RESOLUCIÓN 27145 DE 2023

(noviembre 22)

Diario Oficial No. 52.587 de 22 de noviembre de 2023

REGISTRADURÍA NACIONAL DEL ESTADO CIVIL

Por la cual se imparten lineamientos y se establecen los requisitos para el acceso a los mecanismos de verificación y autenticación de identidad a partir de los sistemas de información de Registro Civil e Identificación y se dictan otras disposiciones.

EL REGISTRADOR NACIONAL DEL ESTADO CIVIL,

en ejercicio de sus facultades constitucionales y legales, en especial las conferidas por el artículo 26 del Decreto número 2241 de 1986, el artículo 25 del Decreto número 1010 de 2000 y

CONSIDERANDO:

Que, de conformidad con el artículo 266 de la Constitución Política, modificado por el Acto Legislativo 02 de 2015, corresponde a la Registraduría Nacional del Estado Civil ejercer, entre otras, la función de organizar y dirigir el Registro Civil y la Identificación de los colombianos, así como organizar las elecciones.

Que, el artículo 75 del Decreto número 2241 de 1986 señala que “El Registrador Nacional del Estado Civil podrá fijar, con aprobación del Consejo Nacional Electoral, las dimensiones y contenido de la cédula de ciudadanía y de la tarjeta de identidad”.

Que, el artículo 5o del Decreto número 1010 de 2000⁽¹⁾ enumera las funciones de la Registraduría Nacional del Estado Civil, entre de las cuales se encuentran:

“(…)

19. Expedir y elaborar las cédulas de ciudadanía de los colombianos, en óptimas condiciones de seguridad, presentación y calidad y adoptar un sistema único de identificación a las solicitudes de primera vez, duplicados y rectificaciones.

20. Atender todo lo relativo al manejo de la información, las bases de datos, el Archivo Nacional de Identificación y los documentos necesarios para el proceso técnico de la identificación de los ciudadanos, así como informar y expedir las certificaciones de los trámites a los que hubiere lugar.

(…)

23. Innovar en investigación y adopción de nuevas tecnologías, normas de calidad y controles que mejoren la producción de documentos de identificación y del manejo del registro civil.

(…)

25. Efectuar el recaudo del valor de los duplicados y rectificaciones de la cédula de ciudadanía, copias y certificaciones del registro civil y de los libros y publicaciones que edite la Registraduría, y las tarifas de los demás servicios que esta preste.

(…)”.

Que, de acuerdo con lo indicado en el artículo 38 del Decreto número 1010 de 2000, la Registraduría Delegada para el Registro Civil y la Identificación tiene las siguientes funciones:

“(…)

3. Identificar, promover y proponer convenios interinstitucionales con organismos del Estado que permitan la consulta de las bases de datos a fin de facilitar y mejorar la función pública.

(…)

5. Promocionar los servicios de consulta de las bases de datos de registro de identificación ciudadana a organismos privados del orden nacional, teniendo en cuenta las restricciones de ley.

(…)

7. Elaborar, conjuntamente con los directores de área, proyectos para el mejoramiento y desarrollo tecnológico de las funciones de todo el proceso que comprende la identificación ciudadana y el registro civil.

(…)”.

Que el artículo 2o de la Ley 1341 de 2009 modificado por la Ley 1978 de 2019, estipula los principios orientadores, entre los cuales señala que las Entidades tienen el deber de adoptar las medidas necesarias para garantizar el máximo aprovechamiento de las tecnologías de la información y las comunicaciones en el desarrollo de sus funciones, con el fin de lograr la prestación de servicios eficientes a los ciudadanos, priorizando el acceso y uso de las tecnologías de la información y las comunicaciones, el uso eficiente de la infraestructura y la masificación del gobierno en línea entre otros parámetros.

Que, a su turno, el artículo 227 de la Ley 1450 de 2011, modificado por el artículo 159 de la Ley 1753 de 2015, establece la obligatoriedad de suministro de información en los siguientes términos:

“Para el desarrollo de los planes, programas y proyectos incluidos en el Plan Nacional de Desarrollo y en general para el ejercicio de las funciones públicas, las entidades públicas y los particulares que ejerzan funciones públicas pondrán a disposición de las entidades públicas que así lo soliciten, la información que generen, obtenga, adquieran o controlen y administren, en cumplimiento y ejercicio de su objeto misional. El uso y reutilización de esta información deberá garantizar la observancia de los principios y normas de protección de datos personales, de conformidad con lo dispuesto en las Leyes 1581 de 2012 y 1712 de 2014, así como las demás normas que regulan la materia.

El suministro de la información será gratuito, deberá solicitarse y realizarse respaldado en estándares que faciliten el proceso de intercambio y no en tecnologías específicas que impidan el acceso, no estará sujeto al pago de tributo, tarifa o precio alguno y las entidades públicas solo podrán cobrar los costos asociados a su reproducción o los derivados de la aplicación de procesamientos o filtros especiales. Las entidades públicas propenderán por la integración de los sistemas de información para el ejercicio eficiente y adecuado de la función pública.

Las obligaciones a las que hace referencia este artículo constituyen un deber para los servidores públicos en los términos del artículo 34 del Código Disciplinario Único y los términos para su cumplimiento deberán atender lo dispuesto en la Ley Estatutaria del Derecho de Petición.

Las curadurías urbanas entregarán a los entes territoriales que lo soliciten la información pertinente sobre las solicitudes, expediciones y aprobaciones de todos los actos administrativos de licenciamiento urbanístico, a fin de que estos puedan ejercer con oportunidad y eficacia los respectivos procesos de vigilancia y control del desarrollo urbanístico e inmobiliario. Para el efecto, cada ente territorial acordará con las curadurías urbanas respectivas los medios para el reporte de la información.

PARÁGRAFO 1o. Para el reconocimiento de derechos pensiónales y el cumplimiento de la labor de fiscalización de competencia de la Unidad Administrativa Especial de Gestión Pensional y Contribuciones Parafiscales de la Protección Social (UGPP), esta tendrá acceso a la información alfanumérica y biográfica que administra la Registraduría Nacional del Estado Civil, así como a la tributaria de que trata el artículo 574 y el Capítulo III del Título II del Libro V del Estatuto Tributario que administra la Dirección de Impuestos y Aduanas Nacionales. La UGPP podrá reportar los hallazgos a las Administradoras del Sistema de Protección Social, para que adelanten las acciones bajo su competencia. Para estos efectos, la UGPP requerirá a la Dirección de Impuestos y Aduanas Nacionales, dentro de lo de su competencia, para obtener la información necesaria.

PARÁGRAFO 2o. La Registraría Nacional de Estado Civil, permitirá el acceso a la información alfanumérica, biográfica y biométrica que soliciten las administradoras del sistema de seguridad social integral en pensiones, salud y riesgos laborales, para que adelanten las accione estrictamente relacionadas con el cumplimiento de su objetivo misional.

Las entidades públicas o particulares con funciones públicas que quieran verificar la plena identidad de los ciudadanos contra la base de datos biométrica que produce y administra la Registraduría Nacional de Estado Civil, podrán implementar su propia infraestructura para acceder directamente o a través de un aliado tecnológico certificado por la Registraduría para consultar en línea las minucias dactilares.

Los particulares que desarrollen las actividades del artículo 335 de la Constitución Política y los demás que autorice la Ley, podrán acceder a las réplicas de las bases de datos de identificación de la Registraduría y consultar en línea minucias dactilares, utilizando infraestructura propia o a través de un aliado tecnológico certificado por la Registraduría. Para ello deberán previamente cubrir los costos que anualmente indique la Registraduría, por concepto de Administración, soporte, mantenimiento de las aplicaciones y de las actualizaciones de las bases de datos”.

Que, el artículo 18 del Decreto número 019 de 2012 estableció que:

“En los trámites y actuaciones que se cumplan ante las entidades públicas y los particulares que ejerzan funciones administrativas en los que se exija la obtención de la huella dactilar como medio de identificación inmediato de la persona, esta se hará por medios electrónicos. Las referidas entidades y particulares contarán con los medios tecnológicos de interoperabilidad necesarios para cotejar la identidad del titular de la huella con la base de datos de la Registraduría Nacional del Estado Civil.

Si el trámite no requiere de la identificación inmediata de la persona, la autoridad o el particular encargado de funciones administrativas coordinarán con la Registraduría Nacional del Estado Civil el mecanismo de verificación de la información requerida. Cuando por razones físicas la persona que pretenda identificarse no pueda imponer la huella dactilar o esta carezca de calidad suficiente para identificarla, la verificación de la identidad se hará mediante la comparación de su información biográfica con la que reposa en la base de datos de la Registraduría Nacional del Estado Civil. De igual forma, se procederá para identificar a personas menores de siete (7) años, caso en el cual deberá acompañarse copia del Registro Civil de Nacimiento.

La comprobación de identidad a través de la Registraduría Nacional del Estado Civil no tendrá costo para la entidad pública o el particular que ejerza funciones administrativas”.

