  |
|
|
|
Ley
Número 527 de 1999
(agosto 18) Por medio de la cual se define y reglamenta el acceso y uso
de los mensajes de datos, del comercio electrónico y de las firmas
digitales, y se establecen las entidades de certificación y se dictan
otras disposiciones. El Congreso de Colombia DECRETA : PARTE I PARTE GENERAL
CAPÍTULO I Disposiciones Generales Artículo 1°. Ámbito
de aplicación. La presente ley será aplicable a todo tipo
de información en forma de mensaje de datos, salvo en los siguientes
casos: a) En las obligaciones contraídas por el Estado colombiano
en virtud de Convenios o Tratados internacionales. b) En las advertencias
escritas que por disposición legal deban ir necesariamente impresas
en cierto tipo de productos en razón al riesgo que implica su comercialización,
uso o consumo. Artículo 2°. Definiciones. Para los efectos de
la presente ley se entenderá por: a) Mensaje de Datos. La información
generada, enviada, recibida, almacenada o comunicada por medios electrónicos,
ópticos o similares, como pudieran ser, entre otros, el Intercambio
Electrónico de Datos (EDI), Internet, el correo electrónico,
el telegrama, el télex o el telefax b) Comercio electrónico.
Abarca las cuestiones suscitadas por toda relación de índole
comercial, sea o no contractual, estructurada a partir de la utilización
de uno o más mensajes de datos o de cualquier otro medio similar.
Las relaciones de índole comercial comprenden, sin limitarse a ellas,
las siguientes operaciones: toda operación comercial de suministro
o intercambio de bienes o servicios; todo acuerdo de distribución;
toda operación de representación o mandato comercial; todo
tipo de operaciones financieras, bursátiles y de seguros; de construcción
de obras; de consultoría; de ingeniería; de concesión
de licencias; todo acuerdo de concesión o explotación de un
servicio público; de empresa conjunta y otras formas de cooperación
industrial o comercial; de transporte de mercancías o de pasajeros
por vía aérea, marítima y férrea, o por carretera;
c) Firma Digital. Se entenderá como un valor numérico que
se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático
conocido, vinculado a la clave del iniciador y al texto del mensaje, permite
determinar que este valor se ha obtenido exclusivamente con la clave del
iniciador y que el mensaje inicial no ha sido modificado después
de efectuada la transformación; d) Entidad de Certificación.
Es aquella persona que, autorizada conforme a la presente Ley, está
facultada para emitir certificados en relación con las firmas digitales
de las personas, ofrecer o facilitar los servicios de registro y estampado
cronológico de la transmisión y recepción de mensajes
de datos, así como cumplir otras funciones relativas a las comunicaciones
basadas en las firmas digitales. e) Intercambio Electrónico de Datos
(EDI). La transmisión electrónica de datos de una computadora
a otra, que está estructurada bajo normas técnicas convenidas
al efecto; f) Sistema de Información. Se entenderá todo sistema
utilizado para generar, enviar, recibir, archivar o procesar de alguna otra
forma mensajes de datos. Artículo 3°. Interpretación.
En la interpretación de la presente ley habrán de tenerse
en cuenta su origen internacional, la necesidad de promover la uniformidad
de su aplicación y la observancia de la buena fe. Las cuestiones
relativas a materias que se rijan por la presente ley y que no estén
expresamente resueltas en ella, serán dirimidas de conformidad con
los principios generales en que ella se inspira. Artículo 4°.
Modificación mediante acuerdo. Salvo que se disponga otra cosa, en
las relaciones entre partes que generan, envían, reciben, archivan
o procesan de alguna otra forma mensajes de datos, las disposiciones del
Capítulo III, Parte I, podrán ser modificadas mediante acuerdo.
Artículo 5°. Reconocimiento jurídico de los mensajes de
datos. No se negarán efectos jurídicos, validez o fuerza obligatoria
a todo tipo de información por la sola razón de que esté
en forma de mensaje de datos. CAPÍTULO II Aplicación de los
requisitos jurídicos de los mensajes de datos Artículo 6°.
