Superintendencia de Industria y Comercio

Concepto 01051348 del 14 de agosto de 2001

010/

Bogotá, D.C.

Asunto	Radicación	01051348
	Trámite	113
	Actuación	440


	Folios	006
	Folios	006

Estimada doctora:

Damos respuesta a su consulta radicada bajo el número de la referencia para informarle algunos aspectos relacionados con las entidades de certificación en el marco de la ley de comercio electrónico, los requisitos establecidos por el ordenamiento jurídico vigente para obtener tal calidad y los deberes de las mismas, advirtiendo que para ello nos basamos además de en la ley 527 de 1999 y en el decreto 1747 de 2000, en la circular única n° 10 de 2001 expedida por la Superintendencia de Industria y Comercio. Lo anterior si se tienen en cuenta los siguientes argumentos:

1. Entidades de certificación en el marco de la ley de comercio electrónico

1.1 Concepto

Según lo establecido por la ley 527 de 1999, entidad de certificación es la persona que previa autorización de la Superintendencia de Industria y Comercio, [1] está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales." [2] Señala la misma ley que pueden ser entidades de certificación las personas jurídicas de naturaleza publica o privada, nacionales o extranjeras, así como las cámaras de comercio.

Por su parte, el decreto 1747 de 2000, reglamentario de la 527 de 1999, señala 2 tipos de entidades de certificación cuyas características son las siguientes :

• Entidades de certificación cerradas: Ofrecen servicios propios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello. [3]

• Entidades de certificación abiertas: Son las que ofrecen servicios propios de las entidades de certificación, tales que que su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor o, recibe remuneración por éstos. [4]

Para hacer mayor claridad en relación con las funciones de las entidades de certificación, abiertas o cerradas, consideramos importante anotar que la doctrina basándose en la definición legal explica que "las entidades de certificación son aquellas personas jurídicas y privadas, incluidas las cámaras de comercio, que poseen el hardware y software necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación y archivo de documentos soportados en mensajes de datos." [5]

Se colige entonces que la actividad de las entidades de certificación a las que se refiere la ley 527 de 1999, gira esencialmente alrededor de las firmas digitales, [6] ya sea generándolas o emitiendo certificados sobre su autenticidad. Sin embargo, es claro también que además de las funciones relacionadas con las firmas digitales, las entidades de certificación pueden realizar actividades referentes a la conservación y archivo de documentos soportados en mensajes de datos. Es decir, como mínimo una entidad de certificación debe tener como función la de generar certificados digitales en relación a firmas digitales.

1.2. Requisitos para obtener la calidad de entidad de certificación

De conformidad con lo señalado en el artículo 29 de la citada ley 527 de 1999, quienes deseen obtener autorización para actuar como entidades de certificación deben acreditar las siguientes condiciones:

a. Capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de certificación. Ahora bien, para efectos del cumplimiento de este requisito es pertinente tener en cuenta que en el artículo 30 de la misma ley, [7] "se establecen las operaciones que podrán ser realizadas por las entidades de certificación." [8] Dichas actividades "se encuentran en algunos casos ligadas entre sí o son necesarias para todas las operaciones, pero existen otras que resultan accesorias y que pueden o no realizarse o no necesitarse en todas las transacciones." [9] En este orden de ideas, "hay un mínimo que se requiere por tanto para participar, pero habrá unos requisitos de capital adicionales, que solamente se vana a exigir en la medida que se opte por alguna de las operaciones que no van necesariamente ligadas con la operación básica de las certificadoras." [10]

b. Capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos. De la misma manera que se indicó en el requisito anterior, existen unos requisitos técnicos básicos, que son precisamente los señalados en el literal b) del artículo 29 y "otros que van a ser los requerimientos para cada una de las operaciones dependiendo de las características propias." [11]

c. En relación con los representantes legales de las personas que aspiren a ser autorizadas para desempeñarse como entidades de certificación, el literal c) del artículo 29 de la ley 527 de 1999 señala que estos no podrán ser personas que hayan sido condenadas a pena privativa de la libertad, salvo por delitos culposos o políticos; o que hayan sido suspendidas del ejercicio de su profesión por falta grave a la ética o excluidos del mismo, según el periodo de inhabilidad que para el efecto señale la ley penal o administrativa, según el caso.

