Proyecto de Ley

Proyecto de Ley nº 227. Acceso y uso del comercio electrónico.

Proyecto de Ley nº 227 de abril 21 de 1998, por medio del cual se define y reglamenta el acceso y uso del comercio electrónico.

FIRMAS DIGITALES Y SE AUTORIZAN LAS ENTIDADES DE CERTIFICACIÓN

PARTE I. COMERCIO ELECTRÓNICO EN GENERAL.

CAPÍTULO I. DISPOSICIONES GENERALES

ARTÍCULO 1. ÁMBITO DE APLICACIÓN.

La presente Ley será aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos:

En las obligaciones contraídas por el Estado colombiano en virtud de convenios o tratados internaciones.

En las advertencias escritas que por disposición legal deban ir necesariamente impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o consumo.

ARTÍCULO 2. DEFINICIONES.

Para los efectos de la presente Ley se entenderá por:

Comercio Electrónico: Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; de factoring; de leasing; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; de inversión; de financiación de banca; de seguros; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera.

Mensaje de Datos: La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el télex o el telefax.

Intercambio Electrónico de Datos (EDI): La transmisión electrónica de información de una computadora a otra, estando estructurada la información conforme a alguna norma técnica convenida al efecto.

Iniciador: Toda persona que, al tenor del mensaje, haya actuado por su cuenta o en cuyo nombre se haya actuado, para enviar o generar ese mensaje antes de ser archivado, si este es el caso, pero que no lo haya hecho a título de intermediario con respecto a ese mensaje.

Destinatario: La persona designada por el iniciador para recibir el mensaje, pero que no esté actuando a título de intermediario con respecto a ese mensaje.

Intermediario: Toda persona que, en relación con un determinado mensaje de datos, actuando por cuenta de otra, envíe, reciba o archive dicho mensaje o preste algún otro servicio con respecto a él.

Sistema de Información: Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos.

Firma Digital: Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación.

Criptografía: Es la rama de las matemáticas aplicadas que se ocupa de transformar mensajes en formas aparentemente ininteligibles y devolverlas a su forma original.

Entidad de Certificación: Es aquella persona que, autorizada conforme a la presente Ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales.

Certificado: Es la manifestación que hace la entidad de certificación, como resultado de la verificación que efectúa sobre la autenticidad, veracidad y legitimidad de las firmas digitales o la integridad de un mensaje.

Repositorio: Es un sistema de información utilizado para guardar y recuperar certificados u otro tipo de información relevante para la expedición de los mismos.

Suscriptor: Dícese de la persona que contrata con una entidad de certificación la expedición de un certificado, para que sea nombrada o identificada en él. Esta persona mantiene bajo su estricto y exclusivo control el procedimiento para generar su firma digital.

Usuario: Dícese de la persona que sin ser suscriptor y sin contratar los servicios de emisión de certificados de una Entidad de certificación, puede sin embargo validar la integridad y autenticidad de un mensaje de datos, con un certificado del suscriptor originador del mensaje.

Revocar un certificado: Finalizar definitivamente el período de validez de un certificado, desde una fecha específica, en adelante.

Suspender un certificado: Interrumpir temporalmente el período operacional de un certificado desde una fecha específica, en adelante.

ARTÍCULO 3. INTERPRETACIÓN.

En la interpretación de la presente Ley habrán de tenerse en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicación y la observancia de la buena fe.

Las cuestiones relativas a materias que se rijan por la presente Ley y que no estén expresamente resueltas en ella, serán dirimidas de conformidad con los principios generales en que ella se inspira.

ARTÍCULO 4. MODIFICACIÓN MEDIANTE ACUERDO.

Salvo que se disponga otra cosa, en las relaciones entre partes que generan, envían, reciben, archivan o procesan de alguna otra forma mensajes de datos, las disposiciones del Capítulo III, Parte I, podrán ser modificadas mediante acuerdo.

Lo dispuesto en este artículo no se aplicará a las disposiciones contenidas en el capítulo II de la parte I de la presente Ley.

ARTÍCULO 5. RECONOCIMIENTO JURÍDICO DE LOS MENSAJES DE DATOS. No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos.

CAPÍTULO II. APLICACIÓN DE LOS REQUISITOS JURÍDICOS DE LOS MENSAJES DE DATOS

ARTÍCULO 6. ESCRITO.

Cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta.

Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas prevén consecuencias en el caso de que la información no conste por escrito.

ARTÍCULO 7. FIRMA.

Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si éste ha sido firmado.

En cualquier mensaje de datos con una entidad pública en la cual se use o se requiera una firma, cualquiera de las partes de la comunicación podrá hacerlo, usando una firma digital que cumpla con los requerimientos establecidos en esta Ley.

Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que no exista una firma.

ARTÍCULO 8. ORIGINAL.

Cuando cualquier norma requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos, si :

Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma;

De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona que se deba presentar.

Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que la información no sea presentada o conservada en su forma original.