Escrito. Cuando cualquier norma requiera que la información conste
por escrito, ese requisito quedará satisfecho con un mensaje de datos,
si la información que éste contiene es accesible para su posterior
consulta. Lo dispuesto en este artículo se aplicará tanto
si el requisito establecido en cualquier norma constituye una obligación,
como si las normas prevén consecuencias en el caso de que la información
no conste por escrito. Artículo 7º. Firma. Cuando cualquier
norma exija la presencia de una firma o establezca ciertas consecuencias
en ausencia de la misma, en relación con un mensaje de datos, se
entenderá satisfecho dicho requerimiento si: a) Se ha utilizado un
método que permita identificar al iniciador de un mensaje de datos
y para indicar que el contenido cuenta con su aprobación. b) Que
el método sea tanto confiable como apropiado para el propósito
por el cual el mensaje fue generado o comunicado. Lo dispuesto en este artículo
se aplicará tanto si el requisito establecido en cualquier norma
constituye una obligación, como si las normas simplemente prevén
consecuencias en el caso de que no exista una firma. Artículo 8°.
Original. Cuando cualquier norma requiera que la información sea
presentada y conservada en su forma original, ese requisito quedará
satisfecho con un mensaje de datos, si: a) Existe alguna garantía
confiable de que se ha conservado la integridad de la información,
a partir del momento en que se generó por primera vez en su forma
definitiva, como mensaje de datos o en alguna otra forma; b) De requerirse
que la información sea presentada, si dicha información puede
ser mostrada a la persona que se deba presentar. Lo dispuesto en este artículo
se aplicará tanto si el requisito establecido en cualquier norma
constituye una obligación, como si las normas simplemente prevén
consecuencias en el caso de que la información no sea presentada
o conservada en su forma original. Artículo 9°. Integridad de
un mensaje de datos. Para efectos del artículo anterior, se considerará
que la información consignada en un mensaje de datos es íntegra,
si ésta ha permanecido completa e inalterada, salvo la adición
de algún endoso o de algún cambio que sea inherente al proceso
de comunicación, archivo o presentación. El grado de confiabilidad
requerido, será determinado a la luz de los fines para los que se
generó la información y de todas las circunstancias relevantes
del caso. Artículo 10. Admisibilidad y fuerza probatoria de los mensajes
de datos. Los mensajes de datos serán admisibles como medios de prueba
y su fuerza probatoria es la otorgada en las disposiciones del Capítulo
VIII del Título XIII, Sección Tercera, Libro Segundo del Código
de Procedimiento Civil. En toda actuación administrativa o judicial,
no se negará eficacia, validez o fuerza obligatoria y probatoria
a todo tipo de información en forma de un mensaje de datos, por el
sólo hecho que se trate de un mensaje de datos o en razón
de no haber sido presentado en su forma original. Artículo 11. Criterio
para valorar probatoriamente un mensaje de datos. Para la valoración
de la fuerza probatoria de los mensajes de datos a que se refiere esta ley,
se tendrán en cuenta las reglas de la sana crítica y demás
criterios reconocidos legalmente para la apreciación de las pruebas.
Por consiguiente habrán de tenerse en cuenta: la confiabilidad en
la forma en la que se haya generado, archivado o comunicado el mensaje,
la confiabilidad en la forma en que se haya conservado la integridad de
la información, la forma en la que se identifique a su iniciador
y cualquier otro factor pertinente. Artículo 12. Conservación
de los mensajes de datos y documentos. Cuando la Ley requiera que ciertos
documentos, registros o informaciones sean conservados, ese requisito quedará
satisfecho, siempre que se cumplan las siguientes condiciones: 1. Que la
información que contengan sea accesible para su posterior consulta;
2. Que el mensaje de datos o el documento sea conservado en el formato en
que se haya generado, enviado o recibido o en algún formato que permita
demostrar que reproduce con exactitud la información generada, enviada
o recibida, y 3. Que se conserve, de haber alguna, toda información
que permita determinar el origen, el destino del mensaje, la fecha y la
hora en que fue enviado o recibido el mensaje o producido el documento.
