Control de acceso biométrico laboral vs AEPD: ¡Sí se puede!

 

En los últimos años la empresa española ha adoptado generalizadamente controles de acceso biométricos y, posteriormente, de control de jornada.

 

1 Be yourself today: el poblema

Este tipo de tratamientos no estaba regulado por la normativa de protección de datos anterior al Reglamento General de Protección de Datos (en adelante, “RGPD”), aplicable desde mayo de 2018.

El RGPD incluyó determinados tratamientos de datos biométricos en la prohibición general de su art. 9.

La AEPD, en sucesivas resoluciones, informes y guías fue estableciendo criterios y requisitos de admisibilidad, inicialmente flexibles.

Pero la publicación en noviembre de 2023 de una nueva Guía específica sorprendió a todos endureciendo estos criterios y requisitos y creando una inédita (y polémica) situación de inseguridad.

Este texto pretende tres cosas:

· Señalar un problema en la Guía de 2023, que necesita ser gestionado.

· Focalizar el debate en la necesidad del tratamiento.

· Apuntar una salida pragmática con apoyo en un criterio del EDPB que siempre ha estado ahí.

Además, aprovechando el período de audiencia pública abierto por la AEPD, este texto será presentado como propuesta para su consideración en relación con el Plan Estratégico quinquenal.

 

2 La confusión generalizada en la interpretación de lo que es “dato” y “tratamiento” biométrico prohibido

El art. 9.1. del RGPD establece:

“Quedan prohibidos el tratamiento de (…) datos biométricos dirigidos a identificar de manera unívoca a una persona física (…)”

Desde la publicación del RGPD, se han sucedido distintas interpretaciones antitéticas sobre lo que se considera o no dato biométrico y, sobre todo, tratamiento prohibido de datos biométricos.

 

2.1 “Tú también, Bruto”

 

Ni siquiera el EDPB está libre de pecado. El mismísimo sanedrín de la protección de datos se hizo la picha un lío en las directrices sobre asistentes de voz de 2021.

En un lugar se dice:

“The EDPB recalls that voice data is inherently biometric personal data.”

… y más adelante se reconoce literalmente lo contrario:

“GDPR considers that the mere nature of data is not always sufficient to determine if it qualifies as special categories of data since “the processing of photographs […] are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person.” (recital 51) The same reasoning applies to voice.” (El subrayado es mío).

 

2.2 Entonces…¿Puede explicarme que demonios está prohibido exactamente?

 

El tratamiento de los datos de salud o de orientación sexual está prohibido, con abstracción de la finalidad del tratamiento.

En esos casos, por abreviar, sí podría hablarse de “datos prohibidos”.

Sin embargo, no existen en rigor “datos biométricos prohibidos”: lo que el RGPD prohíbe es el tratamiento de datos biométricos con la finalidad de identificar de forma unívoca a su titular.

En resumen, el tratamiento de datos biométricos sólo estará prohibido cuando concurran las tres características siguientes.

 

 

De acuerdo con lo anterior, si el tratamiento de datos biométricos tiene por objeto detectar características físicas para perfilar a personas, pero sin identificarlas (su sexo, o su edad, por ejemplo), entonces existe tratamiento de datos biométricos, pero no está prohibido por el art. 9 (salvo que del tratamiento se infieren otros datos, de entre los comprendidos en el artículo 9.1 RGPD).

Dicho esto, lo normal es que, en el ámbito laboral, estos controles sí estén destinados a identificar a cada empleado, bien para franquearles acceso a las instalaciones o para registrar el principio y fin de su jornada.

 

3 ¿Esto siempre ha sido así?

Claro que no. De hecho, ha cambiado bastante.

 

3.1 The good ol´days

 

Desde 2019, se popularizó en toda Europa una interpretación en cuya virtud el tratamiento de datos biométricos sólo estaba prohibido si identificaba al interesado “uno frente a varios posibles candidatos” (identificación biométrica), pero no si simplemente autenticaba su identidad declarada en relación con su propio dato personal “uno frente a uno” (verificación o autenticación biométrica).

Esta interpretación se basaba en un Dictamen del EDPB del 2012, es decir, previo al RGPD.

