El Congreso de Colombia
DECRETA :
PARTE I
PARTE
GENERAL
CAPÍTULO I
Disposiciones
Generales
Artículo 1°. Ámbito de aplicación. La
presente ley será aplicable a todo tipo de información en
forma de mensaje de datos, salvo en los siguientes casos:
En las obligaciones contraídas por el Estado
colombiano en virtud de Convenios o Tratados
internacionales.
En las advertencias escritas que por
disposición legal deban ir necesariamente impresas en cierto
tipo de productos en razón al riesgo que implica su
comercialización, uso o consumo.
Artículo 2°.
Definiciones. Para los efectos de la presente ley se
entenderá por:
Mensaje de Datos. La información
generada, enviada, recibida, almacenada o comunicada por
medios electrónicos, ópticos o similares, como pudieran ser,
entre otros, el Intercambio Electrónico de Datos (EDI),
Internet, el correo electrónico, el telegrama, el télex o el
telefax
Comercio electrónico. Abarca las cuestiones
suscitadas por toda relación de índole comercial, sea o no
contractual, estructurada a partir de la utilización de uno
o más mensajes de datos o de cualquier otro medio similar.
Las relaciones de índole comercial comprenden, sin limitarse
a ellas, las siguientes operaciones: toda operación
comercial de suministro o intercambio de bienes o servicios;
todo acuerdo de distribución; toda operación de
representación o mandato comercial; todo tipo de operaciones
financieras, bursátiles y de seguros; de construcción de
obras; de consultoría; de ingeniería; de concesión de
licencias; todo acuerdo de concesión o explotación de un
servicio público; de empresa conjunta y otras formas de
cooperación industrial o comercial; de transporte de
mercancías o de pasajeros por vía aérea, marítima y férrea,
o por carretera;
Firma Digital. Se entenderá como un
valor numérico que se adhiere a un mensaje de datos y que,
utilizando un procedimiento matemático conocido, vinculado a
la clave del iniciador y al texto del mensaje, permite
determinar que este valor se ha obtenido exclusivamente con
la clave del iniciador y que el mensaje inicial no ha sido
modificado después de efectuada la
transformación;
Entidad de Certificación. Es aquella
persona que, autorizada conforme a la presente Ley, está
facultada para emitir certificados en relación con las
firmas digitales de las personas, ofrecer o facilitar los
servicios de registro y estampado cronológico de la
transmisión y recepción de mensajes de datos, así como
cumplir otras funciones relativas a las comunicaciones
basadas en las firmas digitales.
Intercambio
Electrónico de Datos (EDI). La transmisión electrónica de
datos de una computadora a otra, que está estructurada bajo
normas técnicas convenidas al efecto;
Sistema de
Información. Se entenderá todo sistema utilizado para
generar, enviar, recibir, archivar o procesar de alguna otra
forma mensajes de datos.
Artículo 3°.
Interpretación. En la interpretación de la presente ley
habrán de tenerse en cuenta su origen internacional, la
necesidad de promover la uniformidad de su aplicación y la
observancia de la buena fe.
Las cuestiones relativas
a materias que se rijan por la presente ley y que no estén
expresamente resueltas en ella, serán dirimidas de
conformidad con los principios generales en que ella se
inspira.
Artículo 4°. Modificación mediante acuerdo.
Salvo que se disponga otra cosa, en las relaciones entre
partes que generan, envían, reciben, archivan o procesan de
alguna otra forma mensajes de datos, las disposiciones del
Capítulo III, Parte I, podrán ser modificadas mediante
acuerdo.
Artículo 5°. Reconocimiento jurídico de los
mensajes de datos. No se negarán efectos jurídicos, validez
o fuerza obligatoria a todo tipo de información por la sola
razón de que esté en forma de mensaje de datos.
CAPÍTULO II
Aplicación de los requisitos
jurídicos de los mensajes de datos
Artículo 6°.
Escrito. Cuando cualquier norma requiera que la información
conste por escrito, ese requisito quedará satisfecho con un
mensaje de datos, si la información que éste contiene es
accesible para su posterior consulta.
Lo dispuesto
en este artículo se aplicará tanto si el requisito
establecido en cualquier norma constituye una obligación,
como si las normas prevén consecuencias en el caso de que la
información no conste por escrito.
Artículo 7º.
