Conjunto Araucarias de Quitumbe

Manual institucional de uso del sistema biométrico de ingreso y salida

Documento informativo y consentimiento para el registro de huella digital

Sistema instalado: control biométrico de ingreso y salida mediante huella digital.

Plataforma técnica: software/plataforma Hikvision.

Finalidad declarada: uso exclusivo para control de ingreso y salida al conjunto residencial.

Versión: 1.0   |   Fecha: _______________________

Documento sujeto a revisión legal y aprobación administrativa final.

Índice del manual

  1. Introducción
  2. Objetivo del manual
  3. Alcance
  4. Definiciones importantes
  5. Descripción del sistema biométrico
  6. Finalidad del tratamiento de la huella digital
  7. Base legal y normativa aplicable según los documentos consultados
  8. Principios aplicables al tratamiento de datos
  9. Datos que podrían ser tratados
  10. Uso exclusivo para ingreso y salida
  11. Funcionamiento general del registro de huella
  12. Rol de Hikvision y del proveedor tecnológico
  13. Responsabilidades del conjunto, administración, usuarios y proveedor tecnológico
  14. Medidas de seguridad y confidencialidad
  15. Derechos de los usuarios o titulares
  16. Procedimiento para consultas, solicitudes o revocatoria del consentimiento
  17. Prohibiciones de uso
  18. Conservación, actualización y eliminación de datos
  19. Recomendaciones operativas para la administración
  20. Preguntas frecuentes para residentes y usuarios
  21. Declaración de consentimiento informado
  22. Formulario imprimible de aceptación
  23. Base normativa consultada
  24. Nota final de revisión legal

1. Introducción

El Conjunto Araucarias de Quitumbe ha implementado un sistema biométrico de control de ingreso y salida mediante huella digital, gestionado técnicamente a través de una plataforma o software Hikvision. Este sistema tiene como propósito facilitar, ordenar y controlar el acceso al conjunto residencial por parte de residentes, visitantes autorizados o personas vinculadas al conjunto, de acuerdo con las reglas internas de convivencia y seguridad.

La huella digital constituye un dato biométrico. Conforme a la Ley Orgánica de Protección de Datos Personales del Ecuador, los datos biométricos son datos personales únicos relativos a características físicas, fisiológicas o conductuales que permiten o confirman la identificación única de una persona natural. Además, los datos biométricos forman parte de los datos sensibles, por lo que requieren especial cuidado, información previa clara, finalidad determinada, medidas de seguridad adecuadas y consentimiento explícito cuando el tratamiento se base en la voluntad del titular.

Advertencia institucional: este manual documenta la finalidad declarada por el Conjunto Araucarias de Quitumbe: la huella digital se utilizará únicamente para el control de ingreso y salida. No se autoriza su uso para vigilancia general, perfilamiento, comercialización, discriminación, control laboral, monitoreo de hábitos personales ni cualquier otro fin diferente al informado.

2. Objetivo del manual

El objetivo de este manual es informar a los residentes y usuarios del sistema biométrico sobre el uso de la huella digital, las condiciones de tratamiento de sus datos personales, sus derechos, las medidas de seguridad aplicables y el procedimiento para otorgar o revocar el consentimiento informado.

Este documento también sirve como soporte institucional para que la administración del conjunto cuente con una guía de actuación, un registro documental del consentimiento y una base de control preventivo frente a riesgos jurídicos, organizacionales y técnicos asociados al tratamiento de datos biométricos.

3. Alcance

Este manual aplica a:

  • Residentes propietarios, arrendatarios u ocupantes autorizados del Conjunto Araucarias de Quitumbe.
  • Personas vinculadas al conjunto que requieran ingreso recurrente y autorizado.
  • Visitantes autorizados, cuando excepcionalmente se justifique su registro biométrico y se cuente con información previa y consentimiento válido.
  • Personal administrativo o de seguridad que gestione el sistema, únicamente en lo relacionado con ingreso y salida al conjunto.
  • Proveedores o personal técnico que, por contrato o soporte, puedan acceder al sistema o a datos personales, en caso de que tal acceso exista y esté documentado.
Criterio de minimización: para visitantes ocasionales o de corta permanencia, la administración deberá valorar si existen mecanismos alternativos menos intrusivos que la huella digital, de conformidad con los principios de pertinencia, minimización y proporcionalidad.

