La responsabilidad civil de las entidades de certificación en Colombia
Civil liability of certification bodies in Colombia
A responsabilidade civil das entidades de certificação na Colômbia
Resumen (es)
Las entidades de certificación creadas por la Ley 527 de 1999 llevan a cabo diversas actividades, como son, entre otras, las de emitir certificados en relación con las firmas electrónicas o digitales de personas naturales o jurídicas y emitir certificados sobre la verificación respecto a la alteración entre el envío y recepción del mensaje de datos y de documentos electrónicos transferibles; actividades que deben ser cumplidas a cabalidad por las entidades de certificación, pues de no hacerlo, se afectan los derechos de los suscriptores. De acuerdo con el régimen de responsabilidad civil, las entidades de certificación están en la obligación de responder por todos los perjuicios que causen en el cumplimiento de sus funciones, por los perjuicios que puedan causar a los suscriptores y a terceros de buena fe.
Resumen (en)
Resumen (pt)
As entidades de certificação criadas pela Lei 527 de 1999 realizam diversas atividades, como são emitir certificados no relacionado com as firmas eletrônicas ou digitais de pessoas naturais ou jurídicas e emitir certificados sobre a verificação sobre a alteração entre o envio e recepção da mensagem de dados e documentos eletrônicos transferíveis; atividades que devem ser cumpridas cabalmente pelas entidades de certificação, ora, se não fazêlas, afetamse os direitos dos cadastrados. De acordo com o regime de responsabilidade civil, as entidades de certificação estão obrigadas a responder por todos os prejuízos causados no cumprimento de suas funções, pelos prejuízos que possam causar aos cadastrados e terceiros de boafé.
Referencias
ABA. (1 de agosto de 1996). Digital signature guidelines. American Bar Association.Recuperado de http://www.americanbar.org/content/dam/aba/events/science_technology/dsg_tutorial.authcheckdam.pdf
Ángel, L. (2016, julio-diciembre). Autonomía de la voluntad, ¿decadencia o auge? Revista Verba Iuris, 11(36), 71-91. Recuperado de http://www.unilibre.edu.co/verbaiuris/36/autonomia voluntad.pdf
Ariza, A. (2010). El factor de imputación de la responsabilidad profesional en la doctrina moderna. Revista de Derecho, (34), 306-342.
Arroyo, A. (2003). Los contratos a distancia en la Ley de ordenación del comercio minorista.Navarra: Aranzadi.
CNUDMI de las Naciones Unidas. (2006). Ley Modelo sobre Comercio Electrónico.
CNUDMI de las Naciones Unidas. (2009). Convenio de las Naciones Unidas sobre el Contratode transporte internacional de mercancías total o parcialmente marítimo.
Cortés, E. (2009). La culpa contractual en el sistema jurídico latinoamericano. Bogotá: Universidad Externado de Colombia.
Cuellar, H. (1983). Responsabilidad civil extracontractual. Bogotá: Librería Jurídica Wilches.
Espinoza, F. M. (2007). El principio general de responsabilidad por culpa del derecho privado colombiano. Opinión Jurídica, 6(11).
Duran, R. (2016, julio-diciembre). Reflexiones sobre derecho y transferencias electrónicas de fondos TEF en Colombia. Revista Verba Iuris, 11(36), 57-70. Recuperado de http://www.unilibre.edu.co/verbaiuris/36/Transferencias-electronicas.pdf
Le Tourneau, P. (2014). La responsabilidad civil profesional. Segunda edición. En J. T. Jaramillo (trad.) Bogotá: Legis.
Mantilla, F. (2007). El principio general de responsabilidad por culpa del derecho privado colombiano. Opinión Jurídica, 6(11), 129-150.
Martínez, G. (1988). La responsabilidad civil extracontractual en Colombia. Cuarta edición. Medellín: Biblioteca Jurídica Diké.
Mazeaud, L., Mazeaud, J., y Mazeaud, H. (1959). Lecciones de Derecho Civil. Primera edición.Buenos Aires: Ediciones Jurídicas Europa-América.
Mosset, J. (2001). Responsabilidad de los profesionales. Buenos Aires: Rubinzal Culzoni.
Miranda, M. (2016, enero-junio). La regla o el principio de la selección objetiva en la contratación pública de Colombia. Revista Verba Iuris, 11(35), 65-84. Recuperado de http://www.unilibre.edu.co/verbaiuris/35/seleccion-objetiva.pdf
ONAC. (11 de agosto de 2015). Criterios específicos de acreditación de entidades de certificación digital, CEA-4.1-10 01. Organismo Nacional de Acreditación de Colombia. Recuperado de http://www.onac.org.co/anexos/documentos/CEAs/CEA-4%201-10%202015-02-%20en%20consulta%20pública%20v%2001.pdf
Oviedo, J. (2009). Tratos preliminares y responsabilidad precontractual. En M. Bernal
Fandiño, y C. Jaramillo (). Tendencias de la responsabilidad civil en el siglo XXI, 624. Bogotá: Pontificia Universidad Javeriana.