Ahora bien, los anteriores requisitos son los establecidos por la ley en general para quienes deseen constituirse en entidades de certificación sin distinguir entre abiertas o cerradas. De conformidad con lo anterior, a continuación indicamos los requisitos particulares exigidos por las normas vigentes para constituirse en entidad de certificación de una u otra clase:

Es así como para las entidades de certificación cerrada, la Superintendencia de Industria y Comercio a través de su circular única n° 10 de 2001 señala los siguientes requisitos que deben cumplir quienes aspiren a ser autorizadas para actuar como entidades de certificación cerradas, adicionales a los ya señalados, contenidos en el artículo 29 de la ley 527 de 1999 y en los artículos 3 y 4 del decreto 1747 de 2000: [12]

• Adjuntar certificado de existencia y representación legal, o copia de las normas que otorgan la calidad de representante legal de una entidad pública, la de notario o la de cónsul.

• Diligenciar el formato establecido por la Superintendencia por cada uno de los administradores o representantes legales.

• Estar en capacidad de cumplir con los estándares mínimos que fije esta Superintendencia de acuerdo a los servicios ofrecidos.

1.3 Deberes de las entidades de certificación cerradas

En el artículo 32 de la ley 527 de 1999, el cual no hace distinción entre entidades de certificación abiertas o cerradas, se establece algunos deberes a cargo de las entidades de certificación. [13] En consecuencia, teniendo en cuenta que la citada ley no distingue entre uno u otro tipo de entidades de certificación, concluimos que los deberes a lo que ésta se refiere se predican de uno y otro tipo de entidades.

Por el contrario, los deberes a los que se refiere el artículo 13 del decreto 1747 de 2000, por estar ubicados dentro de la sección II del referido decreto, el cual se titula de las entidades de certificación abiertas, se concluye, únicamente se refieren a las entidades de certificación abiertas.

Finalmente aclaramos que los deberes de las entidades de certificación cerradas deben ser cumplidos por éstas acatando los lineamientos señalados para el efecto en el título V, capítulo octavo de la circular única n° 10 de esta Superintendencia.

2. Atributos jurídicos de la firma digital - satisfacción

De conformidad con el artículo 28 de la ley 527 de 1999, "cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo."

Ahora bien, el artículo 4 del decreto 1747 de 2000 estipula que "los certificados emitidos por las entidades de certificación cerradas deberán indicar expresamente que sólo podrán ser usados entre la entidad emisora y el suscriptor. Las entidades deberán informar al suscriptor de manera clara y expresa, previa expedición de los certificados, que éstos no cumplen los requisitos de artículo 15 del presente decreto:" A continuación el parágrafo del mismo artículo establece que "El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquella incorpora los siguientes atributos: 1. Es la única a la persona que la usa. 2. Es susceptible de ser verificada. 3. Está bajo el control exclusivo de la persona que la usa. 4. está ligada a la información o mensaje, de tal manera que si éstos son cambiados , la firma digital es invalidada. 5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional."

Es así como, el referido artículo 15 establece que "cuando quiera que un suscriptor firme digitalmente un mensaje de datos con su clave privada, y la respalde mediante un certificado digital, se darán por satisfechos los atributos exigidos para una firma digital en el parágrafo del artículo 28 de la ley 527 de 1999."

En este orden de ideas, concluimos que por disposición expresa del artículo 4 del decreto 1747 de 2000, un certificado emitido por una entidad de certificación cerrada no hace que la firma digital satisfaga los atributos exigidos por el artículo 28 de la ley 527 y así debe ser indicado expresamente en los certificados emitidos emitidos por la correspondiente entidad de certificación cerrada.

Finalmente, en relación con el interrogante planteado en relación con el almacenamiento en medios electrónicos de información impresa le informamos que las competencias atribuidas a la Superintendencia de Industria y Comercio por la ley 527 de 1999 se refieren exclusivamente a la autorización y a la inspección, vigilancia y control sobre las entidades de certificación, razón por la cual, no somos competentes para absolver dicho interrogante. En razón a lo anterior, en cumplimiento del artículo 33 del código contencioso administrativo hemos dado traslado de dicho interrogante al Despacho del Viceministro de Comercio exterior, Santiago Rojas Arroyo para el trámite correspondiente.