Que, con el fin de dar cumplimiento a lo dispuesto en el parágrafo segundo del artículo 227 de la Ley 1450 de 2011, modificado por el artículo 159 de la Ley 1753 de 2015, el Registrador Nacional del Estado Civil expidió la Resolución número 5633 de 29 de junio de 2016⁽²⁾, en la cual se establecieron las condiciones y el procedimiento para permitir el acceso a la base de datos para la validación de la identidad de los colombianos.

Que, el Registrador Nacional del Estado Civil, mediante Resolución número 4173 del 20 de mayo de 2016, fijó la Política de Seguridad de la Información de la Registraduría Nacional del Estado Civil.

Que, dado el auge tecnológico, las nuevas soluciones a nivel de procesamiento de altos volúmenes de información (Big Data), el desarrollo del comercio electrónico en Colombia y la evolución de las redes de comunicación e internet móvil (3G, 4G y 5G), el Gobierno nacional expidió la Ley 1955 de 2019 mediante la cual expidió el Plan Nacional de Desarrollo 2018-2022, “Pacto por Colombia, Pacto por la Equidad”, que incorpora la necesidad de evolucionar el sector público en Colombia a través de la implementación de soluciones digitales, entre ellas la implementación de todos los trámites nuevos en forma digital o electrónica sin ninguna excepción y la política de racionalización de trámites. En ese sentido, el artículo 147 establece:

“Las entidades estatales del orden nacional deberán incorporar en sus respectivos planes de acción el componente de transformación digital siguiendo los estándares que para este propósito defina el Ministerio de Tecnologías de la Información y las Comunicaciones. En todos los escenarios la transformación digital deberá incorporar los componentes asociados a tecnologías emergentes, definidos como aquellos de la Cuarta Revolución Industrial, entre otros.

Las entidades territoriales podrán definir estrategias de ciudades y territorios inteligentes, para lo cual deberán incorporar los lineamientos técnicos en el componente de transformación digital que elabore el Ministerio de Tecnologías de la Información y las Comunicaciones.

Los proyectos estratégicos de transformación digital se orientarán por los siguientes principios:

(…)

8.) Implementación de todos los trámites nuevos en forma digital o electrónica sin ninguna excepción, en consecuencia, la interacción del Ciudadano-Estado solo será presencial cuando sea la única opción, y, 9.) Implementación de la política de racionalización de trámites para todos los trámites, eliminación de los que no se requieran, así como en el aprovechamiento de las tecnologías emergentes y exponenciales”.

Que, a su turno, el artículo 333 de la misma ley establece:

“De conformidad con lo establecido en el artículo 150, numeral 10, de la Constitución Política, revístese al Presidente de la República de precisas facultades extraordinarias, por el término de seis (6) meses, contados a partir de la fecha de publicación de la presente ley, para: Simplificar o suprimir o reformar trámites, procesos y procedimientos innecesarios existentes en la administración pública”.

Que, el Consejo Nacional de Política Económica y Social 3975 de 2019 definió la “Política Nacional para la Transformación Digital e Inteligencia Artificial”, documento que incorpora la política que tiene como objetivo marco potenciar “(…) la generación de valor social y económico en Colombia mediante el uso estratégico de tecnologías digitales en el sector público y privado, impulsando la productividad y favoreciendo a los ciudadanos, igualmente, genera los habilitadores para la transformación sectorial con el fin de aprovechar y enfrentar esos retos derivados de la Cuarta Revolución Industrial (4RI)”⁽³⁾, y dentro del cual, se establecieron objetivos específicos, entre otros los de:

“OE 1. Disminuir las barreras que impiden la incorporación de tecnologías digitales en el sector privado y en el sector público para facilitar la transformación digital del país.

OE 2. Crear condiciones habilitantes para la innovación digital en los sectores público y privado con el propósito que sea un mecanismo para el desarrollo de la transformación digital.

(…)”.

Que, el Decreto número 620 de 2020 del 2 de mayo de 2020⁽⁴⁾ estableció la definición de “Identificación por medios digitales” bajo el entendido que será a través de la cédula de ciudadanía digital y por biometría, conforme a la reglamentación que establezca la Registraduría; es así como en el artículo 2.2.17.1.4 del Decreto número 1078 de 2015, consagra la cédula de ciudadanía digital como el equivalente funcional de la cédula de ciudadanía expedida por la Registraduría Nacional del Estado Civil.

Que, la Ley 2052 de 2020 obliga a las entidades que integran la rama ejecutiva del nivel nacional y territorial, y particulares que cumplan funciones públicas y/o administrativas, a la automatización y digitalización de los trámites conforme a los lineamientos establecidos por el Departamento Administrativo de la Función Pública y el Ministerio de Tecnologías de la Información y las Comunicaciones, además, obliga a todas estas autoridades a que desde la entrada en vigencia de esta ley, deban proveer a todos los ciudadanos sus trámites en línea.

Que, el anexo de la Resolución número 2160 de 23 de octubre de 2020, “por la cual se expide la Guía de Lineamientos de los Servicios Ciudadanos Digitales y la Guía para Vinculación y uso de estos” del Ministerio de Tecnologías de la Información y las Comunicaciones, dispone que para el acceso a este servicio las entidades deben identificar y determinar el riesgo y grado de confianza requerido para sus procesos, y de esta forma elegir el mecanismo de autenticación más acorde a la necesidad. El servicio de autenticación brinda cuatro mecanismos de autenticación clasificados según la confianza y garantía que ofrecen del más bajo al más alto. En tal sentido, para el grado de confianza medio se requiere la consulta al Archivo Nacional de Identificación (ANI) y Sistema de Información de Registro Civil (SIRC) y para el grado alto y más alto, es necesaria la consulta a la base de datos de biometría de la Registraduría y la cédula digital, respectivamente.

Que, el artículo 1o de la Ley 2080 de 2021⁽⁵⁾ indicó:

“Modifíquense los numerales 1 y 9 y adiciónense los numerales 10 y 11 al artículo 5o de la Ley 1437 de 2011, el cual quedará así:

Artículo 5o. Derechos de las personas ante las autoridades. En sus relaciones con las autoridades, toda persona tiene derecho a:

(…)

10. Identificarse ante las autoridades a través de medios de autenticación digital.

(…)”.

Que, los servicios para el acceso y consulta a las bases de datos de la información que produce y administra la Registraduría Nacional del Estado Civil se deben prestar en condiciones de calidad, eficiencia, seguridad, desempeño, auditoría, concurrencia, integridad, debiendo tanto la Registraduría Nacional del Estado Civil, como las entidades públicas o particulares con funciones públicas y particulares autorizados por la ley, garantizar la observancia de las limitaciones de acceso y uso referidas al derecho de habeas data, privacidad, reserva estadística, los asuntos de defensa y seguridad nacional, y en general, todos aquellos temas a los que la ley les haya otorgado el carácter de reserva, así como, no permitir el uso indebido de la información al tenor de lo previsto en la Ley 1581 de 2012, el Decreto número 1377 de 2013 y Decreto número 1081 de 2015, relacionadas con la protección de datos personales, y las políticas de seguridad informática establecidas por la Registraduría Nacional del Estado Civil.

Que, la Registraduría Nacional del Estado Civil escuchó los diversos sectores productivos del país, a través de la realización de pruebas piloto de concepto de biometría facial con diversas entidades que conforme a sus funciones misionales y/u objeto social, con el fin de que la Entidad pudiera adelantar escenarios que le permitan definir los lineamientos técnicos, de seguridad, confidencialidad y disponibilidad de la información para el establecimiento de la regulación normativa que posibilite a las entidades habilitadas por la ley acceder a servicios de autenticación biométrica facial de los colombianos. Este proceso le permitió a esta Entidad la definición técnica y jurídica del funcionamiento de la identidad digital en Colombia, a partir de las actuales condiciones con las que cuenta el Sistema Nacional de Identificación y mediante el uso de las biometrías empleadas dentro del proceso para la generación de documentos de identidad para dar cumplimiento a la definición establecida dentro de los servicios ciudadanos digitales.

Que, con fundamento en todo lo anterior, las entidades públicas y los particulares que ejerzan funciones públicas y particulares autorizados por la ley que requieran consultar las bases de datos que produce y administra la Registraduría Nacional del Estado Civil, deberán cumplir con los requerimientos descritos mediante el presente acto administrativo y sus respectivos anexos técnicos.

En mérito de lo expuesto,

RESUELVE:

TÍTULO I.

DISPOSICIONES GENERALES PARA EL ACCESO A LAS BASES DE DATOS BIOGRÁFICAS Y BIOMÉTRICAS DE LA REGISTRADURÍA NACIONAL DEL ESTADO CIVIL.

CAPÍTULO I.

OBJETO, CAMPO DE APLICACIÓN Y DEFINICIONES.

ARTÍCULO 1o. OBJETO Y CAMPO DE APLICACIÓN. La presente resolución tiene por objeto impartir lineamientos y establecer los requisitos para el acceso a los mecanismos de verificación y autenticación de identidad digital a partir de los sistemas de información de Registro Civil e Identificación de la Registraduría Nacional del Estado Civil.