Firma. Cuando cualquier norma exija la presencia de una
firma o establezca ciertas consecuencias en ausencia de la
misma, en relación con un mensaje de datos, se entenderá
satisfecho dicho requerimiento si:
Se ha utilizado
un método que permita identificar al iniciador de un mensaje
de datos y para indicar que el contenido cuenta con su
aprobación.
Que el método sea tanto confiable como
apropiado para el propósito por el cual el mensaje fue
generado o comunicado.
Lo dispuesto en este artículo
se aplicará tanto si el requisito establecido en cualquier
norma constituye una obligación, como si las normas
simplemente prevén consecuencias en el caso de que no exista
una firma.
Artículo 8°. Original. Cuando cualquier
norma requiera que la información sea presentada y
conservada en su forma original, ese requisito quedará
satisfecho con un mensaje de datos, si:
Existe
alguna garantía confiable de que se ha conservado la
integridad de la información, a partir del momento en que se
generó por primera vez en su forma definitiva, como mensaje
de datos o en alguna otra forma;
De requerirse que la
información sea presentada, si dicha información puede ser
mostrada a la persona que se deba presentar.
Lo
dispuesto en este artículo se aplicará tanto si el requisito
establecido en cualquier norma constituye una obligación,
como si las normas simplemente prevén consecuencias en el
caso de que la información no sea presentada o conservada en
su forma original.
Artículo 9°. Integridad de un
mensaje de datos. Para efectos del artículo anterior, se
considerará que la información consignada en un mensaje de
datos es íntegra, si ésta ha permanecido completa e
inalterada, salvo la adición de algún endoso o de algún
cambio que sea inherente al proceso de comunicación, archivo
o presentación. El grado de confiabilidad requerido, será
determinado a la luz de los fines para los que se generó la
información y de todas las circunstancias relevantes del
caso.
Artículo 10. Admisibilidad y fuerza probatoria
de los mensajes de datos. Los mensajes de datos serán
admisibles como medios de prueba y su fuerza probatoria es
la otorgada en las disposiciones del Capítulo VIII del
Título XIII, Sección Tercera, Libro Segundo del Código de
Procedimiento Civil.
En toda actuación
administrativa o judicial, no se negará eficacia, validez o
fuerza obligatoria y probatoria a todo tipo de información
en forma de un mensaje de datos, por el sólo hecho que se
trate de un mensaje de datos o en razón de no haber sido
presentado en su forma original.
Artículo 11.
Criterio para valorar probatoriamente un mensaje de datos.
Para la valoración de la fuerza probatoria de los mensajes
de datos a que se refiere esta ley, se tendrán en cuenta las
reglas de la sana crítica y demás criterios reconocidos
legalmente para la apreciación de las pruebas. Por
consiguiente habrán de tenerse en cuenta: la confiabilidad
en la forma en la que se haya generado, archivado o
comunicado el mensaje, la confiabilidad en la forma en que
se haya conservado la integridad de la información, la forma
en la que se identifique a su iniciador y cualquier otro
factor pertinente.
Artículo 12. Conservación de los
mensajes de datos y documentos. Cuando la Ley requiera que
ciertos documentos, registros o informaciones sean
conservados, ese requisito quedará satisfecho, siempre que
se cumplan las siguientes condiciones:
Que la
información que contengan sea accesible para su posterior
consulta;
Que el mensaje de datos o el documento sea
conservado en el formato en que se haya generado, enviado o
recibido o en algún formato que permita demostrar que
reproduce con exactitud la información generada, enviada o
recibida, y
Que se conserve, de haber alguna, toda
información que permita determinar el origen, el destino del
mensaje, la fecha y la hora en que fue enviado o recibido el
mensaje o producido el documento.
No estará sujeta a
la obligación de conservación, la información que tenga por
única finalidad facilitar el envío o recepción de los
mensajes de datos.
Los libros y papeles del
comerciante podrán ser conservados en cualquier medio
técnico que garantice su reproducción exacta.
Artículo 13. Conservación de mensajes de datos y
archivo de documentos a través de terceros. El cumplimiento
de la obligación de conservar documentos, registros o
informaciones en mensajes de datos, se podrá realizar
directamente o a través de terceros, siempre y cuando se
cumplan las condiciones enunciadas en el artículo anterior.
CAPÍTULO III
Comunicación de los mensajes de
datos
Artículo 14. Formación y validez de los
contratos. En la formación del contrato, salvo acuerdo
expreso entre las partes, la oferta y su aceptación podrán
ser expresadas por medio de un mensaje de datos. No se
negará validez o fuerza obligatoria a un contrato por la
sola razón de haberse utilizado en su formación uno o más
mensajes de datos.
