PARTE I: PARTE GENERAL
CAPÍTULO I:
Disposiciones generales
ART. 1º. Ámbito de aplicación.
La presente ley será aplicable a todo tipo de información en forma de
mensaje de datos, salvo en los siguientes casos:
a) En las obligaciones contraídas por el Estado colombiano en virtud
de convenios o tratados internacionales, y
b) En las advertencias escritas que por disposición legal deban ir
necesariamente impresas en cierto tipo de productos en razón al riesgo
que implica su comercialización, uso o consumo.
ART. 2º. Definiciones. Para los efectos
de la presente ley se entenderá por:
a) Mensaje de datos. La información generada, enviada,
recibida, almacenada o comunicada por medios electrónicos, ópticos o
similares, como pudieran ser, entre otros, el intercambio electrónico
de datos (EDI), Internet, el correo electrónico, el telegrama, el
télex o el telefax;
b) Comercio electrónico. Abarca las cuestiones suscitadas por
toda relación de índole comercial, sea o no contractual, estructurada
a partir de la utilización de uno o más mensajes de datos o de
cualquier otro medio similar. Las relaciones de índole comercial
comprenden, sin limitarse a ellas, las siguientes operaciones: toda
operación comercial de suministro o intercambio de bienes o servicios;
todo acuerdo de distribución; toda operación de representación o
mandato comercial; todo tipo de operaciones financieras, bursátiles y
de seguros; de construcción de obras; de consultoría; de ingeniería;
de concesión de licencias; todo acuerdo de concesión o explotación de
un servicio público; de empresa conjunta y otras formas de cooperación
industrial o comercial; de transporte de mercancías o de pasajeros por
vía aérea, marítima y férrea, o por carretera;
c) Firma digital. Se entenderá como un valor numérico que se
adhiere a un mensaje de datos y que, utilizando un procedimiento
matemático conocido, vinculado a la clave del iniciador y al texto del
mensaje, permite determinar que este valor se ha obtenido exclusivamente
con la clave del iniciador y que el mensaje inicial no ha sido
modificado después de efectuada la transformación;
d) Entidad de certificación. Es aquella persona que,
autorizada conforme a la presente ley, está facultada para emitir
certificados en relación con las firmas digitales de las personas,
ofrecer o facilitar los servicios de registro y estampado cronológico
de la transmisión y recepción de mensajes de datos, así como cumplir
otras funciones relativas a las comunicaciones basadas en las firmas
digitales;
e) Intercambio electrónico de datos (EDI). La transmisión
electrónica de datos de una computadora a otra, que está estructurada
bajo normas técnicas convenidas al efecto, y
f) Sistema de información. Se entenderá todo sistema
utilizado para generar, enviar, recibir, archivar o procesar de alguna
otra forma mensajes de datos.
ART. 3º. Interpretación. En
la interpretación de la presente ley habrán de tenerse en cuenta su
origen internacional, la necesidad de promover la uniformidad de su
aplicación y la observancia de la buena fe.
Las cuestiones relativas a materias que se rijan por la presente ley
y que no estén expresamente resueltas en ella, serán dirimidas de
conformidad con los principios generales en que ella se inspira.
ART. 4º.
Modificación mediante acuerdo. Salvo que se disponga otra cosa, en
las relaciones entre partes que generan, envían, reciben, archivan o
procesan de alguna otra forma mensajes de datos, las disposiciones del
capítulo III, parte I, podrán ser modificadas mediante acuerdo.
ART.
5º. Reconocimiento jurídico de los mensajes de datos. No se
negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de
información por la sola razón de que esté en forma de mensaje de
datos.
CAPÍTULO
II: Aplicación de los requisitos jurídicos de los mensajes de datos
ART. 6º. Escrito. Cuando cualquier norma
requiera que la información conste por escrito, ese requisito quedará
satisfecho con un mensaje de datos, si la información que éste
contiene es accesible para su posterior consulta.
Lo dispuesto en este artículo se aplicará tanto si el requisito
establecido en cualquier norma constituye una obligación, como si las
normas prevén consecuencias en el caso de que la información no conste
por escrito.
ART. 7º. Firma. Cuando cualquier norma
exija la presencia de una firma o establezca ciertas consecuencias en
ausencia de la misma, en relación con un mensaje de datos, se
entenderá satisfecho dicho requerimiento si:
a) Se ha utilizado un método que permita identificar al iniciador de
un mensaje de datos y para indicar que el contenido cuenta con su
aprobación, y
b) Que el método sea tanto confiable como apropiado para el
propósito por el cual el mensaje fue generado o comunicado.
