uniunii a unei posibile păstrări pe durată nedeterminată a datelor în scopuri represive(18). Această constatare trebuie coroborată cu textul articolului 16 alineatul (3) din Directiva 2016/680, care are în vedere posibilitatea de a restricționa prelucrarea datelor ca alternativă la ștergerea lor, în special la litera (b), atunci când datele cu caracter personal trebuie să fie păstrate „ca mijloace de probă”, ceea ce demonstrează că nu există un drept absolut la ștergerea datelor(19).

29.      Problema legalității păstrării datelor o include în mod necesar pe cea a naturii lor, care privește în speță printre altele amprentele digitale, fotografiile, o prelevare de ADN al persoanei suspectate de săvârșirea unei infracțiuni sau condamnate penal în acest temei, acest tip de date determinând intrarea prelucrării în domeniul de aplicare al articolului 10 din Directiva 2016/680. Trebuie subliniat că, deși regimul juridic definit de această dispoziție nu cuprinde, spre deosebire de cel prevăzut la articolul 9 din RGPD, o interdicție de principiu privind o prelucrare a unor astfel de date, aceasta din urmă este autorizată „numai atunci când este strict necesară” și sub rezerva unor garanții adecvate pentru drepturile și libertățile persoanei vizate și numai atunci când, printre altele, este autorizată de dreptul Uniunii sau de dreptul intern.

30.      Potrivit jurisprudenței, finalitatea articolului 10 din Directiva 2016/680 este aceea de a asigura o protecție sporită în privința acestor prelucrări care, din cauza caracterului deosebit de sensibil al datelor în cauză și a contextului în care sunt prelucrate, sunt susceptibile să genereze, astfel cum reiese din considerentul (37) al directivei menționate, riscuri importante pentru libertățile și pentru drepturile fundamentale, precum dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal, garantate de articolele 7 și 8 din cartă. Astfel cum rezultă din înșiși termenii în care este prevăzută la articolul 10 din Directiva 2016/680, cerința potrivit căreia prelucrarea unor astfel de date este autorizată „numai atunci când este strict necesară” trebuie interpretată în sensul că definește condiții mai stricte de legalitate a prelucrării datelor sensibile, în raport cu cele care decurg din articolul 4 alineatul (1) literele (b) și (c) și din articolul 8 alineatul (1) din această directivă, care se referă numai la „necesitatea” unei prelucrări a datelor care intră, în general, în domeniul de aplicare al directivei menționate. Astfel, pe de o parte, utilizarea adverbului „numai” în fața expresiei „atunci când este strict necesară” subliniază că prelucrarea unor categorii speciale de date, în sensul articolului 10 din Directiva 2016/680, nu va putea fi considerată necesară decât într‑un număr limitat de cazuri. Pe de altă parte, caracterul „strict” al necesității unei prelucrări a unor astfel de date presupune ca această necesitate să fie apreciată într‑un mod deosebit de riguros(20).

31.      În al doilea rând, arătăm că, deși Curtea s‑a pronunțat deja în mai multe rânduri cu privire la problema legalității păstrării datelor în scopuri represive, a procedat astfel în contexte normative și factuale care se deosebesc mult de cel din prezenta cauză. Astfel, Curtea a statuat(21) că dreptul Uniunii rezultat din Directiva 2002/58/CE(22), din care reiese că utilizatorii mijloacelor de comunicații electronice sunt îndreptățiți să se aștepte, în principiu, ca comunicațiile lor și datele aferente acestora să rămână, în lipsa consimțământului lor, anonime și să nu poată face obiectul unei înregistrări, se opune unei păstrări generalizate și nediferențiate, cu titlu preventiv, a datelor de transfer și de localizare în scopul combaterii infracționalității, indiferent de gradul său de gravitate, această păstrare fiind admisă, în anumite condiții, numai în cazul unei amenințări grave, reale și actuale sau previzibile la adresa securității naționale. Ea a adăugat că dreptul Uniunii nu se opune, în schimb, unor măsuri care prevăd, în scopul combaterii infracționalității grave, o păstrare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor și, pentru o perioadă limitată în timp la strictul necesar, a adreselor IP ale acestora, o păstrare direcționată a datelor delimitată, pe baza unor elemente obiective și nediscriminatorii, în funcție de categoriile de persoane vizate sau prin intermediul unui criteriu geografic, pentru o perioadă limitată în timp la strictul necesar, dar care poate fi reînnoită, și păstrarea rapidă a datelor relative de care dispun furnizorii de servicii, pentru o perioadă determinată, toate aceste măsuri trebuind să garanteze, prin norme clare și precise, că păstrarea datelor în cauză este condiționată de respectarea cerințelor materiale și procedurale aferente acestora și că persoanele vizate dispun de garanții efective împotriva riscurilor de abuz.

32.      Curtea a utilizat de asemenea criteriul privind respectarea limitelor strictului necesar pentru prelucrarea datelor cu caracter personal în contextul transferului, al păstrării și al utilizării datelor cuprinse în registrele cu numele pasagerilor zborurilor extra‑UE constituite de transportatorii aerieni (denumite în continuare „datele PNR”), în vederea prevenirii și a depistării infracțiunilor de terorism și a infracțiunilor grave(23). Curtea a avut ocazia să sublinieze că, întrucât durata păstrării datelor PNR poate ajunge, în conformitate cu Acordul PNR UE‑Canada, până la cinci ani, acest acord permite să se dispună de informații cu privire la viața privată a pasagerilor aerieni pentru o perioadă deosebit de lungă și că, în ceea ce privește pasagerii aerieni pentru care nu a fost identificat un risc în materie de terorism sau de infracțiuni transnaționale grave la sosirea lor în Canada și până la plecarea lor din această țară terță, nu rezultă că există, după plecarea lor, vreun raport, nici chiar indirect, între datele lor PNR și obiectivul urmărit de acordul preconizat, care ar justifica păstrarea acestor date. Prin urmare, Curtea a concluzionat că stocarea continuă a datelor PNR ale tuturor pasagerilor aerieni după plecarea lor din Canada în vederea unui eventual acces la aceste date, independent de vreo legătură cu combaterea terorismului și a altor infracțiuni transnaționale grave, nu era justificată(24).

33.      Curtea s‑a pronunțat, în cadrul unei trimiteri preliminare, cu privire la validitatea și la interpretarea Directivei (UE) 2016/681(25), care obligă operatorii de transport aerian să transfere datele oricărui pasager care efectuează un zbor extra‑UE, operat între o țară terță și Uniunea Europeană, către unitatea de informații despre pasageri a statului membru de destinație sau de plecare a zborului în cauză, în vederea combaterii terorismului și a infracțiunilor grave. Datele PNR astfel transferate fac obiectul unei evaluări prealabile de către unitatea de informații despre pasageri pentru o perioadă de șase luni și sunt păstrate apoi timp de cinci ani în vederea unei eventuale evaluări ulterioare de către autoritățile competente ale statelor membre, ceea ce poate conduce la analize efectuate pentru o perioadă considerabilă sau chiar nedeterminată în ceea ce privește persoanele care călătoresc cu avionul mai mult de o dată la cinci ani. Curtea a considerat că directiva menționată conține ingerințe de o gravitate certă în drepturile garantate de articolele 7 și 8 din cartă, în măsura în care, printre altele, aceasta urmărește să instituie un regim de supraveghere continuu, nedirecționat și sistematic, care include evaluarea automatizată a datelor cu caracter personal ale tuturor persoanelor care recurg la servicii de transport aerian, pretându‑se totodată la o interpretare conformă cu articolele 7, 8 și 21, precum și cu articolul 52 alineatul (1) din cartă. Curtea a precizat că, după expirarea perioadei inițiale de păstrare de șase luni, păstrarea datelor PNR nu pare limitată la strictul necesar în ceea ce privește pasagerii aerieni pentru care nici evaluarea prealabilă, nici eventualele verificări efectuate în perioada de păstrare inițială de șase luni și nici o altă circumstanță nu au evidențiat elemente obiective de natură să demonstreze existența unui risc în materie de infracțiuni teroriste sau de infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu călătoria aeriană efectuată de acești pasageri. În schimb, aceasta a apreciat că, în perioada inițială de șase luni, păstrarea datelor PNR ale tuturor pasagerilor aerieni care fac obiectul sistemului instituit prin directiva menționată nu pare, în principiu, să depășească limitele strictului necesar.

34.      Spre deosebire de jurisprudența sus‑amintită, trebuie subliniat, pe de o parte, că, contrar celor stabilite în domeniul prelucrării datelor în Directiva 2002/58(26), consimțământul persoanei vizate nu constituie un temei juridic pentru prelucrarea datelor cu caracter personal efectuată de autoritățile competente în scopurile prevăzute la articolul 1 alineatul (1) din Directiva 2016/680. Astfel cum se precizează în considerentul (35) al acesteia, îndeplinirea sarcinilor de prevenire, depistare, investigare sau urmărire penală a infracțiunilor, conferită în mod instituțional prin lege autorităților competente, le permite acestora să solicite sau să impună persoanelor fizice să respecte cerințele formulate. Pe de altă parte, în prezenta cauză nu este vorba despre păstrarea și analiza automatizată a unui „ocean de date”(27) generate în sectorul comunicațiilor electronice sau în cel al transportului aerian, stocate de operatori privați și transferate unor organe de anchetă, ci despre un sistem de evidență al poliției unic care conține datele persoanelor în privința cărora există motive serioase să se creadă că au săvârșit o infracțiune, suspectate și condamnate penal, sub controlul exclusiv al unei autorități publice și strict confidențial.

