Las autoridades policiales no pueden conservar, sin más limitación temporal que la determinada por el fallecimiento del interesado, datos biométricos y genéticos relativos a todas las personas que hayan sido objeto de una condena penal firme por un delito doloso. Aun cuando dicha conservación general e indiferenciada esté justificada por fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, las autoridades nacionales están obligadas a imponer al responsable del tratamiento la obligación de revisar periódicamente si la conservación sigue siendo necesaria y a reconocer al interesado el derecho a la supresión de esos datos cuando ya no lo sea.
En Bulgaria, una persona fue objeto de una inscripción en el registro policial en el marco de un procedimiento de instrucción por falso testimonio, a cuyo término fue declarada culpable de este delito y condenada a una pena de libertad vigilada de un año. Tras haber cumplido la pena, dicha persona se benefició de una rehabilitación, a raíz de la cual solicitó que se cancelara su inscripción en el registro policial. De conformidad con el Derecho búlgaro, sus datos son conservados en este registro y pueden ser tratados por las autoridades, que tienen acceso a ellos sin más limitación temporal que la determinada por su fallecimiento. Su solicitud fue denegada por considerarse que una condena penal firme, incluso en caso de rehabilitación, no forma parte de los motivos de cancelación de la inscripción en el registro policial. El Tribunal Supremo de lo Contencioso-Administrativo búlgaro, ante el que se interpuso un recurso, ha planteado al respecto una cuestión prejudicial al Tribunal de Justicia.
En su sentencia, el Tribunal de Justicia declara que la conservación general e indiferenciada de los datos biométricos y genéticos hasta el fallecimiento de las personas condenadas penalmente por un delito doloso es contraria al Derecho de la Unión.
El Tribunal de Justicia señala que los datos personales conservados en el registro policial en Bulgaria son, en particular, las huellas dactilares, una fotografía y una muestra para la elaboración de un perfil de ADN. El registro también contiene datos relativos a los delitos cometidos por el interesado y a sus condenas a tal título. Estos datos pueden resultar indispensables para comprobar si el interesado está implicado en delitos distintos de aquel por el que ha sido condenado mediante sentencia firme. Sin embargo, no todas esas personas presentan el mismo grado de riesgo de verse implicadas en otros delitos, de modo que se justifique un plazo uniforme de conservación de sus datos. Así, factores como la naturaleza y la gravedad del delito cometido o la falta de reincidencia pueden implicar que el riesgo que representa el condenado no justifique necesariamente que los datos que le conciernen se mantengan en el registro policial hasta su fallecimiento. Por tanto, dicho plazo solo es apropiado en circunstancias particulares que lo justifiquen debidamente, lo que no sucede cuando es aplicable de manera general e indiferenciada a toda persona condenada mediante sentencia firme por un delito doloso. El Derecho de la Unión exige que la normativa nacional establezca la obligación del responsable del tratamiento de revisar periódicamente si esta conservación sigue siendo necesaria y reconozca al interesado el derecho a la supresión de esos datos en el supuesto de que ya no sea así.
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)
de 30 de enero de 2024 (*)
“Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales para fines de lucha contra las infracciones penales - Directiva (UE) 2016/680 - Artículo 4, apartado 1, letras c) y e) - Minimización de datos - Limitación del plazo de conservación - Artículo 5 - Plazos apropiados para la supresión o para una revisión periódica de la necesidad de conservación - Artículo 10 - Tratamiento de datos biométricos y genéticos - Estricta necesidad - Artículo 16, apartados 2 y 3 - Derecho a la supresión - Limitación del tratamiento - Artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea - Persona física condenada mediante sentencia firme y ulteriormente rehabilitada - Plazo de conservación de los datos hasta su fallecimiento - Inexistencia de derecho a la supresión o a la limitación del tratamiento - Proporcionalidad”
En el asunto C-118/22,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria), mediante resolución de 10 de enero de 2022, recibida en el Tribunal de Justicia el 17 de febrero de 2022, en el procedimiento entre
NG
y
Direktor na Glavna direktsia Natsionalna politsia pri Ministerstvo na vatreshnite raboti - Sofia,
con intervención de:
Varhovna administrativna prokuratura,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. K. Lenaerts, Presidente, el Sr. L. Bay Larsen, Vicepresidente, el Sr. A. Arabadjiev, las Sras. A. Prechal y K. Jürimäe, el Sr. N. Piçarra y la Sra. O. Spineanu-Matei, Presidentes de Sala, y los Sres. M. Ileič y J.-C. Bonichot, la Sra. L. S. Rossi y los Sres. I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl y D. Gratsias (Ponente), Jueces;
Abogado General: Sr. P. Pikamäe;
Secretaria: Sra. R. Stefanova-Kamisheva, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 7 de febrero de 2023;
consideradas las observaciones presentadas:
- en nombre de NG, por el Sr. P. Kuyumdzhiev, advokat;
- en nombre del Gobierno búlgaro, por las Sras. M. Georgieva, T. Mitova y E. Petranova, en calidad de agentes;
- en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes;
- en nombre de Irlanda, por la Sra. M. Browne y los Sres. A. Joyce y M. Tierney, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;
- en nombre del Gobierno español, por los Sres. A. Ballesteros Panizo y J. Rodríguez de la Rúa Puig, en calidad de agentes;
- en nombre del Gobierno neerlandés, por la Sra. A. Hanje, en calidad de agente;
- en nombre del Gobierno polaco, por los Sres. B. Majczyna y D. Łukowiak y por la Sra. J. Sawicka, en calidad de agentes;
- en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. C. Georgieva y los Sres. H. Kranenborg y F. Wilman, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 15 de junio de 2023;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 5 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89), en relación con los artículos 13, apartado 2, y 3 de dicha Directiva.
2 Esta petición se ha presentado en el contexto de un litigio entre NG y el Direktor na Glavna direktsia Natsionalna politsia pri Ministerstvo na vatreshnite raboti - Sofia (Director de la Dirección General de Policía Nacional del Ministerio del Interior, Bulgaria; en lo sucesivo, “DGPN”), que versa sobre la denegación, por este último, de la solicitud de NG de cancelación de la inscripción a él relativa del registro nacional en el que las autoridades policiales búlgaras inscriben a los investigados por delitos públicos dolosos (en lo sucesivo, “registro policial”), solicitud basada en la rehabilitación de la que este se benefició tras haber sido objeto de una condena penal firme.
