LEY 527 DE 1999<br />
(agosto 18)<br />
DIARIO OFICIAL NO. 43.673, DE 21 DE AGOSTO DE 1999. PAG. 1<br />
Por medio de la cual se define y reglamenta el acceso y uso de los mensajes<br />
de datos, del comercio electrónico y de las firmas digitales, y se<br />
establecen las entidades de certificación y se dictan otras disposiciones.<br />
EL CONGRESO DE COLOMBIA<br />
DECRETA:<br />
PARTE I.<br />
PARTE GENERAL<br />
CAPITULO I.<br />
Disposiciones generales<br />
ARTICULO 1o. AMBITO DE APLICACION. La presente ley será aplicable a todo<br />
tipo de información en forma de mensaje de datos, salvo en los siguientes<br />
casos:<br />
a) En las obligaciones contraídas por el Estado colombiano en virtud de<br />
convenios o tratados internacionales;<br />
b) En las advertencias escritas que por disposición legal deban ir<br />
necesariamente impresas en cierto tipo de productos en razón al riesgo que<br />
implica su comercialización, uso o consumo.<br />
ARTICULO 2o. DEFINICIONES. Para los efectos de la presente ley se entenderá<br />
por:<br />
a) Mensaje de datos. La información generada, enviada, recibida, almacenada<br />
o comunicada por medios electrónicos, ópticos o similares, como pudieran<br />
ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el<br />
correo electrónico, el telegrama, el télex o el telefax;<br />
b) Comercio electrónico. Abarca las cuestiones suscitadas por toda relación<br />
de índole comercial, sea o no contractual, estructurada a partir de la<br />
utilización de uno o más mensajes de datos o de cualquier otro medio<br />
similar. Las relaciones de índole comercial comprenden, sin limitarse a<br />
ellas, las siguientes operaciones: toda operación comercial de suministro o<br />
intercambio de bienes o servicios; todo acuerdo de distribución; toda<br />
operación de representación o mandato comercial; todo tipo de operaciones<br />
financieras, bursátiles y de seguros; de construcción de obras; de<br />
consultoría; de ingeniería; de concesión de licencias; todo acuerdo de<br />
concesión o explotación de un servicio público; de empresa conjunta y otras<br />
formas de cooperación industrial o comercial; de transporte de mercancías o<br />
de pasajeros por vía aérea, marítima y férrea, o por carretera;<br />
c) Firma digital. Se entenderá como un valor numérico que se adhiere a un<br />
mensaje de datos y que, utilizando un procedimiento matemático conocido,<br />
vinculado a la clave del iniciador y al texto del mensaje permite<br />
determinar que este valor se ha obtenido exclusivamente con la clave del<br />
iniciador y que el mensaje inicial no ha sido modificado después de<br />
efectuada la transformación;<br />
d) Entidad de Certificación. Es aquella persona que, autorizada conforme a<br />
la presente ley, está facultada para emitir certificados en relación con<br />
las firmas digitales de las personas, ofrecer o facilitar los servicios de<br />
registro y estampado cronológico de la transmisión y recepción de mensajes<br />
de datos, así como cumplir otras funciones relativas a las comunicaciones<br />
basadas en las firmas digitales;<br />
e) Intercambio Electrónico de Datos (EDI). La transmisión electrónica de<br />
datos de una computadora a otra, que está estructurada bajo normas técnicas<br />
convenidas al efecto;<br />
f) Sistema de Información. Se entenderá todo sistema utilizado para<br />
generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes<br />
de datos.<br />
ARTICULO 3o. INTERPRETACION. En la interpretación de la presente ley habrán<br />
de tenerse en cuenta su origen internacional, la necesidad de promover la<br />
uniformidad de su aplicación y la observancia de la buena fe.<br />
Las cuestiones relativas a materias que se rijan por la presente ley y que<br />
no estén expresamente resueltas en ella, serán dirimidas de conformidad con<br />
los principios generales en que ella se inspira.<br />
ARTICULO 4o. MODIFICACION MEDIANTE ACUERDO. Salvo que se disponga otra<br />
cosa, en las relaciones entre partes que generan, envían, reciben, archivan<br />
o procesan de alguna otra forma mensajes de datos, las disposiciones del<br />
Capítulo III, Parte I, podrán ser modificadas mediante acuerdo.<br />
ARTICULO 5o. RECONOCIMIENTO JURIDICO DE LOS MENSAJES DE DATOS. No se<br />
negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de<br />
información por la sola razón de que esté en forma de mensaje de datos.<br />
CAPITULO II.<br />