ARTÍCULO 2o. DEFINICIONES. Para efectos del presente acto administrativo, se precisan los términos relacionados con el acceso a los mecanismos de verificación y autenticación de identidad digital a partir de los sistemas de información de Registro Civil e Identificación de la Registraduría Nacional del Estado Civil:

Acceso a datos web: Está relacionado con el medio de acceso para realizar las consultas vía web, entendiéndose como tal, el uso de internet.

Acuerdo de Obligaciones para el debido tratamiento de la información, reserva legal y seguridad de las bases de datos que produce y administra la Registraduría Nacional del Estado Civil: Es el documento que debe suscribir la entidad autorizada y el Operador de Autenticación de Identidad Digital (OAID) con la Registraduría Nacional de Estado Civil en el momento de recibir la correspondiente autorización de acceso o certificación, en el cual se detallarán las obligaciones tanto legales como acordadas frente al debido y correcto uso de la información. El incumplimiento parcial o total de lo allí establecido acarreará las sanciones a que haya lugar.

Aliado Tecnológico: Empresa de tecnología presentada por una entidad pública o privada para realizar los procesos de autenticación biométrica y/o autenticación de identidad.

Archivo Nacional de Identificación (ANI): Base de datos que contiene la información biográfica de las cédulas de ciudadanía expedidas por la Registraduría Nacional del Estado Civil desde 1952.

Autenticación Biométrica: Es el proceso de verificar la identidad de una persona a partir de sus rasgos morfológicos codificados en el Sistema Nacional de Identificación de la Registraduría Nacional del Estado Civil.

Autenticación de identidad: Mecanismo que permite validar la identidad de una persona en entornos digitales a partir de las bases de datos de Identificación de la Registraduría Nacional del Estado Civil de manera directa.

Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

Cédula de Ciudadanía digital: Es el equivalente funcional de la cédula de ciudadanía. Corresponde al documento digital expedido por la Registraduría Nacional del Estado Civil que permite identificarse en medios digitales.

Cifrado: Proceso tecnológico que permite transformar la información de tal forma que resulte ilegible para usuarios no autorizados.

Codificación de datos biométricos: Proceso mediante el cual se genera la plantilla de los datos biométricos para el proceso de cotejo.

Interoperabilidad: Capacidad tecnológica de dos o más sistemas o componentes para el intercambio seguro de información.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales, determinadas o determinables.

Dispositivo biométrico dactilar: Equipo electrónico que permiten realizar la captura de un rasgo biométrico dactilar de una persona, la transmisión segura de la misma para propósitos de autenticación de identidad y que cumplen con los requerimientos establecidos en el Anexo Técnico número 2, homologados por la Registraduría Nacional del Estado Civil.

Nivel de confianza: Grado de seguridad determinado por la Entidad autorizada por la ley para verificar y/o autenticar la identidad de las personas de acuerdo con los Mecanismos de Autenticación dispuestos por la Registraduría Nacional del Estado Civil.

Operador de Autenticación de Identidad Digital (OAID): Entidad certificada por la Registraduría Nacional del Estado Civil para prestar el servicio de autenticación de la identidad de las personas en entornos digitales a partir de las bases de datos oficiales de Identificación, clasificados de la siguiente manera:

- Nivel 1: Operador de Autenticación de Identidad Digital certificado en biometría dactilar.

- Nivel 2: Operador de Autenticación de Identidad Digital certificado en biometría facial y con certificación de Nivel 1 vigente.

- Nivel 3: Operador de Autenticación de Identidad Digital certificado en interoperabilidad con cédula digital y con certificaciones de nivel 1 y 2 vigentes.

Procesamientos o filtros especiales adicionales: Consulta de información realizada sobre una o varias bases de datos bajo criterios específicos, que implica destinar recursos adicionales por parte de la Registraduría Nacional del Estado Civil para la generación de los resultados respectivos.

Registraduría: Registraduría Nacional del Estado Civil.

Sistema de Información de Registro Civil (SIRC) Sistema de información oficial del estado civil de las personas que contiene los datos de los registros civiles de nacimiento, matrimonio y defunción.

Formato de términos y condiciones de acceso: Documento que establece los requerimientos y obligaciones para las entidades autorizadas, con el objeto de permitir el acceso a los mecanismos de autenticación de identidad a partir de los sistemas de información de Registro Civil e Identificación de la Registraduría Nacional del Estado Civil.

CAPÍTULO II.

REQUISITOS GENERALES PARA EL ACCESO A LAS BASES DE DATOS QUE PRODUCE Y ADMINISTRA LA REGISTRADURÍA NACIONAL DEL ESTADO CIVIL.

ARTÍCULO 3o. REQUISITOS GENERALES PARA EL ACCESO A DATOS. Las entidades interesadas en acceder y consultar los datos biográficos y biométricos que produce y administra la Registraduría Nacional del Estado Civil deberán presentar solicitud escrita a la Secretaría General de la Entidad, indicando el sistema de información al que requieren acceso, los datos a consultar, el propósito y las razones en que se fundamenta la necesidad sobre dicha información, las cuales deben estar relacionadas con la función legal y competencias que desarrollan.

La Registraduría Nacional del Estado Civil permitirá la consulta de la información teniendo en cuenta los términos, procedimientos, condiciones establecidas en la presente resolución, garantizando el cumplimiento de las limitaciones de acceso y uso referidas al derecho de habeas data, privacidad, reserva estadística, circulación restringida, asuntos de defensa y seguridad nacional y en general toda aquella información que tenga el carácter de reserva legal o sensible.

PARÁGRAFO 1o. La Registraduría Nacional del Estado Civil, en ninguna circunstancia, cederá total o parcialmente los datos ni las bases de datos que produce y administra, así como tampoco cederá su administración, por lo que, para la consulta a los datos de registro civil y/o identificación deben acceder a través de los mecanismos de interoperabilidad dispuestos por la entidad.

PARÁGRAFO 2o. Se encuentra prohibido revelar, divulgar, exhibir, mostrar, hacer circular, compilar, sustraer, ofrecer, vender, intercambiar, captar, interceptar, modificar, recolectar, almacenar, replicar, complementar o crear bases de datos de manera temporal o definitiva con la información dada a conocer por la Registraduría Nacional del Estado Civil.

ARTÍCULO 4o. REQUISITOS ESPECIALES PARA ENTIDADES PÚBLICAS INTERESADAS. Las entidades de carácter público deberán presentar, además de lo establecido en el anterior artículo, el documento en el cual se indique la necesidad de acceder a la información, justificación del uso y finalidad que le dará a la misma, conforme a la normatividad legal vigente y acorde al desarrollo de su objeto social, indicando la cantidad de consultas estimadas a realizar mensual y anualmente y anexando lo siguiente:

a) Documento de análisis de riesgos: Deberá analizar los riesgos previsibles, clasificación del riesgo y forma de mitigarlos, asociados al tratamiento de datos personales, los cuales deben ser presentados en un documento anexo a la solicitud escrita.

b) Modelo de operación para consumo de los servicios de la base de datos requerida donde se establezca la arquitectura tecnológica propuesta para el acceso a las bases de datos, el cual debe contener, entre otros:

- Infraestructura tecnológica (hardware, software, comunicaciones, seguridad) donde realizarán las transacciones de consulta al Archivo Nacional de identificación y/o Sistema de Información de Registro Civil.

- Conexiones entre los diferentes componentes de la infraestructura.

- Ubicación geográfica de la infraestructura (Datacenter en Colombia, nube pública, nube privada, nube mixta, etc.) ambientes productivos y de contingencia.

- Especificar las medidas de seguridad perimetral de acuerdo con la ubicación geográfica de los equipos.

- Tipo de seguridad en los canales de comunicación.

- Flujo de la información y controles de integridad que se pretenden aplicar.

- Controles de seguridad de acuerdo con las políticas de seguridad (ISO 27001 en su última actualización) y los ANS del proveedor en la nube (si lo hay).

- En caso de utilizar servicios en la nube, deberá informar y suministrar los requisitos que exija la Registraduría Nacional del Estado Civil.

c) Documento que acredite la creación de la entidad pública y la capacidad jurídica de quien suscribirá el convenio.

d) Documento de identificación, acta de nombramiento y posesión del representante legal.

e) Copia de las Políticas de Seguridad de la Información adoptada por la Entidad, conforme a los dominios de la norma ISO 27001 en su última actualización o su equivalente.

f) Para la consulta a las bases de datos biométricas que produce y administra la Registraduría Nacional del Estado Civil, deberán cumplir con los requisitos específicos determinados en las modalidades de autenticación de identidad digital descritos en esta resolución.

ARTÍCULO 5o. REQUISITOS ESPECIALES PARA ENTIDADES DE NATURALEZA PRIVADA. Las entidades de carácter privado deben presentar documento en el cual se indique la necesidad de acceder a la información, justificación, el uso y la finalidad que le dará a la misma conforme a la normatividad legal vigente y al desarrollo de su objeto social, indicando la cantidad de consultas estimadas a realizar mensuales y anualmente de acuerdo con el costo establecido en el acto administrativo que define las tarifas vigentes. Asimismo, deberá remitir la siguiente información:

a) Documento de análisis de riesgos: Deberá analizar los riesgos previsibles, clasificación del riesgo y forma de mitigarlos, asociados al tratamiento de datos personales, los cuales deben ser presentados en un documento anexo a la solicitud escrita.

b) Modelo de operación para consumo de servicios de la base de datos requerida donde establezca la arquitectura tecnológica propuesta para el acceso a las bases de datos, el cual debe contener, entre otros:

- Infraestructura tecnológica (hardware, software, comunicaciones, seguridad) donde realizarán las transacciones de consulta al Archivo Nacional de identificación y/o Sistema de Información de Registro Civil.