ARTÍCULO 9. INTEGRIDAD DE UN MENSAJE DE DATOS.

Para efectos del artículo anterior, se considerará que la información consignada en un mensaje de datos es íntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido, será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias relevantes del caso.

ARTÍCULO 10. ADMISIBILIDAD Y FUERZA PROBATORIA DE LOS MENSAJES DE DATOS.

Los mensajes de datos serán admisibles como medios de prueba y tendrán la misma fuerza probatoria otorgada a los documentos en el capítulo VIII del título XIII, Sección Tercera, Libro Segundo del Código de Procedimiento Civil.

En toda actuación administrativa o judicial, vinculada con el ámbito de aplicación de la presente Ley, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el solo hecho de que se trate de uno de un mensaje de datos o en razón de no haber sido presentado en su forma original.

ARTÍCULO 11. CRITERIO PARA VALORAR PROBATORIAMENTE UN MENSAJE DE DATOS.

Al valorar la fuerza probatoria de un mensaje de datos se habrá de tener presente la confiabilidad de la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad de la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.

ARTÍCULO 12. CONSERVACIÓN DE LOS MENSAJES DE DATOS.

Cuando la Ley requiera que ciertos documentos, registros o informaciones sean conservados, ese requisito quedará satisfecho mediante la conservación de los mensajes de datos, siempre que se cumplan las siguientes condiciones :

Que la información que contengan sea accesible para su posterior consulta;

Que el mensaje de datos sea conservado en el formato en que se haya generado, enviado o recibido o en algún formato que permita demostrar que reproduce con exactitud la información generada, enviada o recibida; y

Que se conserve, de haber alguna, toda información que permita determinar el origen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido.

No estará sujeta a la obligación de conservación, la información que tenga por única finalidad facilitar el envío o recepción de los mensajes de datos.

ARTÍCULO 13. CONSERVACIÓN DE MENSAJES DE DATOS A TRAVÉS DE TERCEROS.

La cumplimiento de la obligación de conservar documentos, registros o informaciones en mensajes de datos, se podrá realizar a través de terceros, siempre y cuando se cumplan las condiciones enunciadas en el artículo anterior.

CAPÍTULO III. COMUNICACIÓN DE LOS MENSAJES DE DATOS

ARTÍCULO 14. FORMACIÓN Y VALIDEZ DE LOS CONTRATOS.

En la formación del contrato, salvo acuerdo expreso entre las partes, la oferta y su aceptación podrán ser expresadas por medio de un mensaje de datos. No se negará validez o fuerza obligatoria a un contrato por la sola razón de haberse utilizado en su formación uno o más mensajes de datos.

ARTÍCULO 15. RECONOCIMIENTO DE LOS MENSAJES DE DATOS POR LAS PARTES.

En las relaciones entre el iniciador y el destinatario de un mensaje de datos, no se negarán efectos jurídicos, validez o fuerza obligatoria a una manifestación de voluntad u otra declaración por la sola razón de haberse hecho en forma de mensaje de datos.

ARTÍCULO 16. ATRIBUCIÓN DE UN MENSAJE DE DATOS.

Se entenderá que un mensaje de datos proviene del iniciador, cuando éste ha sido enviado por:

El propio iniciador;

Por alguna persona facultada para actuar en nombre del iniciador respecto de ese mensaje; o

Por un sistema de información programado por el iniciador o en su nombre para que opere automáticamente.

ARTÍCULO 17. PRESUNCIÓN DEL ORIGEN DE UN MENSAJE DE DATOS.

Se presume que un mensaje de datos ha sido enviado por el iniciador, y por lo tanto puede obrar en consecuencia, cuando:

Haya aplicado en forma adecuada el procedimiento acordado previamente con el iniciador, para establecer que el mensaje de datos provenía efectivamente de éste o,

El mensaje de datos que reciba el destinatario resulte de los actos de una persona cuya relación con el iniciador, o con algún mandatario suyo, le haya dado acceso a algún método utilizado por el iniciador para identificar un mensaje de datos como propio.

PARÁGRAFO.- Lo dispuesto en el presente artículo no se aplicará :

A partir del momento en que el destinatario haya sido informado por el iniciador de que el mensaje de datos no provenía de éste y haya dispuesto de un plazo razonable para actuar en consecuencia ; o

A partir del momento en que el destinatario sepa, o debiera saber de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que el mensaje de datos no provenía de éste.

ARTÍCULO 18. CONCORDANCIA DEL MENSAJE DE DATOS ENVIADO CON EL MENSAJE DE DATOS RECIBIDO.

Siempre que un mensaje de datos provenga del iniciador o que se entienda que proviene de él, o siempre que el destinatario tenga derecho a actuar con arreglo a este supuesto, en las relaciones entre el iniciador y el destinatario, éste último tendrá derecho a considerar que el mensaje de datos recibido corresponde al que quería enviar el iniciador, y podrá proceder en consecuencia.

