Pasaporte biométrico- Sentencia del Tribunal de Justicia de la Unión Europea

El tratamiento de datos de carácter personal genera un gran debate en el mundo. En España, se define “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias" [artículo 5.1.t) del RLOPD)].

Uno de sus instrumentos de recogida de datos es el pasaporte biométrico cuyo concepto debemos acotar en aras de un mayor rigor de este entrada. Para ello, acudimos a la definición del organismo internacional aprobada por la Organización de Aviación Civil Internacional (ICAO), organismo especializado de la ONU, que define, entre otras materias, al pasaporte electrónico (pasaporte-e), también conocido como pasaporte biométrico.

PASAPORTE BIOMÉTRICO

Éste es similar al pasaporte de lectura mecánica tradicional (PLM), pero contiene un chip electrónico que está codificado con la misma información que figura en la página de datos del pasaporte. El chip electrónico se firma digitalmente y, por consiguiente, refuerza la seguridad ya que ofrece más protección contra manipulación indebida, reduciendo de este modo el riesgo de fraude.

El pasaporte-e es fiable solamente en la medida que lo es la información biométrica y biográfica que contiene. A su vez, la información del chip es útil únicamente si puede validarse de manera rápida y segura.

Se estima que actualmente hay 350 millones de pasaportes-e en circulación, expedidos por 93 Estados, lo cual ha puesto en tela de juicio la viabilidad del intercambio bilateral de firmas electrónicas que garantiza la validez de las firmas digitales del pasaporte-e almacenadas en el chip. 1.3

En respuesta a esto, bajo los auspicios de la Organización de Aviación Civil Internacional (OACI) y a pedido de los Estados miembros, se estableció el DCP. El DCP es un repositorio central de firmas digitales que simplifica y facilita los intercambios multilaterales de información de validación de firmas del chip del pasaporte-e.

Por lo tanto, estos datos personales en manos de la administración generan dudas sobre el poder del Estado. Despierta los temores descritos en la novela 1984, de Orson Welles, en la que narra los abusos del Gran Hermano.

SENTENCIA DEL TJUE

En consonancia con estos temores, hoy, el Tribunal de Justicia de la Unión Europea ha dictado una importante sentencia C-446/12 (ECLI:EU:C:2015:238) sobre los datos generados por el pasaporte biométrico. En concreto, su Sala Cuarta ha fallado sobre dos puntos importantes.

En el primer punto, establece que el artículo 1, apartado 3, del Reglamento (CE) nº 2252/2004 del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros, en su versión modificada por el Reglamento (CE) nº 444/2009 del Parlamento Europeo y del Consejo, de 6 de mayo de 2009, debe interpretarse en el sentido de que dicho Reglamento no es aplicable a los documentos de identidad expedidos por un Estado miembro a sus nacionales, tales como los documentos de identidad neerlandeses, con independencia de su período de validez y de las posibilidades de utilizarlos en viajes efectuados fuera de dicho Estado.

En el segundo punto, define que el artículo 4, apartado 3, del Reglamento nº2252/2004, en su versión modificada por el Reglamento nº 444/2009, debe interpretarse en el sentido de que no obliga a los Estados miembros a garantizar, en su legislación, que los datos biométricos recogidos y almacenados de conformidad con el referido Reglamento no serán recogidos, tratados ni utilizados con fines distintos de la expedición del pasaporte o del documento de viaje, pues este aspecto no está comprendido en el ámbito de aplicación del citado Reglamento.

PETICIONES DE DECISIÓN PREJUDICIAL

Tal fallo contrasta la relación entre los artículos 1, apartado 3, y 4, apartado 3, del Reglamento (CE) nº 2252/2004 del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros (DO L 385, p. 1), en su versión modificada por el Reglamento (CE) nº 444/2009 del Parlamento Europeo y del Consejo, de 6 de mayo de 2009 (DO L 142, p. 1, con corrección de errores en DO L 188, p. 127) (en lo sucesivo, «Reglamento nº 2252/2004»), valorando las garantías legales, su incardinación con la Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7 y 8, y la Directiva 95/46/CE, artículos 6 y 7, en cuanto al Derecho al respeto de la vida privada y el Derecho a la protección de los datos de carácter personal.

