El Tribunal de Justicia de la Union Europea limitó las facultades policiales para recopilar datos biométricos y genéticos de personas objeto de investigación a los fines de su inscripción en los registros de las fuerzas de seguridad. El fallo determinó que las autoridades deben demostrar si esa recogida “es estrictamente necesaria para satisfacer los objetivos concretos perseguidos”
Un nuevo fallo del Tribunal de Justicia de la Union Europea (TJUE) fijó límites a la recopilación sistemática de datos biométricos y genéticos de cualquier persona investigada, a efectos de su inscripción en el registro policial.
Para el Tribunal, ello contraría los principios de la Directiva 2016/680 del Parlamento Europeo. “El Derecho del Estado miembro autoriza, con arreglo al artículo 10, letra a), de dicha Directiva, el tratamiento de datos biométricos y genéticos por parte de las autoridades policiales a efectos de sus actividades de investigación, con fines de lucha contra la delincuencia y de mantenimiento del orden público, siempre que el Derecho de ese Estado miembro contenga una base jurídica suficientemente clara y precisa que lo autorice”, estipuló el fallo.
Dicha normativa es relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
El caso
La sentencia,suscripta por los jueces Regan, Gratsias, Ilešič, Jarukaitis y Csehi, se dictó en el marco del asunto C-205/21 - Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) – ante una petición de opinión prejudicial formulada por el Tribunal Penal Especial de Bulgaria, donde tramitaba una causa por fraude en la liquidación y pago de deudas tributarias contra dos sociedades mercantiles.
A V.S.. cuya defensa realizó el planteo que terminó en la sentencia, se le imputaba la presunta participación, junto con otras tres personas, en una organización criminal con ánimo de lucro, con el fin de cometer en territorio búlgaro de manera concertada delitos contra la administración pública.
Según detalla el expediente, a raíz de la notificación del auto citado por el que se le abrió una investigación, V. S. fue instada a someterse a inscripción en el registro policial. Luego de ello llenó un formulario de declaración “en el que indicó que había sido informada de la existencia de una base legal que permitía realizarlo y que se negaba a someterse a la recogida de sus datos dactiloscópicos y fotográficos a efectos de su registro y a la obtención de muestras para la elaboración de su perfil ADN”. Por ello la policía no recogió los datos y se dirigió al tribunal remitente a fin de solicitar la recogida forzosa de sus datos, con sustento en la existencia de base legal para la recopilación de esos datos.
El Tribunal Penal búlgaro, sin embargo, albergaba dudas “en cuanto a la compatibilidad con el Derecho de la Unión de las disposiciones legislativas y reglamentarias del Derecho búlgaro aplicables al registro policial” y por ello elevó el expediente en consulta. Su duda radicaba en que la legislación búlgara remitía al Reglamento general de Protección de Datos (RGPD) y no a la Directiva 2016/680.
En ese sentido, analizó que, si bien, en virtud de su artículo 2, apartado 2, letra d), el RGPD no se aplica al tratamiento de datos personales por parte de los órganos competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, ese tratamiento está sujeto al artículo 1, apartado 1, de la Directiva. A ello se sumaba que el RGPD “prohíbe expresamente el tratamiento de datos genéticos y biométricos y que la lucha contra la delincuencia no figura entre las excepciones a esa prohibición”.
El TJUE analizó los alcances del artículo 6 de la Directiva 2016/680, que obliga a los Estados miembros a que dispongan que el responsable del tratamiento establezca, “cuando corresponda y en la medida de lo posible”, una distinción clara entre los datos personales de las distintas categorías de interesados
El fallo
La declaración del TJUE fue en esa senda, resaltando la necesidad de una “base jurídica suficiente” para el tratamiento de estos datos: “el artículo 10, letra a), de la Directiva 2016/680, a la luz del artículo 52 de la Carta, debe interpretarse en el sentido de que el Derecho del Estado miembro autoriza, con arreglo al artículo 10, letra a), de dicha Directiva, el tratamiento de datos biométricos y genéticos por parte de las autoridades policiales a efectos de sus actividades de investigación, con fines de lucha contra la delincuencia y de mantenimiento del orden público, siempre que el Derecho de ese Estado miembro contenga una base jurídica suficientemente clara y precisa que lo autorice”.
