ley 527 -1999

Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del
comercio electrónico y de las firmas digitales-

ARTICULO 1

La presente ley será aplicable a todo tipo de información en
forma de mensaje de datos, salvo en los siguientes casos:
a) En las obligaciones contraídas por el Estado colombiano en virtud de convenios o tratados
Internacionales;
b) En las advertencias escritas que por disposición legal deban ir necesariamente impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o consumo.

ARTICULO 2

DEFICIONES:

COMERCIO ELECTRONICO

FIRMA DIGITAL

ENTIDAD DE CERTIFICACION

MENSAJE DE DATOS

SISTEMA DE INFORMACION

ARTICULO 3

Habrán de tenerse en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicación y la observancia de la buena fe. Las cuestiones relativas a materias que se rijan por la presente ley y que no estén expresamente
resueltas en ella, serán dirimidas de conformidad con los principios generales en que ella se inspira.

ARTICULO 4

Modificación mediante acuerdo a Salvo que se disponga otra cosa, en las relaciones
entre partes que generan, envían, reciben, archivan o procesan de alguna otra forma mensajes de datos, las disposiciones del Capítulo III, Parte I, podrán ser modificadas mediante acuerdo

ARTICULO 5

Reconocimiento jurídico de los mensajes de datos. No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en
forma de mensaje de datos.

ARTICULO 6

Cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es
accesible para su posterior consulta.

ARTICULO 7

Cuando cualquier norma exija la presencia de una firma o establezca ciertasconsecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá
satisfecho dicho requerimiento si se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación a la
Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado.

ARTICULO 8

Cuando cualquier norma requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos, si Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma;De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona que se deba presentar.

ARTICULO 9

Para efectos del artículo anterior, se considerará
que la información consignada en un mensaje de datos es íntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de comunicación, archivo 0 presentación. El grado de confiabilidad requerido, será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias relevantes del caso.

ARTICULO 10

Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en lasdisposiciones del Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del Código de Procedimiento Civil.En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original.

ARTICULO 11

Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las
reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.

ARTICULO 12

Cuando la ley requiera que ciertos documentos, registros o informaciones sean conservados, ese requisito quedará
satisfecho, siempre que se cumplan las siguientes condiciones que la información que contengan sea accesible para su posterior consulta.Que el mensaje de datos o el documento sea conservado en el formato en que se haya
generado, enviado o recibido o en algún formato que permita demostrar que reproduce con exactitud la información generada, enviada o recibida, y que se conserve, de haber alguna, toda información que permita determinar el origen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento.

ARTICULO 13

El cumplimiento de la obligación de conservar documentos, registros o informaciones en mensajes de datos, se podrá realizar directamente o a través de terceros, siempre y cuando se cumplan las condiciones enunciadas en el artículo anterior.

ARTICULO 14

En la formación del contrato, salvo acuerdo expreso entre las partes, la oferta y su aceptación podrán ser expresadas por medio de un mensaje de datos. No se negará validez o fuerza obligatoria a un contrato por la sola razón de haberse utilizado en su formación uno o más mensajes de datos

ARTICULO 15

En las relaciones entre el iniciador y el destinatario de un mensaje de datos, no se negarán efectos jurídicos, validez o
fuerza obligatoria a una manifestación de voluntad u otra declaración por la sola razón de haberse hecho en forma de mensaje de datos.

ARTICULO 16

Se entenderá que un mensaje de datos proviene del iniciador, cuando éste ha sido enviado por:
El propio iniciador. Por alguna persona facultada para actuar en nombre del iniciador respecto de ese mensaje, o Por un sistema de información programado por el iniciador o en su nombre para que opere automáticamente

ARTICULO 17

Se presume que un mensaje de datos ha sido enviado por el iniciador, cuando: Haya aplicado en forma adecuada el procedimiento acordado previamente con el iniciador, para establecer que el mensaje de datos provenía efectivamente de éste, o El mensaje de datos que reciba el destinatario resulte de los actos de una persona cuya relación con el iniciador, o con algún mandatario suyo, le haya dado acceso a algún método utilizado por el iniciador para identificar un mensaje de datos como propio.

ARTICULO 18

Siempre que un mensaje de datos provenga del iniciador o que se entienda que proviene de él, o siempre que el destinatario tenga derecho a actuar con arreglo a este supuesto, en las relaciones entre el iniciador y el destinatario, este último tendrá derecho a considerar que el mensaje de datos recibido corresponde al que quería enviar el iniciador, y podrá proceder en consecuencia. El destinatario no gozará de este derecho si sabía o hubiera sabido, de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que la transmisión había dado lugar a un error en el mensaje de datos recibido.