4. Definiciones importantes

Concepto Explicación para usuarios
Dato personal Información que identifica o hace identificable a una persona natural, directa o indirectamente.
Dato biométrico Dato personal único relativo a características físicas, fisiológicas o conductuales que permite o confirma la identificación única de una persona, como la huella digital o datos dactiloscópicos.
Dato sensible Categoría especial de dato personal que incluye, entre otros, datos biométricos, datos genéticos, datos de salud y aquellos cuyo uso indebido pueda afectar derechos o generar discriminación.
Tratamiento Cualquier operación realizada sobre datos personales, como recolección, registro, conservación, consulta, uso, comunicación, supresión o destrucción.
Consentimiento Manifestación de voluntad libre, específica, informada e inequívoca mediante la cual el titular autoriza el tratamiento de sus datos personales.
Responsable del tratamiento Persona natural o jurídica que decide sobre la finalidad y el tratamiento de los datos personales. En este manual, la administración del conjunto debe identificar formalmente al responsable antes de aprobar el documento.
Encargado del tratamiento Persona natural o jurídica que trata datos personales por cuenta del responsable y conforme a sus instrucciones documentadas.
Titular Persona natural cuyos datos personales son objeto de tratamiento. En este manual, el residente, usuario o persona autorizada cuya huella se registra.
Vulneración de seguridad Incidente que afecta la confidencialidad, integridad o disponibilidad de los datos personales.

5. Descripción del sistema biométrico

El sistema biométrico instalado permite autenticar a una persona mediante su huella digital para habilitar o registrar su ingreso y salida del Conjunto Araucarias de Quitumbe. Su operación puede involucrar dispositivos lectores de huella, registros de usuarios autorizados, bitácoras de eventos de acceso y administración técnica mediante la plataforma Hikvision.

La administración debe verificar y documentar la configuración técnica real del sistema, especialmente si el almacenamiento de la huella o plantilla biométrica se realiza en equipos locales, servidores, nube, dispositivos de control de acceso o cualquier otra infraestructura. Este manual no presume una arquitectura técnica específica no verificada.

Precisión técnica necesaria: antes de aprobar este manual, la administración deberá confirmar si Hikvision opera solo como software local, si existe soporte remoto, si hay almacenamiento en nube, si terceros pueden acceder a la información y si se conservan imágenes de huella, plantillas biométricas, códigos derivados o únicamente credenciales técnicas.

6. Finalidad del tratamiento de la huella digital

La finalidad única, determinada, explícita y legítima del tratamiento de la huella digital será permitir el control de ingreso y salida al Conjunto Araucarias de Quitumbe. Esto incluye verificar que la persona que utiliza el acceso se encuentre autorizada y registrar, cuando el sistema lo permita, eventos vinculados al ingreso o salida.

Finalidad autorizada Descripción Límite institucional
Control de ingreso Verificar que una persona autorizada pueda ingresar al conjunto mediante su huella digital. No se utilizará para fines comerciales, discriminatorios, de vigilancia general o perfilamiento.
Control de salida Registrar o permitir la salida mediante autenticación biométrica, si el sistema está configurado para ello. No se utilizará para controlar hábitos, rutinas, permanencia o comportamiento personal de los residentes.
Gestión operativa del acceso Actualizar usuarios autorizados, bloquear accesos vencidos, corregir errores y atender solicitudes relacionadas con ingreso y salida. La gestión deberá limitarse a lo estrictamente necesario y quedar restringida a personal autorizado.

7. Base legal y normativa aplicable según los documentos consultados

El tratamiento de huellas digitales debe observar el marco ecuatoriano de protección de datos personales contenido en los documentos consultados. En particular:

  • La Constitución reconoce el derecho a la protección de datos personales, que incluye acceso, decisión y protección sobre información y datos de este carácter.
  • La Ley Orgánica de Protección de Datos Personales regula principios, derechos, obligaciones y mecanismos de tutela.
  • La LOPDP reconoce como datos biométricos los datos personales únicos que permiten o confirman la identificación única de una persona natural.
  • Los datos biométricos son datos sensibles, por lo que su tratamiento se encuentra prohibido salvo que concurra una condición habilitante, entre ellas el consentimiento explícito del titular con fines claramente especificados.
  • El consentimiento debe ser libre, específico, informado e inequívoco, y puede revocarse en cualquier momento sin necesidad de justificación.
  • La información previa debe ser clara, sencilla, comprensible y comunicada antes de recolectar el dato, especialmente sobre finalidad, base legal, tipos de tratamiento, conservación, responsable, derechos, transferencias o accesos de terceros y consecuencias de entregar o no los datos.
  • Los responsables y encargados deben implementar medidas técnicas, organizativas, físicas, administrativas y jurídicas adecuadas, de acuerdo con la naturaleza de los datos, el contexto, el alcance, los riesgos y las mejores prácticas.
  • La protección de datos desde el diseño y por defecto exige considerar riesgos desde la planificación y configurar el sistema para tratar solo los datos necesarios para cada finalidad.
  • La gestión de riesgos debe considerar contexto, identificación, análisis, evaluación y tratamiento de riesgos, con monitoreo y comunicación.
  • El acceso a datos por proveedores o terceros debe estar regulado por contrato, instrucciones documentadas, confidencialidad, seguridad y obligación de no usar los datos para fines distintos.

