POLÍTICA DE PRIVACIDAD
Control de acceso a instalaciones
1. Responsable del tratamiento.
| Responsable | Edificios (Madrid) |
| Renta Apartamentos S.L. NIF: B78588456 Calle Luchana 23. 7ª planta. C.P. 28010 Madrid. |
Calle Titán 8 |
| Engage Inversiones 2014 S.L. NIF: B87046157 Calle Luchana 23. 7ª planta. C.P. 28010 Madrid. |
Paseo de la Castellana 77 |
| Gmp Property SOCIMI, S.A. NIF: A28396042 Calle Luchana 23. 7ª planta. C.P. 28010 Madrid. |
Paseo de la Castellana 81 Orense 34 Parque Norte (C/ Serrano Galvache 56) C/ Luchana 23 C/ Génova 27 OXXEO (C/ Puerto de Somport 9) ARQBÓREA (C/ Quintanadueñas 6) |
|
Datos de contacto del Responsable de Privacidad |
privacidad@grupogmp.com |
1.1. Alta y gestión de accesos permanentes a empleados de empresas inquilinas de los inmuebles.
A efectos informativos, se recuerda al interesado que, para la concesión y gestión del acceso permanente al inmueble, las Empresas Gmp actúan en calidad de encargados del tratamiento siguiendo las instrucciones de la empresa inquilina del inmueble para la que usted presta servicios. Por ello, para cualquier cuestión relacionada con dicho tratamiento, deberá remitirse a la política de privacidad de dicha empresa responsable del tratamiento.
Asimismo, dada la relación de encargo del tratamiento, sus datos personales serán tratados y conservados en tanto la empresa para la que usted presta servicios no indique o solicite la retirada de la credencial y baja del acceso al edificio; o, en su caso, finalice la relación entre dicha empresa y Gmp.
2. Finalidad, base de legitimación y datos tratados.
2.1. Control de accesos por tornos de los edificios Gmp
DESCRIPCIÓN
Sus datos personales serán tratados con la finalidad de controlar y garantizar que exclusivamente acceden a las instalaciones de las Empresas Gmp aquellas personas autorizadas, así como para la resolución de cualquier tipo de incidencia que pudiese ocurrir en relación con los referidos accesos, y conocer las personas que en un determinado momento se encuentran en las instalaciones. Esta información puede resultar necesaria en caso de emergencia, evacuación, situaciones de ilícitos penales, etc.
BASE DE LEGITIMACIÓN
El tratamiento se basa en el interés legítimo del responsable (art. 6.1.f RGPD) consistente en mantener y garantizar el control y seguridad en el acceso a sus instalaciones.
DATOS PERSONALES TRATADOS
Nombre, apellidos, número de DNI, y, en su caso, dirección de correo electrónico y/o datos profesionales.
ORIGEN DE LOS DATOS
• Acceso de empleados de las empresas inquilinas.
Habiendo sido dados de alta en el sistema de accesos permanentes aquellos empleados autorizados por las empresas inquilinas (encargo del tratamiento referenciado al inicio de la presente política), Gmp tratará sus datos de acceso mediante las credenciales permanente físicas o digitales (mediante la App Gmp Smart) al ser utilizadas en los tornos de acceso.
• Con carácter general.
Toda persona que desee acceder a las instalaciones propiedad de Gmp deberá aportar sus datos personales de nombre, apellidos y número de DNI. La toma de dichos datos se podrá realizar en el mostrador de recepción mediante escáner OCR (únicamente tomándose los datos indicados, sin ser tratado ningún otro dato personal).
Adicionalmente, y siendo totalmente voluntario, el usuario que visita las instalaciones podrá aportar una dirección de correo electrónico para recibir en él, el QR de acceso generado para darle acceso temporal al inmueble. En caso contrario, se le entregará el QR en un papel que deberá conservar hasta su salida de las instalaciones.
