Superintendencia de industria y comercio






descargar 42.34 Kb.
títuloSuperintendencia de industria y comercio
fecha de publicación21.07.2015
tamaño42.34 Kb.
tipoDocumentos
ley.exam-10.com > Ley > Documentos
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Concepto 11065828
Bogotá, D.C. Fecha: 2011-06-23 08:58:14

Señor

DANIEL CHAVARRIA ALVARADO

chavarriaad@bccr.fi.cr

Asunto: Radicación: 11-065828- -00001-0000

Trámite: 113

Evento: 0

Actuación: 440

Folios: 1
Estimado(a) Señor:
Con el alcance previsto en el artículo 25 del Código Contencioso Administrativo, damos respuesta a su consulta radicada en esta entidad con el número señalado en el asunto, en los siguientes términos.
1. Objeto de la consulta
El peticionario, funcionario del Banco Central de Costa Rica, solicita información sobre el desarrollo normativo en materia de firma digital y artículos publicados por la SIC con respecto a estándares recomendados.
2. Facultades generales de la Superintendencia de Industria y Comercio
De acuerdo con las atribuciones conferidas por mandato legal a esta Superintendencia, en particular por el Decreto 3523 de 2009, modificado por el Decreto 1687 de 2010, corresponde a esta entidad, entre otras funciones, velar por el cumplimiento de las normas sobre protección al consumidor, protección de la competencia, administrar el sistema nacional de la propiedad industrial, así como tramitar y decidir los asuntos relacionados con la misma, y conocer y decidir los asuntos jurisdiccionales en materia de protección al consumidor y competencia desleal.
3. Facultades de la Superintendencia de Industria y Comercio en materia de entidades de certificación de firmas digitales
Las facultades legales de la Superintendencia de Industria y Comercio, del Superintendente y del Superintendente Delegado para Protección del Consumidor y Metrología, en materia de comercio electrónico, de acuerdo con los artículos 1 y 9 del Decreto 3523 de 2009 (modificado por el Decreto 1687 del 2010), son las siguientes:
- Autorizar las entidades de certificación para prestar sus servicios en el país, de acuerdo con lo previsto en la Ley 527 de 1999 y ejercer respecto de estas las funciones previstas en dicha ley o en las demás normas que la modifiquen o adicionen.
- Velar por el funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación.
- Realizar visitas de auditoría a las entidades de certificación.
- Revocar o suspender la autorización para operar como entidad de certificación.
- Solicitar la información pertinente para el ejercicio de sus funciones.
- Imponer sanciones a las entidades de certificación en caso de incumplimiento de las obligaciones derivadas de la prestación del servicio.
- Ordenar la revocación de certificados cuando la entidad de certificación los emita sin el cumplimiento de las formalidades legales.
- Designar los repositorios y entidades de certificación en los eventos previstos en la ley.
- Emitir certificados en relación con las firmas digitales de las entidades de certificación.
- Velar por la observancia de las disposiciones constitucionales y legales sobre la promoción de la competencia y prácticas comerciales restrictivas, competencia desleal y protección del consumidor, en los mercados atendidos por las entidades de certificación.
- Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación.

