¿Cómo implementar biometría y firma digital en SARLAFT? Superfinanciera Concepto No. 2024090697-007

RESUMEN: ¿Cómo implementar biometría y firma digital en SARLAFT?  La Superfinanciera emitió un concepto que aborda las directrices para la implementación de biometría y firma digital como mecanismos de autenticación en el Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT). La Superintendencia Financiera destaca la importancia de que las entidades vigiladas definan políticas, procedimientos y controles para garantizar una adecuada verificación de identidad de sus clientes, tanto en entornos presenciales como no presenciales, alineados con los principios de seguridad y calidad establecidos en la normativa.

En la práctica, esto implica que las entidades financieras deben adoptar tecnologías robustas para autenticar clientes, como certificados de firma digital, mecanismos biométricos o factores de autenticación adicionales. Estas herramientas permiten identificar y gestionar los riesgos asociados a operaciones financieras, fortaleciendo la prevención de actividades ilícitas. Además, se resalta el derecho de los consumidores a un manejo seguro de sus datos personales bajo las disposiciones del habeas data.

Ver a continuación documento de la Superintendencia Financiera sobre: ¿Cómo implementar biometría y firma digital en SARLAFT?:

SARLAFT, GESTIÓN DEL RIESGO OPERACIONAL, BIOMETRÍA Y FIRMA DIGITAL

SUPERINTENDENCIA FINANCIERA

Concepto 2024090697-007 del 31 de julio de 2024

Síntesis:  Corresponde a cada entidad vigilada definir los procesos, procedimientos y controles, así como la tecnología, para realizar de forma segura la implementación de la biometría y firma digital, mecanismos fuertes de autenticación desde el punto de vista de la gestión del riesgo operacional y de lavado de activos y financiación del terrorismo que permiten la verificación efectiva de la identidad de todos los clientes al momento de su vinculación.

.

«(…) solicita:

“… POR FAVOR INDICAR CUÁLES SON LOS PASOS Y/O PROCEDIMIENTOS PARA QUE UNA ENTIDAD IMPLEMENTE UN SISTEMA DIGITAL DE VINCULACION DE CLIENTE. UN SISTEMA QUE INVOLUCRA FIRMA DIGITAL, UNA VINCULACIÓN NO PRESENCIAL, CON RELACIÓN A LAS POLITICAS DE DE (sic) TRATAMIENTO DE DATOS, SEGURIDAD BIOMETRICA, SARLAFT, FIRMA DIGITAL, QUÉ PARÁMETROS DEBE CUMPLIR ESTE SISTEMA?.”

(…).

A continuación, daremos respuesta al objeto de su consulta:

1. Perspectiva desde el riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT)

De conformidad con lo establecido en el artículo 102, numeral 1 del Decreto 663 de 1993 – EOSF, las entidades vigiladas por la SFC tienen la obligación, entre otras, de adoptar medidas de control apropiadas y suficientes para prevenir el riesgo de LAFT. Estas medidas están detalladas en el Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica -CBJ- de la SFC.

Para tales propósitos, se estableció dentro de los numerales 4.2.2.1.8.^[1], 4.2.2.2.1.^[2], 4.2.2.2.1.1.^[3] y 4.2.2.2.1.4^[4] de la CBJ, que el Sistema de Administración del Riesgo de Lavado de Activos y Financiación al Terrorismo -SARLAFT- de las entidades debe contar con procedimientos ordinarios, simplificados o medidas intensificadas^[5] para obtener un conocimiento, efectivo, eficiente y oportuno de todos los clientes^[6], así como para verificar la información y los soportes de ésta, todo en función del riesgo de LAFT. Es oportuno precisar que las entidades vigiladas pueden realizar estos procedimientos de conocimiento presencial o no presencial mediante canales digitales o electrónicos. 