8. Principios aplicables al tratamiento de datos

La administración del Conjunto Araucarias de Quitumbe deberá aplicar, como mínimo, los siguientes principios:

Principio Aplicación práctica en el sistema biométrico
Juridicidad El tratamiento debe realizarse conforme a la Constitución, la LOPDP, su normativa aplicable y las obligaciones que correspondan.
Lealtad y transparencia El usuario debe saber que su huella se registra, para qué se usa, quién la administra, cómo ejercer derechos y cómo revocar el consentimiento.
Finalidad La huella solo podrá tratarse para ingreso y salida al conjunto. Cualquier otra finalidad requerirá nueva evaluación legal y, si corresponde, nuevo consentimiento.
Pertinencia y minimización Se deben recolectar únicamente los datos estrictamente necesarios para operar el acceso biométrico.
Proporcionalidad El uso de huella debe ser adecuado, necesario, oportuno, relevante y no excesivo frente al objetivo de control de acceso residencial.
Confidencialidad Los datos no deben tratarse, comunicarse ni consultarse para fines distintos, y solo el personal autorizado puede acceder al sistema.
Calidad y exactitud Los datos de identificación y relación con el conjunto deben mantenerse actualizados y corregirse cuando sea necesario.
Conservación Los datos se conservarán solo durante el tiempo necesario para cumplir la finalidad y deberán revisarse periódicamente.
Seguridad Se deben implementar medidas de seguridad técnicas, organizativas, físicas, administrativas y jurídicas para proteger la huella y los registros de acceso.
Responsabilidad proactiva y demostrada La administración debe poder demostrar que informó, obtuvo consentimiento, aplicó medidas, atendió derechos y restringió el uso del sistema.

9. Datos que podrían ser tratados

Según la configuración del sistema y las necesidades mínimas de administración, podrían tratarse las siguientes categorías de datos:

Categoría Ejemplos Finalidad permitida Nivel de cuidado
Datos de identificación Nombres, apellidos, número de cédula o documento. Identificar al usuario autorizado del sistema. Protección ordinaria y acceso restringido.
Datos de contacto Teléfono, correo electrónico o medio de contacto. Comunicar asuntos relacionados con acceso, solicitudes o derechos. Protección ordinaria y uso limitado.
Relación con el conjunto Casa, departamento, local, cargo, calidad de residente, arrendatario, familiar, visitante autorizado o persona vinculada. Verificar legitimación para el ingreso y salida. Acceso restringido.
Dato biométrico Huella digital, dato dactiloscópico, plantilla biométrica o código técnico derivado, según configuración real. Autenticación exclusiva para ingreso y salida. Dato sensible: protección reforzada y consentimiento explícito.
Registros de eventos Fecha, hora, punto de acceso, evento de ingreso o salida, usuario autorizado. Operar y verificar el acceso al conjunto. Uso limitado, no perfilamiento ni vigilancia general.
Documentación de consentimiento Formulario firmado, fecha de otorgamiento, revocatoria, solicitudes del titular. Demostrar información previa, voluntad y gestión de derechos. Custodia administrativa segura.

10. Uso exclusivo para ingreso y salida

El Conjunto Araucarias de Quitumbe declara que no utilizará la huella digital para fines distintos al control de ingreso y salida. En consecuencia, queda expresamente excluido el uso de la huella o de los registros del sistema para:

  • Vigilancia permanente o monitoreo general de hábitos de residentes.
  • Perfilamiento de comportamiento, horarios, rutinas o relaciones personales.
  • Fines comerciales, publicitarios o promocionales.
  • Discriminación, selección o trato diferenciado injustificado.
  • Control laboral, asistencia de trabajadores o evaluación de desempeño, salvo que exista un proceso independiente con base legal específica, información previa y documentación propia.
  • Transferencia, cesión o comunicación a terceros no autorizados.
  • Publicación, difusión o consulta informal de registros de entrada y salida.
Cambio de finalidad: si la administración pretendiera utilizar la huella o registros para una finalidad diferente, deberá suspender ese uso hasta contar con análisis jurídico, evaluación de riesgos, información previa al titular y una base de licitud válida. El consentimiento otorgado en este manual no cubre finalidades adicionales.