- Conexiones entre los diferentes componentes de la infraestructura.

- Ubicación geográfica de la infraestructura (Datacenter en Colombia, en el exterior, nube pública, nube privada, nube mixta, etc.) ambientes productivos y de contingencia.

- Especificar las medidas de seguridad perimetral de acuerdo con la ubicación geográfica de los equipos.

- Tipo de seguridad en los canales de comunicación.

- Flujo de la información y controles de integridad que se pretenden aplicar.

- Controles de seguridad de acuerdo con las políticas de seguridad (ISO 27001:2020 o en su última actualización) y los ANS del proveedor en la nube (si lo hay).

- En caso de utilizar servicios en la nube, adicionalmente deberá informar y suministrar los requisitos que exija la Registraduría Nacional del Estado Civil.

c) Documentos en el cual se otorga específicamente las facultades al representante para contratar y el monto para llevar a cabo los contratos.

d) Documentos que identifiquen al representante legal, como cédula de ciudadanía o cédula de extranjería.

e) Certificados de existencia y representación legal en Colombia, con fecha de expedición menor a 30 días.

f) Certificado de aportes al Sistema General de Seguridad Social en Salud, Pensión y Riesgos Laborales, al igual que aportes a parafiscales, de conformidad con el artículo 50 de la Ley 789 de 2002.

g) Certificaciones de antecedentes disciplinarios, fiscales y de medidas correccionales de la persona jurídica y su representante legal.

h) Copia de las Políticas de Seguridad de la Información adoptada por la Entidad interesada, conforme a los dominios de la norma ISO 27001 en su última actualización o su equivalente.

i) Para la consulta a las bases de datos biométricas que produce y administra la Registraduría Nacional del Estado Civil, deberán cumplir con los requisitos específicos determinados en las modalidades de autenticación de identidad digital descritos en esta resolución.

ARTÍCULO 6o. PLATAFORMA DE COMUNICACIONES Y SEGURIDAD INFORMÁTICA. Las entidades interesadas deben proveer el canal de comunicaciones, así como la infraestructura tecnológica requerida para el acceso a la consulta, garantizando el cumplimiento de las políticas de Seguridad de la Información de la Registraduría Nacional del Estado Civil y demás requisitos técnicos exigidos.

ARTÍCULO 7o. DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIÓN DE REGISTRO CIVIL E IDENTIFICACIÓN DE LA REGISTRADURÍA NACIONAL DE ESTADO CIVIL. El acceso y consulta a los sistemas de información de Registro Civil e Identificación de la Registraduría Nacional de Estado Civil estarán supeditados a las capacidades tecnológicas con que cuenta la Entidad.

PARÁGRAFO. Por razón de los procesos electorales y en caso de requerirse, todos los servicios de acceso y consulta de información que dependan de las capacidades tecnológicas de la Registraduría Nacional del Estado Civil, podrán ser limitados o suspendidos unilateralmente por parte de la Registraduría Nacional del Estado Civil.

ARTÍCULO 8o. TRÁMITE INTERNO DE LA SOLICITUD DE ACCESO. La Secretaría General de la Registraduría Nacional del Estado Civil, remitirá al Grupo de Acceso a la información y Protección de Datos Personales de la Registraduría Delegada para el Registro Civil y la Identificación, las solicitudes recibidas para su respectiva revisión, análisis, viabilidad jurídico-técnica del cumplimiento de la normatividad vigente en protección de datos personales y las políticas de seguridad de la información.

ARTÍCULO 9o. PETICIONES INCOMPLETAS. En el evento en que la solicitud no contenga la totalidad de los documentos o la información necesaria, se remitirá comunicación a la entidad interesada para que allegue los documentos o requisitos faltantes, los cuales deberá subsanar en un término máximo de un (1) mes calendario, contados a partir de la notificación del oficio que contiene la solicitud de completitud.

PARÁGRAFO. Al tenor de lo previsto en el artículo 17 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, se entenderá que la entidad solicitante ha desistido de su solicitud, si pasado un (1) mes calendario la entidad interesada no ha aportado los documentos o requisitos faltantes.

ARTÍCULO 10. CUMPLIMIENTO DE REQUISITOS DE ACCESO. En caso de que la petición allegada por la entidad interesada en acceder a las bases de datos cumpla con los requerimientos establecidos en la presente resolución y los anexos técnicos, la Registraduría Delegada para el Registro Civil y la Identificación, a través del Grupo de Acceso a la Información de Protección de Datos Personales o quién haga sus veces y la Gerencia de Informática, emitirán el respectivo comunicado de cumplimiento de los requisitos de acceso.

ARTÍCULO 11. NO CUMPLIMIENTO DE REQUISITOS DE ACCESO. En caso de que la petición allegada por la entidad interesada en acceder a las bases de datos no cumpla con los requerimientos establecidos en la presente resolución y los anexos técnicos, la Registraduría Delegada para el Registro Civil y la Identificación, a través del Grupo de Acceso a la Información de Protección de Datos Personales o quien haga sus veces y la Gerencia de Informática, comunicará a la parte interesada los motivos técnicos, administrativos, financieros y/o jurídicos del no cumplimiento con el fin de que se subsane en los casos que aplique o se desista la solicitud.

ARTÍCULO 12. ACCESO A LA INFORMACIÓN. La Registraduría Nacional del Estado Civil permitirá el acceso y la consulta a los sistemas de información biográficos y/o biométricos, una vez sea suscrito el Formato de Términos y Condiciones de acceso entre las partes y, previa suscripción del acta de inicio y del Acuerdo de Obligaciones para el debido tratamiento de la información, reserva legal y seguridad de las bases de datos que produce y administra la Registraduría Nacional del Estado Civil.

ARTÍCULO 13. VERIFICACIÓN DE LA SOLUCIÓN TECNOLÓGICA DE CADA ENTIDAD. Una vez se dé inicio a los Formato de Términos y Condiciones de acceso suscrito entre las partes, la Registraduría Nacional del Estado Civil en cualquier momento podrá realizar la verificación del modelo de operación previamente avalado y la solución tecnológica (hardware, software, comunicaciones, seguridad informática) que interoperará con los sistemas de información de la Registraduría Nacional del Estado Civil.

ARTÍCULO 14. VIGENCIA DEL ACCESO A LA INFORMACIÓN. La Registraduría Nacional del Estado Civil, podrá suspender y/o dar por terminada la prestación del servicio por necesidad de sus servicios misionales, por el incumplimiento de las condiciones establecidas en el mecanismo jurídico determinado y estará sometido a la normativa vigente, las limitaciones técnicas, jurídicas, administrativas y presupuestales.

ARTÍCULO 15. COORDINACIÓN DEL SERVICIO. Se deberá establecer un único interlocutor por entidad autorizada, responsable de gestionar ante la Registraduría Nacional del Estado Civil los requerimientos de información que se hagan por parte de diferentes seccionales u oficinas de una misma entidad.

ARTÍCULO 16. CANALES PARA LAS CONSULTAS. La Registraduría Nacional del Estado Civil, de acuerdo con su disponibilidad técnica, establecerá los canales de comunicación o los medios para la realización de las consultas, las cuales pueden ser por vía web (internet), por canales dedicados o por redes privadas, mediante servicio de acceso remoto, webservices, entre otros. De igual manera, definirá los usuarios autorizados por entidad para el acceso en línea a los sistemas de información de Registro Civil e Identificación de la Registraduría Nacional de Estado Civil.

TÍTULO II.

CONDICIONES PARA ACCEDER A LAS BASES DE DATOS BIOGRÁFICAS DE LA REGISTRADURÍA NACIONAL DEL ESTADO CIVIL.

CAPÍTULO I.

CONSULTA DE LA INFORMACIÓN CONTENIDA EN LA BASE DE DATOS DEL ARCHIVO NACIONAL DE IDENTIFICACIÓN (ANI) Y DEL SISTEMA DE INFORMACIÓN DE REGISTRO CIVIL (SIRC).

ARTÍCULO 17. ACCESO A LOS DATOS BIOGRÁFICOS CONTENIDOS EN LA BASE DE DATOS DE ANI Y/O SIRC QUE PRODUCE Y ADMINISTRA LA REGISTRADURÍA NACIONAL DEL ESTADO CIVIL. Las entidades autorizadas por la ley, interesadas en acceder y consultar las bases de datos biográficas que produce y administra la Registraduría Nacional del Estado Civil, deberán cumplir con los requisitos generales descritos en el Capítulo II del Título I y el Anexo Técnico número 5 de esta Resolución. Se autorizará y pondrá a disposición de las entidades habilitadas por la ley que requieran el acceso y consulta a los sistemas de información de Registro Civil e Identificación de la Registraduría Nacional de Estado Civil, previo cumplimiento a los requisitos legales, técnicos y de seguridad, garantizando el cumplimiento al derecho de habeas data, privacidad, reserva legal, asuntos de defensa y seguridad nacional.