Ahora bien, la estructura del SARLAFT obedece a principios de autogestión en función de los riesgos identificados, a partir de los mínimos establecidos en la norma referida. Cada una de las entidades vigiladas dentro de su criterio como profesionales del mercado financiero colombiano, deben fijar y determinar procedimientos de conocimiento de sus clientes^[7] que permitan identificar una mayor o menor exposición al riesgo de LAFT. Con tal propósito, las entidades vigiladas deben contar con políticas y procedimientos que les permitan identificar y verificar la identidad del potencial cliente, sea persona natural, persona jurídica o estructura sin personería jurídica, al momento de su vinculación en ambientes presenciales y no presenciales. La norma permite dos tipos: 

1. Procedimiento ordinario^[8]: Corresponde a la regla general o procedimiento estándar. En el caso de personas naturales, además de conocer al cliente (información socioeconómica, financiera y transaccional) las entidades deben obtener datos necesarios para su individualización, tales como la verificación del documento de identidad expedido por la autoridad competente y la verificación efectiva de la identidad al momento de su vinculación con la siguiente información: el tipo de identificación, el nombre, el número y la fecha de expedición del documento.

Respecto de las personas jurídicas, se realiza la verificación del documento actualizado que certifique la existencia y representación de la misma expedido por la autoridad competente.

Adicionalmente, dichas políticas y procedimientos deben prever la verificación efectiva de la identidad de los potenciales clientes al momento de su vinculación utilizando datos e información de fuentes confiables e independientes. Para el efecto, las entidades vigiladas pueden utilizar: (i) certificados de firma digital; (ii) biometría; (iii) mecanismos fuertes de autenticación; (iv) la información disponible en los bancos de datos administrados por operadores de información; (v) cualquier otro mecanismo tecnológico que garantice la realización de una verificación efectiva de la identidad del potencial cliente. Los mecanismos previstos en el numeral ii), iii) y v) deben ajustarse a las instrucciones para canales, medios, seguridad y calidad en el manejo de información en la prestación de servicios financieros, establecidas en el Capítulo I del Título II de la Parte I de esta CBJ ^[9].

• Procedimiento simplificado^[10]: Establecido como una excepción para operaciones, productos o servicios que se encuentran listados en el subnumeral 4.2.2.2.1.4. de la CBJ. Dicho procedimiento para personas naturales debe comprender, como mínimo, la individualización de los potenciales clientes a través de la verificación de su identidad al momento de su vinculación con la siguiente información: el tipo de identificación, el nombre, el número y la fecha de expedición del documento.

Los procedimientos simplificados de conocimiento del cliente para personas jurídicas deben comprender, como mínimo, la verificación, al momento de su vinculación, del documento que certifique la existencia y representación legal de la persona jurídica expedido por la autoridad competente. Dicho documento no podrá tener una vigencia superior a 30 días calendario. Para ambos procedimientos, tanto ordinario como simplificado las entidades vigiladas deberán dar cumplimiento de las disposiciones relacionadas con la consulta en listas vinculantes para Colombia, entender y obtener información sobre el propósito que se pretende dar a la relación contractual con los clientes, la identificación de si se trata de una Persona Expuesta Políticamente, sus beneficiarios finales, el tipo de transacciones y en general, conocer al cliente en conjunto para determinar su riesgo frente al ingreso de dinero proveniente de lavado de activos o la canalización de recursos hacia la financiación del terrorismo o proliferación de armas de destrucción masiva. Todo en función del análisis del riesgo LAFT que el cliente o potencial cliente pueda generarle a la entidad vigilada.

Ahora bien, no debe perderse de vista que respecto de los clientes calificados por las entidades como de alto riesgo, de acuerdo con lo establecido en el artículo 4.2.2.2.1.1.3.4. del Capítulo IV del Título IV de la Circular Básica Jurídica, las entidades deben emplear medidas intensificadas para obtener la información necesaria del potencial cliente para adelantar una adecuada y efectiva gestión del riesgo LAFT. Así, las medidas intensificadas pueden comprender, para personas naturales:

• Obtener información adicional acerca del origen de sus bienes y/o fondos, su patrimonio y sus relaciones contractuales con otras entidades vigiladas.
• Realizar una entrevista y/o visita.
• Efectuar una revisión en bases de datos de entidades públicas.
• Cualquier otra medida intensificada que sea eficaz y proporcional a los riesgos identificados por entidad.