ASUNTOS ACUMULADOS

Dicha sentencia acumula varios asuntos acumulados C‑446/12 a C‑449/12, que tienen por objeto unas peticiones de decisión prejudicial planteadas, con arreglo al artículo 267 TFUE, por el Raad van State (Países Bajos), mediante resoluciones de 28 de septiembre de 2012, recibidas en el Tribunal de Justicia los días 3 de octubre de 2012 (C‑446/12), 5 de octubre de 2012 (C‑447/12) y 8 de octubre de 2012 (C‑448/12 y C‑449/12), en los procedimientos entre W.P. Willems (asunto C‑446/12) y Burgemeester van Nuth, entre H.J. Kooistra (asunto C‑447/12) y Burgemeester van Skarsterlân, entre M. Roest (asunto C‑448/12) y Burgemeester van Amsterdam y entre L.J.A. van Luijk (asunto C‑449/12) y Burgemeester van Den Haag.

MARCO JURÍDICO

Derecho de la Unión

A tenor del artículo 6, apartado 1, letra b), primera frase, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), los Estados miembros están obligados a disponer que los datos personales sean recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines. De conformidad con el apartado 1, letra c), de ese mismo artículo, esos datos deberán ser adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente.

El artículo 7, letras c), e) y f), de dicha Directiva dispone que el tratamiento de datos de carácter personal únicamente puede efectuarse si es necesario «para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento», o «para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos», o «para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva».

Según el artículo 4, apartado 1, de la Directiva 2004/38/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros por la que se modifica el Reglamento (CEE) nº 1612/68 y se derogan las Directivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE y 93/96/CEE (DO L 158, p. 77):

«Sin perjuicio de las disposiciones que regulan los documentos de viaje en controles fronterizos nacionales, todo ciudadano de la Unión en posesión de un documento de identidad o un pasaporte válidos y los miembros de su familia que no sean nacionales de un Estado miembro y que estén en posesión de un pasaporte válido, tendrán derecho a salir del territorio de un Estado miembro para trasladarse a otro Estado miembro.»

El artículo 5, apartado 1, de dicha Directiva establece:

«Sin perjuicio de las disposiciones que regulan los documentos de viaje en controles fronterizos nacionales, los Estados miembros admitirán en su territorio a todo ciudadano de la Unión en posesión de un documento de identidad o un pasaporte válidos y a los miembros de su familia que no sean nacionales de un Estado miembro y que estén en posesión de un pasaporte válido.»

A tenor del artículo 1, apartados 2 y 3, del Reglamento nº 2252/2004:

«2.      Los pasaportes y documentos de viaje incluirán un soporte de almacenamiento de alta seguridad que contendrá una imagen facial. Los Estados miembros también incluirán dos impresiones dactilares tomadas mediante presión plana en modelos interoperables. Los datos deberán estar protegidos y el soporte de almacenamiento deberá tener la suficiente capacidad y la posibilidad de garantizar la integridad, la autenticidad y la confidencialidad de los datos.

[…]

El presente Reglamento se aplicará a los pasaportes y documentos de viaje expedidos por los Estados miembros. No se aplicará a los documentos de identidad expedidos por los Estados miembros a sus nacionales ni a los pasaportes o documentos de viaje temporales de validez igual o inferior a 12 meses.»

El artículo 4, apartado 3, párrafo primero, de dicho Reglamento dispone lo siguiente:

«Los datos biométricos se recogerán y conservarán en el medio de almacenamiento de pasaportes y documentos de viaje con objeto de expedir dichos documentos. A efectos del presente Reglamento, las medidas de seguridad con datos biométricos del pasaporte o documento de viaje se utilizarán únicamente para verificar:

a)      la autenticidad del pasaporte o del documento de viaje;

b)      la identidad del titular mediante características comparables accesibles directamente, cuando las leyes exijan la presentación del pasaporte o documento de viaje.»