Marco jurídico
Derecho de la Unión
3 A tenor de los considerandos 11, 14, 26, 27, 37, 47 y 104 de la Directiva 2016/680:
“(11) Conviene [] que [los ámbitos de la cooperación judicial en materia penal y de la cooperación policial] estén regulados por una directiva que establezca las normas específicas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. []
[]
(14) Puesto que la presente Directiva no debe aplicarse al tratamiento de datos personales en el marco de una actividad que no esté comprendida en el ámbito de aplicación del Derecho de la Unión, no deben considerarse comprendidas en el ámbito de aplicación de la presente Directiva las actividades relacionadas con la seguridad nacional [].
[]
(26) [Se debe garantizar] que los datos personales recogidos no son excesivos ni se conservan más tiempo del que sea necesario para los fines con los que se tratan. Los datos personales solo deberían ser objeto de tratamiento si la finalidad del tratamiento no puede lograrse razonablemente por otros medios. Para garantizar que los datos no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su eliminación o revisión periódica. []
(27) Para la prevención, investigación y enjuiciamiento de las infracciones penales, es necesario que las autoridades competentes traten datos personales recopilados en el contexto de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales concretas más allá de ese contexto específico, con el fin de adquirir un mejor conocimiento de las actividades delictivas y establecer vínculos entre las distintas infracciones penales detectadas.
[]
(37) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento puede generar riesgos importantes para los derechos y las libertades fundamentales. []
[]
(47) [] Asimismo, toda persona física debe tener derecho a la limitación del tratamiento [] cuando los datos personales deban conservarse a efectos probatorios. En particular, en lugar de suprimir los datos personales, el tratamiento debe limitarse si en un caso concreto hay razones justificadas para suponer que la supresión podría perjudicar los intereses legítimos del interesado. En tal caso, los datos restringidos podrán tratarse únicamente para los fines que impidieron su supresión. []
[]
(104) La presente Directiva respeta los derechos fundamentales y observa los principios reconocidos en la Carta [de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, “Carta”)], consagrados en el TFUE, en particular el derecho al respeto de la vida privada y familiar, el derecho a la protección de los datos personales y el derecho a la tutela judicial efectiva y a un juez imparcial. Las limitaciones aplicadas a estos derechos son conformes al artículo 52, apartado 1, de la Carta ya que son necesarias para alcanzar objetivos de interés general reconocidos por la Unión o responden a la necesidad de proteger los derechos y libertades de terceros.”
4 El artículo 1 de esta Directiva, titulado “Objeto y objetivos”, dispone en su apartado 1:
“La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.”
5 El artículo 2 de dicha Directiva, que se titula “Ámbito de aplicación”, establece lo siguiente en sus apartados 1 y 3:
“1 La presente Directiva se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines establecidos en el artículo 1, apartado 1.
[]
3. La presente Directiva no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
[]”.
6 El artículo 3 de la misma Directiva, titulado “Definiciones”, dispone:
“A efectos de la presente Directiva se entenderá por:
[]
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales [] como la [] conservación [];
[]”.
7 El artículo 4 de la Directiva 2016/680, titulado “Principios relativos al tratamiento de datos personales”, establece en su apartado 1:
“Los Estados miembros dispondrán que los datos personales sean:
[]
c) adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados;
[]
e) conservados de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados;
[]”.
8 El artículo 5 de esta Directiva, cuyo epígrafe es “Plazos de conservación y revisión”, tiene el siguiente tenor:
“Los Estados miembros dispondrán que se fijen plazos apropiados para la supresión de los datos personales o para una revisión periódica de la necesidad de conservación de los datos personales. Las normas de procedimiento garantizarán el cumplimiento de dichos plazos.”
9 El artículo 10 de dicha Directiva, que se titula “Tratamiento de categorías especiales de datos personales”, está redactado en los siguientes términos:
“El tratamiento de datos [] genéticos [y de] datos biométricos dirigidos a identificar de manera unívoca a una persona física [] solo se permitirá cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado []”.
10 El artículo 13 de la misma Directiva, titulado “Información que debe ponerse a disposición del interesado o que se le debe proporcionar”, establece, en su apartado 2, que, además de la información indicada en su apartado 1, los Estados miembros dispondrán por ley que el responsable del tratamiento proporcione al interesado, en casos concretos, la información adicional que dicho apartado 2 enumera, a fin de permitirle el ejercicio de sus derechos. Entre esa información adicional figura, en particular, en la letra b) de dicho apartado 2, el plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo. Por otra parte, el artículo 13, apartado 3, de la Directiva 2016/680 indica los motivos por los que los Estados miembros pueden adoptar medidas legislativas por las que se retrase, limite u omita la puesta a disposición del interesado de la información en virtud del apartado 2 de este artículo.
11 El artículo 14 de la Directiva 2016/680, con el epígrafe “Derecho de acceso del interesado a los datos personales”, tiene el siguiente tenor:
“Con sujeción a lo dispuesto en el artículo 15, los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso de que se confirme el tratamiento, acceso a dichos datos personales y la siguiente información:
[]
d) cuando sea posible, el plazo contemplado durante el cual se conservarán los datos personales o, de no ser posible, los criterios utilizados para determinar dicho plazo;
[]”.
12 El artículo 16 de esta Directiva, titulado “Derecho de rectificación o supresión de datos personales y limitación de su tratamiento”, establece lo siguiente en sus apartados 2 y 3:
“2. Los Estados miembros exigirán al responsable del tratamiento suprimir los datos personales sin dilación indebida y dispondrán el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan sin dilación indebida cuando el tratamiento infrinja los artículos 4, 8 o 10, o cuando los datos personales deban ser suprimidos en virtud de una obligación legal a la que esté sujeto el responsable del tratamiento.
3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando:
a) el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse la exactitud o inexactitud, o
b) los datos personales hayan de conservarse a efectos probatorios.