ARTICULO 19

Se presume que cada mensaje de datos recibido es
un mensaje de datos diferente, salvo en la medida en que duplique otro mensaje de datos, y que el destinatario sepa, o debiera saber, de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que el nuevo mensaje de datos era un duplicado.

ARTICULO 20

Si al enviar o antes de enviar un mensaje de datos, el iniciador solicita o acuerda con el destinatario que se acuse recibo del mensaje de datos, pero no se ha acordado entre éstos una forma o método determinado para efectuarlo, se podrá acusar recibo mediante:
Toda comunicación del destinatario, automatizada o no, o
Todo acto del destinatario que baste para indicar al iniciador que se ha recibido el mensaje de datos

ARTICULO 21

ARTICULO 22

Los artículos 20 y 21 únicamente rigen los efectos relacionados con el acuse de recibo. Las consecuencias jurídicas del mensaje de datos se regirán conforme a
las normas aplicables al acto o negocio jurídico contenido en dicho mensaje de datos

ARTICULO 23

De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido cuando ingrese en un sistema deinformación que no esté bajo control del iniciador o de la persona que envió el mensaje de datos en nombre de éste.

ARTICULO 24

De no convenir otra cosa el iniciador y el destinatario, el momento de la recepción de un mensaje de datos se determinará
como sigue:
a) Si el destinatario ha designado un sistema de información para la recepción de mensaje de
datos, la recepción tendrá lugar:
1. En el momento en que ingrese el mensaje de datos en el sistema de información designado; o
2. De enviarse el mensaje de datos a un sistema de información del destinatario que no sea el
sistema de información designado, en el momento en que el destinatario recupere el mensaje de
datos;
b) Si el destinatario no ha designado un sistema de información, la recepción tendrá lugar cuando
el mensaje de datos ingrese a un sistema de información del destinatario.

ARTICULO 25

De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido en el lugar donde el iniciador tenga su establecimiento y por recibido en el lugar donde el destinatario tenga el suyo. Para los
fines del presente artículo:
a) Si el iniciador o destinatario tienen más de un establecimiento, su establecimiento será el que
guarde una relación más estrecha con la operación subyacente o, de no haber una operación subyacente, su establecimiento principal;
b) Si el iniciador o el destinatario no tienen establecimiento, se tendrá en cuenta su lugar de residencia habitual.

ARTICULO 26

Sin perjuicio de lo dispuesto en la parte I de la presente ley, este capítulo será aplicable a cualquiera de los
siguientes actos que guarde relación con un contrato de transporte de mercancías, o con su cumplimiento, sin que la lista sea taxativa:
a) I. Indicación de las marcas, el número, la cantidad o el peso de las mercancías.
II. Declaración de la naturaleza o valor de las mercancías.
III. Emisión de un recibo por las mercancías.
IV. Confirmación de haberse completado el embarque de las mercancías;
b) I. Notificación a alguna persona de las cláusulas y condiciones del contrato.
II. Comunicación de instrucciones al transportador;
c) I. Reclamación de la entrega de las mercancías.
II. Autorización para proceder a la entrega de las mercancías.
III. Notificación de la pérdida de las mercancías o de los daños que hayan sufrido;
d) Cualquier otra notificación o declaración relativas al cumplimiento del contrato;
e) Promesa de hacer entrega de las mercancías a la persona designada o a una persona
autorizada para reclamar esa entrega;
f) Concesión, adquisición, renuncia, restitución, transferencia o negociación de algún derecho
sobre mercancías;
g) Adquisición o transferencia de derechos y obligaciones con arreglo al contrato.

ARTICULO 27

Con sujeción a lo dispuesto en el inciso 3° del presente
artículo, en los casos en que la ley requiera que alguno de los actos enunciados en el artículo 26 se lleve a cabo por escrito o mediante documento emitido en papel, ese requisito quedará satisfecho cuando el acto se lleve a cabo por medio de uno o más mensajes de datos.
El inciso anterior será aplicable, tanto si el requisito en él previsto está expresado en forma de obligación o si la ley simplemente prevé consecuencias en el caso de que no se lleve a cabo el acto por escrito o mediante un documento emitido en papel.

ARTICULO 28

Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo.

ARTICULO 29

Podrán ser entidades de certificación, las personas jurídicas, tanto públicas como privadas, de origen nacional
o extranjero y las cámaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional,

Subtopic

ARTICULO 30

Las entidades de certificación autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades:
1. Emitir certificados en relación con las firmas digitales de personas naturales o jurídicas.
2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos.
3. Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la presente ley.
4. Ofrecer o facilitar los servicios de creación de firmas digitales certificadas.
5. Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos.
6. Ofrecer los servicios de archivo y conservación de mensajes de datos

ARTICULO 31

La remuneración por los servicios de las entidades de certificación serán establecidos libremente por éstas.

