PARTE I
PARTE GENERAL
CAPITULO 1
Disposiciones generales
Artículo 1º. Ámbito de aplicación.
La presente ley será aplicable a
todo tipo de información en forma
de mensaje de datos, salvo en los
siguientes casos:
a) En las obligaciones contraídas
por el Estado colombiano en
virtud de convenios o tratados
internacionales;
b) En las advertencias escritas
que por disposición legal deban ir
necesariamente impresas en
cierto tipo de productos en razón
al riesgo que implica su comercialización, uso consumo.
Artículo 2º. Definiciones. Para los
efectos de la presente ley se
entenderá por:
a) Mensaje de datos. La
información generada, enviada,
recibida, almacenada comunicada
por medios electrónicos, ópticos o
similares, como pudieran ser,
entre otros, el Intercambio
Electrónico de Datos (EDI),
Internet, el correo electrónico, el
telegrama, el télex o el telefax;
b) Comercio electrónico. Abarca
las cuestiones suscitadas por toda
relación de índole comercial, sea
o no contractual, estructurada a
partir de la utilización de uno o
más mensajes de datos o de
cualquier otro medio similar. Las
relaciones de índole comercial
comprenden, sin limitarse a ellas,
las siguientes operaciones: toda
operación comercial de suministro
o intercambio de bienes o
servicios; todo acuerdo de
distribución; toda operación de re
representación o mandato
comercial; todo tipo de
operaciones financieras,
bursátiles y de seguros; de
construcción de obras, de
consultoría; de ingeniería; de
concesión de licencias; todo
acuerdo de concesión o
explotación de un servicio público; de empresa conjunta y
otras formas de cooperación
industrial o comercial, de
transporte de mercancías o de
pasajeros por vía aérea, marítima
y férrea, o por carretera;
c) Firma digital. Se entenderá
como un valor numérico que se
adhiere a un mensaje de datos y
que, utilizando un procedimiento
matemático conocido, vinculado a
la clave del iniciador y al texto
del mensaje permite determinar
que este valor se ha obtenido
exclusivamente con la clave del
iniciador y que el mensaje inicial
no ha sido modificado después de
efectuada la transformación;
d) Entidad de Certificación. Es
aquella persona que, autorizada
conforme a la presente ley, está
facultada para emitir certificados
en relación con las firmas
digitales de las personas, ofrecer
o facilitar los servicios de
registro y estampado cronológico
de la transmisión y recepción de
mensajes de datos, así como
cumplir otras funciones relativas
a las comunicaciones basadas en
las firmas digitales;
e) Intercambio Electrónico de
Datos (EDI). La transmisión
electrónica de datos de una
computadora a otra, que está
estructurada bajo normas técnicas convenidas al efecto,
f) Sistema de Información. Se
entenderá todo sistema utilizado
para generar, enviar, recibir,
archivar o procesar de alguna otra
forma mensajes de datos.
Artículo 3º. Interpretación. En la
interpretación de la presente ley
habrán de tenerse en cuenta su
origen internacional, la necesidad
de promover la uniformidad de su
aplicación y la observancia de la
buena fe.
Las cuestiones relativas a
materias que se rijan por la
presente ley y que no estén
expresamente resueltas en ella,
serán dirimidas de conformidad
con los principios generales en
que ella se inspira.
Artículo 4º. Modificación
mediante acuerdo. Salvo que se
disponga otra cosa, en las
relaciones entré partes que
generan, envían, reciben, archivan
o procesan de alguna otra forma
mensajes de datos, las
disposiciones del Capítulo III,
Parte I. podrán ser modificadas
mediante acuerdo.
Artículo 5º. Reconocimiento
jurídico de los mensajes, de
datos. No se negarán efectos
jurídicos, validez o fuerza
obligatoria a todo tipo de
información por la sola razón de que esté en forma de mensaje de
datos.
CAPITULO II
Aplicación de los requisitos
jurídicos de los mensajes de datos
Artículo 6º. Escrito, Cuando
cualquier norma requiera que la
información conste por escrito,
ese requisito quedará satisfecho
con un mensaje de datos, si la
información que éste contiene es
accesible para su posterior
consulta.