Lo dispuesto en este artículo se aplicará tanto si el requisito
establecido en cualquier norma constituye una obligación, como si las
normas simplemente prevén consecuencias en el caso de que no exista una
firma.
ART. 8º. Original. Cuando cualquier
norma requiera que la información sea presentada y conservada en su
forma original, ese requisito quedará satisfecho con un mensaje de
datos, si:
a) Existe alguna garantía confiable de que se ha conservado la
integridad de la información, a partir del momento en que se generó
por primera vez en su forma definitiva, como mensaje de datos o en
alguna otra forma, y
b) De requerirse que la información sea presentada, si dicha
información puede ser mostrada a la persona que se deba presentar.
Lo dispuesto en este artículo se aplicará tanto si el requisito
establecido en cualquier norma constituye una obligación, como si las
normas simplemente prevén consecuencias en el caso de que la
información no sea presentada o conservada en su forma original.
ART. 9º.
Integridad de un mensaje de datos. Para efectos del artículo
anterior, se considerará que la información consignada en un mensaje
de datos es íntegra, si ésta ha permanecido completa e inalterada,
salvo la adición de algún endoso o de algún cambio que sea inherente
al proceso de comunicación, archivo o presentación. El grado de
confiabilidad requerido, será determinado a la luz de los fines para
los que se generó la información y de todas las circunstancias
relevantes del caso.
ART.
10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los
mensajes de datos serán admisibles como medios de prueba y su fuerza
probatoria es la otorgada en las disposiciones del capítulo VIII del
título XIII, sección tercera, libro segundo del Código de
Procedimiento Civil.
En toda actuación administrativa o judicial, no se negará eficacia,
validez o fuerza obligatoria y probatoria a todo tipo de información en
forma de un mensaje de datos, por el sólo hecho que se trate de un
mensaje de datos o en razón de no haber sido presentado en su forma
original.
ART.
11. Criterio para valorar probatoriamente un mensaje de datos. Para
la valoración de la fuerza probatoria de los mensajes de datos a que se
refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y
demás criterios reconocidos legalmente para la apreciación de las
pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad
en la forma en la que se haya generado, archivado o comunicado el
mensaje, la confiabilidad en la forma en que se haya conservado la
integridad de la información, la forma en la que se identifique a su
iniciador y cualquier otro factor pertinente.
ART.
12. Conservación de los mensajes de datos y documentos. Cuando la
ley requiera que ciertos documentos, registros o informaciones sean
conservados, ese requisito quedará satisfecho, siempre que se cumplan
las siguientes condiciones:
1. Que la información que contengan sea accesible para su posterior
consulta.
2. Que el mensaje de datos o el documento sea conservado en el
formato en que se haya generado, enviado o recibido o en algún formato
que permita demostrar que reproduce con exactitud la información
generada, enviada o recibida.
3. Que se conserve, de haber alguna, toda información que permita
determinar el origen, el destino del mensaje, la fecha y la hora en que
fue enviado o recibido el mensaje o producido el documento.
No estará sujeta a la obligación de conservación, la información
que tenga por única finalidad facilitar el envío o recepción de los
mensajes de datos.
Los libros y papeles del comerciante podrán ser conservados en
cualquier medio técnico que garantice su reproducción exacta.
ART. 13.
Conservación de mensajes de datos y archivo de documentos a través de
terceros. El cumplimiento de la obligación de conservar documentos,
registros o informaciones en mensajes de datos, se podrá realizar
directamente o a través de terceros, siempre y cuando se cumplan las
condiciones enunciadas en el artículo anterior.
CAPÍTULO
III: Comunicación de los mensajes de datos
ART. 14.
Formación y validez de los contratos. En la formación del
contrato, salvo acuerdo expreso entre las partes, la oferta y su
aceptación podrán ser expresadas por medio de un mensaje de datos. No
se negará validez o fuerza obligatoria a un contrato por la sola razón
de haberse utilizado en su formación uno o más mensajes de datos.
ART.