11. Funcionamiento general del registro de huella

  1. Información previa: antes del registro, el usuario recibirá este manual o una explicación equivalente en lenguaje claro.
  2. Verificación de identidad: la administración confirmará que el usuario tiene relación o autorización válida para ingresar al conjunto.
  3. Consentimiento: el usuario firmará el formulario de consentimiento informado, sin casillas premarcadas y sin autorización para fines distintos.
  4. Registro técnico: personal autorizado registrará la huella en el sistema biométrico mediante la plataforma correspondiente.
  5. Uso ordinario: el usuario colocará su dedo en el lector para que el sistema verifique su autorización de ingreso o salida.
  6. Actualización: cuando cambie la relación con el conjunto, los datos deberán actualizarse, bloquearse o eliminarse según corresponda.
  7. Revocatoria o eliminación: el usuario podrá solicitar revocar su consentimiento o eliminar sus datos conforme al procedimiento de este manual.
Alternativa en caso de negativa: cuando un usuario no autorice el registro de su huella, la administración deberá informar las consecuencias operativas y, de ser procedente, coordinar un mecanismo alternativo razonable de acceso que respete las reglas de seguridad del conjunto.

12. Rol de Hikvision y del proveedor tecnológico

Hikvision es identificada en este manual como la plataforma o software utilizado para gestionar técnicamente el sistema biométrico. Sin embargo, este documento no afirma que Hikvision sea el responsable único del tratamiento, ni que reciba, almacene o transfiera datos personales, porque tales aspectos dependen de la arquitectura técnica, la configuración del sistema, las condiciones contractuales, el soporte contratado y la forma real de operación.

Si Hikvision, un distribuidor, integrador, técnico o proveedor de soporte accede a datos personales o al sistema por cuenta del conjunto, dicho acceso deberá estar documentado mediante contrato o instrumento equivalente que establezca, como mínimo:

  • Objeto y finalidad estricta del acceso técnico.
  • Instrucciones documentadas del responsable.
  • Prohibición de usar datos para fines distintos.
  • Confidencialidad del personal que intervenga.
  • Medidas técnicas y organizativas de seguridad.
  • Asistencia para atender derechos de los titulares.
  • Notificación oportuna de incidentes o vulneraciones.
  • Devolución, supresión o bloqueo de datos al finalizar el servicio, según corresponda.
Prudencia jurídica: la administración debe revisar los contratos, licencias, términos de uso, soporte remoto, almacenamiento y configuración de Hikvision antes de aprobar la política definitiva. La mera utilización de una plataforma tecnológica no exonera al conjunto ni a su administración de cumplir sus obligaciones en materia de protección de datos.

13. Responsabilidades del conjunto, administración, usuarios y proveedor tecnológico

Actor Responsabilidades mínimas
Conjunto Araucarias de Quitumbe / Administración Identificar formalmente al responsable del tratamiento; informar al usuario; recabar consentimiento válido; limitar la finalidad a ingreso y salida; implementar medidas de seguridad; atender derechos; mantener registros; revisar contratos con proveedores; aplicar protección de datos desde el diseño y por defecto; conservar datos solo por el tiempo necesario.
Representante o administrador designado Custodiar formularios; controlar accesos al sistema; autorizar altas, bajas y modificaciones; documentar solicitudes; coordinar eliminación o bloqueo; capacitar al personal; mantener evidencias de cumplimiento.
Personal con acceso al sistema Usar el sistema solo para la finalidad autorizada; guardar confidencialidad; no copiar, exportar, fotografiar, compartir ni consultar datos sin autorización; reportar incidentes; usar credenciales individuales y seguras.
Usuario o titular Leer la información; otorgar o negar libremente el consentimiento; proporcionar datos exactos; reportar errores o accesos indebidos; solicitar actualización o eliminación cuando corresponda; no prestar su acceso biométrico a terceros.
Proveedor tecnológico, integrador o soporte técnico Actuar únicamente conforme a instrucciones documentadas; no usar datos para fines propios; mantener confidencialidad; aplicar medidas de seguridad; asistir en solicitudes; notificar incidentes; eliminar o devolver datos al terminar el servicio si corresponde.
Delegado de Protección de Datos, si corresponde Asesorar, supervisar cumplimiento, cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto en materia de tratamiento de datos, de acuerdo con las condiciones legales aplicables.