Lo dispuesto en este artículo se
aplicará tanto si el requisito
establecido en cualquier norma
constituye una obligación, como si
las normas prevén consecuencias
en el caso de que la información
no conste por escrito.
Afectaciones Jurisprudenciales
Artículo 7º. Firma. Cuando
cualquier norma exija la presencia
de una firma o establezca ciertas
consecuencias en ausencia de la
misma, en relación con un
mensaje de datos, se entenderá
satisfecho dicho requerimiento si:
a) Se ha utilizado un método que
permita identificar al iniciador de
un mensaje de datos y para
indicar que el contenido cuenta
con su aprobación,
b) Que el método sea tanto
confiable como apropiado para el propósito por el cual el mensaje
fue generado o comunicado.
Lo dispuesto en este artículo se
aplicará tanto si el requisito
establecido en Cualquier norma
constituye una obligación como si
las normas simplemente prevén
consecuencias en el caso de que
no exista una firma.
Artículo 8º Original Cuando
cualquier norma requiera que la
información sea presentada y
conservada en su forma original,
ese requisito quedará satisfecho
con un mensaje de datos, si.
a) Existe alguna garantía
confiable de que se ha conservado
la integridad de la información, a
partir del momento en que se
generó por primera vez en su
forma definitiva, como mensaje
de datos o en alguna otra forma;
b) De requerirse que la
información sea presentada, si
dicha información puede ser
mostrada a la persona que se
deba presentar.
Lo dispuesto en este artículo se
aplicará tanto si el requisito
establecido en cualquier norma
constituye una obligación, como si
las normas simplemente prevén
consecuencias en el caso de que
la información no sea presentada
o conservada en su forma
original.
Artículo 9º. Integridad de un
mensaje de datos. Para efectos
del artículo anterior, se
considerará que la información
consignada en un mensaje de
datos es íntegra, si ésta ha
permanecido completa e
inalterada, salvo la adición de
algún endoso o de algún cambio
que sea inherente al proceso de
comunicación, archivo o
presentación. EI grado de
confiabilidad requerido, será
determinado a la luz de los fines
para los que se generó la
información y de todas las
circunstancias relevantes del
caso.
Artículo 10. Admisibilidad y
fuerza probatoria de los mensajes
de datos. Los mensajes de datos
serán admisibles como medios de
prueba y su fuerza probatoria es
la otorgada en las disposiciones
del Capítulo VIII del Título XIII,
Sección Tercera, Libro Segundo
del Código de Procedimiento
Civil.
En toda actuación administrativa
o judicial, no se negará eficacia,
validez o fuerza obligatoria y,
probatoria a todo tipo de
información en forma de un
mensaje de datos, por el sólo
hecho que se trate de un mensaje
de datos o en razón de no haber sido presentado en su forma
original.
Artículo 11. Criterio para valorar
probatoriamente un mensaje de
datos. Para la valoración de la
fuerza probatoria de los mensajes
de datos a que se refiere esta ley,
se tendrán en cuenta las reglas de
la sana crítica y demás criterios
reconocidos legalmente para la
apreciación de las pruebas. Por
consiguiente habrán de tenerse en
cuenta: la confiabilidad en la
forma en la que se haya generado,
archivado o comunicado el
mensaje, la confiabilidad en la
forma en que se haya conservado
la integridad de la información, la
forma en la que se identifique a
su iniciador y cualquier otro
factor pertinente.
Artículo 12. Conservación de los
mensajes de datos y documentos.
Cuando la ley requiera que ciertos
documentos, registros o
informaciones sean conservados,
ese, requisito quedará satisfecho,
siempre que se cumplan las
siguientes condiciones:
1. Que la información que
contengan sea accesible para su
posterior consulta.