Pero las Directrices 5/2022^[2] del EDPB sobre reconocimiento facial con finalidad de law enforcement o policía, dieron un golpe de timón al anterior planteamiento:

“While both functions – authentication and identification – are distinct, they both relate to the processing of biometric data related to an identified or identifiable natural person and therefore constitute a processing of personal data, and more specifically a processing of special categories of personal data.”

 

3.2 La Guía sobre protección de datos en las Relaciones Laborales (2021).

 

La Guía de protección de datos en las relaciones laborales^[3] introdujo varias novedades que facilitaron la introducción de tratamientos biométricos:

1. La mencionada distinción entre autenticación e identificación, dejando la primera fuera del ámbito de prohibición del art. 9 RGPD, en línea con la interpretación dominante en aquel momento en la Unión Europea.

2. La admisión de la legitimación de los controles -en general- sobre los trabajadores, con base en art 20.3 del Estatuto de los Trabajadores (potestad de control del empresario) y su incorporación al haz de obligaciones que integran el contrato laboral. (es decir, se acepta en principio la base contractual del art 6.1.c) RGPD^[4]). Esta vía era notoriamente más simple y conveniente para la empresa que la del interés legítimo.

3. La AEPD admitió la obligación legal de controlar la jornada laboral como subsumible en el art. 9.2.b) RGPD en relación con la habilitación del control biométrico de jornada.

4. La AEPD admitió, por último, la previsión de este tipo de controles en convenio colectivo como alternativa dentro de la base de “obligación legal”.

 

 

 

3.3 La guía sobre tratamientos de control de presencia mediante sistemas biométricos de 2023

 

En corto: la Guía de 2023 no se conformó con cambiar de criterio sobre todas las novedades posibilistas del 2021: además, cuestionó la viabilidad del consentimiento como última ratio. Y la cuestionó en abstracto, es decir, en cualquier caso.

La AEPD en su guía de 2023 sostiene que:

 

1. El tratamiento de datos biométricos es subsumible en la prohibición del art. 9.1 tanto si su finalidad es de “autenticación”, como de “identificación”.

Este cambio no cogió por sorpresa a casi nadie, la AEPD simplemente asumió el cambio de criterio publicado por el EDPB en la versión definitiva de sus Directrices 5/2022 del EDPB sobre reconocimiento facial con finalidad de law enforcement^[5] o policía mencionado anteriormente^[6].

 

2. La “obligación legal” puede funcionar como base general del art. 6, pero no como excepción del 9.2 RGPD, porque el Estatuto de los Trabajadores obliga a controlar, sí, pero no específicamente a que el control impuesto sea biométrico.

Este cambio de criterio tampoco sorprendió a casi nadie. Entendemos que procede de sentencias como la del TJUE C-205/21 (26-1-2023). Esta sentencia examina y aplica no el RGPD, sino la Directiva 2016/680 (la Law Enforcement Directive) sobre derecho búlgaro.

128.- “(…) la normativa nacional que establece la recogida sistemática de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso es, en principio, contraria al requisito establecido en el artículo 10 de la Directiva 2016/680, según el cual el tratamiento de las categorías especiales de datos a las que se refiere ese artículo «solo» se permitirá «cuando sea estrictamente necesario».^[7]

 

3. El contrato laboral no sirve como base legal de tratamiento porque, previamente, el control de acceso biométrico no cumple el principio de proporcionalidad (bajo la idea de que históricamente ha habido medios igualmente eficaces para la misma finalidad, pero menos intrusivos en términos de privacidad, de modo que la biometría no es estrictamente necesaria).

 

4. El punto más polémico: la vía del consentimiento se cierra totalmente en la práctica merced a la siguiente argumentación en tres pasos planteada por la AEPD:

(i) El consentimiento explícito añadido al contrato para legitimar el tratamiento biométrico tiene que ser libre;

(ii) El consentimiento del trabajador, cuya libertad es especialmente problemática de probar, requiere por esa misma razón como condición necesaria previa, ofrecer una alternativa funcional u operativa.

(iii) Pues bien, de acuerdo con la AEPD, si existe una alternativa viable (y no biométrica) al control biométrico, mal se puede defender su “proporcionalidad”, o directamente su necesidad en sentido estricto.

 

5. Por último, se mantiene operativa la vía del convenio colectivo, pero “reforzada” ahora con nuevos requisitos: la previsión del control biométrico en el convenio debe prever expresamente los supuestos y garantías aplicables al tratamiento.