Artículo 15. Reconocimiento de
los mensajes de datos por las partes. En las relaciones
entre el iniciador y el destinatario de un mensaje de datos,
no se negarán efectos jurídicos, validez o fuerza
obligatoria a una manifestación de voluntad u otra
declaración por la sola razón de haberse hecho en forma de
mensaje de datos.
Artículo 16. Atribución de un
mensaje de datos.- Se entenderá que un mensaje de datos
proviene del iniciador, cuando éste ha sido enviado por:
El propio iniciador.
Por alguna persona
facultada para actuar en nombre del iniciador respecto de
ese mensaje, o
Por un sistema de información
programado por el iniciador o en su nombre para que opere
automáticamente.
Artículo 17. Presunción del origen
de un mensaje de datos. Se presume que un mensaje de datos
ha sido enviado por el iniciador, cuando:
Haya
aplicado en forma adecuada el procedimiento acordado
previamente con el iniciador, para establecer que el mensaje
de datos provenía efectivamente de éste, o
El mensaje
de datos que reciba el destinatario resulte de los actos de
una persona cuya relación con el iniciador, o con algún
mandatario suyo, le haya dado acceso a algún método
utilizado por el iniciador para identificar un mensaje de
datos como propio.
Artículo 18. Concordancia del
mensaje de datos enviado con el mensaje de datos recibido.
Siempre que un mensaje de datos provenga del iniciador o que
se entienda que proviene de él, o siempre que el
destinatario tenga derecho a actuar con arreglo a este
supuesto, en las relaciones entre el iniciador y el
destinatario, éste último tendrá derecho a considerar que el
mensaje de datos recibido corresponde al que quería enviar
el iniciador, y podrá proceder en consecuencia.
El
destinatario no gozará de este derecho si sabía o hubiera
sabido, de haber actuado con la debida diligencia o de haber
aplicado algún método convenido, que la transmisión había
dado lugar a un error en el mensaje de datos recibido.
Artículo 19. Mensajes de datos duplicados. Se
presume que cada mensaje de datos recibido es un mensaje de
datos diferente, salvo en la medida en que duplique otro
mensaje de datos, y que el destinatario sepa, o debiera
saber, de haber actuado con la debida diligencia o de haber
aplicado algún método convenido, que el nuevo mensaje de
datos era un duplicado.
Artículo 20. Acuse de
recibo. Si al enviar o antes de enviar un mensaje de datos,
el iniciador solicita o acuerda con el destinatario que se
acuse recibo del mensaje de datos, pero no se ha acordado
entre éstos una forma o método determinado para efectuarlo,
se podrá acusar recibo mediante:
Toda comunicación
del destinatario, automatizada o no, o
Todo acto del
destinatario que baste para indicar al iniciador que se ha
recibido el mensaje de datos.
Si el iniciador ha
solicitado o acordado con el destinatario que se acuse
recibo del mensaje de datos, y expresamente aquél ha
indicado que los efectos del mensaje de datos estarán
condicionados a la recepción de un acuse de recibo, se
considerará que el mensaje de datos no ha sido enviado en
tanto que no se haya recepcionado el acuse de recibo.
Artículo 21. Presunción de recepción de un mensaje
de datos. Cuando el iniciador recepcione acuse recibo del
destinatario, se presumirá que éste ha recibido el mensaje
de datos.
Esa presunción no implicará que el mensaje
de datos corresponda al mensaje recibido. Cuando en el acuse
de recibo se indique que el mensaje de datos recepcionado
cumple con los requisitos técnicos convenidos o enunciados
en alguna norma técnica aplicable, se presumirá que ello es
así.
Artículo 22. Efectos jurídicos. Los artículos
20 y 21 únicamente rigen los efectos relacionados con el
acuse de recibo. Las consecuencias jurídicas del mensaje de
datos se regirán conforme a las normas aplicables al acto o
negocio jurídico contenido en dicho mensaje de datos.
Artículo 23. Tiempo del envío de un mensaje de
datos. De no convenir otra cosa el iniciador y el
destinatario, el mensaje de datos se tendrá por expedido
cuando ingrese en un sistema de información que no esté bajo
control del iniciador o de la persona que envió el mensaje
de datos en nombre de éste.