[]”
13 En virtud del artículo 20 de dicha Directiva, titulado “Protección de datos desde el diseño y por defecto”, los Estados miembros dispondrán que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas para que el tratamiento cumpla los requisitos de la Directiva y para proteger los derechos de los interesados y, en particular, garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
14 El artículo 29 de la Directiva 2016/680, cuyo epígrafe es “Seguridad del tratamiento”, establece en su apartado 1:
“Los Estados miembros dispondrán que el responsable y el encargado del tratamiento, teniendo en cuenta el estado de la técnica y los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, sobre todo en lo que se refiere al tratamiento de las categorías especiales de datos personales previstas en el artículo 10.”
Derecho búlgaro
Código Penal
15 El artículo 82, apartado 1, del Nakazatelen kodeks (Código Penal) (DV n.º 26, de 2 de abril de 1968), en su versión aplicable al litigio principal, dispone:
“La pena impuesta no se ejecutará cuando hayan transcurrido:
1. veinte años, en el caso de la pena a cadena perpetua sin posibilidad de conmutación o de la pena a cadena perpetua;
2. quince años, en el caso de una pena de reclusión superior a diez años;
3. diez años, en el caso de una pena de reclusión de tres a diez años;
4. cinco años, en el caso de una pena de reclusión inferior a tres años, y
5. dos años, en los demás casos.”
16 A tenor del artículo 85, apartado 1, de este Código:
“La rehabilitación cancela la condena y extingue para el futuro los efectos que las leyes atribuyen a la condena en sí misma, salvo que por ley o decreto se disponga otra cosa.”
17 El artículo 88a del Código Penal está redactado en los siguientes términos:
“Cuando desde el cumplimiento de la pena haya transcurrido un plazo igual al previsto en el artículo 82, apartado 1, y el condenado no haya cometido un nuevo delito público doloso sancionado con pena de reclusión, la condena y sus consecuencias se cancelarán con independencia de lo dispuesto en otra ley u otro decreto.”
Ley del Ministerio del Interior
18 El artículo 26 de la Zakon za Ministerstvoto na vatreshnite raboti (Ley del Ministerio del Interior) (DV n.º 53, de 27 de junio de 2014), en su versión aplicable al litigio principal (en lo sucesivo, “Ley del Ministerio del Interior”), dispone:
“(1) Al tratar datos personales en relación con actividades de protección de la seguridad nacional, lucha contra la delincuencia, mantenimiento del orden público y tramitación de procedimientos penales, las autoridades del Ministerio del Interior:
[]
3. podrán tratar todas las categorías de datos personales que sean necesarias;
[]
(2) El Ministerio del Interior fijará los plazos de conservación de los datos a que se refiere el apartado 1 o para una revisión periódica de la necesidad de conservarlos. Dichos datos también se suprimirán en virtud de un acto judicial o de una decisión de la Comisión de Protección de Datos Personales”.
19 Con arreglo al artículo 27 de la Ley del Ministerio del Interior:
“Los datos obtenidos mediante la inscripción de personas en el registro policial al amparo del artículo 68 se utilizarán únicamente con fines de protección de la seguridad nacional, lucha contra la delincuencia y mantenimiento del orden público.”
20 El artículo 68 de esta Ley está redactado en los siguientes términos:
“(1) Las autoridades policiales incluirán en el registro policial a las personas investigadas por delitos públicos dolosos. Las autoridades encargadas de la investigación deberán adoptar las medidas necesarias para que las autoridades policiales procedan a la inscripción en el registro.
(2) La inscripción en el registro policial es un tipo de tratamiento de datos personales de las personas a que se refiere el apartado 1 y deberá llevarse a cabo con arreglo a lo dispuesto en la presente Ley.
(3) A efectos de la inscripción en el registro policial, las autoridades policiales deberán:
1. recoger los datos personales mencionados en el artículo 18 de la Ley relativa a los Documentos de Identidad Búlgaros;
2. realizar fotografías del investigado y tomar sus huellas dactilares;
3. obtener muestras para la elaboración de un perfil de ADN.
[]
(6) La inscripción en el registro policial se cancelará previa decisión escrita del responsable del tratamiento de los datos personales o de un funcionario autorizado por dicho responsable, de oficio o previa solicitud escrita motivada de la persona inscrita, cuando:
1. tal inscripción se haya realizado vulnerando la ley;
2. el proceso penal haya sido archivado, salvo en los casos previstos en el artículo 24, apartado 3, del [Nakazatelno-protsesualen kodeks (Código de Procedimiento Penal)];
3. el proceso penal haya finalizado con una resolución absolutoria definitiva;
4. no se considere a la persona penalmente responsable y se le imponga una sanción administrativa;
5. se produzca el fallecimiento del investigado, en cuyo caso sus sucesores podrán solicitar la cancelación de los datos.
[]”
Litigio principal y cuestión prejudicial
21 NG fue objeto de una inscripción en el registro policial, de conformidad con el artículo 68 de la Ley del Ministerio del Interior, en el marco de un procedimiento de instrucción por falso testimonio, hecho constitutivo de un delito tipificado en el artículo 290, apartado 1, del Código Penal. Al término de este procedimiento de instrucción, se formuló acusación contra él y, mediante sentencia de 28 de junio de 2016, confirmada en apelación mediante sentencia de 2 de diciembre de 2016, fue declarado culpable y condenado a una pena de libertad vigilada de un año. Una vez cumplida la pena, NG se benefició, en virtud de la aplicación conjunta de las disposiciones de los artículos 82, apartado 1, y 88a del Código Penal, de una rehabilitación, que se produjo el 14 de marzo de 2020.
22 El 15 de julio de 2020, sobre la base de esta rehabilitación, NG presentó una solicitud de cancelación de su inscripción en el registro policial ante la Administración territorial competente del Ministerio del Interior.
23 Mediante decisión de 2 de septiembre de 2020, el DGPN desestimó esta solicitud, al considerar que, incluso en caso de rehabilitación, una condena penal firme no forma parte de los motivos de cancelación de la inscripción en el registro policial, enumerados de manera exhaustiva en el artículo 68, apartado 6, de la Ley del Ministerio del Interior.