A tenor del considerando 5 del Reglamento nº 444/2009, que modificó el Reglamento nº 2252/2004:

«El Reglamento [nº 2252/2004] requiere que los datos biométricos se recojan y conserven en el medio de almacenamiento de pasaportes y documentos de viaje con objeto de expedir dichos documentos, sin perjuicio de cualquier otro uso o almacenamiento de estos datos de conformidad con la legislación nacional de los Estados miembros. El Reglamento [nº 2252/2004] no ofrece un fundamento jurídico para establecer o mantener bases de datos para el almacenamiento de dichas informaciones en los Estados miembros, que depende exclusivamente de la legislación nacional.»

Derecho neerlandés

En virtud del artículo 2, apartado 1, parte introductoria, letra a), de la Ley por la que se fijan las reglas en materia de expedición de documentos de viaje (Rijkswet houdende het stellen van regelen betreffende de verstrekking van reisdocumenten), de 26 de septiembre de 1991 (Stb. 1991, nº 498; en lo sucesivo, «Ley de pasaportes»), el pasaporte nacional constituye uno de los documentos de viaje emitidos por el Reino de los Países Bajos.

Según el artículo 2, apartado 2, de dicha Ley, el documento de identidad neerlandés es un documento de viaje relativo a la parte europea del Reino de los Países Bajos, válido para los países que son parte en el Acuerdo Europeo sobre el Régimen de Circulación de Personas entre los países miembros del Consejo de Europa, celebrado en París el 13 de diciembre de 1957.

El artículo 3, apartado 3, de dicha Ley, en su versión vigente en el momento de los hechos de los litigios principales, dispone que el documento de viaje contendrá una imagen facial, dos impresiones dactilares y la firma del titular. El artículo 3, apartado 8, de esa misma Ley establece que las autoridades competentes para la expedición de los documentos llevarán un registro de los datos relativos a los documentos de viaje expedidos.

El artículo 65, apartados 1 y 2, de la Ley de pasaportes, en su versión vigente en el momento de los hechos de los litigios principales, disponía:

«1.      La autoridad que expida el documento de viaje conservará en el registro mencionado en el artículo 3, apartado 8, segunda frase, los siguientes datos:

a)      las impresiones dactilares a que se refiere el artículo 3, apartado 3;

b)      otras dos impresiones dactilares, determinadas por resolución ministerial, del solicitante de un documento de viaje.

2.      Los datos mencionados en el apartado 1 se comunicarán exclusivamente a las autoridades, instituciones y personas encargadas de la aplicación de la presente Ley, en la medida en que necesiten dichos datos para aplicarla.»

La Ley de pasaportes contiene también los artículos 4a y 4b, que no habían entrado en vigor en el momento de los hechos de los litigios principales, al ser necesario un Real Decreto a tal efecto. El artículo 4a de dicha Ley establecía que el Ministerio llevará un registro central de documentos de viaje en el que se conservarán los datos relativos a los documentos de viaje. El referido registro central debía contener los datos previstos en el artículo 3 de la citada Ley y dos impresiones dactilares del solicitante distintas de las que figuran en el documento de viaje, de conformidad con el artículo 3, apartado 3, de esa misma Ley. El artículo 4b de la Ley de pasaportes precisaba las condiciones en las que los datos recogidos en el registro central de documentos de viaje podían comunicarse a otras entidades, instituciones o personas, en particular, a efectos de identificación de víctimas de catástrofes y accidentes, de detección y persecución de infracciones penales, y para realizar investigaciones sobre actos que constituyeran una amenaza para la seguridad del Estado.

Los artículos 3, 4a, 4b y 65 de la Ley de pasaportes fueron modificados con efectos a 20 de enero de 2014. En virtud del artículo 3, apartado 9, de la referida Ley, añadido en esta modificación legislativa, las impresiones dactilares sólo se conservarán mientras dure el procedimiento de solicitud y de expedición del pasaporte, es decir, hasta el momento en que el pasaporte se entregue a su titular. Una vez entregado el nuevo pasaporte se borrarán las impresiones dactilares. Los artículos 4a y 4b de la citada Ley fueron adaptados de modo que ya no establecen el almacenamiento central ni la comunicación a terceros de las citadas impresiones dactilares. El artículo 65, apartados 1 y 2, de la misma Ley se suprimió y fue sustituido por el artículo 3, apartado 9, antes citado.