Artículo 24. Tiempo de
la recepción de un mensaje de datos. De no convenir otra
cosa el iniciador y el destinatario, el momento de la
recepción de un mensaje de datos se determinará como sigue:
Si el destinatario ha designado un sistema de
información para la recepción de mensaje de datos, la
recepción tendrá lugar:
En el momento en que ingrese
el mensaje de datos en el sistema de información designado;
o
De enviarse el mensaje de datos a un sistema de
información del destinatario que no sea el sistema de
información designado, en el momento en que el destinatario
recupere el mensaje de datos;
Si el destinatario no
ha designado un sistema de información, la recepción tendrá
lugar cuando el mensaje de datos ingrese a un sistema de
información del destinatario.
Lo dispuesto en este
artículo será aplicable aun cuando el sistema de información
esté ubicado en lugar distinto de donde se tenga por
recibido el mensaje de datos conforme al artículo siguiente.
Artículo 25. Lugar del envío y recepción del mensaje
de datos. De no convenir otra cosa el iniciador y el
destinatario, el mensaje de datos se tendrá por expedido en
el lugar donde el iniciador tenga su establecimiento y por
recibido en el lugar donde el destinatario tenga el suyo.
Para los fines del presente artículo:
Si el
iniciador o destinatario tienen más de un establecimiento,
su establecimiento será el que guarde una relación más
estrecha con la operación subyacente o, de no haber una
operación subyacente, su establecimiento
principal.
Si el iniciador o el destinatario no
tienen establecimiento, se tendrá en cuenta su lugar de
residencia habitual.
PARTE II
COMERCIO
ELECTRÓNICO EN MATERIA DE TRANSPORTE DE
MERCANCÍAS
Artículo 26. Actos relacionados con los
contratos de transporte de mercancías. Sin perjuicio de lo
dispuesto en la parte I de la presente ley, este capítulo
será aplicable a cualquiera de los siguientes actos que
guarde relación con un contrato de transporte de mercancías,
o con su cumplimiento, sin que la lista sea taxativa:
I. Indicación de las marcas, el número, la cantidad
o el peso de las mercancías.
II. Declaración de la
naturaleza o valor de las mercancías.
III. Emisión de un
recibo por las mercancías.
IV. Confirmación de haberse
completado el embarque de las mercancías.
I.
Notificación a alguna persona de las cláusulas y condiciones
del contrato.
II. Comunicación de instrucciones al
transportador.
I. Reclamación de la entrega de las
mercancías.
II. Autorización para proceder a la entrega
de las mercancías.
III. Notificación de la pérdida de las
mercancías o de los daños que hayan sufrido;
Cualquier otra notificación o declaración relativas
al cumplimiento del contrato;
Promesa de hacer
entrega de las mercancías a la persona designada o a una
persona autorizada para reclamar esa entrega;
Concesión, adquisición, renuncia, restitución,
transferencia o negociación de algún derecho sobre
mercancías;
Adquisición o transferencia de derechos
y obligaciones con arreglo al contrato.
Artículo 27.
Documentos de transporte. Con sujeción a lo dispuesto en el
inciso tercero (3°) del presente artículo, en los casos en
que la ley requiera que alguno de los actos enunciados en el
artículo 26 se lleve a cabo por escrito o mediante documento
emitido en papel, ese requisito quedará satisfecho cuando el
acto se lleve a cabo por medio de uno o más mensajes de
datos.
El inciso anterior será aplicable, tanto si
el requisito en él previsto está expresado en forma de
obligación o si la ley simplemente prevé consecuencias en el
caso de que no se lleve a cabo el acto por escrito o
mediante un documento emitido en papel.
Cuando se
conceda algún derecho a una persona determinada y a ninguna
otra, o ésta adquiera alguna obligación, y la ley requiera
que, para que ese acto surta efecto, el derecho o la
obligación hayan de transferirse a esa persona mediante el
envío o utilización de un documento emitido en papel, ese
requisito quedará satisfecho si el derecho o la obligación
se transfiere mediante la utilización de uno o más mensajes
de datos, siempre que se emplee un método confiable para
garantizar la singularidad de ese mensaje o esos mensajes de
datos.
Para los fines del inciso tercero, el nivel
de confiabilidad requerido será determinado a la luz de los
fines para los que se transfirió el derecho o la obligación
y de todas las circunstancias del caso, incluido cualquier
acuerdo pertinente.