4. Normativa aplicable a la firma digital en Colombia
En Colombia, la normativa aplicable en materia de firma digital está constituida por: (i) la Ley 527 del 18 de agosto de 1999, por medio de la cual se definió y reglamentó el uso de mensajes de datos, del comercio electrónico y de las firmas digitales y se establecieron las entidades de certificación; (ii) el Decreto 1747 del 11 de septiembre de 2000, que reglamentó la Ley 527 en lo relacionado con las entidades de certificación, los certificados y las firmas digitales; y (iii) la Circular Única de la Superintendencia de Industria y Comercio, Título V, Capítulo 8, en donde se encuentran las instrucciones de la entidad frente a la solicitud de autorización como entidades de certificación de firmas digitales, auditoria de las entidades de certificación abiertas, estándares, planes y procedimiento de seguridad, y certificados.
Todos los anteriores instrumentos legales son accesibles a través de nuestra página en Internet, www.sic.gov.co, en la sección \"normatividad\".
A continuación, procederemos a ilustrarlo sobre el desarrollo normativo y jurisprudencial que ha tenido nuestra legislación en materia de firmas digitales.
5. Del mensaje de datos a la firma digital
En el articulo 2 de la Ley 527 de 1999 se define el mensaje de datos como \”la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, corno pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax.\". (Subraya fuera del texto)
La misma norma, en sus artículos 5 y 10 le reconoce al mensaje de datos los mismos efectos jurídicos de validez y fuerza probatoria que tienen los documentos (Capítulo VIII Título XIII, Sección Tercera, Libro Segundo del Código de Procedimiento Civil) y se dispone que en toda actuación administrativa o judicial no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de mensaje de datos, por el solo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original, Al respecto, la Corte Constitucional en sentencia C-831, del 8 de agosto de 2001, con ponencia del Magistrado Alvaro Tafur Galvis, al fallar la acción pública de inconstitucionalidad contra el artículo 6° de la Ley 527 de 1999 se ha pronunció así:
"El mensaje de datos como tal debe recibir el mismo tratamiento de los documentos consignados en papel, es decir, debe dársele la misma eficacia jurídica, por cuanto el mensaje de datos comporta los mismos criterios de un documento.
Dentro de las características esenciales del mensaje de datos encontramos que es una prueba de la existencia y naturaleza de la voluntad de las partes de comprometerse; es un documento legible que puede ser presentado ante las entidades públicas y los tribunales; admite su almacenamiento e inalterabilidad en el tiempo; facilita la revisión y posterior auditoría para los fines contables, impositivos y reglamentarios; afirma derechos y obligaciones jurídicas entre los intervinientes y es accesible para su ulterior consulta, es decir, que la información en forma de datos computarizados es susceptible de leerse e interpretarse. (…)\”.
En sentencia C-622 del 8 de junio de 2000, que resolvió la acción pública de inconstitucionalidad contra la Ley 527 de 1999 y, particularmente sus artículos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44 y 45 la misma Corporación, a través de la ponencia del Magistrado Fabio Morón Díaz se pronunció sobre los criterios para valorar la fuerza probatoria del mensaje de datos, corno sigue:
\"Al hacer referencia a la definición de documentos del Código de Procedimiento Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemático con el sistema manual o documentario, encontrándose en igualdad de condiciones en un litigio o discusión jurídica, teniendo en cuenta para su valoración algunos criterios como: confiabilidad, integridad de la información e identificación del autor.
Criterio para valorar probatoriamente un mensaje de datos. Al valorar la fuerza probatoria de un mensaje de datos se habrá de tener presente la confiabilidad de la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad de la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente (artículo 11).\”.
El concepto de los elementos aludidos por la Corte en el párrafo anterior se explicó por la Corte Suprema de Justicia en la sentencia del 16 de diciembre de 2010, con ponencia del Magistrado Pedro Octavio Munar Cadena.
\"La integralidad de la información tiene que ver con que el texto del documento transmitido por vía electrónica sea recibido en su integridad por el destinatario, tarea que puede cumplirse técnicamente utilizando el procedimiento conocido como "sellamiento" del mensaje, mediante el cual aquel se condensa de forma algorítmica y acompaña al mensaje durante la transmisión, siendo recalculado al final de ella en función de las características del mensaje realmente recibido; de modo, pues, que si el mensaje recibido no es exacto al remitido, el sello recalculado no coincidirá con el original y, por tanto, así se detectará que existió un problema en la transmisión y que el destinatario no dispone del mensaje completo. Incluso, la tecnologia actual permite al emisor establecer si el receptor abrió el buzón de correo electrónico y presumiblemente leyó el mensaje.
Esa característica guarda una estrecha relación con la "inalterabilidad", requisito que demanda que el documento generado por primera vez en su forma definitiva no sea modificado, condición que puede satisfacerse mediante la aplicación de sistemas de protección de la información, tales como la criptografía y las firmas digitales.
Otros aspectos importantes son el de la "rastreabilidad" del mensaje de datos que consiste en la posibilidad de acudir a la fuente original de creación o almacenamiento del mismo con miras a verificar su originalidad y su autenticidad. La "recuperabilidad", o sea la condición física por cuya virtud debe permanecer accesible para ulteriores consultas; y la "conservación", pues de ella depende la perduración del instrumento en el tiempo, siendo necesario prevenir su pérdida, ya sea por el deterioro de los soportes informáticos en que fue almacenado, o por la destrucción ocasionada por "virus informáticos" o cualquier otro dispositivo o programa ideado para destruir los bancos de datos informáticos. Una óptima conservación de la información puede lograrse mediante la aplicación de protocolos de extracción y copia, como también con un adecuado manejo de las reglas de cadena y custodia.
4.1.3 Ahora, la autenticidad del mensaje de datos corre paralela con la confiabilidad del mismo, determinada por la seguridad de que esté dotado en cuanto a la forma como se hubiese generado y conservado la integridad de la información y, por supuesto, en la forma en que se identifique a su iniciador y la asociación de éste a su contenido. Como todo documento, la eficacia probatoria del electrónico dependerá, también, de su autenticidad, contándose con mecanismos tecnológicos que permiten identificar el autor del mismo y asociarlo con su contenido. En este aspecto cobra particular relevancia la firma electrónica, que es el género, y que puede comprender las firmas escaneadas, o los métodos biométricos (como el iris y las huellas digitales), y la firma digital -especie-, basada en la criptografía asimétrica.
4.1.4. Siendo las cosas de ese modo, resulta oportuno precisar en qué condiciones el mensaje de datos puede ser auténtico, no sin antes reiterar que en la prueba documental la firma juega un papel importante, en tanto que facilita la prueba de su autoría y, en determinados eventos está revestida de una presunción legal de autenticidad.