El destinatario no gozará de este derecho si sabía o hubiera sabido, de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que la transmisión había dado lugar a un error en el mensaje de datos recibido.

ARTÍCULO 19. MENSAJES DE DATOS DUPLICADOS.

Se presume que cada mensaje de datos recibido es un mensaje de datos diferente, salvo en la medida en que duplique otro mensaje de datos, y que el destinatario sepa, o debiera saber, de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que el nuevo mensaje de datos era un duplicado.

ARTÍCULO 20. ACUSE DE RECIBO.

Si al enviar o antes de enviar un mensaje de datos, el iniciador solicita o acuerda con el destinatario que se acuse recibo del mensaje de datos, pero no se ha acordado entre éstos una forma o método determinado para efectuarlo, se podrá acusar recibo mediante:

Toda comunicación del destinatario, automatizada o no, o

Todo acto del destinatario que baste para indicar al iniciador que se ha recibido el mensaje de datos.

Si el iniciador ha solicitado o acordado con el destinatario que se acuse recibo del mensaje de datos, y expresamente aquél ha indicado que los efectos del mensaje de datos estarán condicionados a la recepción de un acuse de recibo, se considerará que el mensaje de datos no ha sido enviado en tanto que no se haya recepcionado el acuse de recibo.

Si el iniciador ha solicitado o acordado con el destinatario que se acuse recibo del mensaje de datos, pero aquél no indicó expresamente que los efectos del mensaje de datos están condicionados a la recepción del acuse de recibo y, si no se ha recibido acuse en el plazo fijado o convenido o no se ha fijado o convenido ningún plazo, en un plazo no mayor de 48 horas a partir del momento del envío o el vencimiento del plazo fijado o convenido, el iniciador :

Podrá dar aviso al destinatario de que no ha recepcionado el acuse de recibo y fijar un nuevo plazo para su recepción el cual será de 48 horas, contadas a partir del momento del envío del nuevo mensaje de datos; y

De no recepcionarse acuse de recibo dentro del término señalado en el literal anterior, podrá, dando aviso de ello al destinatario, considerar que el mensaje de datos no ha sido enviado o ejercer cualquier otro derecho que pueda tener.

ARTÍCULO 21. PRESUNCIÓN DE RECEPCIÓN DE UN MENSAJE DE DATOS. 

Cuando el iniciador recepcione acuse de recibo del destinatario, se presumirá que éste ha recibido el mensaje de datos.

Esa presunción no implicará que el mensaje de datos corresponda al mensaje recibido. Cuando en el acuse de recibo se indique que el mensaje de datos recepcionado cumple con los requisitos técnicos convenidos o enunciados en alguna norma técnica aplicable, se presumirá que ello es así.

ARTÍCULO 22. EFECTOS JURÍDICOS.

Los artículos 20 y 21 únicamente rigen los efectos relacionados con el acuse de recibo. Las consecuencias jurídicas del mensaje de datos se regirán conforme a las normas aplicables al acto o negocio jurídico contenido en dicho mensaje de datos.

ARTÍCULO 23. TIEMPO DEL ENVÍO DE UN MENSAJE DE DATOS.

De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido cuando ingrese en un sistema de información que no esté bajo control del iniciador o de la persona que envió el mensaje de datos en nombre de éste.

ARTÍCULO 24. TIEMPO DE LA RECEPCIÓN DE UN MENSAJE DE DATOS.

De no convenir otra cosa el iniciador y el destinatario, el momento de la recepción de un mensaje de datos se determinará como sigue :

Si el destinatario ha designado un sistema de información para la recepción de mensaje de datos, la recepción tendrá lugar :

En el momento en que ingrese el mensaje de datos en el sistema de información designado; o

De enviarse el mensaje de datos a un sistema de información del destinatario que no sea el sistema de información designado, en el momento en que el destinatario recupere el mensaje de datos;

Si el destinatario no ha designado un sistema de información, la recepción tendrá lugar cuando el mensaje de datos ingrese a un sistema de información del destinatario.

Lo dispuesto en este artículo será aplicable aún cuando el sistema de información esté ubicado en lugar distinto de donde se tenga por recibido el mensaje de datos conforme al artículo siguiente.

ARTÍCULO 25. LUGAR DEL ENVÍO Y RECEPCIÓN DEL MENSAJE DE DATOS.

De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido en el lugar donde el iniciador tenga su establecimiento y por recibido en el lugar donde el destinatario tenga el suyo. Para los fines del presente artículo:

Si el iniciador o destinatario tienen más de un establecimiento, su establecimiento será el que guarde una relación más estrecha con la operación subyacente o, de no haber una operación subyacente, su establecimiento principal.

Si el iniciador o el destinatario no tienen establecimiento, se tendrá en cuenta su lugar de residencia habitual.

PARTE II. COMERCIO ELECTRÓNICO EN MATERIA DE TRANSPORTE DE MERCANCÍAS

ARTÍCULO 26. ACTOS RELACIONADOS CON LOS CONTRATOS DE TRANSPORTE DE MERCANCÍAS.