Aplicación de los requisitos jurídicos de los mensajes de datos<br />
ARTICULO 6o. ESCRITO. Cuando cualquier norma requiera que la información<br />
conste por escrito, ese requisito quedará satisfecho con un mensaje de<br />
datos, si la información que éste contiene es accesible para su posterior<br />
consulta.<br />
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido<br />
en cualquier norma constituye una obligación, como si las normas prevén<br />
consecuencias en el caso de que la información no conste por escrito.<br />
ARTICULO 7o. FIRMA. Cuando cualquier norma exija la presencia de una firma<br />
o establezca ciertas consecuencias en ausencia de la misma, en relación con<br />
un mensaje de datos, se entenderá satisfecho dicho requerimiento si:<br />
a) Se ha utilizado un método que permita identificar al iniciador de un<br />
mensaje de datos y para indicar que el contenido cuenta con su aprobación;<br />
b) Que el método sea tanto confiable como apropiado para el propósito por<br />
el cual el mensaje fue generado o comunicado.<br />
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido<br />
en cualquier norma constituye una obligación, como si las normas<br />
simplemente prevén consecuencias en el caso de que no exista una firma.<br />
ARTICULO 8o. ORIGINAL. Cuando cualquier norma requiera que la información<br />
sea presentada y conservada en su forma original, ese requisito quedará<br />
satisfecho con un mensaje de datos, si:<br />
a) Existe alguna garantía confiable de que se ha conservado la integridad<br />
de la información, a partir del momento en que se generó por primera vez en<br />
su forma definitiva, como mensaje de datos o en alguna otra forma;<br />
b) De requerirse que la información sea presentada, si dicha información<br />
puede ser mostrada a la persona que se deba presentar.<br />
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido<br />
en cualquier norma constituye una obligación, como si las normas<br />
simplemente prevén consecuencias en el caso de que la información no sea<br />
presentada o conservada en su forma original.<br />
ARTICULO 9o. INTEGRIDAD DE UN MENSAJE DE DATOS. Para efectos del artículo<br />
anterior, se considerará que la información consignada en un mensaje de<br />
datos es íntegra, si ésta ha permanecido completa e inalterada, salvo la<br />
adición de algún endoso o de algún cambio que sea inherente al proceso de<br />
comunicación, archivo o presentación. El grado de confiabilidad requerido,<br />
será determinado a la luz de los fines para los que se generó la<br />
información y de todas las circunstancias relevantes del caso.<br />
ARTICULO 10. ADMISIBILIDAD Y FUERZA PROBATORIA DE LOS MENSAJES DE DATOS.<br />
Los mensajes de datos serán admisibles como medios de prueba y su fuerza<br />
probatoria es la otorgada en las disposiciones del Capítulo VIII del Título<br />
XIII, Sección Tercera, Libro Segundo del Código de Procedimiento Civil.<br />
En toda actuación administrativa o judicial, no se negará eficacia, validez<br />
o fuerza obligatoria y probatoria a todo tipo de información en forma de un<br />
mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o<br />
en razón de no haber sido presentado en su forma original.<br />
ARTICULO 11. CRITERIO PARA VALORAR PROBATORIAMENTE UN MENSAJE DE DATOS.<br />
Para la valoración de la fuerza probatoria de los mensajes de datos a que<br />
se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y<br />
demás criterios reconocidos legalmente para la apreciación de las pruebas.<br />
Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma<br />
en la que se haya generado, archivado o comunicado el mensaje, la<br />
confiabilidad en la forma en que se haya conservado la integridad de la<br />
información, la forma en la que se identifique a su iniciador y cualquier<br />
otro factor pertinente.<br />
ARTICULO 12. CONSERVACION DE LOS MENSAJES DE DATOS Y DOCUMENTOS. Cuando la<br />
ley requiera que ciertos documentos, registros o informaciones sean<br />
conservados, ese requisito quedará satisfecho, siempre que se cumplan las<br />
siguientes condiciones:<br />
1. Que la información que contengan sea accesible para su posterior<br />
consulta.<br />
2. Que el mensaje de datos o el documento sea conservado en el formato en<br />
que se haya generado, enviado o recibido o en algún formato que permita<br />
demostrar que reproduce con exactitud la información generada, enviada o<br />
recibida, y<br />