35.      Caracterul specific al contextului normativ și factual al jurisprudenței menționate anterior împiedică, în opinia noastră, orice transpunere pură și simplă a soluțiilor reținute în aceasta pentru a răspunde la prezenta întrebare preliminară, în ceea ce privește în special distincția dintre obiectivele păstrării datelor (protejarea securității naționale, combaterea infracționalității grave sau a infracțiunilor care nu intră sub incidența acesteia) și corelarea necesară între importanța obiectivelor respective și gradul de gravitate al ingerințelor în drepturile fundamentale care pot fi justificate(28). Altfel spus, afirmația potrivit căreia combaterea infracționalității în general poate justifica numai ingerințe care nu prezintă un caracter grav(29) nu poate fi reținută în speță, în caz contrar reducându‑se în mare măsură efectul util al Directivei 2016/680 și al instrumentelor naționale de anchetă/securitate publică, precum sistemul de evidență al poliției în cauză, care intră în domeniul de aplicare al acestei norme, al cărei obiect exprimă tocmai necesitatea de a putea prelucra, în mod proporțional, date în scopuri polițienești. Este necesar să se arate că, astfel cum reiese din considerentele (10) și (11) ale Directivei 2016/680, legiuitorul Uniunii a intenționat să adopte norme care țin seama de natura specifică a domeniului reglementat de această directivă. În această privință, considerentul (12) enunță că activitățile desfășurate de poliție sau de alte autorități de aplicare a legii, inclusiv activitățile polițienești desfășurate fără a cunoaște dinainte dacă un incident constituie o infracțiune, se concentrează în principal asupra prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor(30).

36.      În al treilea rând, trebuie arătat că articolul 7 din cartă, referitor la dreptul la respectarea vieții private și de familie, conține drepturi ce corespund celor garantate la articolul 8 paragraful 1 din CEDO și că protecția datelor cu caracter personal are un rol fundamental în exercitarea dreptului la respectarea vieții private și de familie consacrat la articolul 8 din CEDO. În consecință, este necesar, în conformitate cu articolul 52 alineatul (3) din cartă, să se dea respectivului articol 7 același înțeles și același domeniu de aplicare cu cele conferite articolului 8 paragraful 1 din CEDO, astfel cum a fost interpretat de jurisprudența Curții EDO(31).

37.      Curtea EDO consideră că protecția datelor cu caracter personal are un rol fundamental în exercitarea dreptului la respectarea vieții private consacrat la articolul 8 din CEDO și că simplul fapt de a memoriza date referitoare la viața privată a unei persoane constituie o ingerință în sensul acestui articol 8, indiferent dacă informațiile memorizate sunt sau nu utilizate ulterior. Potrivit instanței menționate, dreptul intern trebuie să asigure printre altele că aceste date sunt relevante și neexcesive în raport cu scopurile pentru care sunt înregistrate și că sunt păstrate într‑o formă care permite identificarea persoanelor vizate pentru o perioadă care nu o depășește pe cea necesară scopurilor pentru care sunt înregistrate. Dreptul intern trebuie să conțină, de asemenea, garanții apte să protejeze în mod eficient datele cu caracter personal înregistrate împotriva utilizărilor improprii și abuzive, oferind în același timp o posibilitate concretă de formulare a unei cereri de ștergere a datelor memorizate. Curtea EDO a avut însă grijă să precizeze că este pe deplin conștientă că, pentru a proteja populația astfel cum au obligația, autoritățile naționale trebuie să constituie sisteme de evidență care să contribuie în mod eficient la sancționarea și la prevenirea anumitor infracțiuni, mai ales a celor mai grave. Totuși, astfel de dispozitive nu pot fi puse în aplicare într‑o logică excesivă de maximizare a informațiilor care sunt plasate în acestea și a duratei păstrării lor(32). Cu privire la acest din urmă aspect, Curtea EDO consideră că lipsa unei perioade maxime pentru păstrarea datelor cu caracter personal ale persoanelor condamnate nu este în mod necesar incompatibilă cu articolul 8 din CEDO, dar că existența și funcționarea anumitor garanții procedurale sunt cu atât mai necesare în această ipoteză(33).

D.      Cu privire la ingerința în drepturile fundamentale garantate la articolele 7 și 8 din cartă

38.      Astfel cum reiese din articolul 68 din ZMVR și din observațiile prezentate de guvernul bulgar în ședință, datele avute în vedere de reglementarea națională includ printre altele starea civilă a persoanei vizate, faptele sancționabile pe care aceasta din urmă este suspectată că le‑a săvârșit sau pentru care a fost condamnată penal, amprentele sale digitale, fotografii, prelevări de ADN în scopul realizării unui profil. Întrucât aceste date includ, așadar, informații privind persoane fizice identificate, diferitele modalități de prelucrare a acestor date afectează dreptul fundamental la respectarea vieții private, garantat de articolul 7 din cartă. În plus, prelucrările acestor date, precum cele prevăzute de reglementarea națională, se încadrează și la articolul 8 din cartă ca urmare a faptului că reprezintă prelucrări de date cu caracter personal în sensul acestui articol și trebuie, în consecință, să îndeplinească în mod necesar cerințele de protecție a datelor prevăzute la respectivul articol(34).

39.      Asemenea Curții EDO, potrivit căreia simplul fapt de a memoriza date referitoare la viața privată a unei persoane constituie o ingerință în sensul articolului 8 din CEDO(35), Curtea consideră că păstrarea datelor constituie, în sine, o ingerință în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, consacrate la articolele 7 și 8 din cartă, fiind irelevant dacă informațiile vizate referitoare la viața privată prezintă sau nu un caracter sensibil, dacă persoanele interesate au suferit sau nu eventuale inconveniente ca urmare a acestei ingerințe sau dacă datele păstrate vor fi sau nu utilizate ulterior(36).

40.      În ceea ce privește gravitatea ingerinței pe care o constituie păstrarea, aceasta este stabilită în raport cu natura anumitor date, fiind vorba în special despre datele biometrice și genetice care figurează în sistemul de evidență al poliției, Curtea considerând importante riscurile pe care le prezintă prelucrarea datelor sensibile pentru drepturile și libertățile persoanelor vizate, în special în contextul atribuțiilor autorităților competente în scopurile prevăzute la articolul 1 alineatul (1) din Directiva 2016/680(37). În această privință, în considerentul (23) al directivei menționate se precizează că, având în vedere complexitatea și sensibilitatea informațiilor genetice, există un risc ridicat de utilizare abuzivă și de reutilizare în diverse scopuri neautorizate de către operator. În ceea ce privește considerentul (51) al directivei menționate, acesta enunță că riscurile la adresa drepturilor și libertăților persoanelor fizice pot fi rezultatul unei prelucrări a datelor care ar putea genera prejudicii de natură fizică, materială sau morală printre altele în cazul în care sunt prelucrate date genetice sau date biometrice pentru identificarea singulară a unei persoane sau date privind condamnările penale și infracțiunile.

41.      Perioada de păstrare a datelor în sistemul de evidență al poliției concură de asemenea la constatarea gravității ingerinței, în sensul că această păstrare este posibilă pe durata vieții persoanei condamnate penal. În sfârșit, din articolul 26 alineatul (6) din ZMVR rezultă că datele cu caracter personal pot fi transferate către autorități competente și destinatari din statele membre ale Uniunii, către organisme și agenții ale Uniunii, către țări terțe sau către organizații internaționale. În această privință, trebuie amintit că Directiva 2016/680 are ca scop facilitarea liberei circulații a datelor cu caracter personal între autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora în cadrul Uniunii, și transferul de astfel de date cu caracter personal către țări terțe și organizații internaționale, pentru a se garanta eficacitatea cooperării judiciare în materie penală și a cooperării polițienești(38). Să amintim în această privință că dreptul la protecția datelor cu caracter personal impune printre altele să se asigure continuitatea nivelului ridicat al protecției libertăților și drepturilor fundamentale conferit de dreptul Uniunii în cazul transferului de date cu caracter personal din Uniune către o țară terță(39).

42.      Având în vedere ansamblul considerațiilor care precedă, trebuie să se concluzioneze că reglementarea națională în discuție în litigiul principal cuprinde ingerințe de o gravitate certă în drepturile garantate la articolele 7 și 8 din cartă în măsura în care, printre altele, urmărește să instituie un instrument de păstrare continuă a unor date sensibile, care pot trece frontierele statului în cauză, ale persoanelor condamnate penal.