No estará sujeta a la obligación de conservación, la
información que tenga por única finalidad facilitar el envío
o recepción de los mensajes de datos. Los libros y papeles del comerciante
podrán ser conservados en cualquier medio técnico que garantice
su reproducción exacta. Artículo 13. Conservación de
mensajes de datos y archivo de documentos a través de terceros. El
cumplimiento de la obligación de conservar documentos, registros
o informaciones en mensajes de datos, se podrá realizar directamente
o a través de terceros, siempre y cuando se cumplan las condiciones
enunciadas en el artículo anterior. CAPÍTULO III Comunicación
de los mensajes de datos Artículo 14. Formación y validez
de los contratos. En la formación del contrato, salvo acuerdo expreso
entre las partes, la oferta y su aceptación podrán ser expresadas
por medio de un mensaje de datos. No se negará validez o fuerza obligatoria
a un contrato por la sola razón de haberse utilizado en su formación
uno o más mensajes de datos. Artículo 15. Reconocimiento de
los mensajes de datos por las partes. En las relaciones entre el iniciador
y el destinatario de un mensaje de datos, no se negarán efectos jurídicos,
validez o fuerza obligatoria a una manifestación de voluntad u otra
declaración por la sola razón de haberse hecho en forma de
mensaje de datos. Artículo 16. Atribución de un mensaje de
datos.- Se entenderá que un mensaje de datos proviene del iniciador,
cuando éste ha sido enviado por: 1. El propio iniciador. 2. Por alguna
persona facultada para actuar en nombre del iniciador respecto de ese mensaje,
o 3. Por un sistema de información programado por el iniciador o
en su nombre para que opere automáticamente. Artículo 17.
Presunción del origen de un mensaje de datos. Se presume que un mensaje
de datos ha sido enviado por el iniciador, cuando: 1. Haya aplicado en forma
adecuada el procedimiento acordado previamente con el iniciador, para establecer
que el mensaje de datos provenía efectivamente de éste, o
2. El mensaje de datos que reciba el destinatario resulte de los actos de
una persona cuya relación con el iniciador, o con algún mandatario
suyo, le haya dado acceso a algún método utilizado por el
iniciador para identificar un mensaje de datos como propio. Artículo
18. Concordancia del mensaje de datos enviado con el mensaje de datos recibido.
Siempre que un mensaje de datos provenga del iniciador o que se entienda
que proviene de él, o siempre que el destinatario tenga derecho a
actuar con arreglo a este supuesto, en las relaciones entre el iniciador
y el destinatario, éste último tendrá derecho a considerar
que el mensaje de datos recibido corresponde al que quería enviar
el iniciador, y podrá proceder en consecuencia. El destinatario no
gozará de este derecho si sabía o hubiera sabido, de haber
actuado con la debida diligencia o de haber aplicado algún método
convenido, que la transmisión había dado lugar a un error
en el mensaje de datos recibido. Artículo 19. Mensajes de datos duplicados.
Se presume que cada mensaje de datos recibido es un mensaje de datos diferente,
salvo en la medida en que duplique otro mensaje de datos, y que el destinatario
sepa, o debiera saber, de haber actuado con la debida diligencia o de haber
aplicado algún método convenido, que el nuevo mensaje de datos
era un duplicado. Artículo 20. Acuse de recibo. Si al enviar o antes
de enviar un mensaje de datos, el iniciador solicita o acuerda con el destinatario
que se acuse recibo del mensaje de datos, pero no se ha acordado entre éstos
una forma o método determinado para efectuarlo, se podrá acusar
recibo mediante: a) Toda comunicación del destinatario, automatizada
o no, o b) Todo acto del destinatario que baste para indicar al iniciador
que se ha recibido el mensaje de datos. Si el iniciador ha solicitado o
acordado con el destinatario que se acuse recibo del mensaje de datos, y
expresamente aquél ha indicado que los efectos del mensaje de datos
estarán condicionados a la recepción de un acuse de recibo,
se considerará que el mensaje de datos no ha sido enviado en tanto
que no se haya recepcionado el acuse de recibo. Artículo 21. Presunción
de recepción de un mensaje de datos. Cuando el iniciador recepcione
acuse recibo del destinatario, se presumirá que éste ha recibido
el mensaje de datos. Esa presunción no implicará que el mensaje
de datos corresponda al mensaje recibido. Cuando en el acuse de recibo se
indique que el mensaje de datos recepcionado cumple con los requisitos técnicos
convenidos o enunciados en alguna norma técnica aplicable, se presumirá
que ello es así. Artículo 22. Efectos jurídicos. Los
artículos 20 y 21 únicamente rigen los efectos relacionados
con el acuse de recibo. Las consecuencias jurídicas del mensaje de
datos se regirán conforme a las normas aplicables al acto o negocio
jurídico contenido en dicho mensaje de datos. Artículo 23.