15. Reconocimiento de los mensajes de datos por las partes. En las
relaciones entre el iniciador y el destinatario de un mensaje de datos,
no se negarán efectos jurídicos, validez o fuerza obligatoria a una
manifestación de voluntad u otra declaración por la sola razón de
haberse hecho en forma de mensaje de datos.
ART. 16.
Atribución de un mensaje de datos. Se entenderá que un mensaje de
datos proviene del iniciador, cuando éste ha sido enviado por:
1. El propio iniciador.
2. Por alguna persona facultada para actuar en nombre del iniciador
respecto de ese mensaje, o
3. Por un sistema de información programado por el iniciador o en su
nombre para que opere automáticamente.
ART.
17. Presunción del origen de un mensaje de datos. Se presume que un
mensaje de datos ha sido enviado por el iniciador, cuando:
1. Haya aplicado en forma adecuada el procedimiento acordado
previamente con el iniciador, para establecer que el mensaje de datos
provenía efectivamente de éste, o
2. El mensaje de datos que reciba el destinatario resulte de los
actos de una persona cuya relación con el iniciador, o con algún
mandatario suyo, le haya dado acceso a algún método utilizado por el
iniciador para identificar un mensaje de datos como propio.
ART.
18. Concordancia del mensaje de datos enviado con el mensaje de datos
recibido. Siempre que un mensaje de datos provenga del iniciador o
que se entienda que proviene de él, o siempre que el destinatario tenga
derecho a actuar con arreglo a este supuesto, en las relaciones entre el
iniciador y el destinatario, éste último tendrá derecho a considerar
que el mensaje de datos recibido corresponde al que quería enviar el
iniciador, y podrá proceder en consecuencia.
El destinatario no gozará de este derecho si sabía o hubiera
sabido, de haber actuado con la debida diligencia o de haber aplicado
algún método convenido, que la transmisión había dado lugar a un
error en el mensaje de datos recibido.
ART. 19. Mensajes de datos
duplicados. Se presume que cada mensaje de datos recibido es un
mensaje de datos diferente, salvo en la medida en que duplique otro
mensaje de datos, y que el destinatario sepa, o debiera saber, de haber
actuado con la debida diligencia o de haber aplicado algún método
convenido, que el nuevo mensaje de datos era un duplicado.
ART. 20. Acuse de recibo. Si al
enviar o antes de enviar un mensaje de datos, el iniciador solicita o
acuerda con el destinatario que se acuse recibo del mensaje de datos,
pero no se ha acordado entre éstos una forma o método determinado para
efectuarlo, se podrá acusar recibo mediante:
a) Toda comunicación del destinatario, automatizada o no, o
b) Todo acto del destinatario que baste para indicar al iniciador que
se ha recibido el mensaje de datos.
Si el iniciador ha solicitado o acordado con el destinatario que se
acuse recibo del mensaje de datos, y expresamente aquél ha indicado que
los efectos del mensaje de datos estarán condicionados a la recepción
de un acuse de recibo, se considerará que el mensaje de datos no ha
sido enviado en tanto que no se haya recepcionado el acuse de recibo.
ART.
21. Presunción de recepción de un mensaje de datos. Cuando el
iniciador recepcione acuse recibo del destinatario, se presumirá que
éste ha recibido el mensaje de datos.
Esa presunción no implicará que el mensaje de datos corresponda al
mensaje recibido. Cuando en el acuse de recibo se indique que el mensaje
de datos recepcionado cumple con los requisitos técnicos convenidos o
enunciados en alguna norma técnica aplicable, se presumirá que ello es
así.
ART. 22. Efectos jurídicos. Los
artículos 20 y 21 únicamente rigen los efectos relacionados con el
acuse de recibo. Las consecuencias jurídicas del mensaje de datos se
regirán conforme a las normas aplicables al acto o negocio jurídico
contenido en dicho mensaje de datos.
ART. 23.
Tiempo del envío de un mensaje de datos. De no convenir otra cosa
el iniciador y el destinatario, el mensaje de datos se tendrá por
expedido cuando ingrese en un sistema de información que no esté bajo
control del iniciador o de la persona que envió el mensaje de datos en
nombre de éste.
ART.