3. Que se conserve, de haber alguna, toda información que permita<br />
determinar el origen, el destino del mensaje, la fecha y la hora en que fue<br />
enviado o recibido el mensaje o producido el documento.<br />
No estará sujeta a la obligación de conservación, la información que tenga<br />
por única finalidad facilitar el envío o recepción de los mensajes de<br />
datos.<br />
Los libros y papeles del comerciante podrán ser conservados en cualquier<br />
medio técnico que garantice su reproducción exacta.<br />
ARTICULO 13. CONSERVACIÓN DE MENSAJES DE DATOS Y ARCHIVO DE DOCUMENTOS A<br />
TRAVÉS DE TERCEROS. El cumplimiento de la obligación de conservar<br />
documentos, registros o informaciones en mensajes de datos, se podrá<br />
realizar directamente o a través de terceros, siempre y cuando se cumplan<br />
las condiciones enunciadas en el artículo anterior.<br />
CAPITULO III.<br />
Comunicación de los mensajes de datos<br />
ARTICULO 14. FORMACION Y VALIDEZ DE LOS CONTRATOS. En la formación del<br />
contrato, salvo acuerdo expreso entre las partes, la oferta y su aceptación<br />
podrán ser expresadas por medio de un mensaje de datos. No se negará<br />
validez o fuerza obligatoria a un contrato por la sola razón de haberse<br />
utilizado en su formación uno o más mensajes de datos.<br />
ARTICULO 15. RECONOCIMIENTO DE LOS MENSAJES DE DATOS POR LAS PARTES. En las<br />
relaciones entre el iniciador y el destinatario de un mensaje de datos, no<br />
se negarán efectos jurídicos, validez o fuerza obligatoria a una<br />
manifestación de voluntad u otra declaración por la sola razón de haberse<br />
hecho en forma de mensaje de datos.<br />
ARTICULO 16. ATRIBUCION DE UN MENSAJE DE DATOS. Se entenderá que un mensaje<br />
de datos proviene del iniciador, cuando éste ha sido enviado por:<br />
1. El propio iniciador.<br />
2. Por alguna persona facultada para actuar en nombre del iniciador<br />
respecto de ese mensaje, o<br />
3. Por un sistema de información programado por el iniciador o en su nombre<br />
para que opere automáticamente.<br />
ARTICULO 17. PRESUNCION DEL ORIGEN DE UN MENSAJE DE DATOS. Se presume que<br />
un mensaje de datos ha sido enviado por el iniciador, cuando:<br />
1. Haya aplicado en forma adecuada el procedimiento acordado previamente<br />
con el iniciador, para establecer que el mensaje de datos provenía<br />
efectivamente de éste, o<br />
2. El mensaje de datos que reciba el destinatario resulte de los actos de<br />
una persona cuya relación con el iniciador, o con algún mandatario suyo, le<br />
haya dado acceso a algún método utilizado por el iniciador para identificar<br />
un mensaje de datos como propio.<br />
ARTICULO 18. CONCORDANCIA DEL MENSAJE DE DATOS ENVIADO CON EL MENSAJE DE<br />
DATOS RECIBIDO. Siempre que un mensaje de datos provenga del iniciador o<br />
que se entienda que proviene de él, o siempre que el destinatario tenga<br />
derecho a actuar con arreglo a este supuesto, en las relaciones entre el<br />
iniciador y el destinatario, este último tendrá derecho a considerar que el<br />
mensaje de datos recibido corresponde al que quería enviar el iniciador, y<br />
podrá proceder en consecuencia.<br />
El destinatario no gozará de este derecho si sabía o hubiera sabido, de<br />
haber actuado con la debida diligencia o de haber aplicado algún método<br />
convenido, que la transmisión había dado lugar a un error en el mensaje de<br />
datos recibido.<br />
ARTICULO 19. MENSAJES DE DATOS DUPLICADOS. Se presume que cada mensaje de<br />
datos recibido es un mensaje de datos diferente, salvo en la medida en que<br />
duplique otro mensaje de datos, y que el destinatario sepa, o debiera<br />
saber, de haber actuado con la debida diligencia o de haber aplicado algún<br />
método convenido, que el nuevo mensaje de datos era un duplicado.<br />
ARTICULO 20. ACUSE DE RECIBO. Si al enviar o antes de enviar un mensaje de<br />
datos, el iniciador solicita o acuerda con el destinatario que se acuse<br />
recibo del mensaje de datos, pero no se ha acordado entre éstos una forma o<br />
método determinado para efectuarlo, se podrá acusar recibo mediante:<br />
a) Toda comunicación del destinatario, automatizada o no, o<br />
b) Todo acto del destinatario que baste para indicar al iniciador que se ha<br />
recibido el mensaje de datos.<br />
Si el iniciador ha solicitado o acordado con el destinatario que se acuse<br />
recibo del mensaje de datos, y expresamente aquél ha indicado que los<br />