E.      Cu privire la justificarea ingerinței

43.      După cum s‑a precizat, drepturile fundamentale consacrate la articolele 7 și 8 din cartă nu sunt prerogative absolute, iar din articolul 52 alineatul (1) din cartă reiese că aceasta admite restrângeri ale exercițiului acestor drepturi, în măsura în care aceste restrângeri sunt prevăzute de lege, respectă substanța drepturilor respective și, prin respectarea principiului proporționalității, sunt necesare și răspund efectiv unor obiective de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți(40). Potrivit considerentului (26) al Directivei 2016/680, autoritățile de aplicare a legii pot întreprinde activități în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protecției împotriva amenințărilor la adresa securității publice și al prevenirii acestora, în măsura în care sunt prevăzute de lege și constituie o măsură necesară și proporțională într‑o societate democratică, ținând seama în mod corespunzător de interesele legitime ale respectivei persoane fizice.

44.      În ceea ce privește respectarea principiului proporționalității, trebuie amintit că protecția dreptului fundamental la respectarea vieții private impune, potrivit unei jurisprudențe constante a Curții, ca derogările de la protecția datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar, fiind stabilit că, atunci când este posibilă alegerea între mai multe măsuri adecvate pentru îndeplinirea obiectivelor legitime urmărite, trebuie să se recurgă la cea mai puțin constrângătoare. În plus, un obiectiv de interes general nu poate fi urmărit fără a ține seama de faptul că trebuie conciliat cu drepturile fundamentale vizate de măsură, prin crearea unui echilibru între, pe de o parte, obiectivul de interes general și, pe de altă parte, drepturile în cauză, pentru a se asigura că inconvenientele cauzate de această măsură nu sunt disproporționate în raport cu scopurile vizate. Astfel, posibilitatea statelor membre de a justifica o restrângere a drepturilor garantate de articolele 7 și 8 din cartă trebuie să fie apreciată măsurând gravitatea ingerinței pe care o implică o asemenea restrângere și verificând dacă importanța obiectivului de interes general urmărit prin restrângerea respectivă se raportează la această gravitate(41).

1.      Cu privire la respectarea principiului legalității

45.      Cerința ca orice restrângere a exercitării drepturilor fundamentale să fie prevăzută de lege presupune ca temeiul juridic care permite ingerința în aceste drepturi să definească el însuși întinderea restrângerii exercitării dreptului vizat. În această privință, Curtea a statuat, în plus, că reglementarea care conține o măsură ce permite o asemenea ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal au fost transferate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz. În consecință, temeiul juridic al oricărei prelucrări de date cu caracter personal care intră în domeniul de aplicare al Directivei 2016/680 trebuie, astfel cum a subliniat de altfel legiuitorul Uniunii în considerentul (33) al acesteia, să fie clar și precis, iar aplicarea sa să fie previzibilă pentru destinatari. În special, aceștia trebuie să fie în măsură să identifice împrejurările și condițiile în care întinderea drepturilor pe care le conferă directiva menționată poate face obiectul unei restrângeri(42).

46.      Examinarea reglementării naționale în cauză furnizată în decizia de trimitere completată cu observațiile guvernului bulgar permite, în opinia noastră, să se considere că cerința privind „calitatea” legii este îndeplinită, amintindu‑se că aceasta din urmă nu exclude ca restrângerea în cauză să fie formulată în termeni suficient de deschiși pentru a se putea adapta la situații diferite, precum și la schimbările situațiilor(43).

47.      Rezultă, astfel, că înscrierea și păstrarea datelor în sistemul de evidență al poliției au ca scopuri exhaustive, potrivit articolului 27 din ZMVR, protejarea securității naționale, combaterea criminalității și menținerea ordinii publice, această prelucrare urmărind să faciliteze activitatea de anchetă operațională descrisă în mod detaliat la articolul 8 din legea menționată(44). Domeniul de aplicare al prelucrării în ceea ce privește natura infracțiunilor care intră sub incidența acesteia, datele vizate, condițiile de colectare a acestora, bazele de informații în care sunt prelucrate și durata păstrării lor este stabilit cu suficientă precizie la articolul 68 din ZMVR și la articolul 28 din Naredba za reda za izvarshvane i snemane na politseyska registratsia (Regulamentul privind stabilirea normelor de înscriere în registrul polițienesc și de ștergere a acestei înscrieri, denumit în continuare „NRISPR”). Reglementarea națională prevede, în mod explicit și în conformitate cu considerentul (26) al Directivei 2016/680, proceduri pentru a garanta integritatea și confidențialitatea datelor cu caracter personal, precum și distrugerea acestora, prin intermediul informațiilor furnizate persoanei vizate, în conformitate cu articolele 54 și 55 din zakon za zashtita na lichnite danni (Legea privind protecția datelor cu caracter personal), în special în ceea ce privește drepturile acesteia de a solicita operatorului accesul la date, rectificarea sau ștergerea lor. În această privință, motivele de ștergere, procedura și efectele aferente acesteia din urmă sunt precizate la articolul 68 din ZMVR și la articolul 18 și următoarele din NRISPR. Aceste dispoziții sunt redactate cu suficientă precizie și claritate pentru a permite destinatarilor legii să își adapteze conduita și să răspundă astfel cerinței de previzibilitate rezultate din jurisprudența Curții EDO(45).

2.      Cu privire la respectarea substanței drepturilor fundamentale garantate la articolele 7 și 8 din cartă

48.      În ceea ce privește substanța dreptului fundamental la respectarea vieții private, consacrat la articolul 7 din cartă, natura informațiilor conținute în sistemul de evidență al poliției este limitată la un aspect specific al acestei vieți private, referitor la trecutul penal al persoanei vizate, ceea ce nu permite să se tragă concluzii privind, în general, viața privată a acestei persoane, precum obiceiurile sale din viața cotidiană, locurile sale de ședere permanente sau temporare, deplasările sale zilnice sau alte deplasări, activitățile desfășurate, relațiile sale sociale și mediile sociale frecventate de aceasta și, astfel, să îi fie stabilit profilul. În ceea ce privește substanța dreptului la protecția datelor cu caracter personal, consacrat la articolul 8 din cartă, considerațiile care precedă arată că reglementarea națională în cauză limitează finalitățile prelucrării datelor și prevede o enumerare exhaustivă a datelor păstrate și a normelor destinate să asigure accesarea, rectificarea sau ștergerea acestora. În aceste condiții, ingerința pe care o implică păstrarea datelor prevăzută de această reglementare nu aduce atingere substanței drepturilor fundamentale consacrate la articolele sus‑menționate(46).

3.      Cu privire la obiectivul de interes general și la aptitudinea de a prelucra datele în cauză în raport cu acest obiectiv

49.      Astfel cum s‑a constatat în prezentele concluzii, datele provenite din înscrierea persoanelor în sistemul de evidență al poliției efectuată în temeiul articolului 68 din ZMVR sunt utilizate în scopul protejării securității naționale, al combaterii criminalității și al menținerii ordinii publice. Guvernul bulgar a arătat că datele sunt colectate și prelucrate în vederea procedurii penale în cadrul căreia a fost pusă în mișcare acțiunea penală față de persoana vizată, precum și pentru a fi confruntate cu alte date colectate în cursul investigațiilor referitoare la alte infracțiuni. Acest din urmă obiectiv privește de asemenea confruntarea cu date colectate în alte state membre(47).

50.      Această prelucrare se încadrează, potrivit guvernului menționat, în activitatea de anchetă operațională descrisă la articolul 8 din ZMVR, ale cărei finalități sunt definite după cum urmează: prevenirea și depistarea infracțiunilor, a amenințărilor la adresa securității naționale și a atingerilor aduse ordinii publice, căutarea persoanelor care se sustrag răspunderii penale sau care s‑au sustras de la executarea unei pedepse în cauzele penale în care acțiunea penală se pune în mișcare din oficiu, precum și căutarea persoanelor dispărute, căutarea de obiecte care constituie obiectul sau instrumentul săvârșirii unei infracțiuni sau care pot fi utilizate ca probe, precum și pregătirea și conservarea probelor materiale și prezentarea acestora autorităților judiciare competente.

51.      Curtea a precizat că obiectivul de protecție a securității publice constituie un obiectiv de interes general al Uniunii care poate justifica ingerințe, chiar grave, în drepturile fundamentale consacrate la articolele 7 și 8 din cartă. De altfel, o atare protecție contribuie de asemenea la protecția drepturilor și a libertăților celorlalți. În această privință, articolul 6 din cartă prevede dreptul oricărei persoane nu doar la libertate, ci și la siguranță, această dispoziție garantând drepturi care corespund celor garantate la articolul 5 din CEDO(48). În cauza privind compatibilitatea colectării datelor repertoriate în același sistem de evidență al poliției bulgar, Curtea a statuat în mod clar că această prelucrare privind persoane inculpate în cadrul unei proceduri penale, în scopul înregistrării lor, urmărește finalitățile enunțate la articolul 1 alineatul (1) din Directiva 2016/680, în special pe cele referitoare la prevenirea, la detectarea, precum și la cercetarea și la urmărirea penală a infracțiunilor, care constituie obiective de interes general recunoscute de Uniune. Aceasta a adăugat că o astfel de colectare poate contribui la obiectivul enunțat în considerentul (27) al Directivei 2016/680, potrivit căruia, pentru prevenirea, investigarea, precum și urmărirea penală a infracțiunilor, autoritățile competente trebuie să prelucreze datele cu caracter personal colectate în contextul prevenirii, depistării, investigării sau urmăririi penale a anumitor infracțiuni dincolo de acest context pentru a înțelege mai bine activitățile infracționale și pentru a face legături între diferitele infracțiuni detectate(49). Aceste considerații sunt, în mod evident, valabile în ceea ce privește măsura de păstrare a datelor.