24. Tiempo de la recepción de un mensaje de datos. De no convenir
otra cosa el iniciador y el destinatario, el momento de la recepción de
un mensaje de datos se determinará como sigue:
a) Si el destinatario ha designado un sistema de información para la
recepción de mensaje de datos, la recepción tendrá lugar:
1. En el momento en que ingrese el mensaje de datos en el sistema de
información designado; o
2. De enviarse el mensaje de datos a un sistema de información del
destinatario que no sea el sistema de información designado, en el
momento en que el destinatario recupere el mensaje de datos, y
b) Si el destinatario no ha designado un sistema de información, la
recepción tendrá lugar cuando el mensaje de datos ingrese a un sistema
de información del destinatario.
Lo dispuesto en este artículo será aplicable aun cuando el sistema
de información esté ubicado en lugar distinto de donde se tenga por
recibido el mensaje de datos conforme al artículo siguiente.
ART.
25. Lugar del envío y recepción del mensaje de datos. De no
convenir otra cosa el iniciador y el destinatario, el mensaje de datos
se tendrá por expedido en el lugar donde el iniciador tenga su
establecimiento y por recibido en el lugar donde el destinatario tenga
el suyo. Para los fines del presente artículo:
a) Si el iniciador o destinatario tienen más de un establecimiento,
su establecimiento será el que guarde una relación más estrecha con
la operación subyacente o, de no haber una operación subyacente, su
establecimiento principal, y
b) Si el iniciador o el destinatario no tienen establecimiento, se
tendrá en cuenta su lugar de residencia habitual.
PARTE
II: Comercio electrónico en materia de transporte de mercancías
ART.
26. Actos relacionados con los contratos de transporte de mercancías.
Sin perjuicio de lo dispuesto en la parte I de la presente ley, este
capítulo será aplicable a cualquiera de los siguientes actos que
guarde relación con un contrato de transporte de mercancías, o con su
cumplimiento, sin que la lista sea taxativa:
a) I. Indicación de las marcas, el número, la cantidad o el peso de
las mercancías.
II. Declaración de la naturaleza o valor de las mercancías.
III. Emisión de un recibo por las mercancías.
IV. Confirmación de haberse completado el embarque de las
mercancías;
b) I. Notificación a alguna persona de las cláusulas y condiciones
del contrato.
II. Comunicación de instrucciones al transportador;
c) I. Reclamación de la entrega de las mercancías.
II. Autorización para proceder a la entrega de las mercancías.
III. Notificación de la pérdida de las mercancías o de los daños
que hayan sufrido;
d) Cualquier otra notificación o declaración relativas al
cumplimiento del contrato;
e) Promesa de hacer entrega de las mercancías a la persona designada
o a una persona autorizada para reclamar esa entrega;
f) Concesión, adquisición, renuncia, restitución, transferencia o
negociación de algún derecho sobre mercancías, y
g) Adquisición o transferencia de derechos y obligaciones con
arreglo al contrato.
ART. 27. Documentos de
transporte. Con sujeción a lo dispuesto en el inciso 3º del
presente artículo, en los casos en que la ley requiera que alguno de
los actos enunciados en el artículo 26 se lleve a cabo por escrito o
mediante documento emitido en papel, ese requisito quedará satisfecho
cuando el acto se lleve a cabo por medio de uno o más mensajes de
datos.
El inciso anterior será aplicable, tanto si el requisito en él
previsto está expresa en forma de obligación o si la ley simplemente
prevé consecuencias en el caso de que no se lleve a cabo el acto por
escrito o mediante un documento emitido en papel.
Cuando se conceda algún derecho a una persona determinada y a
ninguna otra, o ésta adquiera alguna obligación, y la ley requiera
que, para que ese acto surta efecto, el derecho o la obligación hayan
de transferirse a esa persona mediante el envío o utilización de un
documento emitido en papel, ese requisito quedará satisfecho si el
derecho o la obligación se transfiere mediante la utilización de uno o
más mensajes de datos, siempre que se emplee un método confiable para
garantizar la singularidad de ese mensaje o esos mensajes de datos.
Para los fines del inciso tercero, el nivel de confiabilidad
requerido será determinado a la luz de los fines para los que se
transfirió el derecho o la obligación y de todas las circunstancias
del caso, incluido cualquier acuerdo pertinente.
Cuando se utilicen uno o más mensajes de datos para llevar a cabo
alguno de los actos enunciados en los incisos f) y g) del artículo 26,
no será válido ningún documento emitido en papel para llevar a cabo
cualquiera de esos actos, a menos que se haya puesto fin al uso de
mensajes de datos para sustituirlo por el de documentos emitidos en
papel. Todo documento con soporte en papel que se emita en esas
circunstancias deberá contener una declaración en tal sentido. La
sustitución de mensajes de datos por documentos emitidos en papel no
afectará los derechos ni las obligaciones de las partes.