efectos del mensaje de datos estarán condicionados a la recepción de un<br />
acuse de recibo, se considerará que el mensaje de datos no ha sido enviado<br />
en tanto que no se haya recepcionado el acuse de recibo.<br />
ARTICULO 21. PRESUNCION DE RECEPCION DE UN MENSAJE DE DATOS. Cuando el<br />
iniciador recepcione acuse recibo del destinatario, se presumirá que éste<br />
ha recibido el mensaje de datos.<br />
Esa presunción no implicará que el mensaje de datos corresponda al mensaje<br />
recibido. Cuando en el acuse de recibo se indique que el mensaje de datos<br />
recepcionado cumple con los requisitos técnicos convenidos o enunciados en<br />
alguna norma técnica aplicable, se presumirá que ello es así.<br />
ARTICULO 22. EFECTOS JURIDICOS. Los artículos 20 y 21 únicamente rigen los<br />
efectos relacionados con el acuse de recibo. Las consecuencias jurídicas<br />
del mensaje de datos se regirán conforme a las normas aplicables al acto o<br />
negocio jurídico contenido en dicho mensaje de datos.<br />
ARTICULO 23. TIEMPO DEL ENVIO DE UN MENSAJE DE DATOS. De no convenir otra<br />
cosa el iniciador y el destinatario, el mensaje de datos se tendrá por<br />
expedido cuando ingrese en un sistema de información que no esté bajo<br />
control del iniciador o de la persona que envió el mensaje de datos en<br />
nombre de éste.<br />
ARTICULO 24. TIEMPO DE LA RECEPCION DE UN MENSAJE DE DATOS. De no convenir<br />
otra cosa el iniciador y el destinatario, el momento de la recepción de un<br />
mensaje de datos se determinará como sigue:<br />
a) Si el destinatario ha designado un sistema de información para la<br />
recepción de mensaje de datos, la recepción tendrá lugar:<br />
1. En el momento en que ingrese el mensaje de datos en el sistema de<br />
información designado; o<br />
2. De enviarse el mensaje de datos a un sistema de información del<br />
destinatario que no sea el sistema de información designado, en el momento<br />
en que el destinatario recupere el mensaje de datos;<br />
b) Si el destinatario no ha designado un sistema de información, la<br />
recepción tendrá lugar cuando el mensaje de datos ingrese a un sistema de<br />
información del destinatario.<br />
Lo dispuesto en este artículo será aplicable aun cuando el sistema de<br />
información esté ubicado en lugar distinto de donde se tenga por recibido<br />
el mensaje de datos conforme al artículo siguiente.<br />
ARTICULO 25. LUGAR DEL ENVIO Y RECEPCION DEL MENSAJE DE DATOS. De no<br />
convenir otra cosa el iniciador y el destinatario, el mensaje de datos se<br />
tendrá por expedido en el lugar donde el iniciador tenga su establecimiento<br />
y por recibido en el lugar donde el destinatario tenga el suyo. Para los<br />
fines del presente artículo:<br />
a) Si el iniciador o destinatario tienen más de un establecimiento, su<br />
establecimiento será el que guarde una relación más estrecha con la<br />
operación subyacente o, de no haber una operación subyacente, su<br />
establecimiento principal;<br />
b) Si el iniciador o el destinatario no tienen establecimiento, se tendrá<br />
en cuenta su lugar de residencia habitual.<br />
PARTE II.<br />
COMERCIO ELECTRONICO EN MATERIA DE TRANSPORTE DE MERCANCIAS<br />
ARTICULO 26. ACTOS RELACIONADOS CON LOS CONTRATOS DE TRANSPORTE DE<br />
MERCANCÍAS. Sin perjuicio de lo dispuesto en la parte I de la presente ley,<br />
este capítulo será aplicable a cualquiera de los siguientes actos que<br />
guarde relación con un contrato de transporte de mercancías, o con su<br />
cumplimiento, sin que la lista sea taxativa:<br />
a) I. Indicación de las marcas, el número, la cantidad o el peso de las<br />
mercancías.<br />
II. Declaración de la naturaleza o valor de las mercancías.<br />
III. Emisión de un recibo por las mercancías.<br />
IV. Confirmación de haberse completado el embarque de las mercancías;<br />
b) I. Notificación a alguna persona de las cláusulas y condiciones del<br />
contrato.<br />
II. Comunicación de instrucciones al transportador;<br />
c) I. Reclamación de la entrega de las mercancías.<br />
II. Autorización para proceder a la entrega de las mercancías.<br />
III. Notificación de la pérdida de las mercancías o de los daños que hayan<br />
sufrido;<br />
d) Cualquier otra notificación o declaración relativas al cumplimiento del<br />
contrato;<br />
e) Promesa de hacer entrega de las mercancías a la persona designada o a<br />
una persona autorizada para reclamar esa entrega;<br />