LITIGIOS PRINCIPALES Y CUESTIONES PREJUDICIALES

El Sr. Willems y las Sras. Roest y van Luijk presentaron por separado unas solicitudes de pasaporte. Los alcaldes competentes en cada caso desestimaron dichas solicitudes, por negarse los interesados a facilitar sus impresiones dactilares. El Sr. Kooistra presentó una solicitud de expedición de un documento de identidad neerlandés, que también le fue denegada por haberse negado a facilitar sus impresiones dactilares y una foto facial.

Las demandantes en los litigios principales se negaron a facilitar esos datos biométricos porque la recogida y el almacenamiento de tales datos constituyen a su juicio una violación importante de su integridad física y de su derecho a la protección de su vida privada.

Las demandantes en los litigios principales consideran que esta violación es consecuencia, en particular, del almacenamiento de esos datos en tres soportes distintos. En efecto, los datos se conservan, no sólo en el soporte de almacenamiento integrado en el pasaporte o el documento de identidad neerlandés, sino también en una base de datos descentralizada. Además, afirman, los riesgos para la seguridad de los referidos datos aumenta por el hecho de que la Ley de pasaportes dispone que las bases de datos municipales descentralizadas se reunirán, en el futuro, en una base de datos centralizada.

Por otra parte, según los demandantes en los litigios principales, no existe disposición alguna que identifique claramente a las personas que tienen acceso a los datos biométricos, de modo que ellos pierden el control sobre tales datos.

Asimismo, los demandantes en los litigios principales sostienen que las autoridades podrían utilizar en el futuro los datos biométricos con fines distintos de aquellos para los que se les han facilitado. En particular, el almacenamiento de esos datos en una base de datos podría ser utilizado con fines judiciales, o por los servicios de información y de seguridad. Ahora bien, del Reglamento nº 2252/2004 se desprende que, a efectos de aplicación del mismo, los datos biométricos, como por ejemplo las impresiones dactilares, sólo pueden utilizarse para verificar la autenticidad del documento y la identidad del titular. En su opinión, una utilización de esa índole sería además contraria a los derechos fundamentales.

Al haberse desestimado en primera instancia sus recursos respectivos contra las resoluciones denegatorias de los alcaldes, los demandantes en los litigios principales recurrieron en apelación ante el órgano jurisdiccional remitente.

Éste se pregunta, ante todo, sobre si, en el asunto C‑447/12, el documento de identidad neerlandés está comprendido dentro del ámbito de aplicación del Reglamento nº 2252/2004. A este respecto afirma que se desprende del Derecho de la Unión en materia de libre circulación de las personas que un documento de identidad es también un documento de viaje en el seno de la Unión Europea. Además, dicho documento permite viajar fuera de la Unión, a saber, a países candidatos a la adhesión a la Unión. Por otra parte, no cabe excluir que el artículo 1, apartado 3, del referido Reglamento pueda entenderse en el sentido de que el concepto de «documento de identidad», en el sentido de dicha disposición, deba interpretarse en relación con la expresión «de validez igual o inferior a 12 meses», que también figura en la referida disposición. Ahora bien, la duración de la validez del documento de identidad neerlandés es de cinco años.

A continuación, el órgano jurisdiccional remitente señala que el resultado de los procedimientos principales dependerá del carácter fundado o no del motivo que invocan los demandantes en los litigios principales según el cual no están claros los fines para los que podrán utilizarse en el futuro los datos recogidos con ocasión de la expedición de un pasaporte o de un documento de viaje.

Dicho órgano jurisdiccional se pregunta, en definitiva, si del Reglamento nº 2252/2004 se deduce que es preciso garantizar por Ley, es decir, mediante una norma obligatoria y de alcance general, que los datos biométricos recogidos con arreglo a dicho Reglamento no puedan utilizarse con fines distintos de los previstos en el referido Reglamento.

En estas circunstancias, el Raad van State decidió suspender el procedimiento y plantear al Tribunal de Justicia dos cuestiones prejudiciales en los asuntos C‑446/12, C‑448/12 y C‑449/12 y tres cuestiones prejudiciales en el asunto C‑447/12.