Cuando se aplique obligatoriamente una norma jurídica a un contrato
de transporte de mercancías que esté consignado, o del que se haya
dejado constancia en un documento emitido en papel, esa norma no dejará
de aplicarse a dicho contrato de transporte de mercancías del que se
haya dejado constancia en uno o más mensajes de datos por razón de que
el contrato conste en ese mensaje o esos mensajes de datos en lugar de
constar en documentos emitidos en papel.
PARTE III:
Firmas digitales, certificados y entidades de certificación
CAPÍTULO I: Firmas
digitales
ART. 28.
Atributos jurídicos de una firma digital. Cuando una firma digital
haya sido fijada en un mensaje de datos se presume que el suscriptor de
aquella tenía la intención de acreditar ese mensaje de datos y de ser
vinculado con el contenido del mismo.
PAR. El uso de una firma digital tendrá la misma fuerza y efectos
que el uso de una firma manuscrita, si aquélla incorpora los siguientes
atributos:
1. Es única a la persona que la usa.
2. Es susceptible de ser verificada.
3. Está bajo el control exclusivo de la persona que la usa.
4. Está ligada a la información o mensaje, de tal manera que si
éstos son cambiados, la firma digital es invalidada.
5. Está conforme a las reglamentaciones adoptadas por el Gobierno
Nacional.
CAPÍTULO
II: Entidades de certificación
ART.
29. Características y requerimientos de las entidades de
certificación. Podrán ser entidades de certificación, las
personas jurídicas, tanto públicas como privadas, de origen nacional o
extranjero y las cámaras de comercio, que previa solicitud sean
autorizadas por la Superintendencia de Industria y Comercio y que
cumplan con los requerimientos establecidos por el Gobierno Nacional,
con base en las siguientes condiciones:
a) Contar con la capacidad económica y financiera suficiente para
prestar los servicios autorizados como entidad de certificación;
b) Contar con la capacidad y elementos técnicos necesarios para la
generación de firmas digitales, la emisión de certificados sobre la
autenticidad de las mismas y la conservación de mensajes de datos en
los términos establecidos en esta ley, y
c) Los representantes legales y administradores no podrán ser
personas que hayan sido condenadas a pena privativa de la libertad,
excepto por delitos políticos o culposos; o que hayan sido suspendidas
en el ejercicio de su profesión por falta grave contra la ética o
hayan sido excluidas de aquélla. Esta inhabilidad estará vigente por
el mismo período que la ley penal o administrativa señale para el
efecto.
ART. 30.
Actividades de las entidades de certificación. Las entidades de
certificación autorizadas por la Superintendencia de Industria y
Comercio para prestar sus servicios en el país, podrán realizar, entre
otras, las siguientes actividades:
1. Emitir certificados en relación con las firmas digitales de
personas naturales o jurídicas.
2. Emitir certificados sobre la verificación respecto de la
alteración entre el envío y recepción del mensaje de datos.
3. Emitir certificados en relación con la persona que posea un
derecho u obligación con respecto a los documentos enunciados en los
literales f) y g) del artículo 26 de la presente ley.
4. Ofrecer o facilitar los servicios de creación de firmas digitales
certificadas.
5. Ofrecer o facilitar los servicios de registro y estampado
cronológico en la generación, transmisión y recepción de mensajes de
datos.
6. Ofrecer los servicios de archivo y conservación de mensajes de
datos.
ART. 31.
Remuneración por la prestación de servicios. La remuneración por
los servicios de las entidades de certificación serán establecidos
libremente por éstas.
ART. 32. Deberes
de las entidades de certificación. Las entidades de certificación
tendrán, entre otros, los siguientes deberes:
a) Emitir certificados conforme a lo solicitado o acordado con el
suscriptor;
b) Implementar los sistemas de seguridad para garantizar la emisión
y creación de firmas digitales, la conservación y archivo de
certificados y documentos en soporte de mensaje de datos;
c) Garantizar la protección, confidencialidad y debido uso de la
información suministrada por el suscriptor;
d) Garantizar la prestación permanente del servicio de entidad de
certificación;
e) Atender oportunamente las solicitudes y reclamaciones hechas por
los suscriptores;
f) Efectuar los avisos y publicaciones conforme a lo dispuesto en la
ley;
g) Suministrar la información que le requieran las entidades
administrativas competentes o judiciales en relación con las firmas
digitales y certificados emitidos y en general sobre cualquier mensaje
de datos que se encuentre bajo su custodia y administración;
h) Permitir y facilitar la realización de las auditorías por parte
de la Superintendencia de Industria y Comercio;
i) Elaborar los reglamentos que definen las relaciones con el
suscriptor y la forma de prestación del servicio, y
j) Llevar un registro de los certificados.