f) Concesión, adquisición, renuncia, restitución, transferencia o<br />
negociación de algún derecho sobre mercancías;<br />
g) Adquisición o transferencia de derechos y obligaciones con arreglo al<br />
contrato.<br />
ARTICULO 27. DOCUMENTOS DE TRANSPORTE. Con sujeción a lo dispuesto en el<br />
inciso 3o. del presente artículo, en los casos en que la ley requiera que<br />
alguno de los actos enunciados en el artículo 26 se lleve a cabo por<br />
escrito o mediante documento emitido en papel, ese requisito quedará<br />
satisfecho cuando el acto se lleve a cabo por medio de uno o más mensajes<br />
de datos.<br />
El inciso anterior será aplicable, tanto si el requisito en él previsto<br />
está expresado en forma de obligación o si la ley simplemente prevé<br />
consecuencias en el caso de que no se lleve a cabo el acto por escrito o<br />
mediante un documento emitido en papel.<br />
Cuando se conceda algún derecho a una persona determinada y a ninguna otra,<br />
o ésta adquiera alguna obligación, y la ley requiera que, para que ese acto<br />
surta efecto, el derecho o la obligación hayan de transferirse a esa<br />
persona mediante el envío o utilización de un documento emitido en papel,<br />
ese requisito quedará satisfecho si el derecho o la obligación se<br />
transfiere mediante la utilización de uno o más mensajes de datos, siempre<br />
que se emplee un método confiable para garantizar la singularidad de ese<br />
mensaje o esos mensajes de datos.<br />
Para los fines del inciso tercero, el nivel de confiabilidad requerido será<br />
determinado a la luz de los fines para los que se transfirió el derecho o<br />
la obligación y de todas las circunstancias del caso, incluido cualquier<br />
acuerdo pertinente.<br />
Cuando se utilicen uno o más mensajes de datos para llevar a cabo alguno de<br />
los actos enunciados en los incisos f) y g) del artículo 26, no será válido<br />
ningún documento emitido en papel para llevar a cabo cualquiera de esos<br />
actos, a menos que se haya puesto fin al uso de mensajes de datos para<br />
sustituirlo por el de documentos emitidos en papel. Todo documento con<br />
soporte en papel que se emita en esas circunstancias deberá contener una<br />
declaración en tal sentido. La sustitución de mensajes de datos por<br />
documentos emitidos en papel no afectará los derechos ni las obligaciones<br />
de las partes.<br />
Cuando se aplique obligatoriamente una norma jurídica a un contrato de<br />
transporte de mercancías que esté consignado, o del que se haya dejado<br />
constancia en un documento emitido en papel, esa norma no dejará de<br />
aplicarse, a dicho contrato de transporte de mercancías del que se haya<br />
dejado constancia en uno o más mensajes de datos por razón de que el<br />
contrato conste en ese mensaje o esos mensajes de datos en lugar de constar<br />
en documentos emitidos en papel.<br />
PARTE III.<br />
FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACION<br />
CAPITULO I.<br />
Firmas digitales<br />
ARTICULO 28. ATRIBUTOS JURIDICOS DE UNA FIRMA DIGITAL. Cuando una firma<br />
digital haya sido fijada en un mensaje de datos se presume que el<br />
suscriptor de aquella tenía la intención de acreditar ese mensaje de datos<br />
y de ser vinculado con el contenido del mismo.<br />
PARAGRAFO. El uso de una firma digital tendrá la misma fuerza y efectos que<br />
el uso de una firma manuscrita, si aquélla incorpora los siguientes<br />
atributos:<br />
1. Es única a la persona que la usa.<br />
2. Es susceptible de ser verificada.<br />
3. Está bajo el control exclusivo de la persona que la usa.<br />
4. Está ligada a la información o mensaje, de tal manera que si éstos son<br />
cambiados, la firma digital es invalidada.<br />
5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.<br />
CAPITULO II.<br />
Entidades de certificación<br />
ARTICULO 29. CARACTERÍSTICAS Y REQUERIMIENTOS DE LAS ENTIDADES DE<br />
CERTIFICACIÓN. Podrán ser entidades de certificación, las personas<br />
jurídicas, tanto públicas como privadas, de origen nacional o extranjero y<br />
las cámaras de comercio, que previa solicitud sean autorizadas por la<br />
Superintendencia de Industria y Comercio y que cumplan con los<br />
requerimientos establecidos por el Gobierno Nacional, con base en las<br />
siguientes condiciones:<br />
a) Contar con la capacidad económica y financiera suficiente para prestar<br />
los servicios autorizados como entidad de certificación;<br />