Cuando se utilicen uno o más
mensajes de datos para llevar a cabo alguno de los actos
enunciados en los incisos f) y g) del artículo 26, no será
válido ningún documento emitido en papel para llevar a cabo
cualquiera de esos actos, a menos que se haya puesto fin al
uso de mensajes de datos para sustituirlo por el de
documentos emitidos en papel. Todo documento con soporte en
papel que se emita en esas circunstancias deberá contener
una declaración en tal sentido. La sustitución de mensajes
de datos por documentos emitidos en papel no afectará los
derechos ni las obligaciones de las partes.
Cuando
se aplique obligatoriamente una norma jurídica a un contrato
de transporte de mercancías que esté consignado, o del que
se haya dejado constancia en un documento emitido en papel,
esa norma no dejará de aplicarse a dicho contrato de
transporte de mercancías del que se haya dejado constancia
en uno o más mensajes de datos por razón de que el contrato
conste en ese mensaje o esos mensajes de datos en lugar de
constar en documentos emitidos en papel.
PARTE III
FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE
CERTIFICACIÓN
CAPÍTULO I
Firmas
digitales
Artículo 28. Atributos jurídicos de una
firma digital. Cuando una firma digital haya sido fijada en
un mensaje de datos se presume que el suscriptor de aquella
tenía la intención de acreditar ese mensaje de datos y de
ser vinculado con el contenido del mismo.
Parágrafo.
El uso de una firma digital tendrá la misma fuerza y efectos
que el uso de una firma manuscrita, si aquélla incorpora los
siguientes atributos:
Es única a la persona que la
usa.
Es susceptible de ser verificada.
Está
bajo el control exclusivo de la persona que la
usa.
Está ligada a la información o mensaje, de tal
manera que si éstos son cambiados, la firma digital es
invalidada.
Está conforme a las reglamentaciones
adoptadas por el Gobierno Nacional.
CAPÍTULO II
Entidades de certificación
Artículo 29.
Características y requerimientos de las entidades de
certificación. Podrán ser entidades de certificación, las
personas jurídicas, tanto públicas como privadas, de origen
nacional o extranjero y las cámaras de comercio, que previa
solicitud sean autorizadas por la Superintendencia de
Industria y Comercio y que cumplan con los requerimientos
establecidos por el Gobierno Nacional, con base en las
siguientes condiciones:
Contar con la capacidad
económica y financiera suficiente para prestar los servicios
autorizados como entidad de certificación.
Contar con
la capacidad y elementos técnicos necesarios para la
generación de firmas digitales, la emisión de certificados
sobre la autenticidad de las mismas y la conservación de
mensajes de datos en los términos establecidos en esta ley.
Los representantes legales y administradores no
podrán ser personas que hayan sido condenadas a pena
privativa de la libertad, excepto por delitos políticos o
culposos; o que hayan sido suspendidas en el ejercicio de su
profesión por falta grave contra la ética o hayan sido
excluidas de aquélla. Esta inhabilidad estará vigente por el
mismo período que la ley penal o administrativa señale para
el efecto.
Artículo 30. Actividades de las entidades
de certificación. Las entidades de certificación autorizadas
por la Superintendencia de Industria y Comercio para prestar
sus servicios en el país, podrán realizar, entre otras, las
siguientes actividades:
Emitir certificados en
relación con las firmas digitales de personas naturales o
jurídicas.
Emitir certificados sobre la verificación
respecto de la alteración entre el envío y recepción del
mensaje de datos.
Emitir certificados en relación con
la persona que posea un derecho u obligación con respecto a
los documentos enunciados en los literales f) y g) del
artículo 26 de la presente Ley.
Ofrecer o facilitar
los servicios de creación de firmas digitales
certificadas.
Ofrecer o facilitar los servicios de
registro y estampado cronológico en la generación,
transmisión y recepción de mensajes de datos.
Ofrecer
los servicios de archivo y conservación de mensajes de
datos.
Artículo 31. Remuneración por la prestación
de servicios. La remuneración por los servicios de las
entidades de certificación serán establecidos libremente por
éstas.
