La sentencia del Tribunal de Justicia de la Unión Europea, del pasado 19 de marzo, sobre el asunto C-371/24, Comdribus, lanza un aviso nítido a las policías nacionales: la recogida de datos biométricos en una investigación penal no puede convertirse en una rutina administrativa. El caso nace en Francia, donde un hombre detenido en París en 2020 tras una manifestación no declarada se negó a entregar huellas dactilares y fotografías. Fue condenado por esa negativa, pese a haber sido absuelto del delito que había motivado inicialmente la toma de datos. El TJUE responde ahora que el Derecho de la Unión no permite una recogida sistemática e indiferenciada de ese material identificativo.
El núcleo del fallo es sencillo y de enorme alcance: los datos biométricos son datos sensibles y, por tanto, su tratamiento solo puede admitirse cuando sea estrictamente necesario, exista una base legal clara y se activen garantías efectivas para los derechos del afectado. El Tribunal añade algo decisivo: no basta con que haya “sospechas plausibles” de delito. Cada decisión de recoger huellas o fotografías debe estar motivada, aunque sea brevemente, para que la persona entienda por qué se adopta la medida y pueda impugnarla. Si la recogida no supera ese test de necesidad estricta, también decae la legitimidad de sancionar penalmente a quien se niegue.
Ese razonamiento no surge de la nada. Está anclado en la Directiva (UE) 2016/680, la norma europea que regula el tratamiento de datos personales por autoridades competentes en prevención, investigación y enjuiciamiento penal. Su artículo 8 exige que el tratamiento sea necesario y tenga base en el Derecho de la Unión o del Estado miembro, que además debe concretar objetivos, categorías de datos y finalidades. Y su artículo 10 reserva a los datos biométricos una protección reforzada: solo pueden tratarse cuando sea estrictamente necesario y con salvaguardas adecuadas. El TJUE, en realidad, no inventa un límite nuevo; obliga a tomarse en serio uno que ya estaba escrito.
En España, esa lógica está incorporada en la Ley Orgánica 7/2021. Su artículo 11 establece que el tratamiento policial solo es lícito si es necesario para los fines legales y lo realiza una autoridad competente en el ejercicio de sus funciones; además, cualquier ley que habilite ese tratamiento debe precisar objetivos, datos y finalidades. Y el artículo 13 reitera que los datos biométricos dirigidos a identificar de manera unívoca a una persona solo podrán tratarse cuando sea estrictamente necesario, con garantías adecuadas. La norma española, por tanto, no autoriza una barra libre biométrica: autoriza, sí, pero bajo un estándar reforzado que esta sentencia vuelve operativo. Pues bien, todos sabemos que esto se incumple de forma habitual y repetitiva.
La importancia política del fallo va más allá del caso francés. El Comité Europeo de Protección de Datos ya advirtió en 2023 que las herramientas de reconocimiento facial en el ámbito policial solo pueden usarse en estricto cumplimiento de la Directiva 2016/680 y únicamente cuando sean necesarias y proporcionadas. Dicho de otro modo: no toda mejora tecnológica equivale a una habilitación jurídica. Entre identificar y vigilar hay una frontera, y Europa empieza a recordar que esa frontera no puede borrarse con un algoritmo.
La sentencia llega, además, en un contexto en el que varias controversias europeas han mostrado hasta qué punto la tentación de la biometría policial desborda con facilidad los márgenes legales. En Grecia, Human Rights Watch y Homo Digitalis denunciaron un programa policial financiado con fondos europeos para usar dispositivos portátiles capaces de escanear rostros y huellas y cruzarlos con una veintena de bases de datos, principalmente en controles ligados a inmigración; ambas organizaciones alertaron de que el sistema podía intensificar identificaciones abusivas y perfiles raciales. En la República Checa, EDRi e IuRe documentaron que la policía utilizó reconocimiento facial en tiempo real en el aeropuerto de Praga hasta agosto de 2025 y que la autoridad checa confirmó infracciones de la legislación de protección de datos; además, otro sistema trabajaba con una base de alrededor de 20 millones de fotografías procedentes de documentos de identidad y pasaportes. Y en Francia, la CNIL apercibió a los ministerios del Interior y de Justicia por los fallos del fichero TAJ: absoluciones, sobreseimientos y archivos no se trasladaban correctamente, comprometiendo la exactitud del registro y pudiendo perjudicar a los afectados en investigaciones administrativas y procesos de acceso a empleo público. Aquí, bueno, aún estamos justificando y tapando lo de Pegasus.
Ese es el verdadero alcance de Comdribus: no discute que la policía pueda recoger biometría en una investigación penal; discute la comodidad burocrática de hacerlo siempre, a todos y sin explicación suficiente. Y ahí el TJUE marca una línea que debería notarse también en España: si la identificación biométrica se convierte en automatismo, deja de ser una diligencia excepcional para parecerse a una forma de fichaje preventivo incompatible con el estándar europeo.
La paradoja europea es que esta llamada al control llega justo cuando la propia Unión amplía los intercambios policiales automatizados. Con el marco Prüm II, los Estados miembros podrán buscar también imágenes faciales y registros policiales en la cooperación transfronteriza. Eso hace aún más relevante la sentencia: cuanto más crece la capacidad técnica para circular biometría entre policías, más alto debe ser el umbral jurídico para captarla, conservarla y reutilizarla. La seguridad sin motivación individualizada conduce al archivo masivo; y el archivo masivo, tarde o temprano, termina erosionando derechos que en teoría se querían proteger.