2. Que el mensaje de datos o el
documento sea conservado en el
formato en que se haya generado,
enviado o recibido o en algún formato que permita demostrar
que reproduce con exactitud la
información generada, enviada o
recibida, y
3. Que se conserve, de haber
alguna, toda información que
permita. determinar el origen, el
destino del mensaje. la fecha y la
hora en que fue enviado o
recibido el mensaje o producido el
documento.
No estará sujeta a la obligación
de conservación, la información
que tenga por única finalidad
facilitar el envío o recepción de
los mensajes de dato.
Los libros y papeles del
comerciante podrán ser
conservados en cualquier medio
técnico que garantice su
reproducción exacta.
Artículo 13. Conservación de
mensajes de datos y archivo de
documentos a través de terceros.
El cumplimiento de la obligación
de conservar documentos,
registros o informaciones en
mensajes de datos, se podrá
realizar directamente o a través
de terceros, siempre y cuando se
cumplan las condiciones
enunciadas en el artículo anterior.
CAPITULO III
Comunicación de los mensajes de
datos
Artículo 14. Formación y validez
de los contratos. En la formación
del contrato, salvo acuerdo
expreso entre las portes, la oferta
y su aceptación podrán ser
expresadas por medio de un
mensaje de datos. No se negará
validez o fuerza obligatoria a un
contrato por la sola razón de
haberse utilizado en su formación
uno o más mensajes de datos.
Artículo 15. Reconocimiento de
los mensajes de datos por las
partes. En las relaciones entre el
iniciador y el destinatario de un
mensaje de datos, no se negarán
efectos jurídicos, validez o fuerza
obligatoria a una manifestación de
voluntad u otra declaración por la
sola razón de haberse hecho en
forma de mensaje de datos.
Artículo 16. Atribución de un
mensaje de datos. Se entenderá
que un mensaje de datos proviene
del iniciador, cuando éste ha sido
enviado por:
1. El propio iniciador.
2. Por alguna persona facultad
para actuar en nombre del
iniciador respecto de ese
mensaje, o
3. Por un sistema de información
programado por el iniciador o en
su nombre para que opere
automáticamente.
Artículo 17. Presunción del origen de un mensaje de datos. Se
presume que un mensaje de datos
ha sido enviado por el iniciador,
cuando:
1. Haya aplicado en forma
adecuada el procedimiento
acordado previamente con el
iniciador, para establecer que el
mensaje de datos provenía
efectivamente de éste, o
2. El mensaje de datos que reciba
el destinatario resulte de los
actos de una persona cuya
relación con el iniciador, o con
algún mandatario suyo, le haya
dado acceso a algún
método .utilizado por el iniciador
para identificar un mensaje de
datos como propio.
Artículo 18. Concordancia del
mensaje de datos enviado con el
mensaje de datos recibido.
Siempre que un mensaje de datos
provenga del iniciador o que se
entienda que proviene de él, o
siempre que el destinatario tenga
derecho a actuar con arreglo a
este supuesto, en las relaciones
entre el iniciador y el
destinatario, este último tendrá
derecho a considerar que el
mensaje de datos recibido
corresponde al que quería enviar
el iniciador, y podrá proceder en
consecuencia.
El destinatario no gozará de este derecho si sabía o hubiera sabido,
de haber actuado con la debida
diligencia o de haber aplicado
algún método convenido, que la
transmisión había dado lugar a un
error en el mensaje de datos
recibido.
Artículo 19. Mensajes de datos
duplicados. Se presume que cada
mensaje de datos recibido es un
mensaje de datos diferente, salvo
en la medida en que duplique otro
mensaje de datos, y que el
destinatario sepa, o debiera
saber, de haber actuado con la
debida diligencia o de haber
aplicado algún método convenido,
que el nuevo mensaje de datos
era un duplicado.
Artículo 20. Acuse de recibo. Si
al enviar o antes de enviar un
mensaje de datos, el iniciador
solicita o acuerda con el
destinatario que se acuse recibo
del mensaje de datos, pero no se
ha acordado entre éstos una
forma o método determinado para
efectuarlo, se podrá acusar recibo
mediante:
a) Toda comunicación del
destinatario, automatizada o no, o
b) Todo acto del destinatario que
baste para indicar al iniciador que
se ha recibido el mensaje de
datos.