14. Medidas de seguridad y confidencialidad

Por tratarse de datos biométricos y sensibles, la administración deberá adoptar medidas de seguridad reforzadas, proporcionales al riesgo, al estado de la técnica, a la naturaleza de los datos y al contexto residencial. Como mínimo, se recomienda aplicar las siguientes:

14.1. Medidas administrativas y jurídicas

  • Aprobar una política interna de uso del sistema biométrico.
  • Designar responsables internos de administración del sistema.
  • Firmar acuerdos de confidencialidad con personal que tenga acceso al sistema.
  • Suscribir contratos o cláusulas de tratamiento de datos con proveedores que accedan al sistema.
  • Mantener registros de consentimiento, revocatoria y solicitudes de titulares.
  • Documentar altas, bajas, modificaciones y eliminación de usuarios.
  • Capacitar al personal sobre finalidad, confidencialidad y prohibiciones.
  • Realizar revisiones periódicas de cumplimiento.

14.2. Medidas técnicas

  • Configurar perfiles de acceso por rol y limitar usuarios administradores.
  • Usar credenciales individuales, contraseñas robustas y cambios periódicos.
  • Deshabilitar cuentas de personal que ya no administre el sistema.
  • Evitar exportaciones de datos biométricos o bitácoras salvo autorización documentada y finalidad legítima.
  • Verificar si la plataforma permite cifrado, seudonimización, registros de auditoría y control de accesos.
  • Actualizar software, firmware y parches de seguridad cuando corresponda.
  • Conservar respaldos solo si son necesarios y protegidos; eliminar respaldos obsoletos cuando sea técnicamente posible.
  • Registrar incidentes, errores, accesos no autorizados o fallas de disponibilidad.

14.3. Medidas físicas y organizacionales

  • Ubicar equipos de control en espacios protegidos contra manipulación no autorizada.
  • Restringir el acceso físico a dispositivos, servidores o computadores donde se administre el sistema.
  • Evitar que pantallas administrativas sean visibles para personas no autorizadas.
  • Implementar procedimientos de contingencia cuando el sistema falle.
  • Revisar periódicamente usuarios activos y eliminar personas que ya no tengan vínculo con el conjunto.

14.4. Vulneraciones de seguridad

Si ocurre una vulneración de seguridad que afecte la confidencialidad, integridad o disponibilidad de los datos personales, la administración deberá activar un procedimiento interno de respuesta, documentar el hecho, evaluar riesgos para los titulares y realizar las notificaciones que correspondan conforme a la LOPDP. El encargado o proveedor que conozca una vulneración debe informar al responsable tan pronto sea posible y dentro del término legal aplicable.

15. Derechos de los usuarios o titulares

Los titulares de datos personales tienen derechos irrenunciables. En el contexto del sistema biométrico, los usuarios podrán ejercer, según corresponda, los siguientes derechos:

Derecho Contenido práctico
Información Ser informado sobre fines, base legal, tipos de tratamiento, conservación, responsable, derechos, transferencias, consecuencias de entregar o no los datos y mecanismos de reclamo.
Acceso Conocer y obtener información sobre los datos personales tratados por el sistema, sin necesidad de justificar la solicitud.
Rectificación y actualización Solicitar corrección o actualización de datos inexactos o incompletos.
Eliminación Solicitar la supresión de datos cuando el tratamiento no cumpla principios, no sea necesario, haya cumplido su finalidad, haya vencido el plazo de conservación, afecte derechos, se revoque el consentimiento o exista obligación legal.
Oposición Oponerse al tratamiento en los casos previstos por la normativa, especialmente cuando el tratamiento no sea necesario o existan motivos personales legítimos.
Suspensión o limitación Solicitar la suspensión del tratamiento cuando se impugne la exactitud, exista tratamiento ilícito o se requiera limitar el uso en los casos previstos.
Portabilidad Solicitar la entrega o transmisión de datos en formato compatible cuando proceda técnica y legalmente.
No ser objeto de decisiones automatizadas indebidas Solicitar explicación, criterios o impugnar decisiones basadas en valoraciones automatizadas cuando produzcan efectos jurídicos o afecten derechos. El sistema de acceso no debe usarse para perfilamiento.
Revocatoria del consentimiento Retirar el consentimiento en cualquier momento, sin necesidad de justificación. La revocatoria no tiene efectos retroactivos sobre tratamientos realizados antes de retirarla.