Tiempo del envío de un mensaje de datos. De no convenir otra cosa
el iniciador y el destinatario, el mensaje de datos se tendrá por
expedido cuando ingrese en un sistema de información que no esté
bajo control del iniciador o de la persona que envió el mensaje de
datos en nombre de éste. Artículo 24. Tiempo de la recepción
de un mensaje de datos. De no convenir otra cosa el iniciador y el destinatario,
el momento de la recepción de un mensaje de datos se determinará
como sigue: a. Si el destinatario ha designado un sistema de información
para la recepción de mensaje de datos, la recepción tendrá
lugar: 1. En el momento en que ingrese el mensaje de datos en el sistema
de información designado; o 2. De enviarse el mensaje de datos a
un sistema de información del destinatario que no sea el sistema
de información designado, en el momento en que el destinatario recupere
el mensaje de datos; b. Si el destinatario no ha designado un sistema de
información, la recepción tendrá lugar cuando el mensaje
de datos ingrese a un sistema de información del destinatario. Lo
dispuesto en este artículo será aplicable aun cuando el sistema
de información esté ubicado en lugar distinto de donde se
tenga por recibido el mensaje de datos conforme al artículo siguiente.
Artículo 25. Lugar del envío y recepción del mensaje
de datos. De no convenir otra cosa el iniciador y el destinatario, el mensaje
de datos se tendrá por expedido en el lugar donde el iniciador tenga
su establecimiento y por recibido en el lugar donde el destinatario tenga
el suyo. Para los fines del presente artículo: Si el iniciador o
destinatario tienen más de un establecimiento, su establecimiento
será el que guarde una relación más estrecha con la
operación subyacente o, de no haber una operación subyacente,
su establecimiento principal. Si el iniciador o el destinatario no tienen
establecimiento, se tendrá en cuenta su lugar de residencia habitual.
PARTE II COMERCIO ELECTRÓNICO EN MATERIA DE TRANSPORTE DE MERCANCÍAS
Artículo 26. Actos relacionados con los contratos de transporte de
mercancías. Sin perjuicio de lo dispuesto en la parte I de la presente
ley, este capítulo será aplicable a cualquiera de los siguientes
actos que guarde relación con un contrato de transporte de mercancías,
o con su cumplimiento, sin que la lista sea taxativa: a) I. Indicación
de las marcas, el número, la cantidad o el peso de las mercancías.
II. Declaración de la naturaleza o valor de las mercancías.
III. Emisión de un recibo por las mercancías. IV. Confirmación
de haberse completado el embarque de las mercancías. b) I. Notificación
a alguna persona de las cláusulas y condiciones del contrato. II.
Comunicación de instrucciones al transportador. c) I. Reclamación
de la entrega de las mercancías. II. Autorización para proceder
a la entrega de las mercancías. III. Notificación de la pérdida
de las mercancías o de los daños que hayan sufrido; d) Cualquier
otra notificación o declaración relativas al cumplimiento
del contrato; e) Promesa de hacer entrega de las mercancías a la
persona designada o a una persona autorizada para reclamar esa entrega;
f) Concesión, adquisición, renuncia, restitución, transferencia
o negociación de algún derecho sobre mercancías; g)
Adquisición o transferencia de derechos y obligaciones con arreglo
al contrato. Artículo 27. Documentos de transporte. Con sujeción
a lo dispuesto en el inciso tercero (3°) del presente artículo,
en los casos en que la ley requiera que alguno de los actos enunciados en
el artículo 26 se lleve a cabo por escrito o mediante documento emitido
en papel, ese requisito quedará satisfecho cuando el acto se lleve
a cabo por medio de uno o más mensajes de datos. El inciso anterior
será aplicable, tanto si el requisito en él previsto está
expresado en forma de obligación o si la ley simplemente prevé
consecuencias en el caso de que no se lleve a cabo el acto por escrito o
mediante un documento emitido en papel. Cuando se conceda algún derecho
a una persona determinada y a ninguna otra, o ésta adquiera alguna
obligación, y la ley requiera que, para que ese acto surta efecto,
el derecho o la obligación hayan de transferirse a esa persona mediante
el envío o utilización de un documento emitido en papel, ese
requisito quedará satisfecho si el derecho o la obligación
se transfiere mediante la utilización de uno o más mensajes
de datos, siempre que se emplee un método confiable para garantizar
la singularidad de ese mensaje o esos mensajes de datos. Para los fines