Por tal razón y ante la imposibilidad de que el documento informático pudiese tener una firma manuscrita, fue concebida la de carácter electrónico, que consiste, según la doctrina, en "cualquier método o símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención actual de vincularse o autenticar un documento, cumpliendo todas o algunas de las funciones características de una firma manuscrita". En otras palabras, todo dato que en forma electrónica cumpla una función identificadora, con independencia del grado de seguridad que ofrezca, puede catalogarse corno firma electrónica; de suerte, pues, que dentro de este amplio concepto tienen cabida signos de identificación muy variados, como los medios biométricos, la contraseña o password, la criptografía, etc.
No obstante, dicha firma sólo producirá los efectos jurídicos de la manuscrita —equivalencia funcional— cuando cumpla determinados requisitos de seguridad y de fiabilidad, cuestiones que dependen del proceso técnico utilizado en su creación, siendo altamente seguro el basado en la criptografía asimétrica —arte de cifrar la información, mediante algoritmos de clave secreta—, porque garantiza la identificación del autor del mensaje, integridad y confidencialidad del mismo. Dicho sistema es el utilizado para la creación de la denominada firma digital (...) (L. 527/99, art. 2°, lit. c) (...).
Dicha especie de firma electrónica se equipara a la firma ológrafa, por cuanto cumple idénticas funciones que ésta, con las más exigentes garantías técnicas de seguridad, pues no sólo se genera por medios que están bajo el exclusivo control del firmante, sino que puede estar avalada por un certificado digital reconocido, mecanismos que permiten identificar al firmante, detectar cualquier modificación del mensaje y mantener la confidencialidad de éste.
De manera, pues, que el documento electrónico estará cobijado por la presunción de autenticidad cuando hubiese sido firmado digitalmente, puesto que, al tenor de lo dispuesto en el articulo 28 ibídem, se presumirá que su suscriptor tenía la intención de acreditarlo y de ser vinculado con su contenido, claro está, siempre que ella incorpore los siguientes atributos: a) fuere única a la persona que la usa y estuviere bajo su control exclusivo; b) fuere susceptible de ser verificada; c) estuviere ligada al mensaje, de tal forma que si éste es cambiado queda invalidada; y d) estar conforme a las reglamentaciones adoptadas por el Gobierno Nacional. Por lo demás, será necesario que hubiese sido refrendada por una entidad acreditada, toda vez, que conforme lo asentó la Corte Constitucional, éstas "certifican técnicamente que un mensaje de datos cumple con los elementos esenciales para considerarlo como tal, a saber la confidencialidad, la autenticidad, la integridad y la no repudiación de la información, lo que, en últimas permite inequívocamente tenerlo como auténtico" (C-662 de 2000), pues, a decir verdad, ellas cumplen una función similar a la fedante.