Adicionalmente, lo invitamos a consultar la “Guía SARLAFT”, documento que consolida temas de interés en relación con su petición, concernientes a la prevención del riesgo de LAFT, así como las competencias de esta Superintendencia, accediendo al siguiente vínculo: https://www.superfinanciera.gov.co/jsp/10086577.

1. Sobre la política de tratamiento de datos

En atención a lo anterior nos permitimos señalar que la entidad, en el proceso de establecer y administrar su política y autorización para el tratamiento de datos debe ceñirse a lo señalado por el marco jurídico aplicable al habeas data el cual exponemos a continuación:

1. CONSTITUCIÓN POLÍTICA DE COLOMBIA

1. Derecho Fundamental de Habeas Data (artículo 15): El derecho fundamental de habeas data se encuentra consagrado en el artículo 15 de la Constitución Política, según la cual:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido

sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. (…)”

1. Derecho a la Información (artículo 20): De igual manera el artículo 20 de constitución consagra el derecho a la información conexo al derecho de habeas data de la siguiente manera:

“Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos son libres y tienen responsabilidad social.”

• LEY 1266 DE 2008

• Objeto y alcance: A través de la Ley Estatutaria se desarrollan los derechos de habeas data y derecho a la información, en particular respecto del manejo de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

• Dato Personal (artículo 3 literal e): La introduce la definición de dato personal de la siguiente manera:

“e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados”.

• Sentencia C-1011 de 2008: Dicha norma fue objeto de la sentencia de constitucionalidad C-1011 de 2008, mediante la cual la Corte Constitucional declaró su exequibilidad parcial.

• Deberes de las fuentes de información^[11]: La norma introduce una serie de obligaciones en cabeza de las fuentes de información.

• LEY 1581 DE 2012

• Objeto y alcance: A través de la Ley Estatutaria 1581 de 2012, se reglamentó de manera general el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido en bases de datos o archivos^[12].

De igual medida la norma señaló que los principios y las disposiciones contenidas en la misma serán aplicables al tratamiento de datos personales en Colombia o al tratamiento fuera de Colombia de datos de personas naturales domiciliadas en Colombia^[13].

• Principios: De igual manera la ley estableció los principios para el tratamiento de datos personales, similares a los principios de la administración del dato financiero dispuestos por la Ley 1266 de 2008, dentro de las cuales se encuentran el de veracidad o calidad de los registros datos, principios de finalidad, circulación restringida, temporalidad de la información, interpretación integral de derechos constitucionales, seguridad y confidencialidad.

• Sentencia C-748 de 2011: Dicha norma fue objeto de la sentencia de constitucionalidad C-748 de 2011, mediante la cual la Corte Constitucional declaró su exequibilidad parcial.

• Sector de los datos personales: El ámbito de aplicación de dicha norma se refiere a un sector de los datos personales, es decir, a los mecanismos para la recopilación, almacenamiento y circulación de información de carácter financiero, comercial y crediticio o aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias.

• DECRETO 1377 DE 2013: A través de dicho decreto se reglamentó la Ley 1581 de 2012.

4. LEY 2157 de 2021

4.1 Objeto y alcance: Modifica y adiciona ciertos aspectos de la Ley 1266 de 2008.

1. Seguridad Biométrica y Firma Digital

En desarrollo de sus facultades legales, la SFC ha impartido a sus entidades, varios instructivos que propenden por la seguridad y calidad de la información para la realización de operaciones, entre los cuales se encuentra la CBJ, instructivo que puede consultar en nuestro sitio web www.superfinanciera.gov.co , en el ícono normativa/Normativa General.

