La consolidación de un marco europeo de protección de datos en el ámbito de la justicia penal ha experimentado un notable impulso mediante la jurisprudencia del Tribunal de Justicia de la Unión Europea, que cada vez más se erige como árbitro de la tensión entre las exigencias de investigación criminal y los derechos fundamentales de los ciudadanos. En este contexto, la Sentencia del Tribunal de Justicia de la Unión Europea de 20 de noviembre de 2025 (asunto C-57/23) aborda una cuestión de singular trascendencia: la compatibilidad de la recogida y conservación de datos biométricos y genéticos por parte de las fuerzas policiales con los estándares de protección de datos personales sensibles. Este pronunciamiento, dictado en respuesta a una cuestión prejudicial planteada desde la República Checa, plantea un análisis profundo sobre la interacción entre la eficacia de la persecución delictiva y los límites impuestos por la Directiva (UE) 2016/680.
La controversia surge cuando un funcionario público condenado por abuso de poder impugna la captura y almacenamiento de sus huellas dactilares, perfil genético, fotografías y descripción física en bases de datos policiales, tras haber obtenido inicialmente una sentencia favorable ordenando su supresión. La Sala, sin embargo, adopta una postura matizada, validando la recogida de datos sensibles tanto de acusados como de sospechosos bajo condiciones estrictas de necesidad y proporcionalidad. Lo anterior me sugiere que el fallo no solo reconfigura el alcance de las potestades policiales de tratamiento de datos genéticos y biométricos, sino que también refleja una adaptación del derecho de la Unión a las realidades de la investigación criminal contemporánea.
El análisis de esta sentencia resulta crucial porque pone en juego principios fundamentales del derecho de la Unión, como la protección de datos personales consagrada en el artículo 8 de la Carta y el derecho a la tutela judicial efectiva reconocido en el artículo 47. Estos derechos, lejos de ser absolutos en su configuración frente a la persecución delictiva, están condicionados por el respeto al principio de proporcionalidad y la exigencia de salvaguardias específicas para los datos especialmente protegidos. La cuestión central radica en determinar si la Directiva 2016/680 permite distinguir entre personas acusadas y sospechosas de delitos dolosos a efectos de la recogida de datos biométricos y genéticos, y si la ausencia de un plazo máximo de conservación determina la ilicitud del tratamiento.
La Directiva (UE) 2016/680, relativa a la protección de datos personales tratados por las autoridades competentes en materia de prevención e investigación de delitos, introduce un marco de obligaciones que, sin impedir el tratamiento de datos sensibles, exige que este se circunscriba a supuestos de estricta necesidad. En particular, el artículo 10 de dicha directiva establece que los datos genéticos y biométricos, al formar parte de los datos personales sensibles, solo pueden tratarse cuando resulte estrictamente necesario.
Considero que la postura de la Sala se alinea con la doctrina desarrollada en sentencias previas sobre el tratamiento de datos en el ámbito penal, según la cual las potestades estatales que afectan a derechos fundamentales deben ejercerse con criterios de flexibilidad operativa. El Tribunal de Justicia de la Unión Europea ya había enfatizado que el derecho de la Unión no impone necesariamente soluciones uniformes, sino que permite a los Estados miembros cierto margen de apreciación en la concreción de las salvaguardias.
El artículo 8 de la Carta y la jurisprudencia del Tribunal de Justicia de la Unión Europea permiten expresamente que las autoridades competentes traten datos personales sensibles cuando ello resulte necesario para la prevención e investigación de delitos, siempre que se respeten las salvaguardias procesales adecuadas. Además, el principio de proporcionalidad, reconocido en el artículo 52 de la Carta, exige que cualquier limitación del derecho a la protección de datos sea adecuada, necesaria y no desproporcionada.
Entiendo que esta interpretación no solo es coherente con el marco normativo europeo, sino que también responde a una necesidad práctica de preservar la eficacia de la investigación criminal. En un contexto donde las técnicas de análisis genético y biométrico son fundamentales para la identificación de autores de delitos, exigir plazos máximos rígidos de conservación o distinciones categóricas entre acusados y sospechosos resultaría desproporcionado.
La revisión periódica y el principio de necesidad estricta desempeñan un papel central en la resolución de este caso. El Tribunal de Justicia de la Unión Europea interpreta que el Estado miembro debe establecer un marco normativo que garantice la evaluación estricta de la necesidad de conservación de datos biométricos y genéticos, permitiendo que las autoridades policiales decidan su supresión o mantenimiento tras revisiones efectivas, sin la obligación de definir un límite temporal máximo.
Hay que reconocer que la decisión de la Sala busca equilibrar la necesidad de garantizar la eficacia de la investigación criminal con la protección de los derechos fundamentales de los investigados. Al validar la recogida de datos biométricos y genéticos tanto de acusados como de sospechosos, y su conservación mediante revisiones periódicas sin plazo máximo predefinido, se evita una interpretación excesivamente rigorista.
La Sentencia del Tribunal de Justicia de la Unión Europea de 20 de noviembre de 2025 representa un avance significativo en la delimitación de los estándares europeos de tratamiento de datos sensibles en el ámbito penal. La revisión periódica y la necesidad estricta, como principios rectores, emergen como elementos clave para garantizar que el tratamiento de datos sensibles no se convierta en una práctica de almacenamiento indefinido desconectada de la finalidad investigadora que la justificó originariamente.