ARTÍCULO 18. CONSULTAS MASIVAS POR ÚNICA VEZ. Los casos de procesamiento de consultas masivas, por única vez, se realizarán por medio de cruces de información contra las bases de datos del Archivo Nacional de Identificación (ANI) o del Sistema de Información de Registro Civil (SIRC) de la Registraduría Nacional del Estado Civil para lo cual no será necesaria la suscripción de del Formato de Términos y Condiciones de acceso. La Registraduría Delegada para el Registro Civil y la Identificación, a través del Grupo de Acceso a la Información y Protección de Datos Personales o quien haga sus veces, evaluarán la pertinencia de la suscripción de los Formato, de Términos y Condiciones de acceso, atendiendo la periodicidad y volúmenes de consulta requeridas por una misma entidad solicitante.

ARTÍCULO 19. PROCESAMIENTOS O FILTROS ESPECIALES. Si las consultas implican condiciones o criterios especiales que requieran la realización de un proceso adicional a la información dispuesta para la consulta, se deberá adelantar una reunión técnica-jurídica entre la entidad solicitante y la Registraduría Nacional del Estado Civil, a fin de establecer el tipo de información requerida y el procedimiento técnico a seguir de acuerdo con viabilidad legal y técnica.

TÍTULO III.

ACCESO A LOS MECANISMOS DE AUTENTICACIÓN DE IDENTIDAD.

CAPÍTULO I.

LINEAMIENTOS PARA EL ACCESO DE INFORMACIÓN BIOMÉTRICA QUE PRODUCE Y ADMINISTRA LA REGISTRADURÍA NACIONAL DEL ESTADO CIVIL.

ARTÍCULO 20. MODALIDADES PARA ACCESO Y CONSULTA. Las entidades autorizadas por la ley que estén interesadas en acceder y consultar las bases de datos biométricas que produce y administra la Registraduría, deberán cumplir con los requisitos establecidos en la presente resolución y previamente optar por una de las modalidades de acceso establecidas en los anexos técnicos y bajo las siguientes condiciones:

Modalidad Housing o Colocation: Esta modalidad estará dispuesta solo para las entidades públicas y estará sujeta a la disponibilidad presupuestal y técnica de la Registraduría.

Modalidad Colocation Compartido: Esta modalidad estará dispuesta solo para las entidades públicas y estará sujeta a la disponibilidad presupuestal y técnica de la Registraduría.

Modalidad Infraestructura Propia: Esta modalidad estará dispuesta a través de OAID para entidades públicas y privadas que requieran el acceso a las bases de datos biométricos de la Registraduría y que cumplan con las disposiciones descritas en los anexos técnicos.

ARTÍCULO 21. SOLICITUD DE ACCESO Y CONSULTA. Las entidades autorizadas por la ley, interesadas en acceder y consultar las bases de datos biométricas que produce y administra la Registraduría Nacional del Estado Civil, con el fin de realizar procesos de autenticación de identidad por biometría, deberán cumplir con los requisitos generales descritos en el Capítulo II del Título I y adicionalmente indicar la modalidad escogida conforme a lo dispuesto en el artículo 20 y los anexos técnicos de esta resolución.

ARTÍCULO 22. ARQUITECTURA TECNOLÓGICA PARA EL SERVICIO DE AUTENTICACIÓN BIOMÉTRICA DACTILAR. La entidad autorizada por la ley o su Operador de Autenticación de Identidad Digital (OAID) diseñarán y administrarán su propia plataforma tecnológica para las capas de matcher, webservice de consumo e interfaz de usuario, las cuales permitirán interactuar con la información para autenticación biométrica dactilar, conservando los mismos algoritmos en el matcher y características evaluadas en la prueba técnica (sistema operativo, componente biométrico), garantizando la trazabilidad y almacenamiento de todas las operaciones realizadas, al igual que las condiciones de seguridad de la información requeridas por la Registraduría Nacional del Estado Civil. La plataforma tecnológica de matcher y webservice de consumo deberán estar alojados en el mismo data center donde se implemente la infraestructura descrita en el Anexo Técnico número 2.

ARTÍCULO 23. ARQUITECTURA TECNOLÓGICA PARA EL SERVICIO DE AUTENTICACIÓN BIOMÉTRICA FACIAL. La entidad interesada o su Operador de Autenticación de Identidad Digital (OAID) deberán contar con la infraestructura tecnológica establecida en el Anexo Técnico número 2 y adicional a esta, deberán implementar y administrar la infraestructura tecnológica que interoperará con el sistema dispuesto por la Registraduría para el proceso de autenticación biométrica facial, de acuerdo a lo establecido en el Anexo Técnico número 3, la cual deberá estar alojada en el(los) data center habilitado(s) para el proceso de autenticación dactilar. Asimismo, deberá disponer en el mismo datacenter el componente de matcher y liveness detection para las soluciones presentadas que requieran infraestructura física, con los componentes mínimos de infraestructura y seguridad establecidos en el Anexo Técnico número 3.

ARTÍCULO 24. ARQUITECTURA TECNOLÓGICA PARA EL SERVICIO DE INTEROPERABILIDAD CON CÉDULA DIGITAL. La entidad interesada o su Operador de Autenticación de Identidad Digital (OAID) deberán contar con la infraestructura tecnológica establecida en el Anexo Técnico número 2 y adicional a esta, deberán diseñar, implementar y administrar la infraestructura tecnológica que interoperará con la cédula digital de acuerdo con lo establecido en el respectivo Anexo Técnico número 4, la cual deberá estar alojada en él (los) data center habilitado(s) para el proceso de autenticación.

ARTÍCULO 25. SEGURIDAD EN EL CICLO DE LA TRANSACCIÓN. La entidad autorizada por la Ley y su Operador de Autenticación de Identidad Digital (OAID) deberán garantizar en todo momento la seguridad de la información y el debido tratamiento de datos personales, de conformidad con lo establecido en la normatividad legal vigente y por la Registraduría Nacional del Estado Civil, en los anexos técnicos dispuestos para dicho propósito.

ARTÍCULO 26. MANTENIMIENTO Y SOPORTE TÉCNICO DE LA PLATAFORMA TECNOLÓGICA. Todas las actividades referentes al mantenimiento y soporte técnico de la plataforma instalada por la entidad autorizada por la Ley y su Operador de Autenticación de Identidad Digital (OAID) para el proceso de autenticación de identidad digital estarán a cargo de las mismas. Los planes de mantenimiento de la plataforma son obligatorios, con el fin de mantener la información segura y actualizada, evitando posibles eventos de indisponibilidad de la información.

Para minimizar el riesgo en cuanto a disponibilidad, integridad y confidencialidad, el aliado tecnológico (Operador de Autenticación de Identidad Digital (OAID) semestralmente (enero y julio) debe realizar pruebas de Ethical Hacking sobre la infraestructura tecnológica utilizando metodologías como OSSTMM (Open Source Security Testing Methodology Manual), OWASP (OPEN WEB APPLICATION SECURITY PROJECT) entre otras, y presentar ante la Registraduría Nacional del Estado Civil el informe técnico de vulnerabilidades de Ethical Hacking & PenTesting sobre la infraestructura perimetral y del OAID, con su respectivo informe de remediación. El OAID debe informar y solicitar la viabilidad de la Registraduría Nacional del Estado Civil previo a la realización de las pruebas y remitir el respectivo informe. Dichas pruebas deberán ser realizadas por una empresa especializada en seguridad informática.

ARTÍCULO 27. ADMINISTRACIÓN DEL SOFTWARE. La Registraduría Nacional del Estado Civil, para el proceso de autenticación biométrica, realizará la administración de la base de datos, el software y de los aplicativos que disponga para estos procesos, con el propósito de garantizar el acceso y consulta de la información.

La entidad autorizada por la ley que opere a través del modelo de infraestructura propia y/o su Operador de Autenticación de Identidad Digital (OAID) será responsable de la administración de la base de datos, el software y los aplicativos en toda la solución. La Registraduría Nacional del Estado Civil mantendrá el control de la información a través de los procedimientos y herramientas descritas en los anexos técnicos.

ARTÍCULO 28. VERIFICACIÓN DE LA FUNCIONALIDAD DE LAS SOLUCIONES TECNOLÓGICAS PARA LOS PROCESOS DE AUTENTICACIÓN DE IDENTIDAD DIGITAL. La Registraduría Nacional del Estado Civil, a través del Grupo de Acceso a la Información y Protección de Datos Personales o quien haga sus veces y la Gerencia de Informática, realizarán la verificación del cumplimiento de los requisitos legales y técnicos (hardware, software y seguridad), previo a la puesta en funcionamiento de la solución tecnológica dispuesta por la entidad interesada en la autenticación de identidad de los colombianos.

CAPÍTULO II.