Cabe resaltar que la CBJ en la Parte I, Título II, Capítulo I establece unos requerimientos generales, relacionados con la seguridad y calidad de la información (numeral 2.3.3.1), al tiempo que plantea unos requerimientos especiales (2.3.4), teniendo en cuenta las características propias de cada canal de distribución de servicios financieros, que son de obligatorio cumplimiento para las entidades destinatarias de esta Circular; así mismo, dicho instructivo establece una serie de definiciones y obligaciones con el propósito de que las entidades vigiladas presten sus servicios a clientes y usuarios en condiciones de seguridad y calidad, exigiendo para ello unas condiciones mínimas en las operaciones monetarias y no monetarias que se realicen a través de los distintos canales transaccionales, sin perjuicio de los demás mecanismos, políticas, controles, etc., que cada entidad decida establecer para optimizar sus servicios.

En efecto, la precitada Circular define en el numeral 2.2.5 de la misma Parte, Título y Capítulo, a la autenticación, como el

“Conjunto de técnicas y procedimientos utilizados para verificar la identidad de un cliente, entidad o usuario. Los factores de autenticación son: algo que se sabe, algo que se tiene, algo que se es”.

Las entidades vigiladas pueden hacer uso de los mecanismos fuertes de autenticación para verificar la identidad de un cliente, entidad o usuario, o para la confirmación de operaciones, tal y como a continuación se citan:

“2.2.6. Mecanismos fuertes de autenticación: Se entienden como mecanismos fuertes de autenticación los siguientes:

2.2.6.1. Biometría en combinación con un segundo factor de autenticación para operaciones no presenciales. En aquellos eventos en que la operación se efectúe de manera presencial no se requerirá el uso de un segundo factor de autenticación.

2.2.6.2. Certificados de firma digital de acuerdo a lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios. (La negrilla es nuestra)

2.2.6.3. OTP (One Time Password), en combinación con un segundo factor de autenticación.

2.2.6.4. Tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación.

2.2.6.5. Registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación”.

Ahora bien, las anteriores normas definen los canales, medios, seguridad y calidad en el manejo de información en la prestación de servicios financieros^[14] pues en ellas se determinaron los aspectos referentes a la biometría en los siguientes términos:

“2.3.9 Requerimientos mínimos para la implementación y uso de biometría como factor de autenticación electrónica. En aquellos eventos en que las entidades usen biometría como factor de autenticación electrónica, deben realizar el proceso de verificación de la identidad del cliente contra las bases de datos de la Registraduría Nacional del Estado Civil, los operadores de servicios ciudadanos digitales o de identidad digital autorizados, o contra sus propias bases de datos. Las entidades deben establecer mecanismos alternativos que permitan completar los procesos de autenticación, cuando por razones médicas o físicas el cliente no pueda hacer uso de la biometría’.

De acuerdo con lo anterior, es preciso concluir que las entidades vigiladas podrían utilizar la biometría como mecanismo válido aplicable para adelantar un adecuado conocimiento de sus clientes, siempre que se cumpla con los presupuestos fijados en la norma sobre canales antes citados relativos a la verificación de la identidad y el cruce en bases de datos descrito, lo cual debe permitir obtener la validación efectiva y oportuna de la identidad del potencial cliente, previamente a su vinculación a un producto o servicio financiero.

De otra parte, es necesario advertir que, en relación con la firma digital, la SFC ha emitido diversos pronunciamientos a partir de los referentes normativos generales que resultan aplicables al firmante de un mensaje de datos.