b) Contar con la capacidad y elementos técnicos necesarios para la<br />
generación de firmas digitales, la emisión de certificados sobre la<br />
autenticidad de las mismas y la conservación de mensajes de datos en los<br />
términos establecidos en esta ley;<br />
c) Los representantes legales y administradores no podrán ser personas que<br />
hayan sido condenadas a pena privativa de la libertad, excepto por delitos<br />
políticos o culposos; o que hayan sido suspendidas en el ejercicio de su<br />
profesión por falta grave contra la ética o hayan sido excluidas de<br />
aquélla. Esta inhabilidad estará vigente por el mismo período que la ley<br />
penal o administrativa señale para el efecto.<br />
ARTICULO 30. ACTIVIDADES DE LAS ENTIDADES DE CERTIFICACION. Las entidades<br />
de certificación autorizadas por la Superintendencia de Industria y<br />
Comercio para prestar sus servicios en el país, podrán realizar, entre<br />
otras, las siguientes actividades:<br />
1. Emitir certificados en relación con las firmas digitales de personas<br />
naturales o jurídicas.<br />
2. Emitir certificados sobre la verificación respecto de la alteración<br />
entre el envío y recepción del mensaje de datos.<br />
3. Emitir certificados en relación con la persona que posea un derecho u<br />
obligación con respecto a los documentos enunciados en los literales f) y<br />
g) del artículo 26 de la presente ley.<br />
4. Ofrecer o facilitar los servicios de creación de firmas digitales<br />
certificadas.<br />
5. Ofrecer o facilitar los servicios de registro y estampado cronológico en<br />
la generación, transmisión y recepción de mensajes de datos.<br />
6. Ofrecer los servicios de archivo y conservación de mensajes de datos.<br />
ARTICULO 31. REMUNERACION POR LA PRESTACION DE SERVICIOS. La remuneración<br />
por los servicios de las entidades de certificación serán establecidos<br />
libremente por éstas.<br />
ARTICULO 32. DEBERES DE LAS ENTIDADES DE CERTIFICACION. Las entidades de<br />
certificación tendrán, entre otros, los siguientes deberes:<br />
a) Emitir certificados conforme a lo solicitado o acordado con el<br />
suscriptor;<br />
b) Implementar los sistemas de seguridad para garantizar la emisión y<br />
creación de firmas digitales, la conservación y archivo de certificados y<br />
documentos en soporte de mensaje de datos;<br />
c) Garantizar la protección, confidencialidad y debido uso de la<br />
información suministrada por el suscriptor;<br />
d) Garantizar la prestación permanente del servicio de entidad de<br />
certificación;<br />
e) Atender oportunamente las solicitudes y reclamaciones hechas por los<br />
suscriptores;<br />
f) Efectuar los avisos y publicaciones conforme a lo dispuesto en la ley;<br />
g) Suministrar la información que le requieran las entidades<br />
administrativas competentes o judiciales en relación con las firmas<br />
digitales y certificados emitidos y en general sobre cualquier mensaje de<br />
datos que se encuentre bajo su custodia y administración;<br />
h) Permitir y facilitar la realización de las auditorías por parte de la<br />
Superintendencia de Industria y Comercio;<br />
i) Elaborar los reglamentos que definen las relaciones con el suscriptor y<br />
la forma de prestación del servicio;<br />
j) Llevar un registro de los certificados.<br />
ARTICULO 33. TERMINACION UNILATERAL. Salvo acuerdo entre las partes, la<br />
entidad de certificación podrá dar por terminado el acuerdo de vinculación<br />
con el suscriptor dando un preaviso no menor de noventa (90) días. Vencido<br />
este término, la entidad de certificación revocará los certificados que se<br />
encuentren pendientes de expiración.<br />
Igualmente, el suscriptor podrá dar por terminado el acuerdo de vinculación<br />
con la entidad de certificación dando un preaviso no inferior a treinta<br />
(30) días.<br />
ARTICULO 34. CESACIÓN DE ACTIVIDADES POR PARTE DE LAS ENTIDADES DE<br />
CERTIFICACIÓN. Las entidades de certificación autorizadas pueden cesar en<br />
el ejercicio de actividades, siempre y cuando hayan recibido autorización<br />
por parte de la Superintendencia de Industria y Comercio.<br />
CAPITULO III.<br />
Certificados<br />
ARTICULO 35. CONTENIDO DE LOS CERTIFICADOS. Un certificado emitido por una<br />
entidad de certificación autorizada, además de estar firmado digitalmente<br />
por ésta, debe contener por lo menos lo siguiente:<br />
1. Nombre, dirección y domicilio del suscriptor.<br />