CERTIFICACIÓN DE OPERADORES DE AUTENTICACIÓN DE IDENTIDAD DIGITAL.

ARTÍCULO 29. SOLICITUD PARA CERTIFICARSE COMO OPERADORES DE AUTENTICACIÓN DE IDENTIDAD DIGITAL. La entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) deberá elevar solicitud escrita a la Registraduría Nacional del Estado Civil, a través del Grupo de Acceso a la Información y Protección de Datos Personales o quien haga sus veces, indicando el nivel a certificarse y anexando la siguiente documentación:

- Registro Único Proponentes

- Registro Único Tributario

- Certificados de existencia y representación legal en Colombia.

- Certificaciones de antecedentes disciplinarios y fiscales de la sociedad y su representante legal.

Certificación en políticas de seguridad de la información acorde a la norma ISO 27001.

La entidad interesada en certificarse como Operador de Autenticación de Identidad Digital - OAID deberá acreditar experiencia certificada mínimo de tres (3) años en procesos de autenticación biométrica, instalación, configuración y/o administración de infraestructura tecnológica.

ARTÍCULO 30. PRUEBAS TÉCNICAS. La entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) deberá sustentar su idoneidad y experticia en la gestión, almacenamiento, custodia, seguridad, funcionalidad, desempeño, eficiencia, calidad del servicio, debido tratamiento, compatibilidad y certeza en la autenticación de identidad a partir de las bases de datos oficiales de identificación de la Registraduría Nacional del Estado Civil, por medio de las pruebas técnicas definidas en la presente resolución y en su Anexo Técnico número 1, como se define a continuación:

1. Prueba técnica de autenticación de identidad digital Nivel 1 (biometría dactilar): Es la prueba inicial que debe satisfacer la entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) cumpliendo con los requisitos generales y específicos establecidos en el Capítulo 1 del Anexo Técnico número 1 de la presente resolución.

2. Prueba técnica de autenticación de identidad digital Nivel 2 (biometría facial): Aprobados los requisitos establecidos en el nivel 1 se habilita la presentación de la prueba por biometría facial; esta es una tecnología considerada como complementaria para la identificación de los colombianos, para lo cual deberá cumplir con los requisitos generales y específicos establecidos en el Capítulo 2 del Anexo Técnico número 1 de la presente resolución.

3. Prueba técnica de autenticación de identidad digital Nivel 3 (cédula digital): Aprobados los requisitos establecidos en el nivel 2, se habilita la presentación de la prueba de interoperabilidad con la cédula digital, para lo cual deberá cumplir con los requisitos generales y específicos establecidos en el Capítulo 3 del Anexo Técnico número 1 de la presente resolución.

PARÁGRAFO. Por cada uno de los niveles aprobados, se expedirá una certificación acreditando el nivel avalado.

ARTÍCULO 31. CAPACIDAD LEGAL. La entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) deberá adjuntar con su solicitud el certificado de existencia y representación legal con un término de expedición no mayor a treinta (30) días calendario y el Registro Único de Proponentes expedido por la Cámara de Comercio dónde se encuentra inscrito, el cual para la fecha de presentación de la respectiva solicitud debe encontrarse en firme.

PARÁGRAFO. La entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) deberá acreditar experiencia de mínimo tres (3) años, la cual debe estar inscrita en el Registro Único de Proponentes (RUP) en actividades directamente relacionadas con las especificaciones descritas en los anexos técnicos y sus actualizaciones, anexando las certificaciones correspondientes.

ARTÍCULO 32. CAPACIDAD FINANCIERA. La empresa interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) deberá cumplir con la capacidad financiera, certificada por la Cámara de Comercio en el Registro Único de Proponentes RUP, expedido bajo los parámetros del Decreto número 1082 del 26 de mayo de 2015. Los Indicadores financieros y capacidad organizacional a verificar son los siguientes:

Indicadores financieros:

Liquidez: La liquidez mínima que debe acreditar la entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) debe ser igual o superior a

1.2 veces.

Liquidez = Activo Corriente / Pasivo Corriente

Nivel de endeudamiento: El nivel de endeudamiento máximo requerido para la entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) deberá ser igual o menor a 65%.

Nivel de Endeudamiento = (Pasivo Total / Activo Total) x 100

Razón de cobertura de intereses: La razón de cobertura mínimo que debe tener la entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) debe ser igual o mayor a 3.5

Razón de cobertura de intereses = Utilidad operacional/Gastos de intereses.

Capacidad organizacional:

Rentabilidad del patrimonio: La Rentabilidad del Patrimonio que debe acreditar mínimo la entidad interesada en certificarse como Operador de Autenticación de Identidad Digital - OAID, debe ser igual o mayor a 0.05.

Rentabilidad del patrimonio = Utilidad operacional/Patrimonio

Rentabilidad del activo: La Rentabilidad del Activo que debe acreditar mínimo la entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID), debe ser igual o mayor a 0.03

Rentabilidad del Activo = Utilidad operacional/Activo Total

Índices financieros de consorcios y uniones temporales:

Para los casos de Uniones Temporales y Consorcios, los indicadores financieros se calcularán así:

Liquidez: La sumatoria de la liquidez de cada uno de sus integrantes, de acuerdo con el porcentaje de participación.

Nivel de endeudamiento: La sumatoria del nivel de endeudamiento de cada uno de sus integrantes, de acuerdo con el porcentaje de participación.

Razón de cobertura de intereses: La sumatoria del indicador de la Razón de cobertura de intereses de cada uno de sus integrantes, de acuerdo con el porcentaje de participación.

Rentabilidad del patrimonio: La sumatoria del indicador de Rentabilidad del patrimonio de cada uno de sus integrantes, de acuerdo con el porcentaje de participación.

Rentabilidad del activo: La sumatoria del indicador de rentabilidad del activo de cada uno de sus integrantes de acuerdo con el porcentaje de participación.

ARTÍCULO 33. REUNIONES DE CARÁCTER TÉCNICO. Verificado el cumplimiento de la capacidad legal y capacidad financiera de la entidad interesada en certificarse como Operador de Autenticación de Identidad Digital (OAID) por parte de las áreas competentes de la Registraduría Nacional del Estado Civil, el Grupo de Acceso a la Información y Protección de Datos Personales o quien haga sus veces y la Gerencia de Informática, realizaran las reuniones aclaratorias sobre las pruebas técnicas y se solicitará el pago de la prueba técnica.

ARTÍCULO 34. PAGO PRESENTACIÓN PRUEBAS TÉCNICAS. Para la presentación de las pruebas técnicas la entidad interesada deberá acreditar previamente la capacidad legal y financiera definida por la Registraduría Nacional del Estado Civil y el pago de la tarifa por cada prueba técnica. Por ningún motivo se realizará devolución del dinero por no superar la prueba técnica.

ARTÍCULO 35. RESULTADO DE LA EVALUACIÓN DE LOS REQUISITOS LEGALES, TÉCNICOS Y FINANCIEROS. El resultado de la evaluación de los requisitos legales, financieros y el resultado de la prueba técnica, será notificado al representante legal del Operador de Autenticación de Identidad Digital (OAID).

ARTÍCULO 36. CERTIFICACIÓN. La Registraduría Delegada para Registro Civil y la Identificación, el Grupo de Acceso a la Información y Protección de Datos Personales, o quien haga sus veces, y la Gerencia de Informática expedirán la respectiva certificación. La certificación de cada nivel tendrá una vigencia de dos (2) años a partir de la expedición de esta, previa suscripción del correspondiente Acuerdo de Obligaciones para el debido tratamiento de la información, reserva legal y seguridad de las bases de datos que produce y administra la Registraduría Nacional del Estado Civil.

PARÁGRAFO 1o. Operador de Autenticación de Identidad Digital (OAID) certificado deberá constituir las pólizas que exija la Registraduría Nacional del Estado Civil con una compañía de seguros legalmente constituida en Colombia, a favor de la Registraduría, y remitida a la Oficina Jurídica para su aprobación. Las pólizas estarán enunciadas dentro del Acuerdo de obligaciones a suscribir.

ARTÍCULO 37. RENOVACIÓN DE LA CERTIFICACIÓN. Para cada nivel, la entidad certificada como Operador de Autenticación de Identidad Digital (OAID) deberá solicitar la renovación de su certificación cada dos (2) años. Para esta renovación, la Registraduría Nacional del Estado Civil tendrá en cuenta la capacidad legal, financiera y técnica en los términos de la presente resolución y el cumplimiento de las políticas de seguridad de la información y debido tratamiento de datos personales, acorde a la normatividad vigente.

El Operador de Autenticación de Identidad Digital (OAID) de autenticación de identidad digital debe solicitar a la Registraduría Nacional del Estado Civil la presentación de la prueba técnica por lo menos con 60 días de anticipación a la fecha de terminación de cada certificación.

CAPÍTULO III.

DISPOSITIVOS BIOMÉTRICOS PARA EL SERVICIO DE AUTENTICACIÓN BIOMÉTRICA DACTILAR.