Es el caso de los oficios 2020103823 del 14 de julio de 2020 y 2020308889-001 del 16 de febrero de 2021, los cuales pueden ser consultados en nuestro sitio web www.superfinanciera.gov.co , en el ícono Normativa/Conceptos y Jurisprudencia, se expresa:

“(…) en cuanto corresponde a la identificación del firmante en un mensaje de datos, se destaca que la Ley 527 de 1999 y su Decreto Reglamentario 2364 de 2012, incorporado en el Decreto 1074 de 2015 -Decreto Único Reglamentario de Sector

Comercio, Industria y Turismo, instruye dos tipos de firma. la digital y la electrónica.

Respecto de la primera, el artículo 28 de la prenombrada Ley 527 prescribe que “Cuando una firma digital^[15] haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo” y, reconoce, que el uso de aquella “…tendrá la misma fuerza y efectos que el uso de una firma manuscrita”, siempre que incorpore los atributos señalados en el mismo artículo, entre ellos que sea “susceptible de ser verificada” (Parágrafo, numeral 2).

En línea con el atributo en cuestión, referido a la capacidad de verificación, la norma en comento exige a los suscriptores de firmas digitales una serie de deberes, dentro de los cuales se destaca el de “Recibir la firma digital por parte de la entidad de certificación o generarla, utilizando un método autorizado por ésta” (artículo 39).

En relación con la segunda, el Decreto Único 1074 de 2015, en su artículo 2.2.2.47.5 establece: “La firma electrónica tendrá la misma validez y efectos jurídicos que la firma, si aquella cumple con los requisitos establecidos en el artículo 2.2.2.43.3 de este decreto”, disposición que a su vez señala: “Cuando se exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea tan confiable como apropiada para los fines con los cuales se generó o comunicó ese mensaje”.

“Así, se deduce del texto de las disposiciones transcritas que a la firma digital y a la electrónica se les otorgan los mismos efectos jurídicos de la firma manuscrita siempre y cuando cumplan con los requisitos de confiabilidad por ellas exigidos”.

De esta forma, cuando se firma un documento de manera digital, la firma acaba vinculada a la persona firmante de forma exclusiva, la firma se asocia al documento mediante cifrado y todo puede verificarse con la tecnología que conocemos como “infraestructura de clave pública”, es decir, un sistema que permite la ejecución de operaciones criptográficas como es el caso de la firma digital.

Sin perjuicio de lo expuesto, en lo que respecta a la implementación de la firma electrónica o digital en el proceso de vinculación y su validez, este es uno de “(…) los procedimientos del Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo que deben implementar las entidades vigiladas por parte de este Ente de Control al momento de vincular a sus clientes”, tal y como se desprende del concepto emitido por esta Superintendencia, con el radicado número 2018073328-009 del 28 de agosto de 2018.

Desde el punto de vista de la gestión del riesgo operacional, cada entidad define los procesos, procedimientos y los controles, así como la tecnología para realizar de forma segura la implementación de la biometría y de la firma digital, como mecanismos fuertes de autenticación, dentro del proceso de vinculación de sus clientes.

Es importante señalar que si bien es cierto que la Superintendencia Financiera, en desarrollo de sus facultades legales, imparte instrucciones sobre la forma como las entidades vigiladas deben cumplir las disposiciones que regulan su actividad, fijando criterios técnicos y jurídicos que faciliten su cumplimiento, también lo es que en cumplimiento del principio de neutralidad tecnológica, no determina el cómo las instituciones financieras implementan el cumplimiento de los distintos requerimientos, en razón a la autonomía de la voluntad de que gozan las entidades vigiladas para administrar los diferentes riesgos propios de su objeto social, estructura, tamaño y según el tipo de entidad definida en el Estatuto Orgánico del Sistema Financiero y demás disposiciones que lo modifiquen o adicionen.

De esta manera dejamos atendido el objeto de su consulta, con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

¿Deseas contestar una breve encuesta sobre nuestro servicio? Da clic aquí o ingresa a la encuesta de satisfacción disponible en el portal www.superfinanciera.gov.co enlace Atención y servicios a la ciudadanía/Atención al ciudadano/Encuesta de satisfacción.