2. Identificación del suscriptor nombrado en el certificado.<br />
3. El nombre, la dirección y el lugar donde realiza actividades la entidad<br />
de certificación.<br />
4. La clave pública del usuario.<br />
5. La metodología para verificar la firma digital del suscriptor impuesta<br />
en el mensaje de datos.<br />
6. El número de serie del certificado.<br />
7. Fecha de emisión y expiración del certificado.<br />
ARTICULO 36. ACEPTACION DE UN CERTIFICADO. Salvo acuerdo entre las partes,<br />
se entiende que un suscriptor ha aceptado un certificado cuando la entidad<br />
de certificación, a solicitud de éste o de una persona en nombre de éste,<br />
lo ha guardado en un repositorio.<br />
ARTICULO 37. REVOCACION DE CERTIFICADOS. El suscriptor de una firma digital<br />
certificada, podrá solicitar a la entidad de certificación que expidió un<br />
certificado, la revocación del mismo. En todo caso, estará obligado a<br />
solicitar la revocación en los siguientes eventos:<br />
1. Por pérdida de la clave privada.<br />
2. La clave privada ha sido expuesta o corre peligro de que se le dé un uso<br />
indebido.<br />
Si el suscriptor no solicita la revocación del certificado en el evento de<br />
presentarse las anteriores situaciones, será responsable por las pérdidas o<br />
perjuicios en los cuales incurran terceros de buena fe exenta de culpa que<br />
confiaron en el contenido del certificado.<br />
Una entidad de certificación revocará un certificado emitido por las<br />
siguientes razones:<br />
1. A petición del suscriptor o un tercero en su nombre y representación.<br />
2. Por muerte del suscriptor.<br />
3. Por liquidación del suscriptor en el caso de las personas jurídicas.<br />
4. Por la confirmación de que alguna información o hecho contenido en el<br />
certificado es falso.<br />
5. La clave privada de la entidad de certificación o su sistema de<br />
seguridad ha sido comprometido de manera material que afecte la<br />
confiabilidad del certificado.<br />
6. Por el cese de actividades de la entidad de certificación, y<br />
7. Por orden judicial o de entidad administrativa competente.<br />
ARTICULO 38. TERMINO DE CONSERVACION DE LOS REGISTROS. Los registros de<br />
certificados expedidos por una entidad de certificación deben ser<br />
conservados por el término exigido en la ley que regule el acto o negocio<br />
jurídico en particular.<br />
CAPITULO IV.<br />
Suscriptores de firmas digitales<br />
ARTICULO 39. DEBERES DE LOS SUSCRIPTORES. Son deberes de los suscriptores:<br />
1. Recibir la firma digital por parte de la entidad de certificación o<br />
generarla, utilizando un método autorizado por ésta.<br />
2. Suministrar la información que requiera la entidad de certificación.<br />
3. Mantener el control de la firma digital.<br />
4. Solicitar oportunamente la revocación de los certificados.<br />
ARTICULO 40. RESPONSABILIDAD DE LOS SUSCRIPTORES. Los suscriptores serán<br />
responsables por la falsedad, error u omisión en la información<br />
suministrada a la entidad de certificación y por el incumplimiento de sus<br />
deberes como suscriptor.<br />
CAPITULO V.<br />
Superintendencia de Industria y Comercio<br />
ARTICULO 41. FUNCIONES DE LA SUPERINTENDENCIA. La Superintendencia de<br />
Industria y Comercio ejercerá las facultades que legalmente le han sido<br />
asignadas respecto de las entidades de certificación, y adicionalmente<br />
tendrá las siguientes funciones:<br />
1. Autorizar la actividad de las entidades de certificación en el<br />
territorio nacional.<br />
2. Velar por el funcionamiento y la eficiente prestación del servicio por<br />
parte de las entidades de certificación.<br />
3. Realizar visitas de auditoría a las entidades de certificación.<br />
4. Revocar o suspender la autorización para operar como entidad de<br />
certificación.<br />
5. Solicitar la información pertinente para el ejercicio de sus funciones.<br />
6. Imponer sanciones a las entidades de certificación en caso de<br />
incumplimiento de las obligaciones derivadas de la prestación del servicio.<br />
7. Ordenar la revocación de certificados cuando la entidad de certificación<br />
los emita sin el cumplimiento de las formalidades legales.<br />
8. Designar los repositorios y entidades de certificación en los eventos<br />
previstos en la ley.<br />
9. Emitir certificados en relación con las firmas digitales de las<br />
entidades de certificación.<br />
