Política de eliminación y conservación de datos

Reglas de conservación y eliminación de datos

Te invitamos a leer esta política con atención para conocer cómo SiFirma conserva, gestiona y elimina los datos personales y documentos electrónicos, los plazos de retención aplicables y las medidas adoptadas para garantizar la seguridad de la información y el cumplimiento normativo.

Presentación

En cumplimiento con nuestro compromiso de transparencia y seguridad de la información, y en concordancia con la Ley 1581 de 2012 (Protección de Datos Personales), la Ley 527 de 1999 (Mensajes de Datos y Firma Electrónica) , y los estándares internacionales de seguridad (ISO/IEC 27001:2022). Te invitamos a leer esta política con atención para conocer cómo SiFirma conserva, gestiona y elimina los datos personales y documentos electrónicos, los plazos de retención aplicables y las medidas adoptadas para garantizar la seguridad de la información y el cumplimiento normativo.

1. Objeto y Alcance

Esta Política tiene como objetivo principal informar al Cliente (Responsable del Tratamiento) y a los Titulares (Firmantes) sobre el manejo, los plazos de retención y el procedimiento de supresión de los datos personales y, de manera crucial, de la Evidencia de Firma generada a través de la plataforma SiFirma.

Se enfatiza que el objeto del servicio es la generación de firmas electrónicas con validez jurídica , y que UFOTECH S.A.S. no actúa como un Sistema de Gestión Documental de Archivo Electrónico. Por lo tanto, esta Política delimita la responsabilidad de la conservación de la Evidencia de Firma (Metadatos de Auditoría, Log de Trazabilidad, Hash) y establece la clara exoneración de responsabilidad de UFOTECH S.A.S. sobre la custodia a largo plazo de los documentos finales firmados. La custodia documental posterior a la entrega es responsabilidad exclusiva del Cliente.

2. Principio Fundamental: No Custodia del Documento

Sifirma no es un sistema de gestión documental de archivo electrónico. Por lo tanto, UFOTECH S.A.S. NO almacena ni conserva los documentos finales firmados (Mensajes de Datos) más allá del tiempo necesario para completar el proceso de firma y enviarlo al Cliente y/o a las partes designadas. Una vez que el documento es entregado o puesto a disposición para su descarga, la responsabilidad sobre su custodia y conservación recae única y exclusivamente en el Cliente (Responsable del Tratamiento).

3. Responsabilidad del Cliente sobre la Conservación del Documento

El Cliente (Usuario) asume la plena responsabilidad por la descarga, custodia, conservación y trazabilidad a largo plazo del documento final firmado (Mensaje de Datos) y el cumplimiento de los plazos legales de conservación que le sean aplicables según su Tabla de Retención Documental (TRD). UFOTECH S.A.S. se exonera expresamente de toda responsabilidad por la pérdida, deterioro o alteración del documento firmado que ocurra después de su entrega al Cliente.

4. Datos y Elementos Objeto de Conservación por SiFirma

La única obligación de conservación a largo plazo de UFOTECH S.A.S. se limita a los elementos que constituyen la Evidencia de Firma (Metadatos de Auditoría), necesarios para garantizar la validez legal del proceso de firma, y a los datos biométricos tratados durante el proceso de autenticación del firmante. Los datos y elementos conservados son:

  • Evidencia de Firma: Dirección IP, Fecha y Hora exacta de la firma, Tipo de Dispositivo/Software.
  • Integridad Criptográfica: El Hash SHA-256 (valor criptográfico único) del documento en el momento de la firma.
  • Trazabilidad: El Log de Auditoría inalterable (Registro de la Transacción).
  • Imagen facial (dato biométrico sensible): Captura fotográfica del rostro del firmante obtenida durante el proceso de Prueba de Vida, cuando esta funcionalidad sea habilitada por el remitente. La imagen se conserva en formato cifrado, vinculada exclusivamente al Hash SHA-256 del documento firmado, con acceso restringido mediante llave criptográfica. Su conservación obedece a la necesidad de verificar la autenticidad de la firma en caso de impugnación judicial o administrativa. Este dato es de categoría sensible conforme al artículo 5 de la Ley 1581 de 2012 y su tratamiento se rige por las condiciones establecidas en la Política de Tratamiento de Datos Personales de SiFirma.

5. Tabla Unificada de Retención y eliminación de la Evidencia de Firma, por tipo de dato

 
Tipo de dato Plazo de conservación Método de eliminación Fundamento normativo
Metadatos de auditoría (IP, Hash SHA-256, Log de Trazabilidad, timestamp) 5 años desde la fecha de firma Destrucción criptográfica + sobreescritura segura (NIST 800-88) Ley 527/1999 — validez probatoria de la firma electrónica
Imagen facial (dato biométrico sensible — Prueba de Vida) Máx. 05 años desde la fecha de firma, salvo orden judicial Destrucción de la llave criptográfica + eliminación irrecuperable del archivo cifrado Prescripción acciones civiles y laborales — Art. 2536 C.C. / Art. 488 CST
Datos identificativos del firmante (nombre, correo, número de identificación) Hasta solicitud de supresión o fin de la relación contractual Eliminación de bases de datos activas; conservación en formato pseudonimizado hasta vencimiento de Evidencia de Firma Ley 1581/2012 Art. 8 (derechos del titular)
Datos identificativos en formato pseudonimizado (post-supresión) Hasta cumplimiento del plazo de la Evidencia de Firma asociada Eliminación definitiva al vencer el plazo del dato asociado Ley 527/1999 — garantía de validez legal de la transacción
Documento final firmado (Mensaje de Datos) Máx. 15 días tras entrega/descarga Eliminación lógica automática con verificación de borrado Principio de minimización — Ley 1581/2012 Art. 4