16. Procedimiento para consultas, solicitudes o revocatoria del consentimiento

El usuario podrá presentar consultas, solicitudes o revocatorias ante la administración del Conjunto Araucarias de Quitumbe mediante los canales que se completen y aprueben formalmente:

Responsable o área de contacto: ____________________________________________________________
Correo electrónico: ____________________________________________________________
Teléfono: ____________________________________________________________
Dirección física: Conjunto Araucarias de Quitumbe: ________________________________

16.1. Pasos del procedimiento

  1. Presentación: el titular presentará su solicitud por escrito, correo electrónico o formulario físico.
  2. Identificación: la administración verificará la identidad del solicitante o la representación legal cuando corresponda.
  3. Registro: la solicitud será registrada con fecha de recepción, tipo de derecho solicitado y responsable interno asignado.
  4. Evaluación: la administración verificará la procedencia de la solicitud conforme a la finalidad del tratamiento, conservación necesaria y normativa aplicable.
  5. Respuesta: las solicitudes de acceso, rectificación, actualización, eliminación u oposición deberán atenderse dentro del plazo legal de quince (15) días cuando corresponda.
  6. Ejecución: si procede la eliminación o revocatoria, se bloqueará o suprimirá la huella del sistema y se dejará constancia documental.
  7. Comunicación: se informará al titular la acción realizada o la razón motivada si existiere una excepción legal aplicable.
Revocatoria: el consentimiento podrá revocarse en cualquier momento sin justificación. La administración deberá establecer un mecanismo sencillo, gratuito, eficiente y similar al utilizado para recabar el consentimiento.

17. Prohibiciones de uso

Queda prohibido para la administración, personal de seguridad, proveedores y cualquier persona con acceso al sistema:

  • Registrar huellas sin información previa y consentimiento válido.
  • Registrar huellas de niñas, niños o adolescentes sin revisión legal, información al representante legal y salvaguardas especiales.
  • Usar la huella o bitácoras para fines distintos al ingreso y salida.
  • Extraer, copiar, fotografiar, descargar o transferir datos biométricos sin autorización formal y base legal.
  • Compartir usuarios o contraseñas de administración.
  • Permitir acceso técnico remoto sin autorización documentada.
  • Conservar datos de personas que ya no tienen relación con el conjunto sin justificación.
  • Publicar o comunicar registros de ingreso o salida a vecinos, terceros o grupos informales.
  • Utilizar los registros para conflictos personales, control social, presión comunitaria o discriminación.
  • Modificar la finalidad del sistema sin revisión legal y nueva información al titular.

18. Conservación, actualización y eliminación de datos

Los datos personales tratados en el sistema biométrico deberán conservarse por un tiempo no mayor al necesario para cumplir la finalidad de ingreso y salida. La administración deberá definir y documentar plazos internos de conservación, revisión periódica y eliminación segura.

Tipo de dato Criterio de conservación recomendado Acción al finalizar la necesidad
Huella, plantilla biométrica o dato técnico equivalente Mientras el usuario mantenga vínculo o autorización vigente y consentimiento activo. Eliminar, bloquear o hacer ilegible de forma segura cuando se revoque el consentimiento, termine la relación o deje de ser necesario.
Datos de identificación y relación con el conjunto Mientras sean necesarios para gestionar usuarios autorizados. Actualizar o eliminar cuando el usuario deje de estar autorizado.
Bitácoras de ingreso y salida Solo por el plazo proporcional que apruebe la administración luego de análisis de riesgos y necesidad operativa. Depurar periódicamente, evitando conservación indefinida.
Consentimientos y revocatorias Mientras sea necesario para demostrar información previa, autorización y cumplimiento de obligaciones. Archivar de forma segura y revisar periódicamente su necesidad.
Plazos pendientes de aprobación: antes de imprimir y entregar este manual, la administración debe aprobar plazos específicos de conservación para huellas, usuarios y bitácoras, previa revisión técnica y legal.

19. Recomendaciones operativas para la administración

  1. Aprobar formalmente este manual en acta administrativa o documento interno.
  2. Completar los datos del responsable, contacto, canales de solicitud y plazos de conservación antes de usar el formulario.
  3. Realizar inventario del sistema: dispositivos, usuarios administradores, ubicación de bases, almacenamiento local o nube, soporte técnico y respaldos.
  4. Verificar técnicamente si el sistema almacena imágenes de huella, plantillas biométricas o códigos derivados.
  5. Aplicar configuración por defecto orientada a minimización: solo datos necesarios, solo usuarios autorizados y solo funciones indispensables.
  6. Obtener consentimiento explícito antes del registro de cada huella.
  7. Usar formularios separados por cada titular.
  8. No premarcar casillas de consentimiento.
  9. Conservar los formularios en archivo seguro, físico o digital, con acceso restringido.
  10. Revisar mensualmente usuarios activos y eliminar usuarios desvinculados.
  11. Revisar trimestralmente accesos administrativos y contraseñas.
  12. Establecer procedimiento de atención de derechos con registro de solicitudes y respuestas.
  13. Suscribir cláusulas de confidencialidad y tratamiento de datos con personal y proveedores.
  14. Realizar evaluación de riesgos y, si el tratamiento por naturaleza, contexto o fines implica alto riesgo, efectuar evaluación de impacto antes de iniciar o ampliar el tratamiento.
  15. Documentar incidentes y vulneraciones, con fechas, responsables, acciones de contención y notificaciones cuando correspondan.