52.      Considerăm dificil de contestat faptul că păstrarea datelor în sistemul de evidență al poliției este o prelucrare care permite atingerea obiectivelor de interes general de depistare și, în consecință, de prevenire a infracțiunilor. Un sistem de evidență al poliției care conține identitățile civile, fotografiile, datele biometrice și genetice – și, așadar, caracteristicile fizice unice și nefalsificabile ale unei persoane – ale persoanelor identificate constituie în mod evident un instrument de anchetă pe deplin pertinent pentru serviciile de securitate în scopul elucidării infracțiunilor și al identificării autorilor acestora. În acest sens, reglementarea națională în cauză răspunde unor criterii obiective, care stabilesc un raport între datele care trebuie păstrate și obiectivul urmărit(50).

4.      Cu privire la caracterul necesar și proporțional al ingerinței în cauză

53.      Deși păstrarea datelor în sistemul de evidență al poliției în cauză este în mod vădit aptă să realizeze obiectivul de interes general urmărit, rămâne să se verifice dacă ingerința în drepturile garantate la articolele 7 și 8 din cartă care rezultă dintr‑o astfel de păstrare este limitată la strictul necesar, în sensul că obiectivul nu ar putea fi atins în mod rezonabil, la fel de eficace, prin alte mijloace care afectează mai puțin aceste drepturi fundamentale ale persoanelor vizate, și dacă aceasta nu este disproporționată în raport cu obiectivul respectiv, ceea ce implică printre altele o ponderare a importanței acestuia și a gravității ingerinței menționate(51).

54.      În exercitarea acestui control, trebuie să se țină seama, în speță, de obiectul sistemului de evidență al poliției, de natura infracțiunilor vizate și de numărul de persoane care pot fi înscrise în acesta, de sensibilitatea deosebită a datelor cu caracter personal colectate și de durata păstrării lor, de garanțiile juridice și/sau tehnice prevăzute de reglementarea națională pentru consultarea sistemului de evidență și pentru controlul menținerii datelor în acesta.

a)      Cu privire la obiectul sistemului de evidență

55.      În observațiile sale scrise, guvernul irlandez a arătat în esență că păstrarea datelor poate fi necesară în scopuri de control conex, servind interesului public în materie de prevenire a criminalității și de protecție a securității publice. Astfel, informațiile cuprinse într‑un sistem de evidență al poliției ar trebui să poată fi consultate nu numai pentru a căuta autorii infracțiunilor, ci și în scopuri de poliție administrativă, în cadrul unor investigații prealabile unor decizii de recrutare sau de abilitare privind anumite posturi publice sau sensibile, scopul fiind de a verifica dacă comportamentul persoanelor interesate nu este incompatibil cu exercitarea acestor funcții.

56.      În ședință, guvernul bulgar a confirmat ceea ce se poate deduce din modul explicit de redactare a articolului 27 din ZMVR, și anume că sistemul de evidență al poliției în cauză este un instrument ajutător pentru anchetele judiciare, iar nu administrative. Această constatare prezintă o anumită importanță în ceea ce privește consecințele asociate înscrierii unei persoane într‑un sistem de evidență a antecedentelor, în sensul că inconvenientul de a fi înscris în acesta nu este însoțit de o imposibilitate de acces la anumite activități profesionale(52). Înscrierea în sistemul de evidență al poliției în cauză nu este nici o sancțiune, nici o pedeapsă complementară, scopul său este circumscris în mod clar anchetei judiciare, iar utilizarea sa este rezervată unor servicii supuse unei obligații de confidențialitate.

57.      Nu este mai puțin adevărat că este vorba despre un sistem de evidență unic care servește unor scopuri de poliție judiciară extrem de vaste, ce conține informații diversificate, mergând de la simple informații privind starea civilă la date biometrice și genetice și identificând indivizi care nu au același statut procedural. În locul unei și aceleiași prelucrări care înglobează ansamblul informațiilor, în alte reglementări s‑a considerat preferabil să se prevadă o pluralitate de sisteme de evidență ale poliției care urmăresc scopuri specifice, având o singură utilizare și înregistrând un tip de date.

b)      Cu privire la infracțiunile și la persoanele vizate

58.      Păstrarea datelor în sistemul de evidență al poliției privește persoanele inculpate și condamnate pentru infracțiuni săvârșite cu intenție pentru care acțiunea penală se pune în mișcare din oficiu, în sensul că acuzarea este inițiată de procuror. Potrivit indicațiilor guvernului bulgar, sunt excluse din această categorie infracțiunile săvârșite fără intenție, infracțiunile în cazul cărora punerea în mișcare a acțiunii penale se face la plângerea prealabilă a persoanei vătămate, precum și anumite infracțiuni care au făcut obiectul unei sancțiuni administrative. S‑a arătat deja că marea majoritate a infracțiunilor prevăzute de Codul penal sunt săvârșite cu intenție și pentru aproape toate acțiunea penală se pune în mișcare din oficiu(53).

59.      Trebuie să se constate că reglementarea națională nu vizează infracțiuni enumerate limitativ, nu face distincție între infracțiuni în funcție de natura lor, ea însăși legată de gravitatea faptelor și de pedeapsa aplicabilă, și nici nu reține un criteriu privind un cuantum precis al unei pedepse cu închisoarea. Prin urmare, sunt grupate într‑un ansamblu unic și larg comportamente infracționale variate, desigur, cu o rezervă legată de necesitatea existenței intenției, ceea ce conduce a priori la excluderea infracțiunilor de gravitate redusă pentru care simpla săvârșire materială a faptelor incriminate este suficientă(54), precum și a infracțiunilor caracterizate printr‑o simplă culpă de imprudență sau de neglijență. Invitat în ședință să precizeze conținutul categoriei de infracțiuni în discuție, guvernul bulgar s‑a limitat, din păcate, să indice că nu este vorba doar despre infracțiuni pasibile de o pedeapsă cu închisoarea de cel puțin cinci ani.

60.      În ceea ce privește persoanele vizate, trebuie să se observe că prelucrarea incriminată a datelor este limitată în funcție de vârsta persoanelor vizate, întrucât din articolul 4 din NRISPR rezultă că minorii nu sunt supuși înregistrării în sistemul de evidență al poliției, ceea ce reduce în această măsură numărul de persoane înscrise în sistemul de evidență respectiv. Măsura în cauză distinge două categorii de persoane, și anume persoanele inculpate și cele condamnate penal. Persoanele astfel vizate au fost identificate în prealabil, în cadrul procedurilor naționale aplicabile și pe baza unor elemente obiective și nediscriminatorii, ca reprezentând o amenințare la adresa siguranței publice sau a menținerii ordinii publice. Statele membre au posibilitatea de a lua măsuri de păstrare privind persoane care, în scopul unei asemenea identificări, fac obiectul unei inculpări, și anume o categorie de persoane în privința cărora există motive serioase să se creadă că au săvârșit o infracțiune, sau al unei condamnări, care reflectă faptul că răspunderea lor penală a fost stabilită, situații ce pot implica un risc ridicat de recidivă(55). Recidiva, înțeleasă în sensul comun mai larg al unei reiterări infracționale, este un fenomen pe care fiecare stat membru încearcă să îl măsoare și să înțeleagă factorii care îl determină, sarcină delicată întrucât depinde de disponibilitatea unor date statistice obiective și fiabile privind infracționalitatea. Atunci când există, acestea pot dovedi că trecutul penal este un factor determinant important al recidivei(56).

61.      Mai trebuie subliniat că persoanele inculpate și datele lor trebuie să „dispară” din sistemul de evidență al poliției atunci când procedura penală care le privește se încheie printr‑o decizie de clasare sau de achitare, potrivit prevederilor articolului 68 din ZMVR, ceea ce influențează în mod evident numărul de persoane înscrise în sistemul de evidență, pe care guvernul bulgar nu a fost în măsură să îl comunice(57).

c)      Cu privire la natura datelor și la durata păstrării

62.      În ceea ce privește datele vizate, Curtea a statuat că, având în vedere protecția sporită a persoanelor în ceea ce privește prelucrarea datelor sensibile, operatorul trebuie să se asigure că acest obiectiv nu poate fi îndeplinit prin recurgerea la alte categorii de date decât cele enumerate la articolul 10 din Directiva 2016/680(58). Astfel cum s‑a arătat, datele a căror păstrare este prevăzută sunt în mod vădit de natură să contribuie la prevenirea, la depistarea sau la urmărirea penală a unor infracțiuni din domeniul combaterii criminalității și al menținerii ordinii publice. De asemenea, ni se pare dificil să se considere că aceste scopuri pot fi atinse la fel de eficient numai pornind de la informații privind starea civilă sau de la fotografii ale persoanei vizate, în caz contrar limitându‑se în mod excesiv capacitatea anchetatorilor de a elucida infracțiunile pe baza unei comparații a datelor colectate în cursul anchetei cu cele înregistrate în sistemul de evidență cu ocazia anchetelor precedente(59). Din fericire, a trecut demult vremea în care mărturisirea era considerată regina probelor, elementele colectate de serviciile de poliție tehnică și științifică înlocuind în mod avantajos în ierarhia probatorie o probă îndoielnică. Prin urmare, se poate concluziona că datele în cauză sunt deopotrivă relevante și neexcesive în raport cu scopurile atribuite prelucrării.