• Con invitación de una empresa inquilina del inmueble (en adelante, “Anfitrión”)
Para gestionar la visita de un usuario invitado por un anfitrión, dicha empresa podrá remitir a Gmp el correo electrónico del usuario a fin de hacerle llegar la invitación de acceso a las instalaciones. Una vez éste haya cumplimentado sus datos personales identificativos, recibirá con antelación a su llegada el código QR de acceso al edificio. Para la verificación del DNI se le podrá solicitar, por el vigilante de seguridad, la exhibición del mismo. El correo electrónico facilitado será conservado por el Anfitrión como registro de invitaciones enviadas en los últimos 365 días.
2.2. Control de acceso mediante reconocimiento facial.
DESCRIPCIÓN
En el caso en el que el edificio de Gmp disponga de los sistemas de reconocimiento facial, y el usuario, voluntariamente solicite su uso, sus datos serán tratados con el fin de facilitarle el acceso a las instalaciones mediante dicho sistema. Sus datos serán igualmente tratados para controlar y garantizar que exclusivamente acceden a las instalaciones aquellas personas previamente autorizadas tal y como ya se ha informado en la finalidad número 2.1.
Para conocer más información sobre el funcionamiento del sistema de reconocimiento facial, se pone a disposición del interesado el siguiente documento PREGUNTAS FRECUENTES.
BASE DE LEGITIMACIÓN
El tratamiento se basa en el consentimiento expreso del interesado (art. 6.1.a / 9.2.a RGPD). En caso de haberlo prestado, puede revocarlo en cualquier momento poniéndose en contacto con Gmp a través del correo: privacidad@grupogmp.com o cumplimentando el formulario de baja que se halla a su disposición en la recepción mediante código QR.
DATOS PERSONALES TRATADOS
Datos faciales (biométricos) considerados categoría especial de datos a tenor del artículo 9 RGPD.
ORIGEN DE LOS DATOS
Los datos tratados son recabados directamente del interesado mediante un sistema de toma de imagen de su rostro, ante el cual tiene deberá posar para poder tomar dicha imagen. Posteriormente es anonimizada y transformada mediante un algoritmo en una secuencia numérica únicamente legible por los sistemas de control de accesos instalados.
2.3. Control de acceso al parking del edificio Gmp.
DESCRIPCIÓN
Gmp tratará sus datos personales con el propósito de gestionar y controlar el acceso al parking, garantizando que exclusivamente acceden a las instalaciones aquellas personas autorizadas o que soliciten su entrada en las respectivas barreras. Con ello igualmente se pretende garantizar la seguridad e integridad no sólo de las instalaciones, sino también de los bienes y personas que se encuentren en ellas.
BASE DE LEGITIMACIÓN
El tratamiento se basa en el interés legítimo del responsable (art. 6.1.f RGPD) consistente en mantener y garantizar el control y seguridad en el acceso a sus instalaciones.
DATOS PERSONALES TRATADOS
Datos de matrícula y características del vehículo.
ORIGEN DE LOS DATOS
Los datos tratados son recabados directamente del interesado mediante un sistema de captura y lectura de imágenes de la matrícula del vehículo en los accesos al parking.
3. Plazo de conservación.
Los datos personales recabados serán tratados durante el plazo necesario para cumplir con las finalidades informadas, y, en cualquier caso, atendiendo a los siguientes criterios según tratamiento y origen de los datos:
3.1. Control de accesos por tornos de los edificios Gmp.
• Acceso con carácter general y mediante credenciales permanentes.
Los datos personales tratados con motivo del acceso al inmueble serán conservados durante 30 días desde el acceso efectivo por los tornos y sistemas de control. Tras dicho plazo, quedarán en estado de bloqueo durante los plazos legalmente establecidos, a disposición de las Autoridades en caso de ser requeridos.
• Acceso con invitación del Anfitrión.
Además de lo anteriormente indicado respecto al acceso efectivo y su conservación, los invitados y visitas que hayan aportado su dirección de correo electrónico como vía para recibir la invitación de acceso deben conocer que sus datos se conservarán, a los efectos informados de mantener un registro de invitaciones, durante un plazo de 365 días. Únicamente se conservará la dirección de correo electrónico y si su visita se materializó. En caso de que el invitado no haya completado el formulario de registro para confirmar su visita, el correo electrónico se suprimirá a los 7 días de la fecha prevista de la visita. Tras dichos plazos, quedarán en estado de bloqueo durante los plazos legalmente establecidos, a disposición de las Autoridades en caso de ser requeridos.