Artículo 32. Deberes de las entidades de
certificación. Las entidades de certificación tendrán, entre
otros, los siguientes deberes:
Emitir certificados
conforme a lo solicitado o acordado con el
suscriptor;
Implementar los sistemas de seguridad
para garantizar la emisión y creación de firmas digitales,
la conservación y archivo de certificados y documentos en
soporte de mensaje de datos;
Garantizar la
protección, confidencialidad y debido uso de la información
suministrada por el suscriptor;
Garantizar la
prestación permanente del servicio de entidad de
certificación;
Atender oportunamente las solicitudes
y reclamaciones hechas por los suscriptores;
Efectuar
los avisos y publicaciones conforme a lo dispuesto en la
ley;
Suministrar la información que le requieran las
entidades administrativas competentes o judiciales en
relación con las firmas digitales y certificados emitidos y
en general sobre cualquier mensaje de datos que se encuentre
bajo su custodia y administración;
Permitir y
facilitar la realización de las auditorías por parte de la
Superintendencia de Industria y Comercio;
Elaborar
los reglamentos que definen las relaciones con el suscriptor
y la forma de prestación del servicio;
Llevar un
registro de los certificados.
Artículo 33.
Terminación unilateral. Salvo acuerdo entre las partes, la
entidad de certificación podrá dar por terminado el acuerdo
de vinculación con el suscriptor dando un preaviso no menor
de noventa (90) días. Vencido este término, la entidad de
certificación revocará los certificados que se encuentren
pendientes de expiración.
Igualmente, el suscriptor
podrá dar por terminado el acuerdo de vinculación con la
entidad de certificación dando un preaviso no inferior a
treinta (30) días.
Artículo 34. Cesación de
actividades por parte de las entidades de certificación. Las
entidades de certificación autorizadas pueden cesar en el
ejercicio de actividades, siempre y cuando hayan recibido
autorización por parte de la Superintendencia de Industria y
Comercio.
CAPÍTULO III
Certificados
Artículo 35. Contenido de los
certificados. Un certificado emitido por una entidad de
certificación autorizada, además de estar firmado
digitalmente por ésta, debe contener por lo menos lo
siguiente:
Nombre, dirección y domicilio del
suscriptor.
Identificación del suscriptor nombrado en
el certificado.
El nombre, la dirección y el lugar
donde realiza actividades la entidad de
certificación.
La clave pública del
usuario.
La metodología para verificar la firma
digital del suscriptor impuesta en el mensaje de
datos.
El número de serie del
certificado.
Fecha de emisión y expiración del
certificado.
Artículo 36. Aceptación de un
certificado. Salvo acuerdo entre las partes, se entiende que
un suscriptor ha aceptado un certificado cuando la entidad
de certificación, a solicitud de éste o de una persona en
nombre de éste, lo ha guardado en un repositorio.
Artículo 37. Revocación de certificados. El
suscriptor de una firma digital certificada, podrá solicitar
a la entidad de certificación que expidió un certificado, la
revocación del mismo. En todo caso, estará obligado a
solicitar la revocación en los siguientes eventos:
Por pérdida de la clave privada.
La clave
privada ha sido expuesta o corre peligro de que se le dé un
uso indebido.
Si el suscriptor no solicita la
revocación del certificado en el evento de presentarse las
anteriores situaciones, será responsable por las pérdidas o
perjuicios en los cuales incurran terceros de buena fe
exenta de culpa que confiaron en el contenido del
certificado.
Una entidad de certificación revocará
un certificado emitido por las siguientes razones:
A
petición del suscriptor o un tercero en su nombre y
representación.
Por muerte del suscriptor.
Por
liquidación del suscriptor en el caso de las personas
jurídicas.
Por la confirmación de que alguna
información o hecho contenido en el certificado es
falso.
La clave privada de la entidad de
certificación o su sistema de seguridad ha sido comprometido
de manera material que afecte la confiabilidad del
certificado.
Por el cese de actividades de la entidad
de certificación, y
Por orden judicial o de entidad
administrativa competente.
Artículo 38. Término de
conservación de los registros. Los registros de certificados
expedidos por una entidad de certificación deben ser
conservados por el término exigido en la ley que regule el
acto o negocio jurídico en particular.
CAPÍTULO IV
Suscriptores de firmas digitales
Artículo 39.
Deberes de los suscriptores. Son deberes de los
suscriptores:
Recibir la firma digital por parte de
la entidad de certificación o generarla, utilizando un
método autorizado por ésta.
Suministrar la
información que requiera la entidad de
certificación.
Mantener el control de la firma
digital.
Solicitar oportunamente la revocación de
los certificados.
Artículo 40. Responsabilidad de
los suscriptores. Los suscriptores serán responsables por la
falsedad, error u omisión en la información suministrada a
la entidad de certificación y por el incumplimiento de sus
deberes como suscriptor.