Sin perjuicio de lo dispuesto en la parte I de la presente Ley, este capítulo será aplicable a cualquiera de los siguientes actos que guarde relación con un contrato de transporte de mercancías, o con su cumplimiento, sin que la lista sea taxativa.

a. I) Indicación de las marcas, el número, la cantidad o el peso de las mercancías;

II) declaración de la naturaleza o valor de las mercancías;

III) emisión de un recibo por las mercancías

IV) confirmación de haberse completado el embarque de las mercancías;

b. I) notificación a alguna persona de las cláusulas y condiciones del contrato;

II) comunicación de instrucciones al transportador;

c. I) reclamación de la entrega de las mercancías;

II) autorización para proceder a la entrega de las mercancías;

III) notificación de la pérdida de las mercancías o de los daños que hayan sufrido;

Cualquier otra notificación o declaración relativas al cumplimiento del contrato.

Promesa de hacer entrega de las mercancías a la persona designada o a una persona autorizada para reclamar esa entrega;

Concesión, adquisición, renuncia, restitución, transferencia o negociación de algún derecho sobre mercancías;

Adquisición o transferencia de derechos y obligaciones con arreglo al contrato.

ARTÍCULO 27. DOCUMENTOS DE TRANSPORTE.

Con sujeción a lo dispuesto en el inciso tercero del presente artículo, en los casos en que la Ley requiera que alguno de los actos enunciados en el artículo 26 se lleve a cabo por escrito o mediante documento emitido en papel, ese requisito quedará satisfecho cuando el acto se lleve a cabo por medio de uno o más mensajes de datos.

El inciso anterior será aplicable, tanto si el requisito en él previsto está expresado en forma de obligación o si la Ley simplemente prevé consecuencias en el caso de que no se lleve a cabo el acto por escrito o mediante un documento emitido en papel.

Cuando se conceda algún derecho a una persona determinada y a ninguna otra, o ésta adquiera alguna obligación, y la Ley requiera que, para que ese acto surta efecto, el derecho o la obligación hayan de transferirse a esa persona mediante el envío o utilización de un documento emitido en papel, ese requisito quedará satisfecho si el derecho o la obligación se transfiere mediante la utilización de uno o más mensajes de datos, siempre que se emplee un método confiable para garantizar la singularidad de ese mensaje o esos mensajes de datos.

Para los fines del inciso tercero, el nivel de confiabilidad requerido será determinado a la luz de los fines para los que se transfirió el derecho o la obligación y de todas las circunstancias del caso, incluido cualquier acuerdo pertinente.

Cuando se utilicen uno o más mensajes de datos para llevar a cabo alguno de los actos enunciados en los incisos f y g del artículo 26, no será válido ningún documento emitido en papel para llevar a cabo cualquiera de esos actos, a menos que se haya puesto fin al uso de mensajes de datos para sustituirlo por el de documentos emitidos en papel. Todo documento con soporte en papel que se emita en esas circunstancias deberá contener una declaración en tal sentido. La sustitución de mensajes de datos por documentos emitidos en papel no afectará los derechos ni las obligaciones de las partes.

Cuando se aplique obligatoriamente una norma jurídica a un contrato de transporte de mercancías que esté consignado, o del que se haya dejado constancia en un documento emitido en papel, esa norma no dejará de aplicarse a dicho contrato de transporte de mercancías del que se haya dejado constancia en uno o más mensajes de datos por razón de que el contrato conste en ese mensaje o esos mensajes de datos en lugar de constar en documentos emitidos en papel.

PARTE III. FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN.

CAPÍTULO I. FIRMAS DIGITALES

ARTÍCULO 28. ATRIBUTOS DE UNA FIRMA DIGITAL.

El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquella incorpora los siguientes atributos:

Es única a la persona que la usa.

Es susceptible de ser verificada.

Está bajo el control exclusivo de la persona que la usa.

Está ligada a la información o mensaje, de tal manera que si estos son cambiados, la firma digital es invalidada.

Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.

ARTICULO 29. FIRMA DIGITAL SEGURA.

Una firma digital segura es una firma digital que puede ser verificada de conformidad con un sistema o procedimiento de seguridad autorizado por la presente Ley o autorizado por las partes.

ARTÍCULO 30. MENSAJE DE DATOS FIRMADO DIGITALMENTE

Se entenderá que un mensaje de datos ha sido firmado, si el símbolo o la metodología adoptada por la parte, cumple con un procedimiento de autenticación o seguridad previamente acordado.

Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de autenticar el mensaje de datos y de ser vinculado con el contenido del mismo.

CAPÍTULO II. ENTIDADES DE CERTIFICACIÓN

ARTÍCULO 31. NATURALEZA DE LA FUNCIÓN DE LAS ENTIDADES DE CERTIFICACIÓN.

Las actividades que está Ley asigna a las entidades de certificación se considerarán como la prestación de un servicio público.