 

Miniconclusión: cuento todo este rollo para poner en perspectiva la situación creada: los especialistas en privacidad esperábamos en otoño de 2023 varios de esos cambios de criterio, porque estábamos al tanto de los antecedentes.

Pero la polémica “argumentación en tres pasos” sobre el consentimiento pilló a todo el mundo por sorpresa.

Y generó una situación de incertidumbre, inmerecida, para aquellas organizaciones que sí habían instalado controles biométricos en respuesta a necesidades objetivas.

De pronto, estaban en situación de ilegalidad, sin una vía clara de legalización de sus tratamientos.

Porque la clave que permite clarificar todo este embrollo es esa: la necesidad objetiva.

 

4 Control biométrico en el contexto laboral: Need is all you need

El problema de la argumentación de la Agencia es que su planteamiento choca con la realidad. Y la realidad es que hay situaciones que piden a gritos un control biométrico de identidad.

El RGPD está montado sobre el risk based approach y no prohíbe los tratamientos que ponen en riesgo los derechos de las personas: obliga a minimizarlo e implementar las garantías adecuadas hasta que ese riesgo resulta aceptable.

Si esto no es posible, y sólo entonces, cierra la puerta.

 

4.1 ¿Qué dice el TJUE sobre esto de la “necesidad”?

 

Para sorpresa de nadie, que “depende”.

Veamos.

A efectos de la aplicación del RGPD el TJUE define el concepto de «necesidad» como un concepto autónomo del Derecho de la UE, distinto del de los Estados miembros.

· En este sentido la añeja sentencia Lindqvist (C-101/01) de 2003. Lindqvist establece explícitamente la autonomía del concepto de necesidad en el contexto de la protección de datos y su vinculación con los objetivos de la Directiva del 95. Para equiparar el nivel de protección en todos los Estados miembros el concepto de necesidad no puede tener un contenido variable en cada uno de ellos.

Miniconclusión: con todos los respetos, excluir en abstracto o para cualquier caso, la necesidad de los controles biométricos en la empresa no parece algo que pueda o deba hacer la AEPD.

· En 2022, en el asunto (C-184/20) de nombre imposible el TJUE aplica literalmente el considerando 39 del RGPD: el requisito de la necesidad se cumple cuando el objetivo de interés general perseguido no puede alcanzarse razonablemente con igual eficacia por otros medios menos intrusivos.

· En 2023, en la ya citada “Ministerstvo na vatreshnite raboti” (C-205/21), aplicando la Directiva 2016/680, el TJUE analiza el tratamiento de categorías especiales de datos (como datos biométricos y genéticos) de modo que solo se permita «cuando sea estrictamente necesario». El carácter «estricto» de la necesidad implica que esta se valorará de un modo especialmente riguroso.

Miniconclusión: Nadie pone en duda la exigencia de un estándar más elevado de cumplimiento para el tratamiento de datos de categoría especial. Pero esta afirmación al mismo tiempo equivale a reconocer que ese tratamiento ES posible: sólo que minimizado a lo estrictamente necesario.

 

4.2 Todo eso está muy bien, pero el papel lo soporta todo, desgraciao ¿Me puedes poner un ejemplo de “necesidad objetiva” de esas?

 

Primero un no-ejemplo: el control de fichaje horario. Hay doscientas alternativas no biométricas para cumplir esa finalidad.

No estoy hablando aquí de eso.

El típico ejemplo manido sería el de las infraestructuras críticas como una central nuclear o una depuradora de agua, o los riesgos peliculeros tipo un laboratorio BSL (de esos donde manejan patógenos tipo ébola) o depósitos de armas.

Que nos lleva a un grasioso problema: la vía obvia de legitimación ahí sería el interés público esencial (9.2.g) RGPD), pero no me consta un solo ejemplo en el que la legislación española supere el exigente listón de concreción y garantías establecido en la STC 76/2019 para servirle de base.

Por eso prefiero apuntar ejemplos más de andar por casa, que son los que sufren el problema.

Hay empresas incluidas en cadenas de suministro con un nivel de exigencia excepcional: aguas arriba hay una empresa poderosa (o una asociación de empresas) que impone unas normas de seguridad que hay que cumplir. Si no lo haces, sales de la cadena.