La primera cuestión en los asuntos C‑446/12, C‑448/12 y C‑449/12 y la segunda cuestión en el asunto C‑447/12 tienen por objeto la validez del artículo 1, apartado 2, del Reglamento nº 2252/2004. Se corresponden con la cuestión prejudicial que dio lugar a la sentencia Schwarz (C‑291/12, EU:C:2013:670).

A raíz de esta última sentencia, el órgano jurisdiccional remitente retiró las cuestiones prejudiciales mencionadas en el apartado anterior.

En cambio, el Raad van State mantuvo la primera cuestión prejudicial en el asunto C‑447/12, que está redactada como sigue:

«¿Debe interpretarse el artículo 1, apartado 3, del Reglamento [nº 2252/2004] en el sentido de que dicho Reglamento no es aplicable a los documentos de identidad expedidos por los Estados miembros a sus nacionales, como el documento nacional de identidad neerlandés, con independencia de su período de validez y de las posibilidades de utilizar dicho documento como documento de viaje?»

Asimismo, el Raad van State ha mantenido la segunda cuestión planteada en los asuntos C‑446/12, C‑448/12 y C‑449/12 y la tercera cuestión planteada en el asunto C‑447/12, que son idénticas y están redactadas como sigue:

«¿El artículo 4, apartado 3, del Reglamento [nº 2252/2004], [interpretado] a la luz de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea [en lo sucesivo, «Carta»], del artículo 8, apartado 2, del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales[,firmado en Roma el 4 de noviembre de 1950,] y del artículo 7, parte introductoria y letra f), de la Directiva [95/46], puestos en relación con el artículo 6, apartado 1, parte introductoria y letra b), de dicha Directiva, debe interpretarse en el sentido de que, en aplicación de dicho Reglamento, los Estados miembros deben garantizar por Ley que los datos biométricos recogidos y conservados con arreglo a dicho Reglamento no pueden recogerse, tratarse, ni utilizarse con fines distintos de la expedición del documento de que se trata?»

SOBRE LAS CUESTIONES PREJUDICIALES

Primera cuestión prejudicial en el asunto C‑447/12

Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, esencialmente, si el artículo 1, apartado 3, del Reglamento nº 2252/2004 debe interpretarse en el sentido de que no es aplicable a los documentos de identidad expedidos por un Estado miembro a sus nacionales, como los documentos de identidad neerlandeses, con independencia tanto de su período de validez como de las posibilidades de utilizarlos en viajes efectuados fuera de dicho Estado.

Según su artículo 1, apartado 3, segunda frase, el Reglamento nº 2252/2004 no se aplica a los documentos de identidad expedidos por los Estados miembros a sus nacionales ni a los pasaportes y documentos de viaje temporales de validez igual o inferior a 12 meses.

En primer lugar, procede examinar si el ámbito de aplicación del Reglamento nº 2252/2004 varía en función del período de validez de un documento de identidad.

A este respecto, se desprende del artículo 1, apartado 3, segunda frase, de dicho Reglamento, que la referida disposición restringe el ámbito de aplicación de éste al excluir de él dos categorías de documentos. Habida cuenta de que esas dos categorías de documentos están vinculadas en el texto por la conjunción «o», deben considerarse distintas una de otra.

Esta conclusión se ve corroborada por el hecho de que en varias versiones lingüísticas del artículo 1, apartado 3, segunda frase, del Reglamento nº 2252/2004, y en particular en las versiones en inglés («temporary passports and travel documents having a validity of 12 months or less»), alemán («vorläufige Pässe und Reisedokumente mit einer Gültigkeitsdauer von zwölf Monaten oder weniger») y neerlandés («tijdelijke paspoorten en reisdocumenten die een geldigheidsduur van 12 maanden of minder hebben»), los términos «temporales» y «de validez igual o inferior a 12 meses» no se aplican a una de las categorías de documentos mencionados en el apartado anterior, a saber, a los documentos de identidad expedidos por los Estados miembros.

En tales circunstancias, procede señalar que las expresiones «temporales» y «de validez igual o inferior a 12 meses» no se refieren a los documentos de identidad expedidos por los Estados miembros a sus nacionales.