Podrán ser entidades de certificación, las cámaras de comercio y las personas jurídicas, tanto públicas como privadas, que previa solicitud sean autorizadas por la Superintendencia y que cumplan con los requerimientos establecidos por el Gobierno Nacional, con base en las siguientes condiciones :

Ser persona jurídica.

Tener y acreditar el acceso a hardware y software suficientes y además contar con los elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas, la conservación y archivo de documentos soportados en mensajes de datos.

Los representantes legales, administradores y personal operativo no podrán ser personas que hayan sido condenados a pena privativa de la libertad, excepto por delitos políticos o culposos o que hayan sido suspendidas en el ejercicio de su profesión por faltas grave contra la ética o hayan sido excluidas de aquella.

Obtener de la Superintendencia de Industria y Comercio la correspondiente autorización para operar como entidad de certificación, siempre y cuando cumpla con todos los requerimientos técnicos establecidos por el Gobierno Nacional.

ARTÍCULO 32. ACTIVIDADES DE LAS ENTIDADES DE CERTIFICACIÓN.

Las entidades de certificación autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar las siguientes actividades :

Emitir certificados en relación con las firmas digitales de personas naturales o jurídicas.

Ofrecer o facilitar los servicios de creación de firmas digitales certificadas.

Ofrecer o facilitar los servicios de registro y estampado cronológico en la transmisión y recepción de mensajes de datos.

Ofrecer los servicios de archivo y conservación de mensajes de datos.

Emitir certificados en relación con la persona que posea un derecho con respecto a los documentos enunciados en los literales f y g del artículo 26 de la presente Ley.

ARTÍCULO 33. AUDITORIAS A LAS ENTIDADES DE CERTIFICACIÓN.

La Superintendencia de Industria y Comercio realizará por lo menos una vez al año una visita de auditoria a cada entidad de certificación autorizada para operar, con el objeto de evaluar el cumplimiento y desempeño de sus operaciones dentro de los parámetros fijados en la Ley y en los reglamentos.

Como resultado de las visitas de auditoria, la Superintendencia evaluará el desempeño de cada una de las entidades de certificación, formulando las recomendaciones e imponiendo las medidas pertinentes que deben ser atendidas por las entidades vigiladas para efectos de normalizar y optimizar la prestación del servicio de conformidad con las exigencias legales y reglamentarias.

Si como resultado de la auditoria se establece que la entidad de certificación no ha cumplido con los requerimientos legales y reglamentarios en el desempeño de sus operaciones, la Superintendencia podrá imponer cualquiera de las sanciones previstas en la presente Ley.

El resultado de la evaluación será incluido en la manifestación de práctica de la correspondiente entidad de certificación. Esta manifestación de práctica se deberá publicar en el repositorio que la Superintendencia designe.

ARTÍCULO 34. MANIFESTACIÓN DE PRACTICA DE LA ENTIDAD DE CERTIFICACIÓN.

Cada entidad de certificación autorizada publicará, en un repositorio de la Superintendencia de Industria y Comercio o en el que ésta designe, una manifestación de práctica de entidad de certificación que contenga la siguiente información :

El nombre, la dirección y el número telefónico de la entidad de certificación.

La clave publica actual de la entidad de certificación.

El resultado de la evaluación obtenida por la entidad de certificación en el última auditoria realizada por la Superintendencia.

Si la autorización para operar como Entidad de certificación ha sido revocada o suspendida. Para ambos casos, se entenderá revocada o suspendida la clave pública de la entidad de certificación. Este registro deberá incluir igualmente la fecha de la revocación o suspensión y los motivos de la misma.

Los límites impuestos a la entidad de certificación, en la autorización para operar.

Cualquier evento que sustancialmente afecte la capacidad de la entidad de certificación para operar.

Cualquier información que se requiera mediante reglamento.

ARTÍCULO 35. REMUNERACIÓN POR LA PRESTACIÓN DE SERVICIOS.

La remuneración por los servicios de las entidades de certificación serán establecidos libremente por éstas.

ARTICULO 36. DEBERES DE LAS ENTIDADES DE CERTIFICACIÓN.

Las Entidades de certificación tendrán, entre otros, los siguientes deberes :

Emitir certificados conforme a lo solicitado o acordado por el suscriptor.

Implementar los sistemas de seguridad para garantizar la emisión y creación de firmas digitales, la conservación y archivo de certificados y documentos en soporte de mensaje de datos.

Garantizar la protección y debido uso de la información suministrada por el suscriptor.

Garantizar la prestación permanente del servicio de entidad de certificación.

Atender oportunamente las solicitudes y reclamaciones hechas por los suscriptores.

Efectuar los avisos y publicaciones conforme a lo ordenado en la presente Ley.

Suministrar la información que le requieran las entidades administrativas competentes o judiciales en relación con las firmas digitales y certificados emitidos y en general sobre cualquier documento electrónico que se encuentre bajo su custodia y administración.