CAPÍTULO
V
Superintendencia de Industria y
Comercio
Artículo 41. Funciones de la
Superintendencia. La Superintendencia de Industria y
Comercio ejercerá las facultades que legalmente le han sido
asignadas respecto de las entidades de certificación, y
adicionalmente tendrá las siguientes funciones:
1.
Autorizar la actividad de las entidades de certificación en
el territorio nacional.
Velar por el funcionamiento y
la eficiente prestación del servicio por parte de las
entidades de certificación.
Realizar visitas de
auditoría a las entidades de certificación.
Revocar o
suspender la autorización para operar como entidad de
certificación.
Solicitar la información pertinente
para el ejercicio de sus funciones.
Imponer sanciones
a las entidades de certificación en caso de incumplimiento
de las obligaciones derivadas de la prestación del
servicio.
Ordenar la revocación de certificados
cuando la entidad de certificación los emita sin el
cumplimiento de las formalidades legales.
Designar
los repositorios y entidades de certificación en los eventos
previstos en la ley.
Emitir certificados en relación
con las firmas digitales de las entidades de
certificación.
Velar por la observancia de las
disposiciones constitucionales y legales sobre la promoción
de la competencia y prácticas comerciales restrictivas,
competencia desleal y protección del consumidor, en los
mercados atendidos por las entidades de
certificación.
Impartir instrucciones sobre el
adecuado cumplimiento de las normas a las cuales deben
sujetarse las entidades de certificación.
Artículo
42. Sanciones. La Superintendencia de Industria y Comercio
de acuerdo con el debido proceso y el derecho de defensa,
podrá imponer según la naturaleza y la gravedad de la falta,
las siguientes sanciones a las entidades de certificación:
Amonestación.
Multas institucionales hasta
por el equivalente a dos mil (2.000) salarios mínimos
legales mensuales vigentes, y personales a los
administradores y representantes legales de las entidades de
certificación, hasta por trescientos (300) salarios mínimos
legales mensuales vigentes, cuando se les compruebe que han
autorizado, ejecutado o tolerado conductas violatorias de la
ley.
Suspender de inmediato todas o algunas de las
actividades de la entidad infractora.
Prohibir a la
entidad de certificación infractora prestar directa o
indirectamente los servicios de entidad de certificación
hasta por el término de cinco (5) años.
Revocar
definitivamente la autorización para operar como entidad de
certificación.
CAPÍTULO VI
Disposiciones
varias
Artículo 43. Certificaciones recíprocas. Los
certificados de firmas digitales emitidos por entidades de
certificación extranjeras, podrán ser reconocidos en los
mismos términos y condiciones exigidos en la ley para la
emisión de certificados por parte de las entidades de
certificación nacionales, siempre y cuando tales
certificados sean reconocidos por una entidad de
certificación autorizada que garantice en la misma forma que
lo hace con sus propios certificados, la regularidad de los
detalles del certificado, así como su validez y vigencia.
Artículo 44. Incorporación por remisión. Salvo
acuerdo en contrario entre las partes, cuando en un mensaje
de datos se haga remisión total o parcial a directrices,
normas, estándares, acuerdos, cláusulas, condiciones o
términos fácilmente accesibles con la intención de
incorporarlos como parte del contenido o hacerlos
vinculantes jurídicamente, se presume que esos términos
están incorporados por remisión a ese mensaje de datos.
Entre las partes y conforme a la ley, esos términos serán
jurídicamente válidos como si hubieran sido incorporados en
su totalidad en el mensaje de datos.
PARTE IV
REGLAMENTACIÓN Y VIGENCIA
Artículo 45. La
Superintendencia de Industria y Comercio contará con un
término adicional de doce (12) meses, contados a partir de
la publicación de la presente ley, para organizar y asignar
a una de sus dependencias la función de inspección, control
y vigilancia de las actividades realizadas por las entidades
de certificación, sin perjuicio de que el Gobierno Nacional
cree una unidad especializada dentro de ella para tal
efecto.
Artículo 46. Prevalencia de las leyes de
protección al consumidor. La presente Ley se aplicará sin
perjuicio de las normas vigentes en materia de protección al
consumidor.
Artículo 47. Vigencia y Derogatorias. La
presente ley rige desde la fecha de su publicación y deroga
las disposiciones que le sean
contrarias.