6. Procedimiento de Eliminación de Datos Personales

Una vez cumplido el plazo de retención de cada tipo de dato, UFOTECH S.A.S. ejecutará el siguiente procedimiento de eliminación:

   6.1. Documento Final Firmado

El documento se elimina automáticamente de los sistemas de UFOTECH S.A.S. en un plazo no mayor a 30 días después de su entrega o puesta a disposición para descarga por el Cliente, salvo que se requiera su retención temporal para atender un requerimiento legal inmediato debidamente documentado.

   6.2. Evidencia de Firma (Metadatos y Hash)

Los datos de la Evidencia de Firma (Log de Auditoría, Hash SHA-256, IP, timestamp) se conservarán por el plazo de cinco (5) años desde la fecha de firma. Al vencer dicho plazo, serán eliminados conforme al procedimiento de eliminación segura descrito en la Sección

   6.3. Supresión a Solicitud del Titular

En caso de solicitud de supresión del dato por parte del Titular, UFOTECH S.A.S. procederá a la eliminación de los datos personales identificables (nombre, correo electrónico, número de identificación) de las bases de datos activas del Servicio. Sin embargo, podrá conservar la Evidencia de Firma (Logs/Metadatos) en formato pseudonimizado o anonimizado por el plazo de retención correspondiente, en virtud de la necesidad de atender requerimientos legales de auditoría y garantizar la validez legal de la transacción de firma, conforme a la Ley 527 de 1999.

   6.4. Eliminación de la Imagen Facial (Prueba de Vida)

La imagen facial almacenada durante la Prueba de Vida es un dato biométrico sensible que requiere un procedimiento de eliminación irreversible y verificable, distinto al de los datos personales ordinarios. Al cumplirse el plazo máximo de conservación (05 años desde la fecha de firma) o al atenderse una solicitud de supresión procedente, UFOTECH S.A.S. ejecutará el siguiente procedimiento en ese orden:

  • Paso 1: Destrucción criptográfica de la llave: Se destruirá la llave criptográfica asociada a la imagen facial, haciendo el archivo cifrado permanente e irrecuperable, aun si el archivo cifrado persistiera físicamente en el sistema de almacenamiento.
  • Paso 2: Eliminación del archivo cifrado: Se procederá a la eliminación del archivo cifrado del sistema de almacenamiento mediante sobreescritura segura conforme al estándar NIST SP 800-88 (Clear o Purge, según el medio de almacenamiento).
  • Paso 3: Verificación de eliminación: El sistema generará un registro automático en el Log de Operaciones Internas que confirme: fecha y hora de la eliminación, identificador anonimizado del registro eliminado, método de eliminación aplicado, y nombre o rol del responsable de TI que ejecutó o verificó el proceso.
  • Paso 4: Notificación al Titular (si aplica): Si la eliminación fue motivada por una solicitud de supresión del Titular, se le notificará por correo electrónico la confirmación de la eliminación en un plazo no mayor a cinco (5) días hábiles posteriores a su ejecución.

7. Seguridad de la Eliminación y la Conservación

Todos los procedimientos de eliminación y conservación se realizan aplicando protocolos seguros de comunicación y cifrado, en cumplimiento con los controles de la norma ISO/IEC 27001:2022. Específicamente:

  • Cifrado en tránsito y en reposo: todos los datos conservados, incluyendo la Evidencia de Firma y la imagen facial, se encuentran cifrados durante su almacenamiento y transmisión.
  • Control de acceso: todos los accesos y gestiones sobre datos conservados son registrados y custodiados conforme a las políticas de trazabilidad de UFOTECH S.A.S., limitando el acceso únicamente a personal autorizado con roles definidos.
  • Log de operaciones: cada operación de acceso, modificación o eliminación sobre datos personales queda registrada en un Log de Operaciones Internas inalterable, disponible para auditoría por la SIC o autoridad competente.
  • Estándar de eliminación: las eliminaciones de datos biométricos se ejecutan conforme al estándar NIST SP 800-88, garantizando la irrecuperabilidad del dato.
  • Auditoría periódica: los procedimientos de eliminación son sometidos a revisión periódica dentro del ciclo de auditoría interna del SGSI certificado bajo ISO/IEC 27001:2022.
Fecha de entrada en vigencia: 11 Diciembre de 2025
Control de Cambios: 24 junio 2026 V.3
28 Febrero 2026 V.2
Scroll to Top