Actualizar permanentemente los medios técnicos conforme a las especificaciones adoptadas por el Gobierno Nacional mediante reglamento.

Permitir y facilitar la realización de las auditorias por parte de la Superintendencia de Industria y Comercio.

Publicar en un repositorio un listado de los certificados suspendidos o revocados.

Publicar en un repositorio su práctica de autoridad de certificación.

Elaborar los reglamentos que definen las relaciones con el suscriptor y la forma de prestación del servicio.

ARTÍCULO 37. TERMINACIÓN UNILATERAL.

Salvo acuerdo entre las partes, la entidad de certificación podrá dar por terminado el acuerdo de vinculación con el suscriptor dando un preaviso no menor de noventa (90) días. Vencido este término, la entidad de certificación revocará los certificados que se encuentren pendientes de expiración.

Igualmente, el suscriptor podrá dar por terminado el acuerdo de vinculación con al entidad de certificación dando un preaviso no inferior a treinta (30) días.

ARTÍCULO 38. RESPONSABILIDAD DE LA ENTIDAD DE CERTIFICACIÓN. 

Salvo acuerdo entre las partes, las entidades de certificación responderán por los daños y perjuicios que por dolo o culpa leve causen a toda persona de buena fe exenta de culpa.

ARTÍCULO 39. CESACIÓN DE ACTIVIDADES POR PARTE DE LAS ENTIDADES DE CERTIFICACIÓN.

Las entidades de certificación autorizadas pueden cesar en el ejercicio de actividades, siempre y cuando haya recibido autorización por parte de la Superintendencia de Industria y Comercio.

Una vez la Superintendencia autorice la cesación de actividades, la entidad de certificación que cesará de operar, deberá enviar a cada suscriptor un aviso con no menos de noventa (90) días de anterioridad a la fecha de la cesación efectiva de actividades, en el cual solicitará autorización para revocar o publicar en otro repositorio de otra entidad de certificación, los certificados que aún se encuentran pendientes de expiración.

Pasados sesenta (60) días sin obtenerse respuesta por parte del suscriptor, la entidad de certificación podrá revocar los certificados no expirados u ordenar su publicación, dentro de los quince (15) días siguientes, en un repositorio de otra entidad de certificación; en ambos casos, dando aviso de ello al suscriptor.

Si la entidad de certificación no ha efectuado la publicación en los términos del inciso anterior, la Superintendencia ordenará la publicación de los certificados no expirados en los repositorios de la entidad de certificación por ella designada.

En el evento de no ser posible la publicación de esos certificados en los repositorios de cualquier entidad de certificación, la Superintendencia efectuará la publicación de los certificados no expirados en un repositorio de su propiedad.

CAPÍTULO III. CERTIFICADOS

ARTÍCULO 40. CONTENIDO DE LOS CERTIFICADOS.

Un certificado emitido por una entidad de certificación autorizada, debe contener, además de la firma digital de la entidad de certificación, por lo menos los siguientes requisitos :

Nombre, dirección y domicilio del suscriptor.

Identificación del suscriptor nombrado en el certificado.

El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.

La clave pública del usuario.

La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.

El número de serie del certificado.

Fecha de emisión y expiración del certificado.

ARTÍCULO 41. EXPIRACIÓN DE UN CERTIFICADO.

Un certificado emitido por una entidad de certificación expira en la fecha indicada en el mismo. Sin embargo, la fecha de expiración de un certificado en ningún caso podrá ser superior a un (1) año.

ARTÍCULO 42. ACEPTACIÓN DE UN CERTIFICADO.

Se entiende que un suscriptor ha aceptado un certificado cuando éste o una persona en nombre de éste lo ha publicado en un repositorio o lo ha enviado a una o más personas.

ARTÍCULO 43. GARANTÍA DERIVADA DE LA ACEPTACIÓN DE UN CERTIFICADO.

El subscriptor al momento de aceptar un certificado, garantiza a todas las personas de buena fe exenta de culpa que se soportan en la información en él contenida, que:

La firma digital autenticada mediante éste, está bajo su control exclusivo.

Que ninguna persona ha tenido acceso al procedimiento de generación de la firma digital.

Que la información contenida en el certificado es verdadera y corresponde a la suministrada por éste a la entidad de certificación.

ARTÍCULO 44. SUSPENSIÓN Y REVOCACIÓN DE CERTIFICADOS.

El suscriptor de una firma digital certificada, puede solicitar a la entidad de certificación que expidió un certificado, la suspensión o revocación del mismo.

La revocación o suspensión del certificado se hace efectiva a partir del momento en que se registra por parte de la entidad de certificación. Este registro debe hacerse en forma inmediata, una vez recibida la solicitud de suspensión o revocación.

ARTÍCULO 45. CAUSALES PARA LA REVOCACIÓN DE CERTIFICADOS.