4.2 Por otra parte, debe dejarse en claro qué ocurre con los documentos electrónicos carentes de firma, punto en el cual cabe asentar que aunque ella es útil para establecer la autenticidad del documento electrónico no es imprescindible, habida cuenta que cuando el mensaje carece de ella, el juez puede adquirir certeza sobre su autoría mediante otros mecanismos, particularmente, mediante el reconocimiento que del mismo haga la persona a quien se le atribuye o el que hagan sus causahabientes, todo esto sin olvidar que podrá la parte que lo aportó tramitar el incidente de autenticidad, en el que le incumbirá la carga de probarla.

En ese orden de ideas, el reconocimiento regulado por el artículo 269 del Código de Procedimiento Civil se impondrá como insoslayable respecto del mensaje de datos desprovisto de una firma digital, habida cuenta que se trata de un documento que no ha sido suscrito ni manuscrito por su autor y carece de un signo de individualidad que permita imputar autoría y, por ende, ejercer el derecho de contradicción a la persona que la parte que lo aporta señala como su creador".
6. La firma digital y las entidades autorizadas para certificarla
La Ley 527 de 1999, por medio de la cual se definió y reglamentó el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales y se establecieron las entidades de certificación, equiparó la firma digital a la firma manuscrita:
Articulo 2. \"Definiciones. Para los efectos de la presente ley se entenderá por:

(...) c) Firma digital. Se entenderá corno un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación;\".
Artículo 28. \"Atributos jurídicos de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo.
Parágrafo. El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los siguientes atributos:

1. Es única a la persona que la usa.

2. Es susceptible de ser verificada.

3. Está bajo el control exclusivo de la persona que la usa.

4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada.

5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.\”.
Precisamente para garantizar las atribuciones de la firma digital que la hacen equivalente a la autógrafa (que identifica a una persona como el autor del documento que firma, que da certeza de la participación exclusiva del firmante en el acto de firmar y que lo asocia con el contenido del documento) es que se hace necesario que alguna entidad autorizada por la Superintendencia de Industria y Comercio certifique la validez de esa firma a través de un certificado en relación con las firmas digitales, que es un mensaje de datos firmado por la entidad de certificación, que identifica tanto a la entidad de certificación que lo expide como al suscriptor (persona a cuyo nombre se expide un certificado) y contiene la clave pública de éste.
Con el uso del certificado digital expedido en las condiciones establecidas en el artículo 15 del Decreto 1747 del 2000 se dan por satisfechos los atributos de la firma digital que la equiparan en fuerza y efectos jurídicos a la firma manuscrita.
Por último, sobre los requerimientos técnicos para ser autorizado como entidad de certificación de firmas digitales, abierta o cerrada, lo invitarnos a consultar el Capítulo 8 del Título V de nuestra Circular Única, a través de la sección \”normatividad\" de la página web, www.sic.gov.co.
Igualmente, en ella hallará mayor información sobre el desarrollo de nuestras funciones y de las normas objeto de aplicación por parte de esta entidad.
Atentamente


WILLIAM ANTONIO BURGOS DURANGO

Jefe Oficina Asesora Jurídica

Este documento fue tomado directamente de la página oficial de la entidad que lo emitió.

Añadir el documento a tu blog o sitio web

similar:

Superintendencia de industria y comercio iconSala de lo contencioso administrativo
...

Superintendencia de industria y comercio iconSuperintendencia de Industria y Comercio

Superintendencia de industria y comercio iconServicios publicos no domiciliarios de telecomunicaciones inspección,...

Superintendencia de industria y comercio iconPor la cual se introducen modificaciones al régimen de protección...

Superintendencia de industria y comercio iconSuperintendencia de industria y comercio funciones jurisdiccionales...

Superintendencia de industria y comercio iconSuperintendencia de Industria y Comercio (sic) autoriza compra de...

Superintendencia de industria y comercio iconMinisterio de Industria y Comercio

Superintendencia de industria y comercio iconIntegral de comercio e industria pymes

Superintendencia de industria y comercio iconMinisterio de comercio, Industria y Turismo

Superintendencia de industria y comercio iconLegislación existente en industria y comercio






© 2015
contactos
ley.exam-10.com