3.2. Control de acceso mediante reconocimiento facial.
Sus datos personales biométricos serán tratados mientras se mantenga la finalidad para la que fueron recabados, esto es, mientras la empresa para que la que presta servicios no solicite su baja del sistema, o usted no ejercite su derecho de revocación del consentimiento prestado para su tratamiento. Para el ejercicio de dicho derecho podrá remitir su solicitud de revocación al correo electrónico privacidad@grupogmp.com o cumplimentando el formulario de baja que se halla a su disposición en la recepción mediante código QR.
3.3. Control de acceso al parking del edificio Gmp.
Los datos de las matrículas y los registros de acceso generados se conservarán tanto en soporte informático como en soporte papel (tickets) durante 5 años desde la finalización del uso del aparcamiento (plazo máximo común de prescripción de las acciones civiles y fiscales derivadas del uso del parking), debidamente custodiados y bloqueados.
En cualquier caso, sus datos personales recabados serán tratados durante el plazo necesario para cumplir con las finalidades informadas, y conservados, posteriormente, bajo estado de bloqueo y a disposición de las autoridades competentes según y durante los plazos legalmente establecidos, para, una vez vencidos dichos plazos, proceder a su total supresión.
4. Destinatarios y transferencias internacionales.
No se prevé la existencia de transferencias internacionales. Sin embargo, en caso de que, para cumplir con las finalidades informadas, fuese necesario que GMP comunique los datos a destinatarios establecidos en Estados fuera del territorio del Espacio Económico Europeo, el responsable garantizará que dicha transferencia cuenta con las garantías adecuadas para el tratamiento de los datos personales de los interesados, adoptando los instrumentos jurídicos necesarios para ello y teniendo en cuenta la exposición al riesgo de los interesados, de acuerdo con los mecanismos previstos en la normativa aplicable para garantizar un nivel de seguridad adecuado.
Los datos personales no serán cedidos a terceros, salvo, en caso de ser requerido bajo amparo legal, a la Administración Pública, Jueces y Tribunales. Únicamente tendrán acceso a ellos aquellos proveedores de servicios que actúen como encargados del tratamiento de Gmp.
Excepcionalmente, podrán ser cedidos a aquellos terceros que lo soliciten para ejercitar reclamaciones judiciales por responsabilidad contractual, extracontractual o derivada de hechos ilícitos, en base al interés legítimo debidamente justificado, y previa realización del preceptivo juicio de ponderación.
5. Ejercicios de derechos.
Usted puede ejercitar los derechos que se indican a continuación ante la Propiedad. Para ello, simplemente deberá solicitarlo por escrito a la dirección de correo electrónico privacidad@grupogmp.com, o a la dirección postal: Calle Luchana 23, 7ª planta, C.P. 28010 Madrid. Si su solicitud no reúne los requisitos necesarios, la Propiedad podrá requerir su subsanación.
Los derechos de que dispone en materia de protección de datos son los siguientes:
Derecho | ¿En qué consiste? |
Derecho de acceso | Consultar qué datos personales trata Empresas Gmp |
Derecho de rectificación | Modificar los datos personales tratados cuando sean inexactos |
| Derecho de oposición | Solicitar que Empresas Gmp no trate sus datos personales para algunas finalidades concretas |
| Derecho de supresión | Solicitar que Empresas Gmp elimine sus datos personales |
| Derecho de limitación | Solicitar se limite el tratamiento de sus datos personales |
| Derecho de portabilidad | Solicitar que le entreguen en un formato informático la información que se trata sobre usted |
| Presentar reclamación ante la autoridad competente (AEPD) | Puede presentar una reclamación ante la Agencia Española de Protección de Datos |
| Derecho de revocación | En todo momento puede revocar el consentimiento otorgado para un tratamiento de datos personales |
PREGUNTAS FRECUENTES
¿Qué sistemas intervienen en el procesado de las imágenes biométricas?