El suscriptor de una firma digital certificada está obligado a solicitar la revocación del certificado correspondiente en los siguientes casos :

Por pérdida de la clave privada.

La clave privada ha sido expuesta o corre peligro de que se le dé un uso indebido.

Si el suscriptor no solicita la revocación del certificado en el evento de presentarse las anteriores situaciones, será responsable por las pérdidas o perjuicios en los cuales incurran terceros de buena fe exenta de culpa que confiaron en el contenido del certificado.

Una Entidad de certificación revocará un certificado emitido por las siguientes razones :

A petición del suscriptor o un tercero en su nombre y representación,

Por muerte del suscriptor,

Por disolución del suscriptor en el caso de las personas jurídicas,

Por la confirmación de que alguna información o hecho contenido en el certificado es falso,

La clave privada de la entidad de certificación o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado,

Por el cese de actividades de la entidad de certificación, y

Por orden judicial o de entidad administrativa competente.

ARTÍCULO 46. NOTIFICACIÓN DE LA SUSPENSIÓN O REVOCACIÓN DE UN CERTIFICADO.

Una vez registrada la suspensión o revocación de un certificado, la entidad de certificación debe publicar, en forma inmediata, un aviso de suspensión o revocación en todos los repositorios en los cuales la entidad de certificación publicó el certificado. También deberá notificar de este hecho a las personas que soliciten información acerca de una firma digital verificable por remisión al certificado suspendido o revocado.

Si los repositorios en los cuales se publicó el certificado no existen al momento de la publicación del aviso, o los mismos son desconocidos, la entidad de certificación deberá publicar dicho aviso en un repositorio que designe la Superintendencia para tal efecto.

ARTÍCULO 47. REGISTRO DE CERTIFICADOS.

Toda entidad de certificación autorizada deberá llevar un registro de todos los certificados emitidos, que se encuentre a disposición del público, el cual debe indicar las fechas de emisión, expiración, y los registros de suspensión, revocación o reactivación de los mismos.

ARTÍCULO 48. TÉRMINO DE CONSERVACIÓN DE LOS REGISTROS.

Los registros de certificados expedidos por una entidad de certificación deben ser conservados por el término de cuarenta (40) años contados a partir de la fecha de la revocación o expiración del correspondiente certificado.

CAPÍTULO IV. SUSCRIPTORES DE FIRMAS DIGITALES

ARTÍCULO 49. DEBERES DE LOS SUBSCRIPTORES.

Son deberes de los suscriptores :

Recibir de las claves por parte de la entidad de certificación o generar las claves utilizando un sistema de seguridad exigido por la entidad de certificación.

Suministrar información completa, precisa y verídica a la entidad de certificación.

Aceptar los certificados emitidos por la entidad de certificación, demostrando aprobación de sus contenidos mediante el envío de éstos a una o más personas o solicitando la publicación de éstos en repositorios.

Mantener el control de la clave privada y reservarla del conocimiento de terceras personas.

Efectuar oportunamente las correspondientes solicitudes de suspensión o revocación.

Un suscriptor cesa en la obligación de cumplir con los anteriores deberes a partir de la publicación de un aviso de revocación del correspondiente certificado por parte de la entidad de certificación.

ARTÍCULO 50. SOLICITUD DE INFORMACIÓN.

Los suscriptores podrán solicitar a la Entidad de certificación información sobre todo asunto relacionado con los certificados y firmas digitales.

ARTÍCULO 51. RESPONSABILIDAD DE LOS SUSCRIPTORES.

Los suscriptores serán responsables por la falsedad o error en la información suministrada a la entidad de certificación y que es objeto material del contenido del certificado. También serán responsables en los casos en los cuales no de oportuno aviso de revocación o suspensión de certificados en los casos indicados anteriormente.

CAPÍTULO V. SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

ARTÍCULO 52. FUNCIONES DE LA SUPERINTENDENCIA .

La Superintendencia de Industria y Comercio ejercerá la función de entidad de vigilancia y control de las actividades desarrolladas por las entidades de certificación y en especial tendrá las siguientes funciones:

Autorizar conforme a la reglamentación expedida por el Gobierno Nacional la operación de entidades de certificación en el territorio nacional.

Velar por el adecuado funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación y el cabal cumplimiento de las disposiciones legales y reglamentarias de la actividad.

Efectuar las auditorias de que trata la presente Ley.

Definir reglamentariamente los requerimientos técnicos que califiquen la idoneidad de las actividades desarrolladas por las entidades de certificación.

Evaluar las actividades desarrolladas por las entidades de certificación autorizadas conforme a los requerimientos definidos en los reglamentos técnicos.

Revocar o suspender la autorización para operar como entidad de certificación.

Requerir en cualquier momento a las entidades de certificación para que suministren información relacionada con los certificados, las firmas digitales emitidas y los documentos en soporte informático que custodien o administren.

Imponer sanciones a las entidades de certificación por el no cumplimiento o cumplimiento parcial de las obligaciones derivadas de la prestación del servicio.

