Ley Número 527 de 1999 (Agosto 18)
Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos,del comercio electrónico y de las firmas digitales, y se establecen las entidadesde certificación y se dictan otras disposiciones.
El Congreso de Colombia
DECRETA :
PARTE GENERAL
CAPÍTULO IDisposiciones Generales
Artículo 1°. Ámbito de aplicación. La presente ley será aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos:
a) En las obligaciones contraídas por el Estado colombiano en virtud de Convenios o Tratados internacionales.b) En las advertencias escritas que por disposición legal deban ir necesariamente impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o consumo.
Artículo 2°. Definiciones. Para los efectos de la presente ley se entenderá por:
a) Mensaje de Datos. La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax
b) Comercio electrónico. Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera;
c) Firma Digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación;
d) Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente Ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales.
e) Intercambio Electrónico de Datos (EDI). La transmisión electrónica de datos de una computadora a otra, que está estructurada bajo normas técnicas convenidas al efecto;
f) Sistema de Información. Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos.
Artículo 3°. Interpretación. En la interpretación de la presente ley habrán de tenerse en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicación y la observancia de la buena fe.
Las cuestiones relativas a materias que se rijan por la presente ley y que no estén expresamente resueltas en ella, serán dirimidas de conformidad con los principios generales en que ella se inspira.
Artículo 4°. Modificación mediante acuerdo. Salvo que se disponga otra cosa, en las relaciones entre partes que generan, envían, reciben, archivan o procesan de alguna otra forma mensajes de datos, las disposiciones del Capítulo III, Parte I, podrán ser modificadas mediante acuerdo.
Artículo 5°. Reconocimiento jurídico de los mensajes de datos. No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos.
COMERCIO ELECTRÓNICO EN MATERIA DE TRANSPORTE DE MERCANCÍAS
Artículo 26. Actos relacionados con los contratos de transporte de mercancías. Sin perjuicio de lo dispuesto en la parte I de la presente ley, este capítulo será aplicable a cualquiera de los siguientes actos que guarde relación con un contrato de transporte de mercancías, o con su cumplimiento, sin que la lista sea taxativa:
a) I. Indicación de las marcas, el número, la cantidad o el peso de las mercancías.II. Declaración de la naturaleza o valor de las mercancías.III. Emisión de un recibo por las mercancías.IV. Confirmación de haberse completado el embarque de las mercancías.
b) I. Notificación a alguna persona de las cláusulas y condiciones del contrato.II. Comunicación de instrucciones al transportador.
c) I. Reclamación de la entrega de las mercancías.II. Autorización para proceder a la entrega de las mercancías.III. Notificación de la pérdida de las mercancías o de los daños que hayan sufrido;
d) Cualquier otra notificación o declaración relativas al cumplimiento del contrato;
e) Promesa de hacer entrega de las mercancías a la persona designada o a una persona autorizada para reclamar esa entrega;
f) Concesión, adquisición, renuncia, restitución, transferencia o negociación de algún derecho sobre mercancías;
g) Adquisición o transferencia de derechos y obligaciones con arreglo al contrato.
Artículo 27. Documentos de transporte. Con sujeción a lo dispuesto en el inciso tercero (3°) del presente artículo, en los casos en que la ley requiera que alguno de los actos enunciados en el artículo 26 se lleve a cabo por escrito o mediante documento emitido en papel, ese requisito quedará satisfecho cuando el acto se lleve a cabo por medio de uno o más mensajes de datos.
El inciso anterior será aplicable, tanto si el requisito en él previsto está expresado en forma de obligación o si la ley simplemente prevé consecuencias en el caso de que no se lleve a cabo el acto por escrito o mediante un documento emitido en papel.
Cuando se conceda algún derecho a una persona determinada y a ninguna otra, o ésta adquiera alguna obligación, y la ley requiera que, para que ese acto surta efecto, el derecho o la obligación hayan de transferirse a esa persona mediante el envío o utilización de un documento emitido en papel, ese requisito quedará satisfecho si el derecho o la obligación se transfiere mediante la utilización de uno o más mensajes de datos, siempre que se emplee un método confiable para garantizar la singularidad de ese mensaje o esos mensajes de datos.
Para los fines del inciso tercero, el nivel de confiabilidad requerido será determinado a la luz de los fines para los que se transfirió el derecho o la obligación y de todas las circunstancias del caso, incluido cualquier acuerdo pertinente.
Cuando se utilicen uno o más mensajes de datos para llevar a cabo alguno de los actos enunciados en los incisos f) y g) del artículo 26, no será válido ningún documento emitido en papel para llevar a cabo cualquiera de esos actos, a menos que se haya puesto fin al uso de mensajes de datos para sustituirlo por el de documentos emitidos en papel. Todo documento con soporte en papel que se emita en esas circunstancias deberá contener una declaración en tal sentido. La sustitución de mensajes de datos por documentos emitidos en papel no afectará los derechos ni las obligaciones de las partes.