En otros casos, hay puntos clave en la actividad que son objeto de ataques o sabotajes y que comprometen la actividad económica (y el interés general o la seguridad o la salud pública, dependiendo de la naturaleza de esa actividad).

Eso en mi pueblo tiene un nombre: necesidad contractual objetiva.

Esto es importante: en mi experiencia, cuando esta necesidad objetiva concurre, la cuestión es pacífica: ninguno de los interesados discute la oportunidad del control, porque el contexto no deja lugar a dudas.

Más: saliéndome por un momento del tema del control biométrico, hay trabajos que entrañan la difusión worldwide de identificadores directos, imagen y voz de quienes los desempeñan: políticos, CEOs y otros cargos con exposición pública de multinacionales, deportistas de élite, presentadores de televisión, actores, músicos, modelos, bailarines, influencers…

No hay una solución para la transferencia internacional de datos de estas personas… más allá de un consentimiento explícito (erm, general o glups, periódico o ARGK caso por caso).

La realidad de las cosas obliga a entender -como de hecho ocurre- que ciertos curros traen consigo renunciar a una parte de tu privacidad.

Estas situaciones tienen que poder encauzarse lícitamente en la normativa.

Y, por supuesto, pueden, como pasamos a ver a continuación.

 

 

5 El problema de los “tres cuerpos” de la AEPD

 

Al archiconocido acojone al usar el consentimiento del currela, se añade la auténtica muerte a pellizcos generada por la “argumentación en tres pasos” de la AEPD.

Afortunadamente, la argumentación en tres pasos de la AEPD es un argumento circular.

Recordemos los tres pasos:

 

Primero.- Cuando la finalidad del tratamiento biométrico que pretendes no encaja en ninguna otra de las excepciones del art. 9.2 RGPD, tienes que tirar por consentimiento: no hay otro camino.

¿Por qué?

Porque así lo indica sin lugar a dudas el EDPB en sus Directrices 5/2020 sobre el consentimiento (aptdo 99): tienes que ir por consentimiento explícito.

“El artículo 9, apartado 2, no reconoce la circunstancia de «necesario para la ejecución de un contrato» como una excepción a la prohibición general de tratar categorías especiales de datos. Por lo tanto, los responsables y los Estados miembros que aborden esta situación deben estudiar las excepciones específicas que figuran en el artículo 9, apartado 2, letras b) a j). En el caso de que no se aplique ninguna de las excepciones enumeradas en las letras b) a j), la única excepción lícita para procesar dichos datos es obtener el consentimiento explícito de conformidad con las condiciones para el consentimiento válido que figuran en el RGPD.”

 

Segundo.- El consentimiento del trabajador debe ser utilizado excepcionalmente y con exquisita prudencia. ¿Por qué? Porque su libertad está en entredicho, a dos niveles:

.- Hay un “desequilibrio claro” -considerando 43 RGPD- entre empleador y persona trabajadora.

Como dice el TS, el trabajo es un bien escaso y el trabajador tiene todos los números para prestar el consentimiento que se le solicita, vinculado a su contrato de trabajo. Y ello para evitar desde represalias explícitas o implícitas más o menos importantes, hasta el omnipresente elefante en la habitación del despido.

.- Además, el consentimiento explícito que necesita el empleador para su control biométrico queda incrustado o vinculado al contrato. Porque el contrato laboral sin el consentimiento explicito colocará al empleador en situación de incumplimiento.

Estas dos cuestiones son dos enfoques distintos sobre la misma cuestión de la libertad del consentimiento: el RGPD obliga a investigar “en la mayor medida posible” si el consentimiento del interesado que se liga a la ejecución de un contrato (o a su continuidad, porque si no consientes, te despido) es libre.

Y esto procede del 7.4 RGPD:

“Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

EL 7.4 está pensando en servicios, como el de Facebook que, para darte algo, te exigen consentir un tratamiento que no guarda relación alguna con ese algo, ni es necesario para dártelo.

La AEPD aplica el 7.4 diciendo: la empresa está en posición de predominio sobre el empleado. Y le pide un consentimiento para un control biométrico, al que condiciona la ejecución del contrato. Como las cosas se han hecho toa la vida de Dios sin controles biométricos, estos no son, en rigor, necesarios. Ergo el consentimiento sólo será libre si se ofrece una alternativa funcional no biométrica.