63.      Trebuie evidențiată, pe de altă parte, lipsa din reglementarea națională în cauză a stabilirii unei perioade maxime precise de păstrare a informațiilor înregistrate în sistemul de evidență, datele fiind păstrate numai pe durata procedurii care se încheie printr‑o decizie de clasare sau de achitare pentru anumite persoane inculpate sau pe durata vieții pentru persoanele în final condamnate. Potrivit indicațiilor furnizate în ședință de guvernul bulgar, a căror verificare va reveni instanței, eliminarea intervine din oficiu la decesul persoanei interesate, moștenitorii dispunând, în plus, de dreptul de a solicita ștergerea înscrierii potrivit articolului 68 alineatul (6) din ZMVR. Trebuie să se considere că această situație corespunde, în raport cu prevederile articolului 5 din Directiva 2016/680, faptului că nu au fost stabilite termene adecvate pentru ștergerea datelor cu caracter personal, în sensul în care noțiunea de termen ar trebui să corespundă în mod necesar unei perioade exprimate în ani, luni sau zile? În cazul unui răspuns afirmativ, aceeași dispoziție ar implica, cu titlu de alternativă, stabilirea în reglementarea națională a unor termene pentru verificarea periodică a necesității de păstrare a acestor date(60).

64.      În ceea ce privește datele persoanelor inculpate și ținând seama de opțiunea legiuitorului bulgar de a nu le păstra în lipsa unor condamnări penale la finalul procedurii care le vizează, durata în mod necesar aleatorie a acesteia din urmă nu permite nicidecum alte opțiuni, cu excepția formalizării unui termen-limită pentru prevenirea unei durate excesive a procedurii. În ceea ce privește persoanele condamnate, considerăm că menționarea decesului este într‑adevăr cea a unei limite temporale, legată de viața biologică a persoanei vizate, care exclude orice calificare drept durată nedeterminată sau nelimitată pentru păstrarea datelor(61). Expirarea perioadei de păstrare este prestabilită chiar dacă data exactă a acesteia este, prin definiție, nedeterminată. În orice caz, arătăm că guvernul bulgar a indicat în ședință că există o verificare periodică la nivel intern a înscrierilor în sistemul de evidență, efectuată în speță la fiecare trei luni, ceea ce îndeplinește cerințele articolului 5 din Directiva 2016/680.

65.      Rămâne incontestabil faptul că, în funcție de vârsta la care persoana vizată va fi înregistrată în sistemul de evidență și de cea a decesului său, păstrarea va putea fi foarte lungă, de o durată superioară celei prevăzute pentru constatarea unei recidive sau termenului de prescripție al acțiunii publice pentru infracțiunile cele mai grave(62). Această durată de păstrare își găsește totuși o justificare în scopul de poliție judiciară al prelucrării, acela de a aduna indicii și probe în vederea identificării autorilor infracțiunilor trecute sau viitoare, cu precizarea că riscul aferent infracțiunilor, fie că sunt sau nu grave, prezintă un caracter general și permanent(63). Soluționarea uneori foarte tardivă a cauzelor neelucidate indică în același timp marea dificultate cu care se confruntă organele de urmărire penală și relevanța păstrării pe termen lung a datelor biometrice și genetice colectate în sistemele de evidență(64).

d)      Cu privire la existența unor garanții juridice și tehnice privind păstrarea și accesul la date

66.      Proporționalitatea ingerinței pe care o implică păstrarea datelor aflate în sistemul de evidență al poliției nu poate fi examinată independent de normele care reglementează accesul la acest sistem de evidență și controlul justificării menținerii datelor în acesta. Potrivit Curții EDO, atunci când un stat își atribuie competența cea mai largă de păstrare a datelor pe durată nedeterminată, existența și funcționarea anumitor garanții efective devin decisive. Astfel, dreptul intern trebuie să conțină garanții de natură să protejeze în mod eficient datele cu caracter personal înregistrate împotriva utilizărilor improprii și abuzive și să permită eliminarea acestor date atunci când păstrarea lor continuă devine disproporționată, printre altele oferind o posibilitate concretă de formulare a unei cereri de ștergere a datelor memorizate(65).

1)      Cu privire la condițiile de consultare a sistemului de evidență

67.      Din considerentele (28), (56) și (57) ale Directivei 2016/680, precum și din articolele 24, 25 și 29 din aceasta reiese că statele membre trebuie să ia măsuri pentru ca datele cu caracter personal să fie prelucrate într‑un mod care să asigure un nivel corespunzător de securitate și confidențialitate, inclusiv prin prevenirea accesului neautorizat la acestea sau a utilizării neautorizate a datelor și a echipamentului utilizat pentru prelucrare. Printre aceste măsuri se numără păstrarea de către operator a unor evidențe care pot furniza autorității de supraveghere, la cererea acesteia, o serie de informații privind prelucrarea datelor efectuată, precum și evidențe pentru anumite operațiuni de prelucrare, cum ar fi consultarea, transferul și ștergerea. Potrivit considerentului (60) al Directivei 2016/680, operatorul trebuie să pună în aplicare măsuri pentru atenuarea riscurilor, evaluate anterior, inerente prelucrării vizate, aceste riscuri fiind legate printre altele de divulgare, precum și de accesul neautorizat la date.

68.      În ședință, guvernul bulgar a precizat că reglementarea națională respectă aceste cerințe, evocând existența unui corpus de norme care prevede printre altele stabilirea unor liste nominale de agenți care au acces la date și necesitatea ca fiecare utilizator să indice justificarea dreptului său de acces, identitatea sa, data și ora accesului(66). Aceste garanții referitoare la sfera persoanelor abilitate să consulte sistemul de evidență și la modalitățile de consultare a acestuia par de natură să prevină orice utilizare abuzivă și frauduloasă a accesului la sistemele de evidență și, astfel, o atingere excesivă adusă drepturilor fundamentale consacrate la articolele 7 și 8 din cartă, aspect a cărui verificare revine instanței de trimitere.

2)      Cu privire la controlul menținerii datelor în sistemul de evidență

69.      Este cert că controlul sus‑menționat, astfel cum este prevăzut la articolul 68 alineatul (6) din ZMVR, are o natură duală, întrucât se efectuează din oficiu de către autoritățile competente, sub forma unui autocontrol, și la cererea motivată a persoanei interesate sau a moștenitorilor săi, motivele de ștergere a unei înscrieri din sistemul de evidență fiind, în ambele situații, enunțate în mod exhaustiv în această dispoziție. Aceste motive nu includ situația unei persoane care a făcut obiectul unei reabilitări, ce conduce la ștergerea condamnării respective din cazierul său judiciar, și numai motivul prevăzut la articolul 68 alineatul (6) punctul 1 din ZMVR, referitor la o înregistrare efectuată cu încălcarea legii, poate constitui temeiul cererii de ștergere formulate de o persoană condamnată penal, precum în speță, în timpul vieții sale și, prin urmare, înainte de expirarea perioadei legale de păstrare stabilite la decesul acesteia.

70.      Întrebat în ședință cu privire la domeniul de aplicare al articolului 68 alineatul (6) din ZMVR, ținând seama de aplicarea acestuia efectuată de autoritățile și de instanțele competente, guvernul bulgar a precizat că dispoziția menționată permite modificarea unei înscrieri referitoare la o persoană inculpată care a devenit incorectă în urma unei recalificări a infracțiunii de către instanță. Acesta a exclus orice posibilitate de ștergere a unei înscrieri din sistemul de evidență în urma reabilitării persoanei condamnate. Amintim în această privință că sistemul de evidență în cauză constituie un instrument de investigare care urmărește să faciliteze activitatea operațională a poliției judiciare, iar nu propriu‑zis un sistem de evidență a antecedentelor penale, precum cazierul judiciar. Aceste două instrumente nu răspund aceleiași finalități: unul este o memorie în serviciul exclusiv al anchetatorilor pentru a le permite, pe termen lung, să elucideze infracțiuni trecute sau viitoare, celălalt are vocația de a ghida activitatea judecătorilor cu ocazia pronunțării sancțiunii penale într‑o anumită cauză. Astfel, beneficiind de reabilitarea care a determinat ștergerea condamnării respective din cazierul judiciar, persoana s‑ar putea regăsi, dacă este cazul, în situația unui delincvent aflat la prima abatere, care poate beneficia de pedepse mai ușoare sau de ajustări ale pedepsei. Totuși, păstrarea datelor sale în sistemul de evidență rămâne în principiu necesară având în vedere obiectivul mai larg al acestuia din urmă referitor la depistarea, elucidarea și prevenirea infracțiunilor.