ARTÍCULO 38. SOLICITUD DE HOMOLOGACIÓN DE DISPOSITIVOS BIOMÉTRICOS DACTILARES. El fabricante del dispositivo biométrico o su distribuidor autorizado en Colombia, si lo hubiera, interesado en homologar dispositivos biométricos para estaciones fijas o móviles, deberán realizar la solicitud escrita por cada dispositivo a la Registraduría Nacional del Estado Civil a través del Grupo de Acceso a la Información y Protección de Datos Personales o quien haga sus veces, especificando la marca, modelo, tipo de dispositivo (estación fija o móvil) y anexando lo siguiente:

- Ficha técnica del dispositivo a homologar en el cual se especifique la integración del componente biométrico

- Certificación FBI (PIV - Personal Identity Verification) del componente biométrico y/o MINEX III Certified PIV y/o las respectivas pruebas biométricas certificadas por el NIST o por un laboratorio de pruebas biométricas acreditado por NIST NVLAP.

- URL del fabricante del dispositivo.

- URL donde se encuentre publicada la ficha técnica del dispositivo.

- Información del fabricante del dispositivo.

- Sede principal (ciudad y dirección) del fabricante del dispositivo.

- Certificado de Existencia y Representación del fabricante, con fecha no superior a 30 días calendario, para empresas constituidas en Colombia o extranjeras con sucursal en Colombia.

- Certificado internacional vigente de calidad en procesos productivos de la empresa fabricante, debidamente apostillado y legalizado, según corresponda y con traducción oficial al idioma español.

En los casos que el dispositivo biométrico lo presente un distribuidor autorizado en Colombia, se debe anexar:

- Carta de presentación del distribuidor expedida por el fabricante, expedido en un término no mayor a treinta (30) días calendario.

- Información de contacto del distribuidor del dispositivo en Colombia

- Certificado de Cámara de comercio del distribuidor en Colombia, expedido en un término no mayor a treinta (30) días calendario.

PARÁGRAFO. El fabricante o distribuidor autorizado en Colombia, si lo hubiera, deberá solicitar la presentación de una nueva prueba técnica cuando se presente actualización o cambios en el modelo del dispositivo homologado, para lo cual deberá entregar nuevamente la documentación, especificando los cambios en el nuevo modelo. Asimismo, deberá diferenciar el modelo del dispositivo del modelo previamente homologado.

ARTÍCULO 39. PRUEBA TÉCNICA DE HOMOLOGACIÓN DE DISPOSITIVOS BIOMÉTRICOS.

El fabricante o distribuidor autorizado en Colombia, si lo hubiera, presentará la prueba técnica de homologación en la fecha establecida por la Registraduría Nacional del Estado Civil, quien realizará la evaluación con el fin de medir la seguridad del dispositivo biométrico.

La prueba técnica de homologación se llevará a cabo verificando las condiciones técnicas y de seguridad establecidas en el Anexo Técnico número 2 de la presente resolución, para lo cual, el día de la prueba técnica el fabricante o distribuidor deberá disponer de por lo menos de dos (2) dispositivos y al finalizar la prueba hará entrega de una de estas unidades a la Registraduría Nacional del Estado Civil a través del Grupo de Acceso a la Información y Protección de datos Personales, con el software requerido para la integración, con sus respectivos manuales y licencias.

El fabricante o su distribuidor autorizado en Colombia, si lo hubiera, deberá asumir de manera anticipada el costo que establezca la Registraduría Nacional del Estado Civil por concepto de cada prueba de homologación del dispositivo.

ARTÍCULO 40. CERTIFICACIÓN DE DISPOSITIVOS BIOMÉTRICOS. La Registraduría Delegada para el Registro Civil y la Identificación, el Grupo de Acceso a la Información y Protección de Datos Personales, o quien haga sus veces, y la Gerencia de Informática emitirá la certificación del dispositivo biométrico, una vez aprobada la prueba técnica de homologación.

ARTÍCULO 41. PUBLICACIÓN DE DISPOSITIVOS BIOMÉTRICOS HOMOLOGADOS. La Registraduría Nacional del Estado Civil publicará en la página web la marca y el modelo de cada dispositivo homologado. Asimismo, publicará la relación detallada por cada dispositivo identificado por el IMEI o serial, para lo cual el fabricante deberá remitir la respectiva relación de equipos producidos de acuerdo con el modelo homologado. El fabricante o su distribuidor autorizado en Colombia, si lo hubiera, deberá asumir, por cada dispositivo, el costo que establezca la Registraduría Nacional del Estado Civil por concepto de la publicación del listado de dispositivos biométricos homologados.

PARÁGRAFO 1o. Una vez el fabricante o el distribuidor autorizado en Colombia realice el pago por concepto de la publicación de los dispositivos biométricos homologados, la Registraduría Nacional del Estado Civil procederá a realizar la publicación detallada de cada dispositivo.

PARÁGRAFO 2o. Los únicos dispositivos biométricos que podrán ser utilizados por las entidades autorizadas por la Ley para acceder al proceso de autenticación biométrica dactilar, serán los publicados en la página web de la Registraduría.

PARÁGRAFO 3o. El fabricante o el distribuidor autorizado en Colombia, si lo hubiera, para el proceso de autenticación biométrica dactilar, solo podrán ofertar los modelos de dispositivos biométricos homologados que hayan sido publicados en la página web de la Registraduría Nacional del Estado Civil.

CAPÍTULO IV.

SEGUIMIENTO, VIGILANCIA Y CONTROL.

ARTÍCULO 42. SEGUIMIENTO, VIGILANCIA Y CONTROL. La Registraduría Nacional del Estado Civil, a través del Grupo de Acceso a la Información y Protección de Datos Personales, o quien haga sus veces, podrá en cualquier momento realizar visitas técnicas para ejecutar el seguimiento, vigilancia y control a las entidades autorizadas por la ley y/o a sus aliados tecnológicos (si los hubiera), con el propósito de verificar el cumplimiento de lo descrito en: i) Formatos de Términos y Condiciones de acceso, ii). Acuerdo de Obligaciones para el debido tratamiento de la información, reserva legal, y seguridad de las bases de datos que produce y administra la Registraduría Nacional del Estado Civil, iii). Políticas de seguridad, iv). Modelo de operación, v). Exigencias técnicas plasmadas en esta Resolución y sus anexos técnicos vi). Condiciones de confidencialidad exigidas y/o vii). Solución tecnológica presentada por la entidad sea acorde a la presentada inicialmente.

PARÁGRAFO. En los casos que las consultas realizadas por la entidad autorizada incluyan datos de naturaleza semiprivada, privada o sensible, la Registraduría Nacional del Estado Civil verificará el cumplimiento de la autorización expresa de tratamiento de datos personales por parte del titular.

ARTÍCULO 43. LINEAMIENTOS PARA EL SEGUIMIENTO, VIGILANCIA Y CONTROL DEL PROCESO DE AUTENTICACIÓN DE IDENTIDAD DIGITAL. La Registraduría Nacional del Estado Civil verificará que las herramientas y componentes tecnológicos utilizados en el proceso de autenticación de identidad digital sean los avalados y/o homologados ante la Registraduría Nacional del Estado Civil. Las visitas deberán estar acompañadas por funcionarios de la entidad que accede a los servicios y por el Operador de Autenticación de Identidad Digital (OAID) (si lo hubiera).

También se corroborará la información dada a conocer por la entidad interesada de sedes, equipos y usuarios que intervengan en el proceso de autenticación biométrica. De igual manera, verificará la adopción y conocimiento de las políticas de seguridad de la información de la entidad interesada, así como del debido procedimiento y buenas prácticas a la hora de realizar proceso de autenticación de identidad digital a los usuarios finales de las aplicaciones.

Al final de cada visita, los encargados de la misma levantarán un acta que contendrá los detalles y suscribirá por quienes asistieron a esta. A partir de dicho documento se realizará el informe de Seguimiento, vigilancia y control en el cual establecerá las no conformidades y oportunidades de mejora.

El informe se notificará a la entidad autorizada por la ley y/o a su aliado tecnológico (si los hubiera) quienes deberán subsanar las no conformidades en un plazo no mayor a quince (15) días calendario.

En los casos que las no conformidades y oportunidades de mejora no sean subsanados en el tiempo establecido, o que el resultado de la visita evidencie y describa un presunto incumplimiento de lo establecido en i) Formatos de Términos y Condiciones de acceso, ii). Acuerdo de Obligaciones para el debido tratamiento de la información, reserva legal, y seguridad de las bases de datos que produce y administra la Registraduría Nacional del Estado Civil, iii). Políticas de seguridad, iv). Modelo de operación, v). Exigencias técnicas plasmadas en esta Resolución y sus anexos técnicos vi). Condiciones de confidencialidad exigidas y/o vii). Solución tecnológica presentada por la entidad sea acorde a la presentada inicialmente, la Registraduría Nacional del Estado Civil, iniciará un proceso administrativo sancionatorio y las acciones penales, civiles y administrativas a que haya lugar.

ARTÍCULO 44. PROCESO ADMINISTRATIVO. La Registraduría iniciará un proceso administrativo sancionatorio, con observancia a lo señalado en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo, garantizando el debido proceso, para tomar la decisión definitiva que en derecho corresponda, mediante el correspondiente acto administrativo contra el cual proceden recursos de ley.