24 Mediante resolución de 2 de febrero de 2021, el Administrativen sad Sofia grad (Tribunal de lo Contencioso-Administrativo de Sofía, Bulgaria) desestimó el recurso interpuesto por NG contra esa decisión del DGPN por motivos sustancialmente análogos a los considerados por este último.
25 NG interpuso recurso de casación contra dicha resolución ante el órgano jurisdiccional remitente, el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria). El motivo principal formulado en el recurso de casación se basa en la violación del principio, derivado de los artículos 5, 13 y 14 de la Directiva 2016/680, según el cual el tratamiento de los datos personales mediante su conservación no puede tener una duración ilimitada. Pues bien, según NG, en esencia, así sucede de facto cuando, a falta de un motivo de cancelación de la inscripción en el registro policial aplicable en el supuesto de una rehabilitación, el interesado no puede obtener nunca la supresión de los datos personales recopilados en relación con el delito por el que ha sido condenado mediante sentencia firme, tras haber cumplido su pena y haber obtenido la rehabilitación.
26 A este respecto, en primer lugar, el órgano jurisdiccional remitente señala que la inscripción en el registro policial es un tratamiento de datos personales efectuado para los fines enunciados en el artículo 1, apartado 1, de la Directiva 2016/680, por lo que está comprendido en su ámbito de aplicación.
27 En segundo lugar, indica que la rehabilitación no forma parte de los motivos de cancelación de la inscripción en el registro policial, enumerados de manera exhaustiva en el artículo 68, apartado 6, de la Ley del Ministerio del Interior, y que ningún otro de esos motivos puede aplicarse en este supuesto, de modo que es imposible que el interesado obtenga la cancelación de su inscripción en dicho registro en tal supuesto.
28 En tercer lugar, el órgano jurisdiccional remitente señala que el considerando 26 de la Directiva 2016/680 se refiere a la exigencia de que se garantice que los datos recogidos no sean excesivos ni se conserven más tiempo del que sea necesario para los fines con los que se tratan y enuncia que el responsable del tratamiento ha de establecer plazos para su eliminación o revisión periódica. Además, deduce del considerando 34 de dicha Directiva que el tratamiento para los fines mencionados en su artículo 1, apartado 1, debe incluir operaciones de limitación, supresión o destrucción de tales datos. En su opinión, estos principios se reflejan en los artículos 5 y 13, apartados 2 y 3, de la misma Directiva.
29 A este respecto, el órgano jurisdiccional remitente alberga dudas acerca de si los objetivos enunciados en el apartado anterior se oponen a una normativa nacional que conduzca, en el caso de las autoridades competentes, a un “derecho prácticamente ilimitado” al tratamiento de datos para los fines enunciados en el artículo 1, apartado 1, de la Directiva 2016/680 y, en el caso de la persona afectada, a la pérdida de su derecho a la limitación del tratamiento o a la supresión de sus datos.
30 En estas circunstancias, el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
“¿Puede interpretarse el artículo 5, en relación con el artículo 13, apartados 2, letra b), y 3, de la Directiva [2016/680], en el sentido de que autoriza la adopción de medidas legislativas nacionales que conduzcan a reconocer a las autoridades competentes un derecho prácticamente ilimitado al tratamiento de datos personales con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a dejar sin efecto el derecho del interesado a la limitación del tratamiento, a la supresión o a la destrucción de sus datos?”
Sobre la cuestión prejudicial
31 Según reiterada jurisprudencia, en el marco del procedimiento de cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia establecido por el artículo 267 TFUE, corresponde a este último proporcionar al juez nacional una respuesta útil que le permita dirimir el litigio del que conoce. Desde este punto de vista, corresponde al Tribunal de Justicia reformular en su caso las cuestiones prejudiciales que se le han planteado. Además, el Tribunal de Justicia puede verse obligado a tomar en consideración normas de Derecho de la Unión a las que el juez nacional no se haya referido en el enunciado de su cuestión prejudicial (sentencia de 15 de julio de 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, apartado 31 y jurisprudencia citada).
32 En el presente asunto, la cuestión prejudicial planteada por el órgano jurisdiccional remitente tiene su origen en el hecho de que, como se desprende de la petición de decisión prejudicial y de las indicaciones facilitadas por el Gobierno búlgaro en la vista ante el Tribunal de Justicia, ninguno de los motivos que justifican la supresión de los datos personales que figuran en el registro policial, enumerados taxativamente en la Ley del Ministerio del Interior, es aplicable a la situación controvertida en el litigio principal, en la que una persona fue condenada mediante sentencia firme, y ello pese a haber obtenido la rehabilitación, de modo que tales datos se conservan en ese registro y pueden ser tratados por las autoridades que tengan acceso a él sin más limitación temporal que la determinada por el fallecimiento de dicha persona.
33 A este respecto, en primer lugar, de la resolución de remisión, concretamente de las consideraciones resumidas en el apartado 27 de la presente sentencia, y de los términos de la propia cuestión prejudicial se desprende que el órgano jurisdiccional remitente se pregunta, en particular, sobre la compatibilidad de la normativa nacional controvertida en el litigio principal con el principio de proporcionalidad. Pues bien, como pone de relieve el considerando 104 de la Directiva 2016/680, las limitaciones aplicadas por esta Directiva al derecho a la protección de los datos personales, contemplado en el artículo 8 de la Carta, así como al derecho al respeto de la vida privada y familiar y al derecho a la tutela judicial efectiva y a un juez imparcial, protegidos respectivamente por los artículos 7 y 47 de la Carta, deben interpretarse de conformidad con las exigencias del artículo 52, apartado 1, de esta, que incluyen el respeto de ese principio.
34 A continuación, en el enunciado de su cuestión prejudicial, el órgano jurisdiccional remitente se refiere, fundadamente, al artículo 5 de la Directiva 2016/680, relativo a los plazos apropiados para la supresión de los datos personales o para una revisión periódica de la necesidad de conservación de esos datos. Habida cuenta de que dicho artículo 5 presenta estrechos vínculos tanto con el artículo 4, apartado 1, letras c) y e), como con el artículo 16, apartados 2 y 3, de la misma Directiva, debe entenderse que la cuestión prejudicial se refiere también a estas dos disposiciones.