10. Velar por la observancia de las disposiciones constitucionales y<br />
legales sobre la promoción de la competencia y prácticas comerciales<br />
restrictivas, competencia desleal y protección del consumidor, en los<br />
mercados atendidos por las entidades de certificación.<br />
11. Impartir instrucciones sobre el adecuado cumplimiento de las normas a<br />
las cuales deben sujetarse las entidades de certificación.<br />
ARTICULO 42. SANCIONES. La Superintendencia de Industria y Comercio de<br />
acuerdo con el debido proceso y el derecho de defensa, podrá imponer según<br />
la naturaleza y la gravedad de la falta, las siguientes sanciones a las<br />
entidades de certificación:<br />
1. Amonestación.<br />
2. Multas institucionales hasta por el equivalente a dos mil (2.000)<br />
salarios mínimos legales mensuales vigentes, y personales a los<br />
administradores y representantes legales de las entidades de certificación,<br />
hasta por trescientos (300) salarios mínimos legales mensuales vigentes,<br />
cuando se les compruebe que han autorizado, ejecutado o tolerado conductas<br />
violatorias de la ley.<br />
3. Suspender de inmediato todas o algunas de las actividades de la entidad<br />
infractora.<br />
4. Prohibir a la entidad de certificación infractora prestar directa o<br />
indirectamente los servicios de entidad de certificación hasta por el<br />
término de cinco (5) años.<br />
5. Revocar definitivamente la autorización para operar como entidad de<br />
certificación.<br />
CAPITULO VI.<br />
Disposiciones varias<br />
ARTICULO 43. CERTIFICACIONES RECIPROCAS. Los certificados de firmas<br />
digitales emitidos por entidades de certificación extranjeras, podrán ser<br />
reconocidos en los mismos términos y condiciones exigidos en la ley para la<br />
emisión de certificados por parte de las entidades de certificación<br />
nacionales, siempre y cuando tales certificados sean reconocidos por una<br />
entidad de certificación autorizada que garantice en la misma forma que lo<br />
hace con sus propios certificados, la regularidad de los detalles del<br />
certificado, así como su validez y vigencia.<br />
ARTICULO 44. INCORPORACION POR REMISION. Salvo acuerdo en contrario entre<br />
las partes, cuando en un mensaje de datos se haga remisión total o parcial<br />
a directrices, normas, estándares, acuerdos, cláusulas, condiciones o<br />
términos fácilmente accesibles con la intención de incorporarlos como parte<br />
del contenido o hacerlos vinculantes jurídicamente, se presume que esos<br />
términos están incorporados por remisión a ese mensaje de datos. Entre las<br />
partes y conforme a la ley, esos términos serán jurídicamente válidos como<br />
si hubieran sido incorporados en su totalidad en el mensaje de datos.<br />
PARTE IV.<br />
REGLAMENTACION Y VIGENCIA<br />
ARTICULO 45. La Superintendencia de Industria y Comercio contará con un<br />
término adicional de doce (12) meses, contados a partir de la publicación<br />
de la presente ley, para organizar y asignar a una de sus dependencias la<br />
función de inspección, control y vigilancia de las actividades realizadas<br />
por las entidades de certificación, sin perjuicio de que el Gobierno<br />
Nacional cree una unidad especializada dentro de ella para tal efecto.<br />
ARTICULO 46. PREVALENCIA DE LAS LEYES DE PROTECCION AL CONSUMIDOR. La<br />
presente ley se aplicará sin perjuicio de las normas vigentes en materia de<br />
protección al consumidor.<br />
ARTICULO 47. VIGENCIA Y DEROGATORIA. La presente ley rige desde la fecha de<br />
su publicación y deroga las disposiciones que le sean contrarias.<br />
El Presidente del honorable Senado de la República,<br />
FABIO VALENCIA COSSIO.<br />
El Secretario General del honorable Senado de la República,<br />
MANUEL ENRÍQUEZ ROSERO.<br />
El Presidente de la honorable Cámara de Representantes,<br />
EMILIO MARTÍNEZ ROSALES.<br />
El Secretario General de la honorable Cámara de Representantes,<br />
GUSTAVO BUSTAMANTE MORATTO.<br />
REPUBLICA DE COLOMBIA - GOBIERNO NACIONAL<br />
PUBLÍQUESE Y EJECÚTESE.<br />
Dada en Santa Fe de Bogotá, D. C., a 18 de agosto de 1999.<br />
ANDRES PASTRANA ARANGO<br />
El Ministro de Desarrollo Económico,<br />
FERNANDO ARAÚJO PERDOMO.<br />
La Ministra de Comercio Exterior,<br />
MARTHA LUCÍA RAMÍREZ DE RINCÓN.<br />
La Ministra de Comunicaciones,<br />
CLAUDIA DE FRANCISCO ZAMBRANO.<br />
El Ministro de Transporte,<br />
MAURICIO CÁRDENAS SANTAMARÍA.
© 2024 Justia