Si el iniciador ha solicitado o acordado con el destinatario que
se acuse recibo del mensaje de
datos, y expresamente aquél ha
indicado que los efectos del
mensaje de datos estarán
condicionados a la recepción de
un acuse de recibo, se
considerará que el mensaje de
datos no ha sido enviado en tanto
que no se haya recepcionado el
acuse de recibo.
Artículo 21. Presunción de
recepción de ¡in mensaje de
datos. Cuando el iniciador
recepcione acuse recibo del
destinatario, se presumirá que
éste ha recibido el mensaje de
datos.
Esa presunción no implicará que
el mensaje de datos corresponda
al mensaje recibido. Cuando en el
acuse de recibo se indique que el
mensaje de datos recepcionado
cumple con los requisitos
técnicos convenidos o enunciados
en alguna norma técnica aplicable,
se presumirá que ello es así.
Artículo 22. Efectos jurídicos.
Los artículos 20 y 21 únicamente
rigen los efectos relacionados con
el acuse de recibo. Las
consecuencias jurídicas del
mensaje de datos se regirán
conforme a>las normas aplicables
al acto o negocio jurídico
contenido en dicho mensaje de datos.
Artículo 23. Tiempo del envío de
un mensaje de datos. De no
convenir otra cosa el iniciador y
el destinatario, el mensaje de
datos se tendrá por expedido
cuando ingrese en un sistema de
información que no esté bajo
control del iniciador o de la
persona que envió el mensaje de
datos en nombre de éste.
Artículo 24. Tiempo de la
recepción de un mensaje de
datos. De no convenir otra cosa el
iniciador y el destinatario, el
momento de la recepción de un
mensaje de datos se determinará
como sigue:
a) Si el destinatario ha designado
un sistema de información para la
recepción de mensaje de datos, la
recepción tendrá lugar:
1. En el momento en que ingrese
el mensaje de datos en el sistema
de información designado: o
2. De enviarse el mensaje de
datos a un sistema de información
del destinatario que no sea el
sistema de información
designado, en el momento en que
el destinatario recupere el
mensaje de datos,
b) Si el destinatario no ha
designado un sistema de
información, la recepción tendrá
lugar cuando el mensaje de datos ingrese a un sistema de
información del destinatario.
Lo dispuesto en este articulo será
aplicable aun cuando el sistema
de información esté ubicado en
lugar distinto de donde se tenga
por recibido el mensaje de datos
conforme al artículo siguiente.
Artículo 25. Lugar del envío y
recepción del mensaje de datos.
De no convenir otra cosa el
iniciador y el destinatario, el
mensaje de datos se tendrá por
expedido en el lugar donde el
iniciador tenga su establecimiento
y por recibido en el lugar donde
el destinatario tenga el suyo. Para
los fines del presente artículo:
a) Si el iniciador o destinatario
tienen más de un establecimiento,
su establecimiento será el que
guarde una relación más estrecha
con la operación subyacente o, de
no haber una operación
subyacente, su establecimiento
principal;
b) Si el iniciador o el destinatario
no tienen establecimiento, se
tendrá en cuenta su lugar de
residencia habitual.
PARTE II
COMERCIO ELECTRONICOEN
MATERIA DE TRANSPORTE DE
MERCANCIAS
Artículo 26. Actos relacionados con los contratos de transporte de
mercancías. Sin perjuicio de lo
dispuesto en la parte I de la
presente ley, este capítulo será
aplicable a cualquiera de los
siguientes actos que guarde
relación con un contrato de
transporte de mercancías, o con
su cumplimiento, sin que la lista
sea taxativa:
a)
I. Indicación de las marcas, el
número, la cantidad o el peso de
las mercancías.
II. Declaración de la naturaleza o
valor de las mercancías.
III. Emisión de un recibo por las
mercancías.
IV. Confirmación de haberse
completado el embarque de las
mercancías,
b)
I. Notificación a alguna persona
de las cláusulas y condiciones del
contrato.