El fallo subrayó que “ incumbe a ese tribunal cerciorarse de que, en particular por lo que respecta a la disposición de Derecho material que proporciona una base legal a la recogida de datos biométricos y genéticos en el marco del registro policial, todas las disposiciones de Derecho nacional pertinentes pueden interpretarse, de conformidad con el Derecho de la Unión, en el sentido de que de ellas resulta, de manera suficientemente clara, precisa e inequívoca, en qué supuestos se aplican las normas de Derecho nacional que transponen la Directiva de que se trata y en qué supuestos son pertinentes las normas del RGPD”.
En otro de los apartados de la sentencia, el TJUE analizó los alcances del artículo 6 de la Directiva 2016/680, que obliga a los Estados miembros a que dispongan que el responsable del tratamiento establezca, “cuando corresponda y en la medida de lo posible”, una distinción clara entre los datos personales de las distintas categorías de interesados. Para los jueces, la obligación “no es absoluta” sino que indica que le corresponde al responsable del tratamiento “determinar, en cada caso concreto, si puede distinguirse claramente entre los datos personales de las distintas categorías de interesado”.
Sobre esa base, el Tribunal Europeo consideró que la Directiva “no se opone a una normativa nacional que establece la recogida forzosa, a efectos de su registro, de datos biométricos y genéticos de personas respecto de las cuales concurren suficientes elementos de prueba de que son culpables de haber cometido un delito público doloso perseguido y que hayan sido investigadas por ello”.
Los jueces remarcaron que “las finalidades del tratamiento de datos biométricos y genéticos no se pueden indicar en términos demasiado genéricos y deben ser definidas, por el contrario, de manera suficientemente precisa y concreta como para permitir valorar el carácter «estrictamente necesario» de dicho tratamiento”
El fallo del TJUE también se pronuncia sobre los alcances del principio de inocencia y la garantía de tutela judicial efectiva. Respecto de la observancia del derecho a la presunción de inocencia por una resolución judicial que autoriza la recogida de datos biométricos y genéticos de los investigados a efectos de su registro señaló que que el Derecho nacional “establece que esa recogida se limita a la categoría de los investigados, es decir, a una categoría de personas cuya responsabilidad penal aún no ha quedado acreditada”, por lo que “no puede considerarse que dicha recogida trasluzca en sí misma la opinión de las autoridades de que esas personas son culpables”.
De ello se colige que “una resolución judicial que autoriza la recogida de datos biométricos y genéticos de los investigados a efectos de su registro, dado que se limita a dejar constancia de la condición de investigado del interesado y de la negativa de este a someterse a dicha recogida, no puede interpretarse como un posicionamiento acerca de su culpabilidad ni, por tanto, en el sentido de que vulnere la presunción de inocencia de dicha persona”.
En cuanto a la tutela judicial efectiva, el TJUE fue contundente al reconocer que “ cualquier investigado que se haya opuesto a la recogida de sus datos fotográficos, dactiloscópicos y genéticos en un procedimiento como el registro policial, recogida que debe cumplir los requisitos del artículo 10 de la Directiva 2016/680, debe poder gozar, como exige el artículo 47 de la Carta, del derecho a la tutela judicial efectiva contra la decisión de autorizar esa recogida forzosa a efectos de invocar los derechos que le confieren las garantías establecidas en esa disposición”.
Finalmente, respecto de la base legal y jurídica sobre la recopilación de datos, la sentencia reconoció que las finalidades del tratamiento de datos biométricos y genéticos “no se pueden indicar en términos demasiado genéricos y deben ser definidas, por el contrario, de manera suficientemente precisa y concreta como para permitir valorar el carácter «estrictamente necesario» de dicho tratamiento”.
Según el Tribunal, el requisito del carácter “estrictamente necesario” del tratamiento de datos sensibles “conlleva un control especialmente riguroso, en este contexto, de la observancia del principio de minimización de los datos”, por lo que “el requisito de necesidad se cumple cuando el objetivo perseguido por el tratamiento de datos en cuestión no puede alcanzarse razonablemente con igual eficacia por otros medios menos atentatorios respecto de los derechos fundamentales de los interesados” y que “el requisito del carácter «estrictamente necesario» implica que se tenga en cuenta la especial importancia del objetivo que persigue un tratamiento de este tipo”.
“A la vista de lo anterior, procede considerar que la normativa nacional que establece la recogida sistemática de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso es, en principio, contraria al requisito establecido en el artículo 10 de la Directiva 2016/680, según el cual el tratamiento de las categorías especiales de datos a las que se refiere ese artículo «solo» se permitirá «cuando sea estrictamente necesario»”, resumieron los jueces.