En los anteriores términos damos respuesta a su consulta con el alcance previsto en el artículo 25 del código contencioso administrativo.

Para obtener mayor información sobre el desarrollo de nuestras funciones puede dirigirse a nuestra página de internet www.sic.gov.co

Atentamente,

CARMEN LIGIA VALDERRAMA ROJAS

Jefe Asesora de la Oficina Jurídica

[1] Ley 527 de 1999, artículo 41. "Funciones de la Superintendencia de Industria y Comercio. La Superintendencia de Industria y Comercio ejercerá las facultades que legalmente le han sido asignadas respecto de las entidades de certificación, y adicionalmente las siguientes funciones:

"1. Autorizar la actividad de las entidades de certificación en el territorio nacional."

Decreto 1747 de 2000, artículo 28. "Facultades. Las atribuciones otorgadas a la Superintendencia de Industria y Comercio en el presente decreto, se ejercerán conforme a las facultades establecidas en los artículos 41 de la ley 527 de 1999 y en los decretos 2269 de 1993 y 2153 de 1992."

[2] Ley 527 de 1999, artículo 2, literal d.

[3] Decreto 1747 de 2000, artículo 1, numeral 8.

[4] Ibídem, numeral 9.

[5] HENAO RESTREPO, Darío. Ley de Comercio Electrónico en Colombia - Ley 527 de 1999. Artículo incluido en la obra Nuevos Retos del Derecho Comercial del Colegio de Abogados de Medellín. Edición 2000. Biblioteca Jurídica Dike. Pág. 171.

[6] Ley 527 de 1999, artículo 2. "Definiciones. Para los efectos de la presente ley se entenderá por:

(...)

"c). Firma digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación."

[7] Ley 527 de 1999, artículo 30. "Actividades de las entidades de certificación. Las entidades de certificación autorizadas por las Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades:

"1. Emitir certificados en relación con las firmas digitales de personas naturales o jurídicas.

"2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos.

"3. Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la presente ley.

"4. Ofrecer o facilitar los servicios de creación de firmas digitales certificadas.

"5. Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos.

"6. Ofrecer los servicios de archivo y conservación de mensaje de datos."

[8] ARCHILA PEÑALOSA, Emilio José. Principios de regulación tomados por la Superintendencia de Industria y Comercio como base en la reglamentación de las entidades certificadoras. Seminario de Derecho Notarial. Bogotá, febrero de 2001.

[9] Ibídem.

[10] Ibídem.

[11] Archila, op.cit..

[12] Superintendencia de Industria y Comercio, circular única n° 10 de 2001, título V, capítulo octavo, numeral 8.1.1

[13] Ley 527 de 1999, artículo 32. "Deberes de las entidades de certificación. Las entidades de certificación tendrán, entre otros, los siguientes deberes: a. Emitir certificados conforme a lo solicitado o acordado con el suscriptor;

"b. Implementar los sistemas de seguridad para garantizar la emisión y creación de firmas digitales, la conservación y archivo de certificados y documentos en soporte de mensaje de datos;

"c. Garantizar la protección, confidencialidad y debido uso de la información suministrada por el suscriptor;

"d. Garantizar la prestación permanente del servicio de entidad de certificación;

"e. Atender oportunamente las solicitudes y reclamaciones hechas por los suscriptores;

"f. Efectuar los avisos y publicaciones conforme a los dispuesto en la ley;

"g. Suministrar la información que le requieran las entidades administrativas competentes o judiciales en relación con las firmas digitales y certificados emitidos y en general sobre cualquier mensaje de datos que se encuentre bajo su custodia y administración;

"h. Permitir y facilitar la realización de las auditorias por parte de la Superintendencia de Industria y Comercio;

"i. Elaborar los reglamentos que definen las relaciones con el suscriptor y la forma de prestación del servicio;

"j. Llevar un registro de los certificados."