II. Comunicación de instrucciones
al transportador;
c)
I. Reclamación de la entrega de
las mercancías.
II. Autorización para proceder a la
entrega de las mercancías.
III. Notificación de la pérdida de
las mercancías o de los daños que
hayan sufrido;
d) Cualquier otra notificación o declaración relativas al
cumplimiento del contrato.,
e) Promesa de hacer entrega de
las mercancías a la persona
designada o a una persona
autorizada para reclamar esa
entrega;
f) Concesión, adquisición,
renuncia, restitución,
transferencia o negociación de
algún derecho sobre mercancías,
g) Adquisición o transferencia de
derechos y obligaciones con
arreglo al contrato.
Artículo 27. Documentos de
transporte. Con sujeción a lo
dispuesto en el inciso 3º del
presente artículo, en los casos en
que la ley requiera que alguno de
los actos enunciados en el
artículo 26 se lleve a cabo por
escrito o mediante documento
emitido en papel, ese requisito
quedará satisfecho cuando el acto
se lleve a cabo por medio de uno
o más mensajes de datos.
El inciso anterior será aplicable,
tanto si el requisito en él previsto
está expresado en forma de
obligación o si la ley simplemente
prevé consecuencias en el caso
de que no se lleve a cabo el acto
por escrito o mediante un
documento emitido en papel.
Cuando se conceda algún derecho
a una persona determinada y a ninguna otra, o ésta adquiera
alguna obligación, y la ley
requiera que, para que ese acto
surta efecto, el derecho o la
obligación hayan de transferirse a
esa persona mediante el envío o
utilización de un documento
emitido en papel, ese requisito
quedará satisfecho si el derecho o
la obligación se transfiere
mediante la utilización de uno o
más mensajes de datos, siempre
que se emplee un método
confiable para garantizar la
singularidad de ese mensaje o
esos mensajes de datos.
Para los fines del inciso tercero,
el nivel de confiabilidad requerido
será determinado a la luz de los
fines para los que se transfirió el
derecho o la obligación y de todas
las circunstancias del caso,
incluido cualquier acuerdo
pertinente.
Cuando se utilicen uno o más
mensajes de datos para llevar a
cabo alguno de los actos
enunciados en los incisos f) y g)
del artículo 26, no será válido
ningún documento emitido en
papel para llevar a cabo
cualquiera de esos actos, a menos
que se haya puesto fin al uso de
mensajes de datos para sustituirlo
por el de documentos emitidos en
papel. Todo documento con soporte en papel que se emita en
esas circunstancias deberá
contener una declaración en tal
sentido. La sustitución de
mensajes de datos por
documentos emitidos en papel no
afectará los derechos ni las
obligaciones de las partes.
Cuando se aplique
obligatoriamente una norma
jurídica a un contrato de
transporte de mercancías que
esté consignado, o del que se
haya dejado constancia en un
documento emitido en papel, esa
norma no dejará de aplicarse, a
dicho contrato de transporte de
mercancías del que se haya
dejado constancia en uno o más
mensajes de datos por razón de
que el contrato conste en ese
mensaje o esos mensajes de
datos en lugar de constar en
documentos emitidos en papel.
PARTE III
FIRMAS DIGITALES,
CERTIFICADOS Y ENTIDADES
DE CERTIFICACION
CAPITULO I
Firmas digitales
Artículo 28. Atributos jurídicos
de una firma ciertas. Cuando una
firma digital haya sido fijada en
un mensaje de datos se presume
que el suscriptor de aquella tenía la intención de acreditar ese
mensaje de datos y de ser
vinculado Con el contenido del
mismo.
Parágrafo. El uso de una firma
digital tendrá la misma fuerza y
efectos que el uso de una firma
manuscrita, si aquélla incorpora
los siguientes atributos:
1. Es única a la persona que la
usa.
2. Es susceptible de ser
verificada.
3. Está bajo el control exclusivo
de la persona que la usa.
4. Esta ligada a la información o
mensaje, de tal manera que si
éstos son cambiados, la firma
digital es invalidada.