Desde aquí, la suerte está echada.

 

Tercero.- Para que el consentimiento pueda ser calificado como libre, el interesado tiene que tener una alternativa no biométrica. Si existe alternativa, dice la AEPD que tanto la necesidad como la proporcionalidad saltan por los aires. No cumpliéndose el art 5 (necesidad) no ha lugar a plantearse la licitud del tratamiento (art. 6).

Sólo que esto no es así.

Todo ese razonamiento sólo se cumple si el control no era necesario desde un principio.

 

5.1 ¿Dónde está el problema?

 

Los problemas de la argumentación de la AEPD empiezan en el segundo paso:

La cautela extrema que impone el RGPD en el uso del consentimiento del empleado al empleador y en los consentimientos vinculados a contratos trae causa, como se ha visto, del desequilibrio de fuerzas entre las partes.

Pero aquí pasan dos cosas:

1. Su uso está sujeto a cautela extrema, sí. Pero no es imposible. De otro modo se hubiera prohibido sin más, algo que no me consta. Y la AEPD pretende convertir la vía del consentimiento explícito en inaplicable en todo caso.

2. No sólo eso, sino que -interpretado a sensu contrario- el art 7.4 no es aplicable cuando el tratamiento de datos que se somete a consentimiento sí es necesario para la ejecución del contrato.

No pongas esa cara, sufrido lector: no me saco cosas como esta de la manga: esto se dice claramente en las totémicas y archisobeteadas Directrices 5/2020 sobre el consentimiento (aptdo 32):

«El apartado 4 del artículo 7 sólo es pertinente cuando los datos solicitados no son necesarios para la ejecución del contrato, (incluida la prestación de un servicio), y la ejecución de dicho contrato se supedita a la obtención de estos datos sobre la base del consentimiento. Por el contrario, si el tratamiento es necesario para la ejecución del contrato (incluida la prestación de un servicio), entonces no se aplica el apartado 4 del artículo 7.» (la negrita es original del Grupo de Trabajo del 29).

Por eso la clave es que el tratamiento (el control) sí sea objetivamente necesario.

Porque entonces el 7.4 RGPD no aplica a “entre otras cosas”, el consentimiento vinculado. Y no hay que tener en cuenta al evaluar la libertad de la prestación del consentimiento, su vinculación a una ejecución del contrato.

Entre otras cosas.

 

 

 

5.2 ¿Y el famoso desequilibrio empleado / empresario?

 

El desequilibrio entre empleado y empleador existe siempre: cuando es necesario un control biométrico y cuando no lo es.

Lo que la ley -no sólo el RGPD- prohíbe es el abuso de ese desequilibrio.

Pero ese consentimiento vinculado no es un lugar idóneo porque, en este caso tiene que ir incrustado en el contrato para que su ejecución sea lícita.

Por supuesto, incumbe al empleador la carga de la prueba de que la prestación en el caso concreto requiere un control biométrico de la identidad del trabajador.

Pero repito (es la última vez): si la necesidad del tratamiento es objetiva y efectiva, Pepito el trabajador tendrá que consentir explícitamente someterse al control biométrico para realizar su prestación (la que sea) aunque mande a paseo a su empresa y se lo monte por su cuenta, sin jefes, a través de una cooperativa o una Sociedad laboral.

O como puto autónomo, vaya.

Si de verdad hay necesidad, el factor “desequilibrio” en este concreto caso pasa a ser secundario. Y por eso mismo el EDPB dice lo que dice respecto al art. 7.4 RGPD.

Unpopular opinión basada en 30 años de calle: Un control biométrico abusivo y cubierto con un consentimiento forzado del empleado estará seguramente bien acompañado de un reguero de incumplimientos al levantar alfombras.

Como hemos visto en las resoluciones impuestas por la AEPD en varios casos de incumplimiento múltiple en el último año y pico.

No es este el caso que estoy defendiendo aquí.

Mi punto es que una empresa que haga las cosas bien y tenga una necesidad objetiva de imponer un control biométrico, no debería tener mayores problemas para hacerlo.