Cuando se aplique obligatoriamente una norma jurídica a un contrato de transporte de mercancías que esté consignado, o del que se haya dejado constancia en un documento emitido en papel, esa norma no dejará de aplicarse a dicho contrato de transporte de mercancías del que se haya dejado constancia en uno o más mensajes de datos por razón de que el contrato conste en ese mensaje o esos mensajes de datos en lugar de constar en documentos emitidos en papel.
FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN
CAPÍTULO IFirmas digitales
Artículo 28. Atributos jurídicos de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo.
Parágrafo. El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los siguientes atributos:
1. Es única a la persona que la usa.
2. Es susceptible de ser verificada.
3. Está bajo el control exclusivo de la persona que la usa.
4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada.
5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.
CAPÍTULO II Entidades de certificación
Artículo 29. Características y requerimientos de las entidades de certificación. Podrán ser entidades de certificación, las personas jurídicas, tanto públicas como privadas, de origen nacional o extranjero y las cámaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional, con base en las siguientes condiciones:
a) Contar con la capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de certificación.b) Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos en los términos establecidos en esta ley. c) Los representantes legales y administradores no podrán ser personas que hayan sido condenadas a pena privativa de la libertad, excepto por delitos políticos o culposos; o que hayan sido suspendidas en el ejercicio de su profesión por falta grave contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará vigente por el mismo período que la ley penal o administrativa señale para el efecto.
Artículo 30. Actividades de las entidades de certificación. Las entidades de certificación autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades:
1. Emitir certificados en relación con las firmas digitales de personas naturales o jurídicas.2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos.3. Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la presente Ley.4. Ofrecer o facilitar los servicios de creación de firmas digitales certificadas.5. Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos.6. Ofrecer los servicios de archivo y conservación de mensajes de datos.
Artículo 31. Remuneración por la prestación de servicios. La remuneración por los servicios de las entidades de certificación serán establecidos libremente por éstas.
Artículo 32. Deberes de las entidades de certificación. Las entidades de certificación tendrán, entre otros, los siguientes deberes:
a) Emitir certificados conforme a lo solicitado o acordado con el suscriptor;b) Implementar los sistemas de seguridad para garantizar la emisión y creación de firmas digitales, la conservación y archivo de certificados y documentos en soporte de mensaje de datos;c) Garantizar la protección, confidencialidad y debido uso de la información suministrada por el suscriptor;d) Garantizar la prestación permanente del servicio de entidad de certificación;e) Atender oportunamente las solicitudes y reclamaciones hechas por los suscriptores;f) Efectuar los avisos y publicaciones conforme a lo dispuesto en la ley;g) Suministrar la información que le requieran las entidades administrativas competentes o judiciales en relación con las firmas digitales y certificados emitidos y en general sobre cualquier mensaje de datos que se encuentre bajo su custodia y administración;h) Permitir y facilitar la realización de las auditorías por parte de la Superintendencia de Industria y Comercio;i) Elaborar los reglamentos que definen las relaciones con el suscriptor y la forma de prestación del servicio;j) Llevar un registro de los certificados.
Artículo 33. Terminación unilateral. Salvo acuerdo entre las partes, la entidad de certificación podrá dar por terminado el acuerdo de vinculación con el suscriptor dando un preaviso no menor de noventa (90) días. Vencido este término, la entidad de certificación revocará los certificados que se encuentren pendientes de expiración.
Igualmente, el suscriptor podrá dar por terminado el acuerdo de vinculación con la entidad de certificación dando un preaviso no inferior a treinta (30) días.
Artículo 34. Cesación de actividades por parte de las entidades de certificación. Las entidades de certificación autorizadas pueden cesar en el ejercicio de actividades, siempre y cuando hayan recibido autorización por parte de la Superintendencia de Industria y Comercio.
CAPÍTULO III Certificados
Artículo 35. Contenido de los certificados. Un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:
1. Nombre, dirección y domicilio del suscriptor.2. Identificación del suscriptor nombrado en el certificado. 3. El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.4. La clave pública del usuario.5. La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.6. El número de serie del certificado.7. Fecha de emisión y expiración del certificado.
Artículo 36. Aceptación de un certificado. Salvo acuerdo entre las partes, se entiende que un suscriptor ha aceptado un certificado cuando la entidad de certificación, a solicitud de éste o de una persona en nombre de éste, lo ha guardado en un repositorio.
Artículo 37. Revocación de certificados. El suscriptor de una firma digital certificada, podrá solicitar a la entidad de certificación que expidió un certificado, la revocación del mismo. En todo caso, estará obligado a solicitar la revocación en los siguientes eventos:
1. Por pérdida de la clave privada.2. La clave privada ha sido expuesta o corre peligro de que se le dé un uso indebido.
Si el suscriptor no solicita la revocación del certificado en el evento de presentarse las anteriores situaciones, será responsable por las pérdidas o perjuicios en los cuales incurran terceros de buena fe exenta de culpa que confiaron en el contenido del certificado.