Adicionalmente, se podrán adelantar las actuaciones administrativas y poner en conocimiento de autoridad competente las acciones civiles y/o penales a que haya lugar por el incumplimiento que se presente.

Dentro del proceso administrativo, en caso de que las inconformidades y oportunidades de mejora no sean subsanadas en el tiempo establecido, o que el resultado de la visita evidencie un presunto incumplimiento de lo establecido en lo descrito en el artículo anterior, la Registraduría Nacional del Estado Civil suspenderá o revocará, según corresponda, de manera inmediata la certificación al Operador de Autenticación de Identidad Digital (OAID), quien a partir de la fecha de la suspensión o revocación, no podrá prestar el servicio como Operador, so pena de las acciones penales, civiles y administrativas a que haya lugar.

CAPÍTULO V.

DISPOSICIONES GENERALES.

ARTÍCULO 45. CONFIDENCIALIDAD DE LA INFORMACIÓN. La información que reposa en las bases de datos de la Registraduría Nacional del Estado Civil contiene datos de carácter personal, gozan de reserva legal y son conexos a asuntos de defensa y seguridad nacional, por consiguiente el tratamiento de estos datos por parte de las entidades autorizadas estará sujeto a sus fines misionales o en desarrollo de su objeto social, con observancia de la Constitución Política de Colombia, del artículo 213 del Decreto número 2241 de 1986, Decreto número 1260 de 1970, artículo 24 de la Ley 1437 de 2011, Ley Estatutaria 1581 de 2012, Sentencia de la Sala Tercera del Consejo de Estado radicación 26776 de 29 de agosto de 2012, así como las demás disposiciones que regulen la materia o resulten pertinentes y aplicables de acuerdo con las leyes colombianas referidas a la protección de datos personales y al derecho a la intimidad.

Los interesados deberán garantizar la reserva, integridad, seguridad y demás principios que la ley establezca para el acceso a la información de la Registraduría Nacional del Estado Civil, referida en la normatividad vigente, mediante la suscripción de un Acuerdo de Obligaciones para el debido tratamiento de la información, reserva legal, y seguridad de las bases de datos que produce y administra la Registraduría Nacional del Estado Civil.

Está totalmente prohibido revelar, divulgar, exhibir, mostrar, hacer circular, compilar, sustraer, ofrecer, vender, intercambiar, captar, interceptar, modificar, recolectar, almacenar, replicar, complementar o crear bases de datos de manera temporal o definitiva a partir de la información biográfica y biométrica puesta a disposición por la Registraduría Nacional del Estado Civil o tratada en el marco de los procesos de autenticación de identidad reglados en el presente acto administrativo.

PARÁGRAFO. La Registraduría Nacional del Estado Civil se reserva el derecho de acceso a la información que produce y administra, el cual estará supeditado a la verificación y estricto cumplimiento por parte de las entidades interesadas, de las condiciones técnicas, administrativas y legales definidas por la Registraduría Nacional del Estado Civil y la Ley, y que deberán ser implementados en las soluciones tecnológicas y procedimientos de acceso propuestos por los consultantes.

ARTÍCULO 46. PROPIEDAD INTELECTUAL Y LICENCIAMIENTO. Los archivos y las bases de datos que contienen la información de identificación de los colombianos son propiedad exclusiva de la Registraduría Nacional del Estado Civil.

ARTÍCULO 47. PROHIBICIÓN DE USO INDEBIDO O COMERCIALIZACIÓN DE LA INFORMACIÓN. Las entidades que accedan a la información de la Registraduría Nacional del Estado Civil y los OAID tienen prohibido comercializar y/o usar la información para fines distintos a los autorizados, debiendo cumplir con el adecuado tratamiento, limitaciones de acceso y uso, referidas al derecho de habeas data, privacidad, y en general el cabal cumplimiento de la Ley de Protección de Datos Personales y a los documentos técnicos regulatorios expedidos por la Registraduría.

La Registraduría podrá verificar en cualquier momento el cumplimiento de las reglas de confidencialidad, uso de la información, aplicación de los respectivos mecanismos de seguridad establecidos en las políticas de seguridad de la información definidas por la entidad, de conformidad con lo señalado para cada caso en el Formato de Términos y Condiciones de acceso respectivo.

ARTÍCULO 48. ANEXOS TÉCNICOS. Hacen parte de esta Resolución los siguientes documentos: Anexo Técnico número 1.- “Evaluación técnica de interoperabilidad y cotejo biométrico con las bases de datos de la Registraduría Nacional del Estado Civil”.

- Anexo Técnico número 2. - “Infraestructura tecnológica para el proceso de autenticación biométrica dactilar”.

- Anexo Técnico número 3. - “Requerimientos y condiciones para el proceso de autenticación biométrica facial”.

- Anexo Técnico número 4. - “Interoperabilidad con cédula digital”.

- Anexo Técnico número 5 - “Acceso a las bases de datos biográficas”.

CAPÍTULO VI.

DISPOSICIONES ESPECÍFICAS PARA ENTIDADES PARTICULARES.

ARTÍCULO 49. FACTURACIÓN Y COBRO. Una vez suscrito el Formato de Términos y Condiciones de acceso a las bases de datos que produce y administra la Registraduría Nacional del Estado Civil, según sea el caso, la Gerencia Administrativa y Financiera procederá a facturar los valores causados, acorde con el procedimiento establecido para la facturación y cobro de los costos asociados a la consulta de la información del Archivo Nacional de Identificación ANI, del Sistema de Información de Registro Civil (SIRC), la Base de Datos Biográfica y Biométrica e interoperabilidad con Cédula Digital; y con lo dispuesto en la Resolución vigente que fija las tarifas para los hechos generadores de cobro.

PARÁGRAFO 1o. La facturación y cobro asociadas a la consulta de la información del Archivo Nacional de Identificación ANI y del Sistema de Información de Registro Civil (SIRC), se realizará previo informe emitido por la Gerencia de Informática y el Grupo de Acceso a la Información y Protección de Datos Personales.

PARÁGRAFO 2o. La facturación y cobro asociado a la consulta de la Base de Datos Biométrica dispuesta por la Registraduría Nacional del Estado Civil y para la interoperabilidad con Cédula Digital se realizará una vez se suscriba el Formato de Términos de acceso, acorde con lo dispuesto en la resolución vigente que fija las tarifas para los hechos generadores de cobro Pago que podrá ser realizado por la entidad autorizada al acceso a las bases de datos.

Parágrafo 3. Con el objeto de incentivar el acceso de consulta a las bases de datos Biométricas de la Registraduría Nacional del Estado Civil e interoperabilidad con la cédula digital, los OAID podrán adquirir los paquetes de los registros establecidos en la resolución de tarifas vigentes con el fin de que las entidades autorizadas puedan realizar el consumo con cargo al paquete del OAID. Las entidades que deseen acceder este método de pago deberán manifestarlo a la Registraduría Nacional del Estado Civil.

ARTÍCULO 50. VIGENCIA. La presente resolución rige a partir de la fecha de su publicación y deroga en su totalidad la Resolución número 5633 de 2016 suscrita por el Registrador Nacional del Estado Civil, así como todas aquellas que le sean contrarias.

PARÁGRAFO TRANSITORIO. Los operadores biométricos certificados mediante la Resolución número 5633 de 2016 mantendrán la vigencia de la certificación hasta la fecha establecida en dicho documento y se entenderán clasificados en el nivel 1 conforme al presente acto administrativo.

ARTÍCULO 51. PUBLICACIÓN. Publicar este acto administrativo en el Diario Oficial y en la página web de la Registraduría Nacional del Estado Civil.

Publíquese y cúmplase.

Dada en Bogotá, D. C, a 22 de noviembre de 2023.

El Registrador Nacional del Estado Civil,

Alexánder Vega Rocha

NOTAS AL FINAL:

1. “Por el cual se establece la organización interna de la Registraduría Nacional del Estado Civil y se fijan las funciones de sus dependencias; se define la naturaleza jurídica del Fondo Social de Vivienda de la Registraduría Nacional del Estado Civil; y se dictan otras disposiciones”.

2. “Por la cual se reglamentan las condiciones y el procedimiento para el acceso a las bases de datos de la información que produce y administra la entidad”.

3. Página 38, Documento Conpes 3975 de 2019.

4. “Por el cual se subroga el título 17 de la parte 2 del libro 2 del Decreto número 1078 de 2015, para reglamentarse parcialmente los artículos 53, 54, 60, 61 y 64 de la Ley 1437 de 2011. los literales e. j y literal a del parágrafo 2 del artículo 45 de la Ley 1753 de 2015, el numeral 3 del artículo 147 de la Ley 1955 de 2019, y el artículo 9o del Decreto número 2106 de 2019, estableciendo los lineamientos generales en el uso y operación de los servicios ciudadanos digitales”.

5. “Por medio de la cual se reforma el Código de Procedimiento Administrativo y de lo Contencioso Administrativo - Ley 1437 de 2011- y se dictan otras disposiciones en materia de descongestión en los procesos que se tramitan ante la jurisdicción”.