La licitud saldrá sola: el trabajo de la evaluación de impacto estará en otro sitio.

 

5.3 ¿Qué pasa con el convenio colectivo?

 

Nótese que la via del convenio colectivo es practicable, of course, pero -desde el estricto punto de vista de la necesidad- es más imperfecta, entre otras razones, porque el convenio afecta a todos los trabajadores en su ámbito de aplicación, y la necesidad pide a gritos una aplicación minimizada en todos los niveles posibles, empezando por el número de interesados afectados.

Por otro lado, está esa tendencia a usar el convenio colectivo como milagro que convierte el agua en vino -o tratamiento necesario, para entendernos-, que ha recibido un señor portazo del TJUE en diciembre pasado.

Mucho ojo con esto.

 

5.4 Pero vamoh-a-ver, maldito calvo nazi fildeputa: ¿Y dónde queda la protección del desvalido trabajador si el 7.4 no aplica? ¿Cómo se evalúa su libertad entonces al prestar su consentimiento si el tratamiento es necesario?

 

Recordemos que muchos elementos del RGPD estaban ahí mucho antes de la aparición del tratamiento automatizado de datos.

Uno de ellos es el consentimiento.

Y sus vicios, regulados en el código civil.

Por eso, cuando eliminamos de la ecuación el “tener en cuenta en la mayor medida posible si el consentimiento está vinculado a la ejecución del contrato para evaluar la libertad en su otorgamiento” -porque el tratamiento es necesario-, no estamos dejando al empleado a merced de una bestia asesina: habrá que excluir los vicios generales del consentimiento (error sobre el objeto, la persona o la causa) o de la voluntad (violencia, intimidación) prevenidos en derecho civil general.

Algo que debe hacerse en cualquier caso.

.- ¿El consentimiento ha sido prestado bajo intimidación o violencia?

.- ¿Se ha prestado sobre el objeto correcto o sobre otra cosa?

.- ¿Ha mediado dolo o engaño al obtenerlo?

En todos estos casos el consentimiento prestado por el empleado sería nulo o anulable, de acuerdo con la ley… aunque no aplique el art. 7.4 RGPD.

Así que no, no defiendo la vuelta a los tiempos de Charles Dickens.

 

6.- ¿Fin?

No tan rápido, compañeros.

La (pen)última palabra sobre esto aún no se ha publicado…

 

 

Jorge García Herrero

Delegado de Protección de Datos

 

[1] Estos datos (pueden ser datos personales o no, biométricos o no, dependiendo de su concreta capacidad para vincularlos a personas identificadas o identificables y del resto de factores que se mencionan a continuación)

[2] Publicadas en 2022 y ratificadas en su versión definitiva en mayo de 2023.

[3] https://www.aepd.es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf

[4] Y al cumplimiento del conocido test Barbulescu de la jurisprudencia laboral.

[5] Disponibles en el enlace siguiente: https://www.edpb.europa.eu/system/files/2024-05/edpb_guidelines_202304_frtlawenforcement_v2_es.pdf

“While both functions – authentication and identification – are distinct, they both relate to the processing of biometric data related to an identified or identifiable natural person and therefore constitute a processing of personal data, and more specifically a processing of special categories of personal data.”

[6] Aunque pueda inducir a error el hecho de que la AEPD no ha revisado ni eliminado la referencia a identificación y verificación biométrica (ni el resto de novedades aquí comentadas) en su guía de relaciones laborales.

[7] De acuerdo con el apartado 130, además:

“Es cierto que dicha normativa limita el ámbito de aplicación de la recogida de datos biométricos y genéticos a las personas investigadas en la fase de instrucción de un procedimiento penal, es decir, a personas respecto de las cuales existen motivos fundados para presumir que han cometido una infracción penal, en el sentido del artículo 6, letra a), de la Directiva 2016/680. No obstante, el mero hecho de que se investigue a una persona por la comisión de un delito público doloso no puede considerarse un dato que permita presumir, por sí solo, que la recogida de sus datos biométricos y genéticos es estrictamente necesaria a la vista de los fines que persigue y habida cuenta de las vulneraciones de los derechos fundamentales, en particular, de los derechos al respeto de la vida privada y de protección de los datos personales garantizados por los artículos 7 y 8 de la Carta, que de ella se derivan.”