71.      Cu toate acestea, din observațiile guvernului bulgar reiese că motivul prevăzut la articolul 68 alineatul (6) punctul 1 din ZMVR nu include o apreciere a necesității păstrării datelor în dimensiunea sa temporală. Se pare că nu există nicio dispoziție în reglementarea națională și nicio practică administrativă sau jurisdicțională care să permită autorității competente să șteargă, în cadrul verificărilor trimestriale, înscrierea în sistemul de evidență sau persoanei vizate să solicite ștergerea acesteia în cazul în care păstrarea datelor cu caracter personal nu mai este necesară, ținând seama de timpul scurs de la înregistrare. Nici instanța de trimitere chemată să se pronunțe cu privire la legalitatea deciziei de respingere a cererii de ștergere nu pare să fie în măsură să efectueze o astfel de apreciere.

F.      Concluzie intermediară

72.      Se poate considera că criteriile utilizate pentru păstrarea datelor descrise mai sus au un caracter suficient de direcționat, proporțional și specific, iar prelucrarea datelor cu caracter personal în discuție respectă limitele strictului necesar sau ale necesității absolute? Curtea ar putea da un răspuns negativ la această întrebare, pentru următoarele motive.

73.      Trebuie subliniat, în primul rând, că problematica necesității păstrării datelor cu caracter personal se ridică cu o deosebită acuitate atunci când prelucrarea acestora este autorizată, precum în speță, în scopuri preventive. În această privință, veritabilul criteriu care justifică înregistrarea și păstrarea datelor în sistemul de evidență al poliției în cauză este periculozitatea pe care o prezintă persoanele vizate, ceea ce implică o evaluare a riscurilor. În speță, trebuie să se constate că această evaluare se limitează la simpla constatare a existenței unei suspiciuni sau a săvârșirii cu intenție, dovedite, a unei infracțiuni, criteriu puțin specific, dacă reprezintă cumva unul, în ceea ce privește un element constitutiv al infracțiunilor sau chiar temeiul însuși al răspunderii penale. Astfel, considerăm că regimul național privind păstrarea datelor ține seama de un grad minim de gravitate în raport cu infracțiunea și acoperă o mare diversitate de atingeri aduse ordinii sociale, fără a fi necesară a priori o sancțiune care să constea într‑o pedeapsă cu închisoarea, ceea ce permite să se considere că acesta se aplică indiferent de natura sau de gravitatea infracțiunii(67). Amintim că Curtea a considerat că legislația bulgară, precum cea în discuție în litigiul principal, care prevede colectarea datelor biometrice și genetice ale oricărei persoane inculpate pentru săvârșirea cu intenție a unei infracțiuni pentru care acțiunea penală se pune în mișcare din oficiu este, în principiu, contrară cerinței prevăzute la articolul 10 din Directiva 2016/680, întrucât poate conduce, în mod nediferențiat și generalizat, la această colectare, din moment ce noțiunea de „săvârșire cu intenție a unei infracțiuni pentru care acțiunea penală se pune în mișcare din oficiu” are un caracter deosebit de general și se poate aplica unui număr mare de infracțiuni, indiferent de natura și de gravitatea lor(68).

74.      Deși studii statistice pot evidenția faptul că trecutul penal este un factor determinant important al recidivei, acestea subliniază de asemenea existența unor factori obiectivi care agravează riscul de recidivă, care privesc printre altele sexul, vârsta și natura infracțiunii inițiale, termenele de reiterare a comportamentului infracțional și faptul că infracțiunea săvârșită în recidivă este strâns legată de natura infracțiunii aflate la originea detenției(69). Or, prin reținerea ca criteriu de păstrare a datelor până la decesul persoanei interesate a oricărei condamnări pentru o infracțiune săvârșită cu intenție, inclusiv pe cea dintâi(70), reiese că logica aflată la baza prelucrării acestor date este cea a unei interpretări deosebit de extensive a parcursului infracțional, fie că este vorba despre natura și/sau gravitatea actelor infracționale ori despre vârsta persoanei care a săvârșit infracțiunea. Asemenea Curții EDO, ne putem întreba dacă, dus într‑un anumit mod la extrem, acest tip de logică nu echivalează, în practică, cu justificarea stocării de informații cu privire la ansamblul populației și la rudele decedate, ceea ce ar fi cu certitudine excesiv și lipsit de pertinență(71). Menționăm că Curtea a considerat că simplul fapt că o persoană este inculpată pentru săvârșirea cu intenție a unei infracțiuni pentru care acțiunea penală se pune în mișcare din oficiu nu poate fi considerat un element care să permită, în sine, să se prezume că colectarea datelor sale biometrice și genetice este strict necesară în raport cu finalitățile pe care aceasta le vizează(72).

75.      În al doilea rând, rezultă că datele sunt păstrate fără a se ține seama de necesitatea de a le memoriza până la decesul persoanei vizate. Având în vedere modul de redactare a articolului 68 alineatul (6) din ZMVR și interpretarea acestuia, autoritățile competente sunt învestite cu competența de a șterge datele numai în împrejurări excepționale, fără legătură cu evoluția situației acestei persoane de la înregistrarea în sistemul de evidență. Situația este în mod logic aceeași în ceea ce privește acțiunea privind ștergerea, prevăzută de același text, de care dispune persoana menționată, care nu prezintă un caracter de efectivitate suficient, întrucât nu permite să se verifice dacă durata păstrării datelor este proporțională cu scopul ingerinței în cauză. Această apreciere ar trebui să țină seama de diferite criterii, precum natura și gravitatea faptelor constatate, timpul scurs de la data faptelor, perioada legală de păstrare rămasă sau vârsta reclamantului în speță, și aceasta în raport cu situația sa personală, în ceea ce privește vârsta la care acesta a săvârșit faptele, comportamentul său începând de la acel moment (inserție socială, despăgubirea victimelor), personalitatea sa, beneficiul unei reabilitări putând constitui, în acest context, un element al aprecierii de ansamblu. În aceste împrejurări, controlul de care dispune printre altele persoana înscrisă în sistemul de evidență pare atât de restrâns încât este aproape ipotetic(73).

76.      Constatările efectuate mai sus trebuie să fie coroborate cu faptul că pot fi păstrate pe termen foarte lung date sensibile și că sistemul de evidență în cauză poate oferi utilizatorilor săi funcționalități de exploatare a acestora, în special de identificare, de analiză și de comparare, foarte intruzive. Trebuie arătat că, în conformitate cu articolul 68 alineatul (3) din ZMVR, autoritățile polițienești trebuie să efectueze, pentru necesitățile înscrierii în sistemul de evidență al poliției, prelevări pentru „realizarea profilului ADN” al persoanelor și să fotografieze aceste persoane, fotografii cărora li se poate aplica, dacă este cazul, tehnica de recunoaștere facială.

V.      Concluzie

77.      În lumina considerațiilor care precedă, propunem Curții să răspundă Varhoven administrativen sad (Curtea Administrativă Supremă, Bulgaria) după cum urmează:

Articolele 4, 5, 8, 10 și articolul 16 alineatul (2) din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului coroborate cu articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene și în lumina acestuia

trebuie interpretate în sensul că

se opun unei legislații naționale care prevede păstrarea datelor cu caracter personal într‑un sistem de evidență al poliției care include datele biometrice și genetice ale oricărei persoane condamnate penal pentru o infracțiune săvârșită cu intenție, fără nicio altă diferențiere în ceea ce privește natura sau gravitatea infracțiunii, și aceasta până la decesul ei, fără posibilitatea unui control al menținerii datelor care figurează în acesta în raport cu timpul scurs de la înregistrarea lor și eventual a obținerii subsecvente a ștergerii acestora.

Verificarea proporționalității perioadei de păstrare a datelor cu scopul prelucrării în raport cu situația persoanei condamnate poate include reabilitarea de care a beneficiat aceasta.

1      Limba originală: franceza.

2      Directiva Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89).

3      Regulamentul Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

4      A se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare) (C‑439/19, EU:C:2021:504, punctele 61-67). În Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258, punctul 61), Curtea a precizat că obiectivul de apărare a securității naționale corespunde interesului primordial de a proteja funcțiile esențiale ale statului și interesele fundamentale ale societății prin prevenirea și sancționarea activităților de natură să destabilizeze grav structurile constituționale, politice, economice sau sociale fundamentale ale unei țări și în special să amenințe în mod direct societatea, populația sau statul ca atare, cum ar fi printre altele activitățile de terorism.

5      O astfel de verificare poate părea, este adevărat, delicat de pus în aplicare în practică în prezența unui sistem de evidență al poliției unic general, înregistrarea și păstrarea datelor urmând o logică atât retrospectivă, cât și prospectivă, care nu se pretează în mod necesar la o diferențiere obiectivă a prelucrărilor în cauză pe baza unui scop precis.