35 Asimismo, dado que la normativa nacional controvertida en el litigio principal prevé la conservación, en particular, de datos biométricos y genéticos, que están comprendidos en las categorías especiales de datos personales cuyo tratamiento se rige específicamente por el artículo 10 de la Directiva 2016/680, procede considerar que la cuestión prejudicial planteada también tiene por objeto la interpretación de esta disposición.
36 Por último, la pertinencia de una interpretación del artículo 13 de la Directiva 2016/680 solo resulta claramente de la petición de decisión prejudicial en relación con su apartado 2, letra b). Si bien es cierto que, como señala el órgano jurisdiccional remitente, su apartado 3 refleja también los principios enunciados, en particular, en el considerando 26 de dicha Directiva, de los autos remitidos al Tribunal de Justicia no resulta que en el litigio principal se cuestione también una medida legislativa por la que se retrase o limite la puesta a disposición de información del interesado, en el sentido de dicho apartado 3.
37 Habida cuenta de lo anterior, procede considerar que, mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, apartado 1, letras c) y e), de la Directiva 2016/680, en relación con los artículos 5, 10, 13, apartado 2, letra b), y 16, apartados 2 y 3, de la misma Directiva y a la luz de los artículos 7 y 8 de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que establece la conservación, por las autoridades policiales, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, de datos personales, en particular de datos biométricos y genéticos, relativos a personas que hayan sido objeto de una condena penal firme por un delito público doloso, y ello hasta el fallecimiento del interesado, incluso en el supuesto de su rehabilitación, sin que, por otra parte, reconozca al interesado el derecho a la supresión de tales datos o, en su caso, a la limitación de su tratamiento.
38 Con carácter preliminar, debe señalarse que la cuestión prejudicial planteada versa sobre un tratamiento de datos personales que responde a fines que, de conformidad con el artículo 1, apartado 1, de la Directiva 2016/680, están comprendidos en el ámbito de aplicación de esta Directiva. No obstante, del artículo 27 de la Ley del Ministerio del Interior, citado en la resolución de remisión, se desprende que los datos conservados en el registro policial también pueden ser objeto de tratamientos en el marco de la protección de la seguridad nacional, a los que, a tenor del artículo 2, apartado 3, letra a), de dicha Directiva, interpretado a la luz de su considerando 14, esta no se aplica. Por lo tanto, corresponderá al órgano jurisdiccional remitente cerciorarse de que la conservación de los datos del demandante en el litigio principal no puede responder a finalidades relacionadas con la protección de la seguridad nacional, teniendo en cuenta que el artículo 2, apartado 3, letra a), se refiere a una excepción a la aplicación del Derecho de la Unión que debe interpretarse en sentido estricto [véase, por analogía, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 62 y jurisprudencia citada].
39 En primer lugar, procede recordar que los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, garantizados en los artículos 7 y 8 de la Carta, no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad y ponderarse con otros derechos fundamentales. De conformidad con el artículo 52, apartado 1, de la Carta, toda limitación al ejercicio de tales derechos fundamentales debe ser establecida por la ley y respetar el contenido esencial de esos derechos fundamentales y el principio de proporcionalidad. En virtud de este último principio, solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Dichas limitaciones no deben exceder de lo estrictamente necesario y la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 105 y jurisprudencia citada].
40 Como subraya, en esencia, el considerando 26 de la Directiva 2016/680, estos requisitos no se cumplen cuando el objetivo de interés general perseguido puede alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios respecto de los derechos fundamentales de los interesados [véase, por analogía, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 110 y jurisprudencia citada].
41 En segundo lugar, con carácter previo, a tenor del artículo 4, apartado 1, letra c), de dicha Directiva, los Estados miembros deben disponer que los datos personales sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados. Así pues, esta disposición exige que los Estados miembros respeten el principio de “minimización de datos”, que refleja el principio de proporcionalidad [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 98 y jurisprudencia citada].
42 De ello se sigue que, en particular, la recogida de datos personales en el marco de un procedimiento penal y su conservación por las autoridades policiales, para los fines enunciados en el artículo 1, apartado 1, de dicha Directiva, deben respetar, como todo tratamiento comprendido en su ámbito de aplicación, dichos requisitos. Tal conservación constituye, además, una injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal, con independencia de que la información conservada tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia, o de que los datos conservados se utilicen o no posteriormente (véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C-140/20, EU:C:2022:258, apartado 44 y jurisprudencia citada).
43 Además, por lo que respecta, más concretamente, al carácter proporcionado del tiempo de conservación de tales datos, los Estados miembros deben disponer, en virtud del artículo 4, apartado 1, letra e), de la Directiva 2016/680, que esos datos se conserven de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados.
44 En este contexto, el artículo 5 de dicha Directiva exige que los Estados miembros dispongan que se fijen plazos apropiados para la supresión de los datos personales o para una revisión periódica de la necesidad de conservación de tales datos, así como normas de procedimiento que garanticen el cumplimiento de dichos plazos.
45 Como enuncia el considerando 26 de la Directiva 2016/680, esta disposición tiene por objeto garantizar que, de conformidad con los requisitos del artículo 4, apartado 1, letra e), de dicha Directiva, los datos personales no se conserven más tiempo del necesario. Ciertamente, deja en manos de los Estados miembros el establecimiento de plazos de conservación apropiados y la decisión acerca de si esos plazos conciernen a la eliminación de dichos datos o a la revisión periódica de la necesidad de conservarlos, siempre que el respeto de los plazos esté garantizado por normas procesales adecuadas. No obstante, el carácter “apropiado” de los plazos requiere, en cualquier caso, que, de conformidad con el artículo 4, apartado 1, letras c) y e), de dicha Directiva, en relación con el artículo 52, apartado 1, de la Carta, tales plazos permitan, si así procede, la supresión de los datos de que se trate en el supuesto de que su conservación ya no sea necesaria a la luz de los fines que justificaron el tratamiento.