5. Está conforme a las
reglamentaciones adoptadas por
el Gobierno Nacional.
CAPITULO II
Entidades de certificación
Artículo 29. Características y
requerimientos de las entidades
de certificación. Podrán ser
entidades de certificación, las
personas jurídicas, tanto públicas
como privadas de origen nacional
o extranjero y las cámaras de
comercio, que previa solicitud
sean autorizadas por la
Superintendencia de Industria y
Comercio y que cumplan con los requerimientos establecidos por
el Gobierno Nacional, con base en
las siguientes condiciones:
a) Contar con la capacidad
económica y financiera suficiente
para prestar los servicios
autorizados como entidad de
certificación;
b) Contar con la capacidad y
elementos técnicos necesarios
para la generación de firmas
digitales, la emisión de
certificados sobre la autenticidad
de las mismas y la conservación
de mensajes de datos en los
términos establecidos en esta
ley..
c) Los representantes legales y
administradores no podrán ser
personas que hayan sido
condenadas a pena privativa de la
libertad, excepto por delitos
políticos o culposos, o que hayan
sido suspendidas en el ejercicio
de su profesión por falta grave
contra la ética o hayan sido
excluidas de aquélla. Esta
inhabilidad estará vigente por el
mismo período que la ley penal o
administrativa señale para el
efecto.
Artículo 30. Actividades de las
entidades de certificación. Las
entidades de certificación
autorizadas por la
Superintendencia de Industria y Comercio para prestar sus
servicios en el país, podrán
realizar, entre otras, las
siguientes actividades:
1. Emitir certificados en relación
con las firmas digitales de
personas naturales o jurídicas.
2. Emitir certificados sobre la
verificación respecto de la
alteración entre el envío y
recepción del mensaje de datos.
3. Emitir certificados en relación
con la persona que posea un
derecho u obligación con respecto
a los documentos enunciados en
los literales f) y g) del artículo
26 de la presente ley.
4. Ofrecer o facilitar los servicios
de creación de firmas digitales
certificadas.
5. Ofrecer o facilitar los servicios
de registro y estampado
cronológico en la generación.
transmisión y recepción de
mensajes de datos.
6. Ofrecer los servicios de
archivo y conservación de
mensajes de datos.
Artículo 31. Remuneración por la
prestación de servicios. La
remuneración por los servicios de
las entidades de certificación
serán establecidos libremente por
éstas.
Artículo 32. Deberes de las
entidades de certificación. Las entidades de certificación
tendrán, entre otros, los
siguientes deberes:
a) Emitir certificados conforme a
lo solicitado o acordado Con el
suscriptor.,
b) Implementar los sistemas de
seguridad para garantizar la
emisión y, creación de firmas
digitales, la conservación y
archivo de certificados y
documentos en soporte de
mensaje de datos;
c) Garantizar la protección,
confidencialidad y debido uso de
la información suministrada por el
suscriptor;
d) Garantizar la prestación
permanente del servicio de
entidad de certificación,
e) Atender oportunamente las
solicitudes y reclamaciones
hechas por los suscriptores,
f) Efectuar los avisos y
publicaciones conforme a lo
dispuesto en la ley,
g) Suministrarla información que
le requieran las entidades
administrativas competentes o
judiciales en relación con las
firmas digitales y certificados
emitidos y en general sobre
cualquier mensaje de datos que se
encuentre bajo su custodia y
administración.
h) Permitir y facilitar la realización de las auditorías por
parte de la Superintendencia de
Industria y Comercio,
i) Elaborar los reglamentos que
definen las relaciones con el
suscriptor y la forma de
prestación del servicio
j) Llevar un registro de los
certificados.
Artículo 33. Terminación
unilateral. Salvo acuerdo entre las
partes, la entidad de certificación
podrá dar por terminado el
acuerdo de vinculación con el
suscriptor dando un preaviso no
menor de noventa (90) días.
Vencido este término, la entidad
de certificación, revocará los
certificados que se encuentren
pendientes de expiración.