ART. 33. Terminación unilateral.
Salvo acuerdo entre las partes, la entidad de certificación podrá dar
por terminado el acuerdo de vinculación con el suscriptor dando un
preaviso no menor de noventa (90) días. Vencido este término, la
entidad de certificación revocará los certificados que se encuentren
pendientes de expiración.
Igualmente, el suscriptor podrá dar por terminado el acuerdo de
vinculación con la entidad de certificación dando un preaviso no
inferior a treinta (30) días.
ART.
34. Cesación de actividades por parte de las entidades de
certificación. Las entidades de certificación autorizadas pueden
cesar en el ejercicio de actividades, siempre y cuando hayan recibido
autorización por parte de la Superintendencia de Industria y Comercio.
CAPÍTULO III:
Certificados
ART. 35. Contenido de los
certificados. Un certificado emitido por una entidad de
certificación autorizada, además de estar firmado digitalmente por
ésta, debe contener por lo menos lo siguiente:
1. Nombre, dirección y domicilio del suscriptor.
2. Identificación del suscriptor nombrado en el certificado.
3. El nombre, la dirección y el lugar donde realiza actividades la
entidad de certificación.
4. La clave pública del usuario.
5. La metodología para verificar la firma digital del suscriptor
impuesta en el mensaje de datos.
6. El número de serie del certificado.
7. Fecha de emisión y expiración del certificado.
ART. 36. Aceptación de un
certificado. Salvo acuerdo entre las partes, se entiende que un
suscriptor ha aceptado un certificado cuando la entidad de
certificación, a solicitud de éste o de una persona en nombre de
éste, lo ha guardado en un repositorio.
ART. 37. Revocación de
certificados. El suscriptor de una firma digital certificada, podrá
solicitar a la entidad de certificación que expidió un certificado, la
revocación del mismo. En todo caso, estará obligado a solicitar la
revocación en los siguientes eventos:
1. Por pérdida de la clave privada.
2. La clave privada ha sido expuesta o corre peligro de que se le dé
un uso indebido.
Si el suscriptor no solicita la revocación del certificado en el
evento de presentarse las anteriores situaciones, será responsable por
las pérdidas o perjuicios en los cuales incurran terceros de buena fe
exenta de culpa que confiaron en el contenido del certificado.
Una entidad de certificación revocará un certificado emitido por
las siguientes razones:
1. A petición del suscriptor o un tercero en su nombre y
representación.
2. Por muerte del suscriptor.
3. Por liquidación del suscriptor en el caso de las personas
jurídicas.
4. Por la confirmación de que alguna información o hecho contenido
en el certificado es falso.
5. La clave privada de la entidad de certificación o su sistema de
seguridad ha sido comprometido de manera material que afecte la
confiabilidad del certificado.
6. Por el cese de actividades de la entidad de certificación.
7. Por orden judicial o de entidad administrativa competente.
ART. 38.
Término de conservación de los registros. Los registros de
certificados expedidos por una entidad de certificación deben ser
conservados por el término exigido en la ley que regule el acto o
negocio jurídico en particular.
CAPÍTULO
IV: Suscriptores de firmas digitales
ART. 39. Deberes de los
suscriptores. Son deberes de los suscriptores:
1. Recibir la firma digital por parte de la entidad de certificación
o generarla, utilizando un método autorizado por ésta.
2. Suministrar la información que requiera la entidad de
certificación.
3. Mantener el control de la firma digital.
4. Solicitar oportunamente la revocación de los certificados.
ART. 40.
Responsabilidad de los suscriptores. Los suscriptores serán
responsables por la falsedad, error u omisión en la información
suministrada a la entidad de certificación y por el incumplimiento de
sus deberes como suscriptor.