46 En particular, permitir que los interesados comprueben ese carácter “apropiado” y, si procede, soliciten tal supresión es lo que persiguen los artículos 13, apartado 2, letra b), y 14, letra d), de la Directiva 2016/680 al establecer que, en principio, los interesados pueden ser informados, cuando sea posible, del plazo de conservación de los datos personales que les conciernan o, cuando esto no sea posible, de los criterios utilizados para determinar ese plazo.
47 A continuación, el artículo 10 de la Directiva 2016/680 es una disposición específica que regula los tratamientos de categorías especiales de datos personales, en particular los datos biométricos y genéticos. Esta disposición pretende garantizar una mayor protección del interesado, en la medida en que, debido a su particular sensibilidad y al contexto en el que son tratados, los datos en cuestión pueden generar, como se desprende del considerando 37 de dicha Directiva, riesgos importantes para las libertades y los derechos fundamentales, como el derecho al respeto de la vida privada y el derecho a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta [sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C-205/21, EU:C:2023:49, apartado 116 y jurisprudencia citada].
48 Más concretamente, dicho artículo 10 establece el requisito de que el tratamiento de datos sensibles se autorice “cuando sea estrictamente necesario”, que constituye una condición reforzada de licitud del tratamiento de tales datos y conlleva, en particular, un control especialmente rigurosos del respeto del principio de “minimización de datos”, tal como se desprende del artículo 4, apartado 1, letra c), de la Directiva 2016/680, del que este requisito constituye una aplicación específica a dichos datos sensibles [véase, en este sentido, la sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C-205/21, EU:C:2023:49, apartados 117, 122 y 125].
49 Por último, el artículo 16, apartado 2, de la Directiva 2016/680 establece un derecho a la supresión de los datos personales cuando el tratamiento infrinja las disposiciones adoptadas en virtud de los artículos 4, 8 o 10 de esta Directiva o cuando tales datos deban ser suprimidos en virtud de una obligación legal a la que esté sujeto el responsable del tratamiento.
50 De dicho artículo 16, apartado 2, se desprende que el derecho a la supresión puede ejercerse, en particular, cuando la conservación de los datos personales en cuestión no sea o haya dejado de ser necesaria para los fines para los que son tratados, contrariamente a lo dispuesto en las normas de Derecho nacional por las que se aplica el artículo 4, apartado 1, letras c) y e), de la Directiva 2016/680 y, en su caso, su artículo 10, o cuando esa supresión sea necesaria para respetar el plazo fijado, a tal efecto, por el Derecho nacional en virtud del artículo 5 de la misma Directiva.
51 Sin embargo, con arreglo al artículo 16, apartado 3, de la Directiva 2016/680, el Derecho nacional debe disponer que el responsable del tratamiento limite el tratamiento de tales datos en lugar de proceder a su supresión cuando, de conformidad con la letra a) de dicha disposición, el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse la exactitud o inexactitud, o cuando, de conformidad con su letra b), los datos personales hayan de conservarse a efectos probatorios.
52 De lo anterior resulta que las disposiciones de la Directiva 2016/680 examinadas en los apartados 41 a 51 de la presente sentencia establecen un marco general que permite garantizar, entre otras cosas, que la conservación de datos personales y, más concretamente, su duración, se limiten a lo que resulte necesario para los fines para los que se conservan tales datos, al tiempo que dejan a los Estados miembros la tarea de determinar, respetando ese marco, las situaciones concretas en las que la protección de los derechos fundamentales del interesado requiere la supresión de tales datos y el momento en el que esta debe producirse. En cambio, como ha señalado el Abogado General, en esencia, en el punto 28 de sus conclusiones, estas disposiciones no exigen que los Estados miembros establezcan límites temporales absolutos para la conservación de los datos personales, más allá de los cuales deban suprimirse automáticamente.
53 En el presente asunto, de los autos que obran en poder del Tribunal de Justicia se desprende que los datos personales que figuran en el registro policial en virtud del artículo 68 de la Ley del Ministerio del Interior se conservan únicamente a efectos de investigación operativa y, más concretamente, con vistas a su comparación con otros datos recabados con ocasión de investigaciones relativas a otras infracciones.
54 A este respecto, en primer lugar, procede subrayar que la conservación, en un registro policial, de datos relativos a personas que hayan sido objeto de una condena penal firme puede resultar necesaria para los fines indicados en el apartado anterior, incluso después de que dicha condena haya sido eliminada del registro de antecedentes penales y, en consecuencia, los efectos que la legislación nacional atribuya a dicha condena sean suprimidos. En efecto, esas personas pueden estar implicadas en delitos diferentes de aquellos por los que han sido condenadas o, por el contrario, ser exculpadas mediante la comparación de los datos conservados por dichas autoridades con los recogidos en los procedimientos relativos a esos otros delitos.
55 Así, tal conservación puede contribuir al objetivo de interés general enunciado en el considerando 27 de la Directiva 2016/680, según el cual, para la prevención, investigación y enjuiciamiento de las infracciones penales, es necesario que las autoridades competentes traten datos personales recopilados en el contexto de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales concretas más allá de ese contexto específico, con el fin de adquirir un mejor conocimiento de las actividades delictivas y establecer vínculos entre las distintas infracciones penales detectadas [véase, en este sentido, la sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C-205/21, EU:C:2023:49, apartado 98].
56 En segundo lugar, de los autos que obran en poder del Tribunal de Justicia se desprende que se conservan en el registro policial los datos relativos al interesado contemplados por la normativa búlgara en materia de documentos de identidad, las huellas dactilares, su fotografía y una muestra para la elaboración de un perfil de ADN, a los que, como confirmó el Gobierno búlgaro en la vista, se añaden los datos relativos a los delitos cometidos por él y sus condenas a tal título. Pues bien, estas diferentes categorías de datos pueden resultar indispensables para comprobar si el interesado está implicado en delitos distintos de aquellos por las que ha sido condenado mediante sentencia firme. Por consiguiente, pueden considerarse, en principio, adecuados y pertinentes para los fines para los que son tratados, en el sentido del artículo 4, apartado 1, letra c), de la Directiva 2016/680.