6      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctul 135). Subliniem că Curtea s‑a pronunțat în prealabil cu privire la o problemă de compatibilitate a articolului 52 alineatul (1) din cartă cu reglementarea bulgară care prezintă particularitatea de a face referire la RGPD și cu o dispoziție de drept intern care transpune articolul 10 din Directiva 2016/680, fără ca aceasta din urmă să fie vizată în mod formal. Curtea a statuat că prelucrarea datelor biometrice și genetice de către autoritățile de poliție în vederea activităților lor de investigare „în scopul combaterii criminalității și de menținere a ordinii publice” este autorizată de dreptul intern al unui stat membru, în sensul articolului 10 litera (a) din această directivă, atunci când dreptul statului membru respectiv conține un temei juridic suficient de clar și de precis pentru a autoriza prelucrarea menționată, dubla referință sus‑menționată nefiind de natură, în sine, să repună în discuție existența unei astfel de autorizații, în măsura în care reiese, în mod suficient de clar, de precis și lipsit de echivoc, din interpretarea ansamblului dispozițiilor aplicabile din dreptul național, că prelucrarea datelor biometrice și genetice în cauză intră în domeniul de aplicare al acestei directive, iar nu al RGPD.

7      Hotărârea din 8 mai 2019, PI (C‑230/18, EU:C:2019:383, punctul 42).

8      Respectarea articolului 4 alineatul (1) litera (b) din Directiva 2016/680, potrivit căruia datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate într‑un mod incompatibil cu aceste scopuri, nu face obiectul dezbaterii în speță, în măsura în care obiectivul prelucrării ulterioare colectării datelor pe care îl constituie păstrarea acestora este identic cu cel al colectării.

9      Articolul 26 din ZMVR prevede că termenele de păstrare a datelor cu caracter personal sau de verificare periodică a necesității stocării acestora sunt stabilite de Ministerul de Interne. În ședință, guvernul bulgar a arătat că o astfel de verificare are loc o dată la trei luni.

10      Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare) (C‑439/19, EU:C:2021:504, punctul 105).

11      Subliniem că articolul 18 din Directiva 2016/680, potrivit căruia statele membre garantează că drepturile menționate printre altele la articolul 16 se exercită în conformitate cu dreptul intern în cazul în care datele cu caracter personal sunt conținute într‑o hotărâre judecătorească sau într‑un cazier sau dosar prelucrat pe parcursul investigațiilor și procedurilor penale, nu ni se pare relevant, întrucât sistemul de evidență în cauză constituie un instrument care urmărește să faciliteze activitatea operațională a organelor de urmărire penală, al cărui operator este ministrul de interne, iar nu un instrument judiciar propriu‑zis, de tipul celor sus‑menționate.

12      A se vedea în acest sens Hotărârea din 25 februarie 2021, Comisia/Spania (Directiva privind datele cu caracter personal – Domeniul penal) (C‑658/19, EU:C:2021:138, punctul 75), și Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punctul 61).

13      A se vedea prin analogie Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punctele 62 și 69).

14      A se vedea prin analogie Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare) (C‑439/19, EU:C:2021:504, punctul 98).

15      A se vedea în acest sens Hotărârea din 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293, punctul 33), și Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317, punctul 92).

16      A se vedea prin analogie Hotărârea din 20 octombrie 2022, Digi (C‑77/21, EU:C:2022:805, punctul 54).

17      Această problematică este vizată de asemenea în considerentul (26) și la articolul 4 alineatul (3) din Directiva 2016/680, din care reiese că legiuitorul Uniunii a avut în vedere o posibilă păstrare pe termen lung a unor date care fac obiectul arhivării în interes public, în scopuri științifice, statistice sau istorice pentru scopurile stabilite la articolul 1 alineatul (1) din această directivă, cu condiția unor garanții adecvate pentru drepturile și libertățile persoanei vizate. Situația nu este aceasta în speță, păstrarea datelor în sistemul de evidență al poliției având un scop pur operațional, și anume facilitarea activității organelor de anchetă în scopul elucidării infracțiunilor.

18      Ne putem întreba dacă articolul 5 din Directiva 2016/680 nu conține o formă de contradicție logică intrinsecă. Astfel, pot exista, așadar, în conformitate cu această dispoziție, date cu caracter personal prelucrate de autoritățile de aplicare a legii pentru care nu ar fi adecvat să se prevadă termene pentru ștergerea lor, ci este necesar, într‑o asemenea situație de păstrare nelimitată în timp, să se prevadă o verificare regulată de către autoritățile competente a necesității de stocare a acestor date și o posibilitate de ștergere a lor dacă stocarea nu mai este justificată în raport cu scopul prelucrării. Cu toate acestea, se poate înțelege și admite că obiectivul legitim este de a prevedea un corectiv destinat prevenirii abuzurilor în ceea ce privește punerea în aplicare a unui dispozitiv intruziv.

19      Prezenta cauză privește un refuz total al ștergerii, ale cărui motive trebuie furnizate reclamantului potrivit articolului 16 alineatul (4) din Directiva 2016/680, care prevede totuși că statele membre pot adopta măsuri legislative care restricționează această obligație, integral sau parțial, printre altele pentru a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor.

20      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctele 116-118). Având în vedere aceste considerații, trebuie să se înțeleagă că Curtea condiționează legalitatea prelucrării datelor sensibile în cadrul Directivei 2016/680 de respectarea unui criteriu care depășește ceea ce este reținut în mod obișnuit pentru orice date în jurisprudența Curții în materia protecției datelor cu caracter personal, care ține de respectarea limitelor „strictului necesar” de către prelucrarea în cauză? Ca răspuns la o observație a guvernului francez cu privire la faptul că, în anumite versiuni lingvistice, articolul 10 din Directiva 2016/680 se referă la cazurile în care prelucrarea datelor este „strict necesară”, Curtea a răspuns, la punctul 119 din această hotărâre, că această variație terminologică nu modifică natura criteriului astfel vizat și nivelul de exigență necesar, din moment ce aceste versiuni lingvistice definesc de asemenea o condiție mai strictă pentru autorizarea prelucrării datelor sensibile, care implică o apreciere mai riguroasă a necesității sale decât în cazul în care datele prelucrate nu intră în domeniul de aplicare al articolului menționat. Rămâne problema acestei distincții conceptuale în ceea ce privește gradul de intensitate a necesității prelucrării și dificultatea punerii sale în aplicare într‑o cauză concretă.

21      A se vedea printre altele Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258).

22      Directiva Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63).

23      Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592) și Hotărârea din 21 iunie 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

24      Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, punctele 132, 204 și 205).

25      Directiva Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave (JO 2016, L 119, p. 132).

26      Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258, punctele 35-37). Același lucru este valabil și în ceea ce privește comparația cu regimul juridic prevăzut de RGPD.

27      Tinière, R., Jurisprudence de la CJUE 2020: décisions et commentaires, Bruylant, Bruxelles, 2021, p. 130-139.

28      Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258, punctele 56-59), și Hotărârea din 21 iunie 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punctul 148).

29      Hotărârea din 21 iunie 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punctul 148).

30      A se vedea în acest sens Hotărârea din 8 decembrie 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Scopurile prelucrării datelor cu caracter personal – Anchetă penală) (C‑180/21, EU:C:2022:967, punctele 57 și 58).

31      Hotărârea din 8 decembrie 2022, Google (Dezindexarea unui conținut pretins inexact) (C‑460/20, EU:C:2022:962, punctul 59).

32      Curtea EDO, Hotărârea din 22 iunie 2017, Aycaguer împotriva Franței (CE:ECHR:2017:0622JUD000880612, §§ 33, 34 și 38), și Curtea EDO, Hotărârea din 18 septembrie 2014, Brunet împotriva Franței (CE:ECHR:2014:0918JUD002101010, § 35).

33      Curtea EDO, Hotărârea din 4 iunie 2013, Peruzzo și Martens împotriva Germaniei (CE:ECHR:2013:0604DEC000784108, § 46), și Curtea EDO, Hotărârea din 13 februarie 2020, Gaughran împotriva Regatului Unit (CE:ECHR:2020:0213JUD004524515, § 88).

34      A se vedea prin analogie Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, punctele 122 și 123), și Hotărârea din 21 iunie 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punctele 94 și 95).

35      Curtea EDO, Hotărârea din 22 iunie 2017, Aycaguer împotriva Franței (CE:ECHR:2017:0622JUD000880612, § 33).

36      A se vedea prin analogie Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258, punctul 44).

37      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctul 127).

38      A se vedea considerentele (4) și (7) ale Directivei 2016/680.

39      Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, punctul 134).

40      Hotărârea din 6 octombrie 2020, Privacy International (C‑623/17, EU:C:2020:790, punctele 63 și 64).

41      A se vedea în acest sens Hotărârea din 6 octombrie 2020, Privacy International (C‑623/17, EU:C:2020:790, punctul 67), și Hotărârea din 22 noiembrie 2022, Luxembourg Business Registers (C‑37/20 și C‑601/20, EU:C:2022:912, punctul 64).

42      Hotărârea din 6 octombrie 2020, Privacy International (C‑623/17, EU:C:2020:790, punctul 65), și Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale) (C‑175/20, EU:C:2022:124, punctele 54-56). Este adevărat că o astfel de examinare și‑a găsit locul în hotărârile Curții în cadrul unei analize detaliate a proporționalității restrângerii, atunci când nu este avută în vedere coroborat din cele două perspective legate de respectarea principiilor legalității și proporționalității [Hotărârea din 21 iunie 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punctele 114 și 117)]. Vom efectua în această parte a prezentelor concluzii verificarea cerinței de previzibilitate stricto sensu.

