El límite de conservación de datos biométricos en bases de datos policiales

La reciente Sentencia del Tribunal de Justicia de la Unión Europea, de 30 de enero de 2024, asunto C-118/22, en interpretación de la Directiva (UE) 2016/680, resuelve que las autoridades policiales no pueden conservar datos biométricos y genéticos relativos a todas las personas condenadas por un delito doloso sin establecer más límites que el fallecimiento del interesado. Todo ello, con independencia de que la conservación se justifique en fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, ya que es obligación de los Estados imponer al responsable del tratamiento de dichos datos la obligación de revisar de forma periódica si la conservación sigue siendo necesaria para los fines previstos, así como reconocer al interesado el derecho a la supresión cuando la finalidad de conservación desaparezca.

En este artículo te explicamos en qué consisten los datos biométricos que son objeto de recogida y conservación en los procedimientos penales, así como los principios que deben operar para su lícito tratamiento, los mecanismos de revisión y ejercicio de supresión por parte del interesado de esta categoría especial de datos.

¿Qué son datos biométricos?

El art. 4 del Reglamento (UE) 2016/679 (RGPD) define los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”; misma definición ofrecida en el art. 3 de la Directiva (UE) 2016/680; así como en nuestra normativa nacional, en el art. 5 de la LO 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

De forma resumida, el proceso biométrico recoge una característica física, la cual se procesa por medio un programa de análisis biométrico y se almacena o comparara con otros patrones biométricos ya almacenados.

A modo de ejemplo, algunos de los datos biométricos cuyo tratamiento a efectos de identificación es más común son las huellas dactilares o los rasgos faciales.

Principios que deben regir en la recogida de datos biométricos en el contexto de una investigación penal y su posterior conservación

Los datos biométricos se tratan de categorías especiales de datos que, junto con otros datos especialmente sensibles como pueden ser los datos genéticos (perfil de ADN) o que afecten a los aspectos más significativos de la intimidad (por ejemplo, sexualidad, salud o religión), exigen para su lícito tratamiento el cumplimiento de unas garantías reforzadas.

El principio de necesidad, recogido en el art. 10 de la Directiva (UE) 2016/680, se configura como un presupuesto ineludible para el tratamiento de los datos biométricos por parte de las Autoridades. La recogida de datos genéticos y biométricos en el contexto de un procedimiento penal y su posterior conservación deben responder a una estricta necesidad, es decir, dichos datos deben ser adecuados, pertinentes e indispensables para los fines de investigación, conforme a los principios de “minimización” y proporcionalidad. Dichos principios se encuentran también recogidos en nuestra ley nacional (LO 7/2021) en sus arts. 6, 11 y 13.

La salvaguarda del principio de proporcionalidad requiere una ponderación entre la relevancia del objetivo perseguido, es decir, la finalidad específica de la recogida y conservación, y la entidad de la injerencia en los derechos fundamentales que se vean afectados por la actividad de tratamiento (los derechos a la intimidad y protección de datos).

Podría decirse que el interés preponderante en la recogida y conservación de datos biométricos es el interés público, para cuya apreciación deberá tenerse en cuenta la naturaleza y gravedad de la conducta delictiva.

El plazo de conservación de datos en ficheros policiales

Tal y como recoge el art. 6 de la LO 7/2021, los datos serán “conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados”, vinculándose el tiempo de conservación a la necesidad de que estos puedan responder a los fines de tratamiento, esto es, la prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública (art. 1 LO 7/2021). En el mismo sentido se pronuncia la ley en su art. 8, que se ocupa de los plazos de conservación, señalando que “el responsable del tratamiento determinará que la conservación de los datos personales tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos en el artículo 1.”.

A diferencia del caso enjuiciado por el TJUE en que el Estado Miembro que planteaba la cuestión prejudicial no contemplaba en su ley interna un plazo concreto de conservación, estableciendo el fallecimiento del interesado como límite, o un mecanismo de revisión de los datos conservados, la ley española si lo hace.

El art. 8.2 LO 7/2021 obliga a las Autoridades a revisar de oficio cada tres años la subsistencia de la finalidad del tratamiento, es decir, la necesidad de que dichos datos se sigan conservando, atendiendo también a la edad del afectado, el tipo de datos conservados y a la conclusión de la investigación o procedimiento penal que motivó la recogida y su conservación. Asimismo, dispone el apartado 3 del mismo artículo que, con carácter general, “el plazo máximo para la supresión de los datos será de veinte años, salvo que concurran factores como la existencia de investigaciones abiertas o delitos que no hayan prescrito, la no conclusión de la ejecución de la pena, reincidencia, necesidad de protección de las víctimas u otras circunstancias motivadas que hagan necesario el tratamiento de los datos para el cumplimiento de los fines del artículo 1”.

El derecho de supresión del interesado

El art. 16.2 de la Directiva reconoce el derecho de supresión de los datos al interesado cuando ya no sean necesarios para los fines mencionados; derecho regulado en nuestra LO 7/2021, en su art. 23.2, que establece que el responsable del tratamiento suprimirá los datos en el plazo máximo de un mes a contar desde el momento en que tuvo conocimiento de la solicitud cuando dicho tratamiento infrinja los artículos 6, 11 o 13, o cuando los datos personales deban ser suprimidos en virtud de una obligación legal a la que esté sujeto.

Recuerda el TJUE que la prohibición de recogida indiscriminada y generalizada de estos datos y su posterior conservación implica, a los efectos de analizar si decae la necesidad de conservación, el análisis de la naturaleza y la gravedad del delito que trajo causa en el tratamiento, la existencia de condena penal firme por el mismo, así como la valoración del resto de circunstancias contextuales que puedan inferir la necesidad de mantener el tratamiento, atendiendo a su posible relación con otros procedimientos que puedan estar siguiéndose , los antecedentes y el perfil de la persona titular de los datos.

En Despacho Jurídico Valero Cuadra somos abogados expertos en intimidad Si necesitas ejercer tus derechos digitales solicitando la cancelación de antecedentes penales o policiales o piensas que se están vulnerando tus derechos a la intimidad y protección de datos contacta con nosotros. Sabemos cómo ayudarte