20. Preguntas frecuentes para residentes y usuarios

20.1. ¿La huella digital es un dato sensible?

Sí. La huella digital es un dato biométrico y los datos biométricos forman parte de los datos sensibles. Por ello requieren especial protección y consentimiento explícito cuando se tratan con base en la autorización del titular.

20.2. ¿Para qué se usará mi huella?

Únicamente para controlar el ingreso y salida al Conjunto Araucarias de Quitumbe. No se usará para vigilancia general, perfilamiento, fines comerciales, discriminación ni control laboral.

20.3. ¿Estoy obligado a registrar mi huella?

El consentimiento debe ser libre. Si usted no autoriza el registro, la administración deberá informarle las consecuencias operativas y, de ser procedente, coordinar un mecanismo alternativo razonable de acceso conforme a las reglas de seguridad del conjunto.

20.4. ¿Puedo retirar mi consentimiento?

Sí. Puede revocarlo en cualquier momento, sin necesidad de justificar su decisión. La revocatoria no afecta la licitud del tratamiento realizado antes de retirarla.

20.5. ¿Quién puede ver o administrar mis datos?

Solo personal autorizado por la administración y, si corresponde, proveedores técnicos que actúen bajo instrucciones documentadas, confidencialidad y medidas de seguridad. No debe existir acceso informal ni consulta por terceros.

20.6. ¿Hikvision es responsable de mis datos?

Este manual no determina que Hikvision sea responsable único. Hikvision es la plataforma tecnológica usada para gestionar el sistema. Su rol jurídico dependerá de los contratos, la configuración, el soporte y si accede o no a datos personales.

20.7. ¿Qué pasa si dejo de vivir o trabajar en el conjunto?

La administración deberá actualizar, bloquear o eliminar su registro biométrico cuando deje de existir la necesidad de conservarlo, salvo que exista una razón legal documentada para mantener información específica.

20.8. ¿Puedo pedir acceso, rectificación o eliminación?

Sí. Puede ejercer sus derechos mediante los canales de contacto del conjunto. La administración debe atender las solicitudes aplicables dentro de los plazos legales y dejar constancia documental.

21. Declaración de consentimiento informado

Antes de registrar la huella digital, el usuario debe leer o recibir explicación de esta declaración. La firma del formulario final constituye una manifestación de voluntad para el tratamiento específico de la huella digital con fines exclusivos de ingreso y salida.

Declaración:

Declaro que he sido informado de manera clara, sencilla y suficiente sobre el sistema biométrico de control de ingreso y salida del Conjunto Araucarias de Quitumbe. Entiendo que mi huella digital es un dato biométrico y sensible, y que su tratamiento requiere especial protección.

Declaro que la finalidad informada es exclusivamente permitir y controlar mi ingreso y salida al conjunto residencial. No autorizo el uso de mi huella digital para vigilancia general, perfilamiento, fines comerciales, discriminación, control laboral, monitoreo de hábitos o cualquier otro fin distinto al informado.

Declaro que conozco mis derechos de información, acceso, rectificación, actualización, eliminación, oposición, suspensión, portabilidad cuando corresponda, y revocatoria del consentimiento. Entiendo que puedo retirar mi consentimiento en cualquier momento, sin necesidad de justificación.

Declaro que se me informó que el sistema se gestiona técnicamente mediante plataforma Hikvision, y que cualquier acceso de proveedores técnicos debe estar documentado y limitado a la finalidad autorizada.

Con base en esta información, podré aceptar o negar el registro de mi huella digital en el formulario imprimible de este documento.

Formulario imprimible de aceptación y consentimiento

Complete este formulario antes del registro de la huella digital. Las casillas no deben estar premarcadas. El consentimiento debe ser libre, específico, informado e inequívoco.