Ordenar la revocación o suspensión de certificados cuando la entidad de certificación los emita sin el cumplimiento de las formalidades legales.

Designar los repositorios y entidades de certificación en los eventos previstos en la Ley.

Proponer al Gobierno Nacional la implementación de políticas en relación con la regulación de las actividades de las entidades de certificación y la adopción de los avances tecnológicos para la generación de firmas digitales, la emisión de certificados, la conservación y archivo de documentos en soporte electrónico.

Aprobar los reglamentos internos de la prestación del servicio, así como sus reformas.

Emitir certificados en relación con las firmas digitales de las entidades de certificación.

Velar por la observancia de las disposiciones constitucionales y legales sobre la promoción de la competencia y prácticas comerciales restrictivas en los mercados atendidos por las entidades de certificación.

ARTÍCULO 53. SANCIONES.

La Superintendencia de acuerdo con el debido proceso y el derecho de defensa, podrá imponer según la naturaleza y la gravedad de la falta, las siguientes sanciones a las entidades de certificación que incumplan o violen las normas a las cuales debe sujetarse su actividad:

Amonestación.

Multas hasta por el equivalente a 2.000 salarios mínimos mensuales. El monto de la multa se graduará atendiendo al impacto de la infracción sobre la calidad del servicio ofrecido, y al factor de reincidencia. Las entidades multadas podrán repetir contra quienes hubieran realizado los actos u omisiones que dieron lugar a la sanción.

Suspender de inmediato todas o algunas de las actividades de la entidad infractora.

Separar a los administradores o empleados responsables, de los cargos que ocupan en la entidad de certificación sancionada. También se les prohibirá a los infractores trabajar en empresas similares por el término de diez (10) años.

Prohibir a la Entidad de certificación infractora prestar directa o indirectamente los servicios de Entidad de certificación por el término de diez (10) años.

Revocación definitiva de la autorización para operar como entidad de certificación, cuando la aplicación de las sanciones anteriormente enumeradas, no haya sido efectiva y se pretenda evitar perjuicios reales o potenciales a terceros.

CAPÍTULO VI. REPOSITORIOS

ARTÍCULO 54. RECONOCIMIENTO Y ACTIVIDADES DE LOS REPOSITORIOS. La Superintendencia de Industria y Comercio autorizará únicamente la operación de los repositorios que mantengan las entidades de certificación autorizadas.

Los repositorios autorizados para operar deberán :

Mantener una base de datos de certificados de conformidad con los reglamentos que para tal efecto expida el Gobierno Nacional.

Garantizar que la información que mantienen se conserve integra, exacta y razonablemente confiable.

Ofrecer y facilitar los servicios de registro y estampado cronológico en la transmisión y recepción de mensajes de datos.

Ofrecer los servicios de archivo y conservación de mensajes de datos.

Mantener un registro de las publicaciones de los certificados revocados o suspendidos.

CAPÍTULO VII. DISPOSICIONES VARIAS.

ARTÍCULO 55. CERTIFICACIONES RECÍPROCAS.

Los certificados de firmas digitales emitidos por entidades de certificación extranjeras, podrán ser reconocidos en los mismos términos y condiciones exigidos en la Ley para la emisión de certificados por parte de las entidades de certificación nacionales, siempre y cuando tales certificados sean reconocidos por una entidad de certificación autorizada que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, así como su validez y vigencia.

ARTÍCULO 56. INCORPORACIÓN POR REMISIÓN.

Salvo acuerdo en contrario entre las partes, cuando en un mensaje de datos se haga remisión total o parcial a directrices, normas, estándares, acuerdos, cláusulas, condiciones o términos fácilmente accesibles con la intención de incorporarlos como parte del contenido o hacerlos vinculantes jurídicamente, se presume que esos términos están incorporados por remisión a ese mensaje de datos. Entre las partes y conforme a la Ley, esos términos serán jurídicamente válidos como si hubieran sido incorporados en su totalidad en el mensaje de datos.

PARTE IV. REGLAMENTACIÓN Y VIGENCIA.

CAPÍTULO I. REGLAMENTACIÓN

ARTÍCULO 57.

El Gobierno Nacional deberá reglamentar la presente Ley dentro de los seis (6) meses siguientes a su entrada en vigencia.

De conformidad con la anterior reglamentación, la Superintendencia de Industria y Comercio contará con un termino adicional de seis (6) meses, para organizar y asignar a una de sus dependencias la función de control y vigilancia de las actividades realizadas por las entidades de certificación, sin perjuicio de que el Gobierno Nacional cree una unidad especializada dentro de ella, para tal efecto.

CAPÍTULO II. VIGENCIA.

ARTÍCULO 58. VIGENCIA Y DEROGATORIAS.

La presente Ley rige desde la fecha de su publicación y deroga las normas que le sean contrarias, con excepción de las normas destinadas a la protección del consumidor.

PUBLÍQUESE Y CÚMPLASE

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.