57 En tercer lugar, la proporcionalidad de tal conservación en relación con sus fines debe apreciarse teniendo en cuenta también las medidas técnicas y organizativas apropiadas establecidas por el Derecho nacional, destinadas a garantizar la confidencialidad y la seguridad de los datos conservados respecto de tratamientos que no cumplan los requisitos de la Directiva 2016/680, de conformidad con los artículos 20 y 29 de dicha Directiva, y, en particular, las medidas contempladas en el artículo 20, apartado 2, de esta, que garantizan que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
58 En cuarto lugar, en cuanto atañe al plazo de conservación de los datos personales objeto del litigio principal, de la petición de decisión prejudicial se desprende que únicamente en el supuesto de condena firme del interesado por un delito público doloso la conservación de dichos datos se mantiene hasta el fallecimiento de este, puesto que la normativa nacional prevé la cancelación de las inscripciones de los investigados por tal delito en los demás casos.
59 A este respecto, es preciso señalar, no obstante, que el concepto de “delito público doloso” tiene un carácter especialmente genérico y puede aplicarse a un gran número de delitos, con independencia de su naturaleza y gravedad [véase, en este sentido, la sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C-205/21, EU:C:2023:49, apartado 129].
60 Pues bien, como ha señalado igualmente, en esencia, el Abogado General en los puntos 73 y 74 de sus conclusiones, no todas las personas condenadas mediante sentencia firme por un delito comprendido en este concepto presentan el mismo grado de riesgo de estar implicadas en otros delitos, de modo que se justifique un plazo uniforme de conservación de sus datos. Así, en determinados casos, habida cuenta de factores como la naturaleza y la gravedad de la infracción cometida o la falta de reincidencia, el riesgo que representa el condenado no justificará necesariamente que los datos que le conciernen se mantengan hasta su fallecimiento en el registro nacional policial previsto a este efecto. En tales casos, ya no existirá una relación necesaria entre los datos conservados y el objetivo perseguido [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 205]. Por consiguiente, su conservación no será conforme con el principio de minimización de datos, enunciado en el artículo 4, apartado 1, letra c), de la Directiva 2016/680, y excederá el tiempo necesario en relación con los fines para los que son tratados, en contra de lo dispuesto en el artículo 4, apartado 1, letra e), de dicha Directiva.
61 A este respecto, debe precisarse que es cierto que, como ha subrayado, en esencia, el Abogado General en el punto 70 de sus conclusiones, la rehabilitación del interesado, que conlleva que su condena sea eliminada de su antecedentes penales, como la que se produjo en el litigio principal, no puede implicar que no sea necesaria la conservación de sus datos en el registro policial, puesto que esta responde a fines diferentes de los perseguidos por la relación de sus antecedentes penales en el registro de antecedentes penales. No obstante, cuando, como en el presente asunto, en virtud de las disposiciones aplicables del Derecho penal nacional, tal rehabilitación esté supeditada a que no se cometa un nuevo delito público doloso durante un determinado lapso de tiempo después de que se haya cumplido la pena, puede constituir el indicio de que el interesado representa un menor riesgo a la vista de los objetivos de lucha contra la delincuencia o de mantenimiento del orden público y, por tanto, un elemento que puede reducir el tiempo necesario de tal conservación.
62 En quinto lugar, el principio de proporcionalidad, enunciado en el artículo 52, apartado 1, de la Carta, implica, en particular, una ponderación de la importancia del objetivo perseguido y de la gravedad de la limitación del ejercicio de los derechos fundamentales de que se trate (véase, en este sentido, la sentencia de 22 de noviembre de 2022, Luxembourg Business Registers, C-37/20 y C-601/20, EU:C:2022:912, apartado 66).
63 En el presente asunto, como se ha recordado en el apartado 35 de la presente sentencia, la conservación de los datos personales en el registro policial en cuestión incluye datos biométricos y genéticos. Por tanto, procede subrayar que, teniendo en cuenta los riesgos importantes que representa el tratamiento de datos sensibles en relación con los derechos y libertades de los interesados, en particular en el contexto de las tareas de las autoridades competentes respecto a los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680, la especial importancia del objetivo perseguido debe apreciarse en función de un conjunto de elementos pertinentes. Forman parte de estos elementos de apreciación, entre otros, el hecho de que el tratamiento persiga una finalidad concreta en relación con la prevención de infracciones penales o de amenazas contra la seguridad pública que revistan cierto grado de gravedad, la represión de tales infracciones o la protección contra esas amenazas, así como las circunstancias concretas en que se efectúa el tratamiento [sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C-205/21, EU:C:2023:49, apartado 127].
64 En este contexto, el Tribunal de Justicia ha considerado que la normativa nacional que establece la recogida sistemática de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso es, en principio, contraria al requisito de estricta necesidad establecido en el artículo 10 de la Directiva 2016/680 y recordado en el apartado 48 de la presente sentencia. En efecto, esa normativa puede conducir, de manera indiferenciada y generalizada, a la recogida de datos biométricos y genéticos de la mayoría de los investigados [véase, en este sentido, la sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C-205/21, EU:C:2023:49, apartados 128 y 129].
65 Por su parte, el Tribunal Europeo de Derechos Humanos (TEDH) ha declarado que el carácter general e indiferenciado de la facultad de conservación de las huellas dactilares, muestras biológicas y perfiles de ADN de personas sospechosas de la comisión de delitos pero no condenadas, como preveía la normativa nacional controvertida en el asunto del que conocía dicho órgano jurisdiccional, no reflejaba un justo equilibrio entre los intereses públicos y privados concurrentes en juego y que, por tanto, la conservación de tales datos se consideraba una vulneración desproporcionada del derecho de los demandantes al respeto de su vida privada y no podía tenerse por necesaria en una sociedad democrática, por lo que tal vulneración era constitutiva de una infracción del artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950 (TEDH, sentencia de 4 de diciembre de 2008, S y Marper c. Reino Unido, CE:ECHR:2008:1204JUD003056204, §§ 125 y 126).