del inciso tercero, el nivel de confiabilidad requerido será determinado
a la luz de los fines para los que se transfirió el derecho o la
obligación y de todas las circunstancias del caso, incluido cualquier
acuerdo pertinente. Cuando se utilicen uno o más mensajes de datos
para llevar a cabo alguno de los actos enunciados en los incisos f) y g)
del artículo 26, no será válido ningún documento
emitido en papel para llevar a cabo cualquiera de esos actos, a menos que
se haya puesto fin al uso de mensajes de datos para sustituirlo por el de
documentos emitidos en papel. Todo documento con soporte en papel que se
emita en esas circunstancias deberá contener una declaración
en tal sentido. La sustitución de mensajes de datos por documentos
emitidos en papel no afectará los derechos ni las obligaciones de
las partes. Cuando se aplique obligatoriamente una norma jurídica
a un contrato de transporte de mercancías que esté consignado,
o del que se haya dejado constancia en un documento emitido en papel, esa
norma no dejará de aplicarse a dicho contrato de transporte de mercancías
del que se haya dejado constancia en uno o más mensajes de datos
por razón de que el contrato conste en ese mensaje o esos mensajes
de datos en lugar de constar en documentos emitidos en papel. PARTE III
FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN CAPÍTULO
I Firmas digitales Artículo 28. Atributos jurídicos de una
firma digital. Cuando una firma digital haya sido fijada en un mensaje de
datos se presume que el suscriptor de aquella tenía la intención
de acreditar ese mensaje de datos y de ser vinculado con el contenido del
mismo. Parágrafo. El uso de una firma digital tendrá la misma
fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora
los siguientes atributos: Es única a la persona que la usa. Es susceptible
de ser verificada. Está bajo el control exclusivo de la persona que
la usa. Está ligada a la información o mensaje, de tal manera
que si éstos son cambiados, la firma digital es invalidada. Está
conforme a las reglamentaciones adoptadas por el Gobierno Nacional. CAPÍTULO
II Entidades de certificación Artículo 29. Características
y requerimientos de las entidades de certificación. Podrán
ser entidades de certificación, las personas jurídicas, tanto
públicas como privadas, de origen nacional o extranjero y las cámaras
de comercio, que previa solicitud sean autorizadas por la Superintendencia
de Industria y Comercio y que cumplan con los requerimientos establecidos
por el Gobierno Nacional, con base en las siguientes condiciones: a) Contar
con la capacidad económica y financiera suficiente para prestar los
servicios autorizados como entidad de certificación. b) Contar con
la capacidad y elementos técnicos necesarios para la generación
de firmas digitales, la emisión de certificados sobre la autenticidad
de las mismas y la conservación de mensajes de datos en los términos
establecidos en esta ley. c) Los representantes legales y administradores
no podrán ser personas que hayan sido condenadas a pena privativa
de la libertad, excepto por delitos políticos o culposos; o que hayan
sido suspendidas en el ejercicio de su profesión por falta grave
contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad
estará vigente por el mismo período que la ley penal o administrativa
señale para el efecto. Artículo 30. Actividades de las entidades
de certificación. Las entidades de certificación autorizadas
por la Superintendencia de Industria y Comercio para prestar sus servicios
en el país, podrán realizar, entre otras, las siguientes actividades:
1. Emitir certificados en relación con las firmas digitales de personas
naturales o jurídicas. 2. Emitir certificados sobre la verificación
respecto de la alteración entre el envío y recepción
del mensaje de datos. 3. Emitir certificados en relación con la persona
que posea un derecho u obligación con respecto a los documentos enunciados
en los literales f) y g) del artículo 26 de la presente Ley. 4. Ofrecer
o facilitar los servicios de creación de firmas digitales certificadas.
5. Ofrecer o facilitar los servicios de registro y estampado cronológico
en la generación, transmisión y recepción de mensajes
de datos. 6. Ofrecer los servicios de archivo y conservación de mensajes
de datos. Artículo 31. Remuneración por la prestación
de servicios. La remuneración por los servicios de las entidades
de certificación serán establecidos libremente por éstas.