CAPÍTULO
V: Superintendencia de Industria y Comercio
ART. 41. Funciones de la
superintendencia. La Superintendencia de Industria y Comercio
ejercerá las facultades que legalmente le han sido asignadas respecto
de las entidades de certificación, y adicionalmente tendrá las
siguientes funciones:
1. Autorizar la actividad de las entidades de certificación en el
territorio nacional.
2. Velar por el funcionamiento y la eficiente prestación del
servicio por parte de las entidades de certificación.
3. Realizar visitas de auditoría a las entidades de certificación.
4. Revocar o suspender la autorización para operar como entidad de
certificación.
5. Solicitar la información pertinente para el ejercicio de sus
funciones.
6. Imponer sanciones a las entidades de certificación en caso de
incumplimiento de las obligaciones derivadas de la prestación del
servicio.
7. Ordenar la revocación de certificados cuando la entidad de
certificación los emita sin el cumplimiento de las formalidades
legales.
8. Designar los repositorios y entidades de certificación en los
eventos previstos en la ley.
9. Emitir certificados en relación con las firmas digitales de las
entidades de certificación.
10. Velar por la observancia de las disposiciones constitucionales y
legales sobre la promoción de la competencia y prácticas comerciales
restrictivas, competencia desleal y protección del consumidor, en los
mercados atendidos por las entidades de certificación.
11. Impartir instrucciones sobre el adecuado cumplimiento de las
normas a las cuales deben sujetarse las entidades de certificación.
ART. 42. Sanciones. La Superintendencia de
Industria y Comercio de acuerdo con el debido proceso y el derecho de
defensa, podrá imponer según la naturaleza y la gravedad de la falta,
las siguientes sanciones a las entidades de certificación:
1. Amonestación.
2. Multas institucionales hasta por el equivalente a dos mil (2.000)
salarios mínimos legales mensuales vigentes, y personales a los
administradores y representantes legales de las entidades de
certificación, hasta por trescientos (300) salarios mínimos legales
mensuales vigentes, cuando se les compruebe que han autorizado,
ejecutado o tolerado conductas violatorias de la ley.
3. Suspender de inmediato todas o algunas de las actividades de la
entidad infractora.
4. Prohibir a la entidad de certificación infractora prestar directa
o indirectamente los servicios de entidad de certificación hasta por el
término de cinco (5) años.
5. Revocar definitivamente la autorización para operar como entidad
de certificación.
CAPÍTULO VI:
Disposiciones varias
ART. 43. Certificaciones
recíprocas. Los certificados de firmas digitales emitidos por
entidades de certificación extranjeras, podrán ser reconocidos en los
mismos términos y condiciones exigidos en la ley para la emisión de
certificados por parte de las entidades de certificación nacionales,
siempre y cuando tales certificados sean reconocidos por una entidad de
certificación autorizada que garantice en la misma forma que lo hace
con sus propios certificados, la regularidad de los detalles del
certificado, así como su validez y vigencia.
ART. 44. Incorporación por
remisión. Salvo acuerdo en contrario entre las partes, cuando en un
mensaje de datos se haga remisión total o parcial a directrices,
normas, estándares, acuerdos, cláusulas, condiciones o términos
fácilmente accesibles con la intención de incorporarlos como parte del
contenido o hacerlos vinculantes jurídicamente, se presume que esos
términos están incorporados por remisión a ese mensaje de datos.
Entre las partes y conforme a la ley, esos términos serán
jurídicamente válidos como si hubieran sido incorporados en su
totalidad en el mensaje de datos.
PARTE IV:
Reglamentación y vigencia
ART. 45. La
Superintendencia de Industria y Comercio contará con un término
adicional de doce (12) meses, contados a partir de la publicación
de la presente ley, para organizar y asignar a una de sus dependencias
la función de inspección, control y vigilancia de las actividades
realizadas por las entidades de certificación, sin perjuicio de que el
Gobierno Nacional cree una unidad especializada dentro de ella para tal
efecto.
ART.
46. Prevalencia de las leyes de protección al consumidor. La
presente ley se aplicará sin perjuicio de las normas vigentes en
materia de protección al consumidor.
ART. 47. Vigencia y derogatorias.
La presente ley rige desde la fecha de su publicación y deroga las
disposiciones que le sean contrarias.
Publíquese y ejecútese.
Dada en Santafé de Bogotá, D.C., a 18 de agosto de 1999.
|