Nombres y apellidos del usuario:
Número de cédula / documento de identidad:
Teléfono o correo de contacto:
Casa, departamento o unidad:
Relación con el conjunto:
Calidad del usuario:

Propietario/a    Arrendatario/a    Familiar autorizado    Visitante autorizado    Otro: ______________________

Declaración expresa de consentimiento:

He leído o se me ha explicado el Manual institucional de uso del sistema biométrico de ingreso y salida del Conjunto Araucarias de Quitumbe. Comprendo que mi huella digital es un dato biométrico y sensible. Comprendo que será utilizada únicamente para controlar mi ingreso y salida al conjunto residencial, mediante el sistema biométrico gestionado técnicamente a través de plataforma Hikvision.

Declaro que he sido informado sobre la finalidad del tratamiento, datos que podrían tratarse, medidas de seguridad, conservación, derechos del titular, posibilidad de revocar mi consentimiento, consecuencias de entregar o no entregar mi huella y canales para presentar solicitudes.

Marque una opción:

SÍ AUTORIZO, de manera libre, específica, informada, inequívoca y explícita, el registro y uso de mi huella digital exclusivamente para el control de ingreso y salida al Conjunto Araucarias de Quitumbe.

NO AUTORIZO el registro de mi huella digital. Solicito que la administración me informe las alternativas operativas de acceso que correspondan conforme a las reglas internas del conjunto.

Fecha:
Lugar:
Firma del usuario / titular:
Firma del representante o administrador del conjunto:
Nombre del representante o administrador:
Cargo:
Observaciones:

Este formulario deberá conservarse en archivo seguro. La administración deberá registrar cualquier revocatoria, actualización, eliminación o cambio relacionado con el consentimiento aquí otorgado.

23. Base normativa consultada

Este manual se elaboró tomando como base los nueve documentos PDF proporcionados por la administración solicitante. Las referencias se presentan de forma descriptiva, sin incorporar normas, sanciones o citas que no consten en dichos documentos.

Documento consultado Temas utilizados para este manual
LEY PROTECCIÓN DATOS(1).pdf Objeto y finalidad de la LOPDP; definiciones de dato personal, dato biométrico, dato sensible, consentimiento, tratamiento, responsable, encargado y titular; bases de licitud; consentimiento; principios; derechos del titular; tratamiento de datos sensibles; transferencias y acceso por terceros; seguridad; protección de datos desde el diseño y por defecto; análisis de riesgos; evaluación de impacto; obligaciones del responsable y encargado; DPD; medidas correctivas, infracciones y sanciones.
40.02-Guia-de-Proteccion-de-Datos-desde-el-Diseno-y-por-Defecto(1).pdf Protección de datos desde el diseño y por defecto; minimización; ocultamiento; separación; abstracción; información al titular; control del titular; cumplimiento práctico; demostración documental; seguridad temprana y gestión de riesgos aplicable a sistemas de información.
GUIA-DE-GESTION-DE-RIESGOS-E-IMPACTO-VERSION-1(1).pdf Gestión de riesgos para proteger derechos y libertades; definiciones de confidencialidad, integridad, disponibilidad, riesgo, amenaza, vulnerabilidad e impacto; etapas de gestión de riesgos; integración de riesgos jurídicos, organizacionales y técnicos; auditorías; vulneraciones de seguridad; evaluación de impacto.
Modelo de Consentimiento Informado(1).pdf Estructura mínima de información previa al consentimiento; identificación del responsable; categorías de datos; finalidades determinadas, explícitas y legítimas; conservación; transferencias; consecuencias de negativa; derechos; revocatoria; manifestación libre, específica, informada e inequívoca; necesidad de acreditar el consentimiento.
Modelo de Cláusula Contractual de Tratamiento de Datos Personales(1).pdf Relación responsable-encargado; instrucciones documentadas; limitación de finalidad; confidencialidad; medidas técnicas y organizativas; asistencia para derechos; notificación de incidentes; devolución o eliminación de datos al terminar el servicio.
Presentación Día 1(1).pdf Conceptos generales sobre LOPDP, DPD, dato personal, datos sensibles, consentimiento y principios del tratamiento explicados en lenguaje formativo.
Presentación Día 2(1).pdf Perfil, designación e independencia del Delegado de Protección de Datos; rol de asesoría y supervisión; relación con la autoridad y necesidad de contacto con titulares cuando aplique.
Presentación Día 3(1).pdf Funciones del DPD: asesorar, supervisar, apoyar análisis de riesgos y evaluación de impacto, cooperar con la autoridad y actuar como punto de contacto; advertencia de que su función es de asesoramiento y supervisión.
22.02-Modelo-calculo-sanciones-administrativas(1).pdf Enfoque preventivo sobre riesgos sancionatorios, proporcionalidad, categorías de infracciones, seriedad de la infracción y criterios de cálculo de multas administrativas por la autoridad. Este manual no realiza cálculo de multas.