Artículo 32. Deberes de las entidades de certificación. Las
entidades de certificación tendrán, entre otros, los siguientes
deberes: a) Emitir certificados conforme a lo solicitado o acordado con
el suscriptor; b) Implementar los sistemas de seguridad para garantizar
la emisión y creación de firmas digitales, la conservación
y archivo de certificados y documentos en soporte de mensaje de datos; c)
Garantizar la protección, confidencialidad y debido uso de la información
suministrada por el suscriptor; d) Garantizar la prestación permanente
del servicio de entidad de certificación; e) Atender oportunamente
las solicitudes y reclamaciones hechas por los suscriptores; f) Efectuar
los avisos y publicaciones conforme a lo dispuesto en la ley; g) Suministrar
la información que le requieran las entidades administrativas competentes
o judiciales en relación con las firmas digitales y certificados
emitidos y en general sobre cualquier mensaje de datos que se encuentre
bajo su custodia y administración; h) Permitir y facilitar la realización
de las auditorías por parte de la Superintendencia de Industria y
Comercio; i) Elaborar los reglamentos que definen las relaciones con el
suscriptor y la forma de prestación del servicio; j) Llevar un registro
de los certificados. Artículo 33. Terminación unilateral.
Salvo acuerdo entre las partes, la entidad de certificación podrá
dar por terminado el acuerdo de vinculación con el suscriptor dando
un preaviso no menor de noventa (90) días. Vencido este término,
la entidad de certificación revocará los certificados que
se encuentren pendientes de expiración. Igualmente, el suscriptor
podrá dar por terminado el acuerdo de vinculación con la entidad
de certificación dando un preaviso no inferior a treinta (30) días.
Artículo 34. Cesación de actividades por parte de las entidades
de certificación. Las entidades de certificación autorizadas
pueden cesar en el ejercicio de actividades, siempre y cuando hayan recibido
autorización por parte de la Superintendencia de Industria y Comercio.
CAPÍTULO III Certificados Artículo 35. Contenido de los certificados.
Un certificado emitido por una entidad de certificación autorizada,
además de estar firmado digitalmente por ésta, debe contener
por lo menos lo siguiente: 1. Nombre, dirección y domicilio del suscriptor.
2. Identificación del suscriptor nombrado en el certificado. 3. El
nombre, la dirección y el lugar donde realiza actividades la entidad
de certificación. 4. La clave pública del usuario. 5. La metodología
para verificar la firma digital del suscriptor impuesta en el mensaje de
datos. 6. El número de serie del certificado. 7. Fecha de emisión
y expiración del certificado. Artículo 36. Aceptación
de un certificado. Salvo acuerdo entre las partes, se entiende que un suscriptor
ha aceptado un certificado cuando la entidad de certificación, a
solicitud de éste o de una persona en nombre de éste, lo ha
guardado en un repositorio. Artículo 37. Revocación de certificados.
El suscriptor de una firma digital certificada, podrá solicitar a
la entidad de certificación que expidió un certificado, la
revocación del mismo. En todo caso, estará obligado a solicitar
la revocación en los siguientes eventos: 1. Por pérdida de
la clave privada. 2. La clave privada ha sido expuesta o corre peligro de
que se le dé un uso indebido. Si el suscriptor no solicita la revocación
del certificado en el evento de presentarse las anteriores situaciones,
será responsable por las pérdidas o perjuicios en los cuales
incurran terceros de buena fe exenta de culpa que confiaron en el contenido
del certificado. Una entidad de certificación revocará un
certificado emitido por las siguientes razones: 1. A petición del
suscriptor o un tercero en su nombre y representación. 2. Por muerte
del suscriptor. 3. Por liquidación del suscriptor en el caso de las
personas jurídicas. 4. Por la confirmación de que alguna información
o hecho contenido en el certificado es falso. 5. La clave privada de la
entidad de certificación o su sistema de seguridad ha sido comprometido
de manera material que afecte la confiabilidad del certificado. 6. Por el
cese de actividades de la entidad de certificación, y 7. Por orden
judicial o de entidad administrativa competente. Artículo 38. Término
de conservación de los registros. Los registros de certificados expedidos
por una entidad de certificación deben ser conservados por el término
exigido en la ley que regule el acto o negocio jurídico en particular.
CAPÍTULO IV Suscriptores de firmas digitales Artículo 39.
Deberes de los suscriptores. Son deberes de los suscriptores: 1. Recibir
la firma digital por parte de la entidad de certificación o generarla,
utilizando un método autorizado por ésta. 2. Suministrar la
información que requiera la entidad de certificación. 3. Mantener
el control de la firma digital. 4. Solicitar oportunamente la revocación
de los certificados. Artículo 40. Responsabilidad de los suscriptores.