Una entidad de certificación revocará un certificado emitido por las siguientes razones:
1. A petición del suscriptor o un tercero en su nombre y representación.2. Por muerte del suscriptor.3. Por liquidación del suscriptor en el caso de las personas jurídicas.4. Por la confirmación de que alguna información o hecho contenido en el certificado es falso.5. La clave privada de la entidad de certificación o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado.6. Por el cese de actividades de la entidad de certificación, y 7. Por orden judicial o de entidad administrativa competente.
Artículo 38. Término de conservación de los registros. Los registros de certificados expedidos por una entidad de certificación deben ser conservados por el término exigido en la ley que regule el acto o negocio jurídico en particular.
CAPÍTULO IV Suscriptores de firmas digitales
Artículo 39. Deberes de los suscriptores. Son deberes de los suscriptores:
1. Recibir la firma digital por parte de la entidad de certificación o generarla, utilizando un método autorizado por ésta. 2. Suministrar la información que requiera la entidad de certificación.3. Mantener el control de la firma digital. 4. Solicitar oportunamente la revocación de los certificados.
Artículo 40. Responsabilidad de los suscriptores. Los suscriptores serán responsables por la falsedad, error u omisión en la información suministrada a la entidad de certificación y por el incumplimiento de sus deberes como suscriptor.
CAPÍTULO VSuperintendencia de Industria y Comercio
Artículo 41. Funciones de la Superintendencia. La Superintendencia de Industria y Comercio ejercerá las facultades que legalmente le han sido asignadas respecto de las entidades de certificación, y adicionalmente tendrá las siguientes funciones:
1. Autorizar la actividad de las entidades de certificación en el territorio nacional.2. Velar por el funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación. 3. Realizar visitas de auditoría a las entidades de certificación.4. Revocar o suspender la autorización para operar como entidad de certificación.5. Solicitar la información pertinente para el ejercicio de sus funciones.6. Imponer sanciones a las entidades de certificación en caso de incumplimiento de las obligaciones derivadas de la prestación del servicio.7. Ordenar la revocación de certificados cuando la entidad de certificación los emita sin el cumplimiento de las formalidades legales.8. Designar los repositorios y entidades de certificación en los eventos previstos en la ley.9. Emitir certificados en relación con las firmas digitales de las entidades de certificación.10. Velar por la observancia de las disposiciones constitucionales y legales sobre la promoción de la competencia y prácticas comerciales restrictivas, competencia desleal y protección del consumidor, en los mercados atendidos por las entidades de certificación.11. Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación.
Artículo 42. Sanciones. La Superintendencia de Industria y Comercio de acuerdo con el debido proceso y el derecho de defensa, podrá imponer según la naturaleza y la gravedad de la falta, las siguientes sanciones a las entidades de certificación:
1) Amonestación.2) Multas institucionales hasta por el equivalente a dos mil (2.000) salarios mínimos legales mensuales vigentes, y personales a los administradores y representantes legales de las entidades de certificación, hasta por trescientos (300) salarios mínimos legales mensuales vigentes, cuando se les compruebe que han autorizado, ejecutado o tolerado conductas violatorias de la ley.3) Suspender de inmediato todas o algunas de las actividades de la entidad infractora.4) Prohibir a la entidad de certificación infractora prestar directa o indirectamente los servicios de entidad de certificación hasta por el término de cinco (5) años.5) Revocar definitivamente la autorización para operar como entidad de certificación.
CAPÍTULO VI Disposiciones varias
Artículo 43. Certificaciones recíprocas. Los certificados de firmas digitales emitidos por entidades de certificación extranjeras, podrán ser reconocidos en los mismos términos y condiciones exigidos en la ley para la emisión de certificados por parte de las entidades de certificación nacionales, siempre y cuando tales certificados sean reconocidos por una entidad de certificación autorizada que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, así como su validez y vigencia.
Artículo 44. Incorporación por remisión. Salvo acuerdo en contrario entre las partes, cuando en un mensaje de datos se haga remisión total o parcial a directrices, normas, estándares, acuerdos, cláusulas, condiciones o términos fácilmente accesibles con la intención de incorporarlos como parte del contenido o hacerlos vinculantes jurídicamente, se presume que esos términos están incorporados por remisión a ese mensaje de datos. Entre las partes y conforme a la ley, esos términos serán jurídicamente válidos como si hubieran sido incorporados en su totalidad en el mensaje de datos.
REGLAMENTACIÓN Y VIGENCIA
Artículo 45. La Superintendencia de Industria y Comercio contará con un término adicional de doce (12) meses, contados a partir de la publicación de la presente ley, para organizar y asignar a una de sus dependencias la función de inspección, control y vigilancia de las actividades realizadas por las entidades de certificación, sin perjuicio de que el Gobierno Nacional cree una unidad especializada dentro de ella para tal efecto.
Artículo 46. Prevalencia de las leyes de protección al consumidor. La presente Ley se aplicará sin perjuicio de las normas vigentes en materia de protección al consumidor.
Artículo 47. Vigencia y Derogatorias. La presente ley rige desde la fecha de su publicación y deroga las disposiciones que le sean contrarias.