Igualmente, el suscriptor podrá,
dar por terminado el acuerdo de
vinculación con la entidad de
certificación dando un preaviso no
inferior a treinta (30) días.
Artículo 34. Cesación de
actividades por parte de las
entidades de certificación. Las
entidades de certificación
autorizadas pueden cesar en el
ejercicio de actividades, siempre
y cuando hayan recibido
autorización por parte de la
Superintendencia de Industria y
Comercio.
CAPITULO III
Certificados
Artículo 35. Contenido de los
certificados. Un certificado
emitido por una entidad de
certificación autorizada, además
de estar firmado digitalmente por
esta, debe contener por lo menos.
lo siguiente:
1. Nombre, dirección y domicilió
de¡ suscriptor.
2. Identificación de¡ suscriptor
nombrado en el certificado.
3. El nombre, la dirección y el
lugar donde realiza actividades la
entidad de certificación.
4. La clave pública del usuario.
5. La metodología para verificar
la firma digital del suscriptor
impuesta en el mensaje de datos.
6. El número de serie del
certificado.
7. Fecha de emisión y expiración
del certificado.
Artículo 36. Aceptación de. un
certificado. Salvo acuerdo entre
las partes, se entiende que un
suscriptor ha aceptado un
certificado cuando la entidad de
certificación, a solicitud de éste o
de una persona en nombre de
éste, lo ha guardado en un
repositorio.
Artículo 37. Revocación de
certificados. El suscriptor de una firma digital certificada, podrá
solicitar a la entidad de
certificación que expidió un
certificado, la revocación del
mismo En todo caso, estará
obligado a solicitar la revocación
en los siguientes eventos:
1, Por pérdida de la clave privada.
2. La clave privada ¡la sido
expuesta o corre peligro de que
se le dé un uso indebido.
Si el suscriptor no solicita la
revocación del certificado en el
evento de presentarse las
anteriores situaciones, será
responsable por las pérdidas o
perjuicios en los cuales incurran
terceros de buena fe exenta de
culpa que confiaron en el
contenido del certificado.
Una entidad de certificación
revocará un certificado emitido
por las siguientes razones:
1. A petición del suscriptor o un
tercero en su nombre y
representación:
2. Por muerte del suscriptor.
3. Por liquidación del suscriptor
en el caso de las personas
jurídicas.
4. Por la confirmación de que
alguna información o hecho
contenido en el certificado es
falso.
5. La clave privada de la entidad
de certificación o su sistema de seguridad ha sido comprometido
de manera material que afecte la
confiabilidad del certificado.
6. Por el cese, de actividades de
la entidad de certificación, y
7. Por orden judicial o de entidad
administrativa competente.,
Artículo 38. Término de
conservación de los registros. Los
registros de certificados
expedidos por una entidad de
certificación deben ser
conservados por el término
exigido en la ley que regule el
acto o negocio jurídico en
particular.
CAPITULO IV
Suscriptores de firmas digitales
Artículo 39. Deberes, de los
suscriptores. Son deberes. de los
suscriptores:
1. Recibir la firma digital Por
parte de la entidad de
certificación o generarla,
utilizando un método autorizado
por ésta.
2. Suministrar la información que
requiera la entidad de
certificación.
3. Mantener el control de la firma
digital.
4. Solicitar oportunamente la
revocación de los certificados.
Artículo 40. Responsabilidad de
los suscriptores. Los suscriptores serán responsables por la
falsedad, error u omisión en la
información suministrada a la
entidad de certificación y por el
incumplimiento de sus deberes
como suscriptor.
CAPITULO V
Superintendencia de Industria y
Comercio
Artículo 41. Funciones de. la
Superintendencia La
Superintendencia de Industria y
Comercio ejercerá las facultades
que legalmente le han sido
asignadas respecto de las
entidades de certificación, y
adicionalmente tendrá las
siguientes funciones:
1. Autorizar la actividad de las
entidades de certificación en el
territorio nacional.
2. Velar por el funcionamiento y
la eficiente prestación del
servicio por parte de las
entidades de certificación.