Hay dos sistemas independientes:
- El sistema de toma de datos: se trata de los lectores faciales en sí mismos; con una base de datos interna que aloja la imagen de los usuarios a los que se les permite el acceso a través de ese lector. Lo llamaremos simplemente “Lectores”.
- El sistema de control de accesos (tornos, monitores y sistema del operador en recepción) con una base de datos asociada alojada en el servidor de Gmp del edificio; que registra los datos de los usuarios con acceso autorizado al inmueble así como los accesos registrados. Lo llamaremos “Control de Accesos”.
Cuando hay que dar de alta un nuevo usuario se captura su cara en los Lectores, que toman una fotografía de la cara del usuario (para lo cual es preciso posar ante la cámara del sistema de Lectores) y la envía al sistema de Control de Accesos previa anonimización, mediante algoritmo de cifrado unidireccional que solo el Sistema de Lectores es capaz de aplicar. Así en propio sistema de Lectores transforma la fotografía tomada del usuario en una secuencia numérica indescifrable por un sistema ajeno.
Esta anonimización se realiza en local, en el sistema de Lectores, y el dato que se comunica al sistema de Control de Accesos es un número. De este modo, el tratamiento posterior del dato ya no es de carácter biométrico y no puede ser asociado a ningún usuario si no es usando el propio sistema de Lectores ubicado en la recepción del edificio. Así, el dato biométrico no viaja fuera del sistema de Lectores nunca y se garantiza su seguridad.
¿Qué se conserva en los sistemas de Lectores: la imagen y el código o sólo el código?
Ambas, si bien la imagen como tal no sale de los Lectores, sino que se emplea en todo momento el código para comunicarse con el sistema de Control de Accesos e identificar al usuario.
La validación se hace en el dispositivo de reconocimiento facial (que pertenece al sistema de Lectores). La imagen sólo se muestra en las pantallas del sistema de Lectores, siempre que se habilite mostrar la imagen del usuario al acceder. En ningún otro sitio se visualiza o almacena la imagen en claro de los usuarios
¿Qué datos se conservan? ¿Dónde? ¿Por cuánto tiempo?
Hasta que se borra el usuario o su acceso facial. Esto puede hacerse manualmente o automáticamente cuando caduca el acceso del usuario. El sistema de Control de Accesos es el encargado de enviar la orden de borrado al sistema de Lectores indicando el código vinculado al usuario.
¿La conexión entre el sistema de Lectores y el sistema de Control de Accesos es por VPN o red segura?
La conexión es se hace a través de la red IT propia de Gmp en el edificio, que gestiona nuestro mantenedor de sistemas informáticos, conforme a sus directivas de ciberseguridad. La comunicación se hace a través de la red local, la cual está protegida por firewalls de posibles ataques desde el exterior.
Y respecto a los no usuarios del sistema; ¿Cómo se tratan los datos de todas aquellas personas que no están dadas de alta en el sistema?
Los Lectores están configurados para que en el acceso nunca almacenen información gráfica de los usuarios tanto si están dados de alta como si no. El proceso de identificación se realiza en tiempo real de modo que la imagen no es nunca accesible porque no se registra. Los lectores no graban, ni por un instante, imágenes de los usuarios cuando pasan por el sistema de reconocimiento facial.
¿Los Lectores graban las imágenes de quienes acceden y las cotejan con los usuarios registrados, descartándolas al no encontrar coincidencia?
No exactamente, los Lectores no graban las imágenes. Las capturan e interpretan en tiempo real a través del algoritmo de anonimización y, tanto si hay coincidencia como si no, se pierden en el momento de la captura misma, devolviendo al sistema de Control de Accesos el código asociado al usuario en caso de coincidencia.
¿Me puedo de dar de baja del sistema de reconocimiento facial cuándo yo quiera?
Si, puedes darte de baja cuando lo consideres. Para ello, tan sólo debes cumplimentar un formulario que te facilitará el personal de la recepción del edificio.
Octubre 2024