 Por lo tanto, según el tenor del artículo 1, apartado 3, del Reglamento nº 2252/2004, éste no se aplicará a los documentos de identidad expedidos por los Estados miembros a sus nacionales, ya sean temporales o no y sea cual sea su período de validez.

Por otro lado, los antecedentes legislativos del Reglamento nº 2252/2004 apoyan esta conclusión. En efecto, se desprende particularmente del artículo 1, apartado 3, del Proyecto de Reglamento del Consejo sobre normas para los dispositivos de seguridad y elementos biométricos en los pasaportes y los documentos de viaje expedidos por los Estados miembros (documento nº 11489/04 del Consejo, de 26 de julio de 2004), que dicho Reglamento no está destinado a ser aplicado «a los pasaportes y documentos de viaje temporales de validez igual o superior a 12 meses. No se aplicará a los documentos de identidad expedidos por los Estados miembros a sus nacionales.»

En segundo lugar, procede examinar si el hecho de que un documento de identidad, como el documento neerlandés de identidad, pueda utilizarse en viajes dentro de la Unión y hacia determinados Estados terceros puede hacerlo entrar en el ámbito de aplicación del Reglamento nº 2252/2004.

A este respecto, es preciso señalar que un documento de identidad, como el documento de identidad neerlandés, puede ciertamente cumplir la función de identificar a su titular frente a Estados terceros que hayan celebrado acuerdos bilaterales con el Estado miembro de que se trate, así como, de conformidad con los artículos 4 y 5 de la Directiva 2004/38, con ocasión de los viajes efectuados entre varios Estados miembros.

Sin embargo, se desprende del tenor del artículo 1, apartado 3, segunda frase, del Reglamento nº 2252/2004, interpretado a la vista de las consideraciones que figuran en los apartados 32 a 37 de la presente sentencia, que el legislador de la Unión ha decidido expresamente excluir del ámbito de aplicación de dicho Reglamento los documentos de identidad expedidos por los Estados miembros a sus nacionales.

Por consiguiente, el hecho de que un documento de identidad, como el documento de identidad neerlandés, pueda utilizarse en viajes dentro de la Unión y hacia un número limitado de Estados terceros no permite incluirlo en del ámbito de aplicación del Reglamento nº 2252/2004.

Habida cuenta de las consideraciones anteriores, procede responder a la cuestión prejudicial planteada que el artículo 1, apartado 3, del Reglamento nº 2252/2004 debe interpretarse en el sentido de que dicho Reglamento no es aplicable a los documentos de identidad expedidos por un Estado miembro a sus nacionales, tales como los documentos de identidad neerlandeses, con independencia de su período de validez y de las posibilidades de utilizarlos en viajes efectuados fuera de dicho Estado.

Sobre la segunda cuestión prejudicial en los asuntos C‑446/12, C‑448/12 y C‑449/12 y sobre la tercera cuestión prejudicial en el asunto C‑447/12

Mediante las referidas cuestiones, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, esencialmente, si el artículo 4, apartado 3, del Reglamento nº 2252/2004, puesto en relación con los artículos 6 y 7 de la Directiva 95/46 y con los artículos 7 y 8 de la Carta, debe interpretarse en el sentido de que obliga a los Estados miembros a garantizar que los datos biométricos recogidos y conservados de conformidad con dicho Reglamento no serán recogidos, tratados ni utilizados con fines distintos de la expedición del pasaporte o documento de viaje.

A este respecto, es preciso comenzar por señalar que, habida cuenta de la respuesta dada a la primera cuestión prejudicial en el asunto C‑447/12, las cuestiones así planteadas ya sólo deben examinarse en relación con los asuntos C‑446/12, C‑448/12 y C‑449/12.

El artículo 4, apartado 3, del Reglamento nº 2252/2004 exige que para expedir un pasaporte o un documento de viaje se «recojan» y «conserven» datos biométricos en el soporte de almacenamiento integrado en dichos documentos. En lo que respecta a la «utilización» de esos datos, la referida disposición dispone que, a efectos de dicho Reglamento, tales datos se utilizarán únicamente para verificar la autenticidad del pasaporte o la identidad del titular cuando las leyes exijan la presentación del pasaporte o documento de viaje.