3. Realizar visitas de auditoría a
las entidades de certificación.
4. Revocar o suspender la
autorización para operar como
entidad de certificación
5. Solicitar la información
pertinente para el ejercicio de sus
funciones.
6. Imponer sanciones a las
entidades de certificación en caso de incumplimiento de las
obligaciones derivadas de la
prestación del servicio.
7. Ordenar la revocación de
certificados cuando la entidad de
certificación los emita sin el
cumplimiento de las formalidades
legales.
9. Designar los repositorios y
entidades de certificación en los
eventos previstos en la ley.
9. Emitir certificados en relación
con las firmas digitales de las
entidades de certificación.
10. Velar por la observancia de
las disposiciones constitucionales
y legales sobre la promoción de la
competencia y prácticas
comerciales restrictivas,
competencia desleal y protección
del consumidor, en los mercados
atendidos por las entidades de
certificación.
11. Impartir instrucciones sobre
el adecuado cumplimiento de las
normas a las cuales deben
sujetarse las entidades de
certificación.
Artículo 42. Sanciones. La
Superintendencia de Industria y
Comercio de acuerdo con el
debido proceso y el derecho de
defensa, podrá imponer según la
naturaleza y la gravedad de la
falta, las siguientes, sanciones a
las entidades de certificación:
1. Amonestación.
2. Multas institucionales hasta
por el equivalente a dos mil
(2.000) salarios mínimos legales
mensuales vigentes, y personales
a los administradores y
representantes legales de las
entidades de certificación, hasta
por trescientos (300) salarios
mínimos legales mensuales
vigentes, cuando se les
compruebe que han autorizado,
ejecutado o tolerado conductas
violatorias de Ia ley.
3. Suspender de inmediato todas
o algunas de las actividades de la
entidad infractora.
4. Prohibir a la entidad de
certificación infractora prestar
directa o indirectamente los
servicios de entidad de
certificación hasta por el término
de cinco (5) años.
5. Revocar definitivamente la
autorización para operar como
entidad de certificación.
CAPITULO VI
Disposiciones varias
Artículo 43. Certificaciones
recíprocas. Los certificados de
firmas digitales emitidos por
entidades de certificación
extranjeras, podrán ser
reconocidos en los mismos
términos y condiciones exigidos en la ley para la emisión de
certificados por parte de las
entidades de certificación
nacionales, siempre y cuando
tales certificados sean
reconocidos por una entidad de
certificación autorizada que
garantice en la misma forma que
lo hace con sus propios
certificados, la regularidad de los
detalles del certificado, así como
su validez y vigencia.
Artículo 44. Incorporación por
remisión. Salvo acuerdo en
contrario entre las partes, cuando
en un mensaje de datos se haga
remisión total o parcial a
directrices, normas, estándares,
acuerdos, cláusulas, condiciones o
términos fácilmente accesibles
con la intención de incorporarlos
como parte del contenido o
hacerlos vinculantes
jurídicamente, se presume que
esos términos están incorporados
por remisión a ese mensaje de
datos. Entre las partes y
conforme a la ley, esos términos
serán jurídicamente válidos como
si hubieran sido incorporados en
su totalidad en el mensaje de
datos.
PARTE IV
REGLAMENTACION Y
VIGENCIA.
Artículo 45. La Superintendencia
de Industria y Comercio contará
con un término adicional de doce
(12) meses, contados a partir de
la publicación de la presente ley,
para organizar y asignar a una de
sus dependencias la función de
inspección, control y vigilancia de
las actividades realizadas por las
entidades de certificación, sin
perjuicio de que el Gobierno
Nacional cree una unidad
especializada dentro de ella para
tal efecto.
Artículo 46. Prevalencia de las
leyes de protección al
consumidor. La presente ley se
aplicará sin perjuicio de las
normas vigentes en materia de
protección al consumidor.
Artículo 47. Vigencia y
derogatoria. La presente ley rige
desde la fecha de su publicación y
deroga las disposiciones que le
sean contrarias.