Cordialmente,

JULIAN VENEGAS GOMEZ

544000-DIRECTOR LEGAL DE PREVENCIÓN Y CONTROL LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO (E)

544000-DIRECCION LEGAL DE RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO

Copia a:

Elaboró:

SERGIO ESTEBAN MENDIVELSO RAMIREZ

Revisó y aprobó:

JULIAN VENEGAS GOMEZ

Notas:

[1] Cfr. Artículo 4.2.2.1.8. del Capítulo IV del Título IV de la Circular Básica Jurídica “Prever procesos para llevar a cabo un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, así como la verificación de la información suministrada y sus correspondientes soportes, atendiendo como mínimo los requisitos establecidos en el presente instructivo”.

[2] Cfr. Artículo 4.2.2.2.1. del Capítulo IV del Título IV de la Circular Básica Jurídica “Conocimiento del cliente. El SARLAFT debe contar con procedimientos para obtener un conocimiento efectivo, eficiente y oportuno de todos los clientes actuales y potenciales, así como para verificar la información y los soportes de la misma”.

[3] Cfr. Artículo 4.2.2.2.1.1. del Capítulo IV del Título IV de la Circular Básica Jurídica “Procedimiento ordinario del cliente”.

[4] Cfr. Artículo 4.2.2.2.1.4 del Capítulo IV del Título IV de la Circular Básica Jurídica “Procedimientos simplificados de conocimiento del cliente”.

[5] Cfr. Artículo 4.2.2.2.1.1.3.4. del Capítulo IV del Título IV de la Circular Básica Jurídica, en relación con las medidas intensificadas para conocimiento de cliente.

[6] Cfr. numeral 1.6 del artículo primero del Capítulo IV del Título IV de la Circular Básica Jurídica “Cliente: Es toda persona natural o jurídica y estructuras sin personería jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto propio de su actividad”.

[7] Ibidem

[8] Cfr. artículo 4.2.2.2.1.1. del Capítulo IV del Título IV de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia.

[9] Cfr. artículo 4.2.2.2.1.1.1.1. sobre Identificación del cliente, Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, así como el artículo segundo, sobre definiciones aplicables, Capítulo I, Título II, Parte I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia.

[10] Cfr. artículo 4.2.2.2.1.4 sobre procedimiento simplificado de conocimiento de cliente, Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia.

[11] Deberes de las fuentes de la información. Las fuentes de la información deberán cumplir las siguientes obligaciones, sin perjuicio del cumplimiento de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: 1. Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable. 2. Reportar, de forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada. 3. Rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores. 4. Diseñar e implementar mecanismos eficaces para reportar oportunamente la información al operador. 5. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente ley. 6. Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización de conformidad con lo previsto en la presente ley. 7. Resolver los reclamos y peticiones del titular en la forma en que se regula en la presente ley. 8. Informar al operador que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma, con el fin de que el operador incluya en el banco de datos una mención en ese sentido hasta que se haya finalizado dicho trámite. 9. Cumplir con las instrucciones que imparta la autoridad de control en relación con el cumplimiento de la presente ley. 10. Los demás que se deriven de la Constitución o de la presente ley. 11. Reportar la información negativa de los titulares, máximo (18) meses después de la constitución en mora del titular.”

[12] Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.

[13] Artículo 2°. Ámbito de aplicación.Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales (…).

[14] Ver Capítulo I del Título II de la Parte I de esta Circular Básica Jurídica.

[15] El artículo 2, letra c) de la Ley 1527 de 1999, define la “Firma digital” en los siguientes términos: “Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación”

Puedes encontrar más información sobre: ¿Cómo implementar biometría y firma digital en SARLAFT?, en superfinanciera.gov.co

Además del tema relacionado con: ¿Cómo implementar biometría y firma digital en SARLAFT?, quizás te interese leer: ¿Cómo cumplir con la normativa de Supersociedades para la firma digital de actas y libros electrónicos? Concepto Supersociedades 220-266001