66 Es cierto que la conservación de los datos biométricos y genéticos de personas que ya han sido objeto de una condena penal firme, también cuando tal conservación tenga lugar hasta el fallecimiento de esas personas, puede revestir un carácter de estricta necesidad, en el sentido del artículo 10 de la Directiva 2016/680, en particular para permitir verificar su eventual implicación en otras infracciones penales y, de ese modo, perseguir y condenar a los autores de dichas infracciones. En efecto, es preciso tener en cuenta la importancia que reviste este tipo de datos para las investigaciones penales, incluso muchos años después de que acaezcan los hechos, en particular cuando tales infracciones constituyen delitos graves (véase, en este sentido, TEDH, sentencia de 13 de febrero de 2020, Gaughran c. Reino Unido, CE:ECHR:2020:0213JUD004524515, § 93).
67 No obstante, únicamente puede considerarse que la conservación de datos biométricos y genéticos responde a la exigencia de que solo debe permitirse “cuando sea estrictamente necesario”, en el sentido del artículo 10 de la Directiva 2016/680, si toma en consideración la naturaleza y la gravedad del delito que dio lugar a la condena penal firme u otras circunstancias como el contexto particular en el que se cometió dicho delito, su posible relación con otros procedimientos en curso o los antecedentes o el perfil de la persona condenada. Por tanto, en el supuesto de que una normativa nacional establezca, como ocurre con la controvertida en el litigio principal, que los datos biométricos y genéticos de los interesados inscritos en el registro policial se conservarán hasta la fecha de su fallecimiento en caso de que hubieran sido objeto de condena penal firme, el ámbito de aplicación de dicha conservación presenta, como se ha señalado en los anteriores apartados 59 y 60, un carácter excesivamente amplio a la vista de los fines para los que se tratan esos datos.
68 En sexto lugar, por lo que respecta, por una parte, a la obligación impuesta a los Estados miembros de disponer que se fijen plazos apropiados, enunciada en el artículo 5 de la Directiva 2016/680, procede señalar que, por las razones expuestas en los apartados 59, 60 y 67 de la presente sentencia y habida cuenta de los requisitos de los artículos 4, apartado 1, letras c) y e), y 10 de dicha Directiva, un plazo solo puede considerarse “apropiado”, en el sentido de ese mismo artículo 5, en particular en lo que respecta a la conservación de los datos biométricos y genéticos de cualquier persona condenada mediante sentencia firme por un delito público doloso, si toma en consideración las circunstancias pertinentes que hagan necesario tal plazo de conservación, como las mencionadas en el apartado 67 de la presente sentencia.
69 Por consiguiente, aun cuando la referencia, en la legislación nacional, a que se produzca el fallecimiento del interesado puede constituir un “plazo” para la supresión de los datos conservados, en el sentido de dicho artículo 5, tal plazo solo puede considerarse “apropiado” en circunstancias particulares que lo justifiquen debidamente. Pues bien, es evidente que no sucede así cuando es aplicable de manera general e indiferenciada a toda persona condenada mediante sentencia firme.
70 Es cierto que, como se ha señalado en el apartado 45 de la presente sentencia, el artículo 5 de la Directiva 2016/680 deja en manos de los Estados miembros la decisión de si deben fijarse plazos para la supresión de dichos datos o para una revisión periódica de la necesidad de conservarlos. No obstante, también se desprende de ese mismo apartado que el carácter “apropiado” de los plazos para tal revisión periódica requiere que, de conformidad con el artículo 4, apartado 1, letras c) y e), de dicha Directiva, interpretado a la luz del artículo 52, apartado 1, de la Carta, estos permitan que se proceda a la supresión de los datos de que se trate, en caso de que su conservación ya no sea necesaria. Pues bien, por los motivos recordados en el apartado anterior, tal exigencia no se cumple cuando, como ocurre en el presente asunto, el único supuesto en el que la legislación nacional prevé tal supresión, en cuanto concierne a una persona condenada con carácter firme por un delito público doloso, es que se produzca su fallecimiento.
71 En cuanto atañe, por otra parte, a las garantías establecidas en el artículo 16, apartados 2 y 3, de dicha Directiva, en relación con las condiciones relativas a los derechos de supresión y a la limitación del tratamiento, de los apartados 50 y 51 de la presente sentencia resulta que estas disposiciones se oponen también a una legislación nacional que no permita que una persona condenada mediante sentencia firme por un delito público doloso ejerza tales derechos.
72 Habida cuenta de las consideraciones anteriores, procede responder a la cuestión prejudicial planteada que el artículo 4, apartado 1, letras c) y e), de la Directiva 2016/680, en relación con los artículos 5, 10, 13, apartado 2, letra b), y 16, apartados 2 y 3, de la misma Directiva y a la luz de los artículos 7 y 8 de la Carta, debe interpretarse en el sentido de que se opone a una normativa nacional que establece la conservación, por las autoridades policiales, para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, de datos personales, en particular de datos biométricos y genéticos, relativos a personas que hayan sido objeto de una condena penal firme por un delito público doloso, y ello hasta el fallecimiento del interesado, incluso en el supuesto de su rehabilitación, sin imponer al responsable del tratamiento la obligación de revisar periódicamente si tal conservación sigue siendo necesaria ni reconocer al interesado el derecho a la supresión de tales datos cuando su conservación ya no sea necesaria a la vista de los fines para los que fueron tratados o, en su caso, a la limitación de su tratamiento.
Costas
73 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
El artículo 4, apartado 1, letras c) y e), de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, en relación con los artículos 5, 10, 13, apartado 2, letra b), y 16, apartados 2 y 3, de la misma Directiva y a la luz de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea,
debe interpretarse en el sentido de que
se opone a una normativa nacional que establece la conservación, por las autoridades policiales, para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, de datos personales, en particular de datos biométricos y genéticos, relativos a personas que hayan sido objeto de una condena penal firme por un delito público doloso, y ello hasta el fallecimiento del interesado, incluso en el supuesto de su rehabilitación, sin imponer al responsable del tratamiento la obligación de revisar periódicamente si tal conservación sigue siendo necesaria ni reconocer al interesado el derecho a la supresión de tales datos cuando su conservación ya no sea necesaria a la vista de los fines para los que fueron tratados o, en su caso, a la limitación de su tratamiento.