Los suscriptores serán responsables por la falsedad, error u omisión
en la información suministrada a la entidad de certificación
y por el incumplimiento de sus deberes como suscriptor. CAPÍTULO
V Superintendencia de Industria y Comercio Artículo 41. Funciones
de la Superintendencia. La Superintendencia de Industria y Comercio ejercerá
las facultades que legalmente le han sido asignadas respecto de las entidades
de certificación, y adicionalmente tendrá las siguientes funciones:
1. Autorizar la actividad de las entidades de certificación en el
territorio nacional. 2. Velar por el funcionamiento y la eficiente prestación
del servicio por parte de las entidades de certificación. 3. Realizar
visitas de auditoría a las entidades de certificación. 4.
Revocar o suspender la autorización para operar como entidad de certificación.
5. Solicitar la información pertinente para el ejercicio de sus funciones.
6. Imponer sanciones a las entidades de certificación en caso de
incumplimiento de las obligaciones derivadas de la prestación del
servicio. 7. Ordenar la revocación de certificados cuando la entidad
de certificación los emita sin el cumplimiento de las formalidades
legales. 8. Designar los repositorios y entidades de certificación
en los eventos previstos en la ley. 9. Emitir certificados en relación
con las firmas digitales de las entidades de certificación. 10. Velar
por la observancia de las disposiciones constitucionales y legales sobre
la promoción de la competencia y prácticas comerciales restrictivas,
competencia desleal y protección del consumidor, en los mercados
atendidos por las entidades de certificación. 11. Impartir instrucciones
sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse
las entidades de certificación. Artículo 42. Sanciones. La
Superintendencia de Industria y Comercio de acuerdo con el debido proceso
y el derecho de defensa, podrá imponer según la naturaleza
y la gravedad de la falta, las siguientes sanciones a las entidades de certificación:
1) Amonestación. 2) Multas institucionales hasta por el equivalente
a dos mil (2.000) salarios mínimos legales mensuales vigentes, y
personales a los administradores y representantes legales de las entidades
de certificación, hasta por trescientos (300) salarios mínimos
legales mensuales vigentes, cuando se les compruebe que han autorizado,
ejecutado o tolerado conductas violatorias de la ley. 3) Suspender de inmediato
todas o algunas de las actividades de la entidad infractora. 4) Prohibir
a la entidad de certificación infractora prestar directa o indirectamente
los servicios de entidad de certificación hasta por el término
de cinco (5) años. 5) Revocar definitivamente la autorización
para operar como entidad de certificación. CAPÍTULO VI Disposiciones
varias Artículo 43. Certificaciones recíprocas. Los certificados
de firmas digitales emitidos por entidades de certificación extranjeras,
podrán ser reconocidos en los mismos términos y condiciones
exigidos en la ley para la emisión de certificados por parte de las
entidades de certificación nacionales, siempre y cuando tales certificados
sean reconocidos por una entidad de certificación autorizada que
garantice en la misma forma que lo hace con sus propios certificados, la
regularidad de los detalles del certificado, así como su validez
y vigencia. Artículo 44. Incorporación por remisión.
Salvo acuerdo en contrario entre las partes, cuando en un mensaje de datos
se haga remisión total o parcial a directrices, normas, estándares,
acuerdos, cláusulas, condiciones o términos fácilmente
accesibles con la intención de incorporarlos como parte del contenido
o hacerlos vinculantes jurídicamente, se presume que esos términos
están incorporados por remisión a ese mensaje de datos. Entre
las partes y conforme a la ley, esos términos serán jurídicamente
válidos como si hubieran sido incorporados en su totalidad en el
mensaje de datos. PARTE IV REGLAMENTACIÓN Y VIGENCIA Artículo
45. La Superintendencia de Industria y Comercio contará con un término
adicional de doce (12) meses, contados a partir de la publicación
de la presente ley, para organizar y asignar a una de sus dependencias la
función de inspección, control y vigilancia de las actividades
realizadas por las entidades de certificación, sin perjuicio de que
el Gobierno Nacional cree una unidad especializada dentro de ella para tal
efecto. Artículo 46. Prevalencia de las leyes de protección
al consumidor. La presente Ley se aplicará sin perjuicio de las normas
vigentes en materia de protección al consumidor. Artículo
47. Vigencia y Derogatorias. La presente ley rige desde la fecha de su publicación
y deroga las disposiciones que le sean contrarias.