El Tribunal de Justicia ha declarado ya, en su sentencia Schwarz (C‑291/12, EU:C:2013:670), que la utilización y conservación de datos biométricos a los efectos precisados en el artículo 4, apartado 3, del referido Reglamento son conformes con lo exigido en los artículos 7 y 8 de la Carta.

Por lo que respecta a cualquier otra utilización y conservación de dichos datos, se desprende del artículo 4, apartado 3, del Reglamento nº 2252/2004, que únicamente trata de la utilización de esos datos «a efectos del presente Reglamento», interpretado a la luz del quinto considerando del Reglamento nº 444/2009, que modificó el Reglamento nº 2252/2004, que la referida utilización y conservación de datos no se rigen por este último Reglamento. En efecto, el citado considerando señala que el Reglamento nº 2252/2004 se aplica sin perjuicio de cualquier otro uso o almacenamiento de estos datos de conformidad con la legislación nacional de los Estados miembros, y que no ofrece un fundamento jurídico para establecer o mantener bases de datos para el almacenamiento de dichas informaciones en los Estados miembros, cuestión que es competencia exclusiva de los Estados miembros.

De ello resulta, en particular, que el Reglamento nº 2252/2004 no obliga a un Estado miembro a garantizar, en su legislación, que no usará ni conservará los datos biométricos con fines distintos de los contemplados en el artículo 4, apartado 3, de dicho Reglamento (véase, en este sentido, la sentencia Schwarz, EU:C:2013:670, apartado 61).

49      En lo que respecta, a continuación, a los artículos 7 y 8 de la Carta, se desprende de la jurisprudencia del Tribunal de Justicia que los derechos fundamentales garantizados por la Carta deben ser respetados cuando una normativa nacional esté incluida en el ámbito de aplicación del Derecho de la Unión. En otros términos, la aplicabilidad del Derecho de la Unión implica la aplicabilidad de los derechos fundamentales garantizados por la Carta (sentencias Åkerberg Fransson, C‑617/10, EU:C:2013:105, apartados 20 y 22, y Texdata Software, C‑418/11, EU:C:2013:588, apartados 71 a 73).

Habida cuenta de que, en el caso de autos, el Reglamento nº 2252/2004 no es aplicable, no procede verificar si la conservación y las utilizaciones de los datos biométricos con fines distintos de los contemplados en el artículo 4, apartado 3, de dicho Reglamento son conformes con los referidos artículos de la Carta.

Las consideraciones anteriores no obstan al eventual examen, por parte de los órganos jurisdiccionales nacionales, de la compatibilidad con su Derecho nacional y, en su caso, con el Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales de todas las medidas nacionales relacionadas con la utilización y conservación de los datos biométricos (véase, en este sentido, la sentencia Schwarz, C‑291/12, EU:C:2013:670, apartado 62).

Por último, en lo que respecta a los artículos 6 y 7 de la Directiva 95/46, procede señalar que, en sus cuestiones prejudiciales, el órgano jurisdiccional remitente solicita una interpretación del Reglamento nº 2252/2004 y únicamente de dicho Reglamento. En la medida en que se desprende de las consideraciones antes expuestas que dicho Reglamento no es aplicable en el caso de autos, no procede examinar, de manera autónoma, si los referidos artículos afectan al marco jurídico nacional relativo a la conservación y a la utilización de los datos biométricos fuera del ámbito de aplicación del Reglamento nº 2252/2004.

En consecuencia, procede responder a las cuestiones planteadas que el artículo 4, apartado 3, del Reglamento nº 2252/2004 debe interpretarse en el sentido de que no obliga a los Estados miembros a garantizar, en su legislación, que los datos biométricos recogidos y conservados de conformidad con el referido Reglamento no serán recogidos, tratados ni utilizados con fines distintos de la expedición del pasaporte o del documento de viaje, pues este aspecto no está comprendido en el ámbito de aplicación del citado Reglamento.

COSTAS

Dado que el procedimiento tiene, para las partes de los litigios principales, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes han presentado observaciones ante el Tribunal de Justicia sin ser partes en los litigios principales no pueden ser objeto de reembolso.