ARTICULO 32

Deberes de las entidades de certificación

ARTICULO 33

Salvo acuerdo entre las partes, la entidad de certificación
podrá dar por terminado el acuerdo de vinculación con el suscriptor dando un preaviso no menor de noventa (90) días. Vencido este término, la entidad de certificación revocará los certificados que se encuentren pendientes de expiración.
Igualmente, el suscriptor podrá dar por terminado el acuerdo de vinculación con la entidad de certificación dando un preaviso no inferior a treinta (30) días

ARTICULO 34

Las entidades de certificación autorizadas pueden cesar en el ejercicio de actividades, siempre y cuando hayan recibido autorización por parte de la Super intendencia de Industria y Comercio.

ARTICULO 35

s Un certificado emitido por una entidad de certificación
autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:
1. Nombre, dirección y domicilio del suscriptor.
2. Identificación del suscriptor nombrado en el certificado.
3. El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.
4. La clave pública del usuario.
5. La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.
6. El número de serie del certificado.
7. Fecha de emisión y expiración del certificado

ARTICULO36

Salvo acuerdo entre las partes, se entiende que un
suscriptor ha aceptado un certificado cuando la entidad de certificación, a solicitud de éste o de una
persona en nombre de éste, lo ha guardado en un repositorio.

ARTICULO 37

El suscriptor de una firma digital certificada, podrá
solicitar a la entidad de certificación que expidió un certificado, la revocación del mismo.

ARTICULO 38

Los registros de certificados expedidos por una entidad de certificación deben ser conservados por el término exigido en la ley que regule el acto o negocio jurídico en particular

ARTICULO 39

Son deberes de los suscriptores:
1. Recibir la firma digital por parte de la entidad de certificación o generarla, utilizando
un método autorizado por ésta.
2. Suministrar la información que requiera la entidad de certificación.
3. Mantener el control de la firma digital.
4. Solicitar oportunamente la revocación de los certificados

ARTICULO 40

Los suscriptores serán responsables por la
falsedad, error u omisión en la información suministrada a la entidad de certificación y por el incumplimiento de sus deberes como suscriptor.

ARTICULO 41

Funciones de la Superintendencia

ARTICULO 42

Sanciones 1. Amonestación.
2. Multas institucionales hasta por el equivalente a dos mil (2.000) salarios mínimos legales
mensuales vigentes, y personales a los administradores y representantes legales de las entidades de certificación, hasta por trescientos (300) salarios mínimos legales mensuales vigentes, cuando se les compruebe que han autorizado, ejecutado o tolerado conductas violatorias de la ley.
3. Suspender de inmediato todas o algunas de las actividades de la entidad infractora.
4. Prohibir a la entidad de certificación infractora prestar directa o indirectamente los servicios de entidad de certificación hasta por el término de cinco (5) años.
5. Revocar definitivamente la autorización para operar como entidad de certificación.

ARTICULO 43

Los certificados de firmas digitales emitidos por
entidades de certificación extranjeras, podrán ser reconocidos en los mismos términos y condiciones exigidos en la ley para la emisión de certificados por parte de las entidades de certificación nacionales, siempre y cuando tales certificados sean reconocidos por una entidad de
certificación autorizada que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, así como su validez y vigencia.

ARTICULO 44

Salvo acuerdo en contrario entre las partes, cuando en
un mensaje de datos se haga remisión total o parcial a directrices, normas, estándares, acuerdos, cláusulas, condiciones o términos fácilmente accesibles con la intención de incorporarlos como parte del contenido o hacerlos vinculantes jurídicamente, se presume que esos términos están incorporados por remisión a ese mensaje de datos. Entre las partes y conforme a la ley, esos términos serán jurídicamente válidos como si hubieran sido incorporados en su totalidad en el mensaje de datos.

ARTICULO 45

La Superintendencia de Industria y Comercio contará con un término adicional de doce (12) meses, contados a partir de la publicación de la presente ley, para organizar y asignar a
una de sus dependencias la función de inspección, control y vigilancia de las actividades realizadas por las entidades de certificación, sin perjuicio de que el Gobierno Nacional cree una unidad especializada dentro de ella para tal efecto.

ARTICULO 46

La presente ley se aplicará sin perjuicio de las normas vigentes en materia de protección al consumidor.

ARTICULO 47

La presente ley rige desde la fecha de su publicación y
deroga las disposiciones que le sean contrarias

Cuando el iniciador recepcione acuse recibo del destinatario, se presumirá que éste ha recibido el mensaje de datos.