43      Hotărârea din 21 iunie 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punctul 114).

44      A se vedea punctele 33-35 din observațiile guvernului bulgar.

45      A se vedea în acest sens Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții (C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 77).

46      A se vedea prin analogie Avizul 1/15 (Acordul CET UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, punctul 150), și, a contrario, Hotărârea din 22 noiembrie 2022, Luxembourg Business Registers (C‑37/20 și C‑601/20, EU:C:2022:912, punctul 51).

47      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctul 99).

48      Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, punctul 149), și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 123).

49      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctele 97 și 98). Curtea EDO a arătat, în contextul obligației pozitive care decurge din articolul 2 din CEDO, că interesul public de a ancheta și eventual de a obține urmărirea și condamnarea autorilor unor acțiuni ilicite, după mai mulți ani de la data faptelor, a fost recunoscut cu fermitate (Curtea EDO, Hotărârea din 12 iunie 2014, Jelić împotriva Croației, CE:ECHR:2014:0612JUD005785611, § 52).

50      A se vedea în acest sens Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258, punctul 55).

51      Hotărârea din 22 noiembrie 2022, Luxembourg Business Registers (C‑37/20 și C‑601/20, EU:C:2022:912, punctul 66).

52      În general, prezența în sistemul de evidență nu implică nicio obligație pozitivă pentru persoana vizată.

53      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctul 78).

54      Infracțiuni frecvente în domeniul infracționalității rutiere.

55      A se vedea prin analogie Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258, punctele 77 și 78). Arătăm că, în Hotărârea din 21 iunie 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punctul 198), Curtea a considerat că din Directiva 2016/681 rezultă că criteriile utilizate în scopul evaluării prealabile a pasagerilor trebuie determinate astfel încât să vizeze în mod specific persoanele în privința cărora ar putea exista o bănuială rezonabilă de participare la infracțiuni de terorism sau la infracțiuni grave vizate de această directivă.

56      Potrivit buletinului Infostat Justice al Ministerului francez al Justiției nr. 183 din 2 iulie 2021, „Mesurer et comprendre les déterminants de la récidive des sortants de prison” [Măsurarea și înțelegerea factorilor determinanți ai recidivei în rândul persoanelor care ies din închisoare], 86 % dintre persoanele care au ieșit din închisoare în 2016 aveau deja o mențiune în cazierul judiciar înainte de condamnarea aflată la originea detenției lor. Rata de recidivă crește odată cu numărul de condamnări anterioare: numai 14 % dintre persoanele ieșite din detenție care nu au avut nicio condamnare în cei cinci ani anteriori celui care i‑a condus în închisoare recidivează în cursul anului, față de 23 % dintre cele care au avut o condamnare și 63 % dintre cele care fuseseră condamnate de cel puțin zece ori.

57      Această constatare reflectă, în definitiv, faptul că dispoziția menționată respectă articolul 6 din Directiva 2016/680, care impune operatorului, după caz și în măsura posibilului, să facă o distincție clară între datele diferitelor categorii de persoane vizate, astfel încât să nu li se impună în mod nediferențiat același grad de ingerință în dreptul lor fundamental la protecția datelor lor cu caracter personal, indiferent de categoria din care fac parte [Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea de date biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctul 83)].

58      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctul 126).

59      A se vedea prin analogie Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctul 100). Menționăm de asemenea că trecerea timpului va constitui în mod inevitabil un obstacol în ceea ce privește localizarea martorilor și capacitatea acestora din urmă de a‑și aminti bine evenimentele.

60      Articolul 31 din Regulamentul (UE) 2016/794 al Parlamentului European și al Consiliului din 11 mai 2016 privind Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol) și de înlocuire și de abrogare a Deciziilor 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI și 2009/968/JAI ale Consiliului (JO 2016, L 135, p. 53) prevede că datele cu caracter personal prelucrate de Europol sunt stocate de aceasta numai atât timp cât este necesar și proporțional pentru scopurile în care sunt prelucrate datele. Necesitatea de a stoca în continuare datele este analizată în toate situațiile de Europol în termen de cel mult trei ani după începerea prelucrării inițiale a datelor cu caracter personal și Europol poate decide stocarea în continuare a datelor cu caracter personal până la următoarea analiză, care va avea loc după o nouă perioadă de trei ani, dacă stocarea în continuare a datelor mai este necesară pentru îndeplinirea atribuțiilor care îi revin. Dacă nu se ia nicio decizie cu privire la stocarea în continuare a datelor cu caracter personal, acestea sunt șterse în mod automat după trei ani.

61      În Hotărârea din 13 februarie 2020, Gaughran împotriva Regatului Unit (CE:ECHR:2020:0213JUD004524515, §§ 79-81), referitoare la o reglementare ce prevede o păstrare a datelor care încetează la decesul persoanei interesate, a fost stabilită o distincție între ADN, pe de o parte, și amprente, precum și fotografii, pe de altă parte. Curtea EDO a considerat că numai datele din urmă erau supuse unei perioade de păstrare asimilabile unei păstrări pe durată nedeterminată. În ceea ce ne privește, subliniem că niciuna dintre aceste date nu va putea fi utilizată, în speță, după decesul persoanei în cauză, cu observația că păstrarea post-mortem a ADN‑ului ar fi făcut posibilă din punct de vedere tehnic o căutare în rândul rudelor apropiate ale persoanei interesate.

62      Pe lângă existența unor infracțiuni imprescriptibile, problema raportului dintre termenul de păstrare a datelor și termenul de prescripție a acțiunii publice trebuie relativizată, în anumite sisteme juridice, ca urmare a mecanismelor de suspendare sau de întrerupere a prescripției și a amânării momentului de la care începe să curgă termenul de prescripție pentru așa‑numitele infracțiuni de obicei, continuate sau disimulate, precum și pentru anumite infracțiuni ale căror victime sunt minorii (amânare până la împlinirea de către victimă a vârstei majoratului). De asemenea, ar trebui să se țină seama de faptul că violențele sexuale sunt cele care sunt revelate cel mai târziu.

63      A se vedea în acest sens Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258, punctul 62).

64      Amintim că Curtea EDO a recunoscut cu fermitate, în contextul obligației pozitive care decurge din articolul 2 din CEDO, interesul public de a ancheta și eventual de a obține urmărirea penală și condamnarea autorilor unor acte ilicite, după mai mulți ani de la data faptelor (Curtea EDO, Hotărârea din 12 iunie 2014, Jelić împotriva Croației, CE:ECHR:2014:0612JUD005785611, § 52) și a indicat că ancheta privind „cold cases” ține de asemenea de interesul public, în sensul general al combaterii criminalității (Curtea EDO, Hotărârea din 13 februarie 2020, Gaughran împotriva Regatului Unit, CE:ECHR:2020:0213JUD004524515, § 93).

65      Curtea EDO, Hotărârea din 22 iunie 2017, Aycaguer împotriva Franței (CE:ECHR:2017:0622JUD000880612, § 38), și Curtea EDO, Hotărârea din 13 februarie 2020, Gaughran împotriva Regatului Unit (CE:ECHR:2020:0213JUD004524515, § 88).

66      Perioada de păstrare a urmelor de consultare a sistemului de evidență nu a fost precizată.

67      Curtea EDO, Hotărârea din 13 februarie 2020, Gaughran împotriva Regatului Unit (CE:ECHR:2020:0213JUD004524515, § 83).

68      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctele 128 și 129).

69      Buletinul Infostat Justice al Ministerului francez al Justiției nr. 183 din 2 iulie 2021, „Mesurer et comprendre les déterminants de la récidive des sortants de prison” [Măsurarea și înțelegerea factorilor determinanți ai recidivei în privința persoanelor care ies din închisoare].

70      Înregistrarea și păstrarea ulterioară a datelor în sistemul de evidență privesc, astfel, orice delincvent aflat la prima abatere, iar nu o persoană condamnată deja o dată sau de mai multe ori.

71      Curtea EDO, Hotărârea din 13 februarie 2020, Gaughran împotriva Regatului Unit (CE:ECHR:2020:0213JUD004524515, § 89).

72      Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea datelor biometrice și genetice de către poliție) (C‑205/21, EU:C:2023:49, punctul 130). Curtea adaugă (punctele 132 și 133) că revine instanței de trimitere sarcina de a verifica dacă dreptul național permite aprecierea caracterului „strict necesar” al colectării datelor biometrice și genetice ale persoanei vizate în scopul înregistrării lor, având în vedere natura și gravitatea infracțiunii pentru care este suspectată această persoană, dar și alte elemente relevante precum, printre altele, împrejurările specifice ale acestei infracțiuni, eventuala legătură a infracțiunii menționate cu alte proceduri în curs, antecedentele judiciare sau profilul individual al persoanei în cauză. Ne putem întreba dacă această cerință de individualizare aprofundată este compatibilă cu dispoziții de natură legislativă, cu caracterul sistematic și cu gradul de abstracție și de generalitate pe care acestea le impun, care vizează stabilirea unui regim general de păstrare a datelor cu caracter personal într‑un sistem de evidență.

73      Curtea EDO, Hotărârea din 13 februarie 2020, Gaughran împotriva Regatului Unit (CE:ECHR:2020:0213JUD004524515, § 94).