Pantaleón, F. (1990). Causalidad e imputación objetiva: criterios de imputación. N. A. D.Civil, Centenario del Código Civil (1889-1989), tomo II, 1561-1592. Madrid: Centro de Estudios Ramón Areces.
Patiño, H. (2008). Responsabilidad extracontractual y causales de exoneración. Aproximación a la jurisprudencia del Consejo de Estado Colombiano. Revista de Derecho Privado,(14), 193-217.
Ribagorda, A. (2000). Curso de seguridad en redes de ordenadores e internet. Madrid: Universidad Carlos III de Madrid.
Cómo citar
DOI: https://doi.org/10.15332/s1900-0448.2018.0048.01
La responsabilidad civil de las entidades de certificación en Colombia*
Civil liability of certification bodies in Colombia
A responsabilidade civil das entidades de certificação na Colômbia
Ana Yasmin Torres Torres**
Oduber Alexis Ramírez Arenas***
Recibido: 7 de septiembre de 2017 • Aprobado: 10 de octubre de 2017
* Artículo producto del proyecto de investigación: “La responsabilidad de las entidades de certificación digital en Colombia”, en el marco del grupo de investigación Estudios en Derecho Privado, realizado con el apoyo estructural y financiero de la Universidad Santo Tomás de Bogotá, Colombia. DOI: https://doi.org/10.15332/s1900-0448.2018.0048.02
** Abogada de la Universidad Santo Tomás, Bogotá, Colombia, doctora en Derecho de la Universidad Carlos III de Madrid, España, docente e investigadora de la Universidad Santo Tomás, Bogotá, Colombia. Correo electrónico: yasmintorrest@gmail.com
*** Abogado de la Universidad Santo Tomás, Bogotá, doctor en Derecho Público de la Universidad de Nantes, Francia, magíster de Investigación en Ciencias Jurídicas, Políticas, Económicas y de Gestión, mención en Derecho Público, especialista en Derecho Público, Derecho del Medio Ambiente, Derecho Económico Internacional y Europeo por la Universidad de Nantes, Francia, docente investigador de la Universidad Santo Tomás, Bogotá, Colombia, perteneciente al grupo de Derecho Público Francisco de Vitoria de la Universidad Santo Tomás, Bogotá, Colombia. Correo electrónico: alexisramirezarenas@hotmail.com
RESUMEN
La consultación del estado del arte pareciera sugerir que la regulación del internet, en tanto tiene que ver con la propiedad intelectual, es un desafío tan avasallador que lentamente ha tomado un cariz anómico que no solo es peligroso, sino depresivo, si se contempla desde la perspectiva del autor en la red.
Las entidades de certificación creadas por la Ley 527 de 1999 llevan a cabo diversas actividades, como son, entre otras, las de emitir certificados en relación con las firmas electrónicas o digitales de personas naturales o jurídicas y emitir certificados sobre la verificación respecto a la alteración entre el envío y recepción del mensaje de datos y de documentos electrónicos transferibles; actividades que deben ser cumplidas a cabalidad por las entidades de certificación, pues de no hacerlo, se afectan los derechos de los suscriptores. De acuerdo con el régimen de responsabilidad civil, las entidades de certificación están en la obligación de responder por todos los perjuicios que causen en el cumplimiento de sus funciones, por los perjuicios que puedan causar a los suscriptores y a terceros de buena fe."
Palabras clave: entidades de certificación, servicios de certificación, comercio electrónico, firma electrónica, firma digital, certificado digital, responsabilidad civil, declaración de prácticas de certificación.
ABSTRACT
The certification bodies created by Law 527 of 1999 carry out various activities, such as, among others, issuing certificates related to electronic or digital signatures for natural or legal persons and issuing certificates on verification regarding alteration between sending and receiving the data message and transferable electronic documents; these activities must be fully complied by the certification bodies, otherwise, the rights of subscribers will be affected. Under the civil liability regime, the certification bodies are obliged to respond for all damages caused in the performance of their duties, for the damages they may cause to subscribers, and to third parties in good faith.
Key words: Certification bodies, certification services, electronic commerce, electronic signature, digital signature, digital certificate, civil liability, declaration of certification practices
RESUMO
As entidades de certificação criadas pela Lei 527 de 1999 realizam diversas atividades, como são emitir certificados no relacionado com as firmas eletrônicas ou digitais de pessoas naturais ou jurídicas e emitir certificados sobre a verificação sobre a alteração entre o envio e recepção da mensagem de dados e documentos eletrônicos transferíveis; atividades que devem ser cumpridas cabalmente pelas entidades de certificação, ora, se não fazê-las, afetam-se os direitos dos cadastrados.
Palavras-chave: Entidades de certificação, serviços de certificação, comércio electrônico, assinatura eletrônica, assinatura digital, certificado digital, responsabilidade civil, declaração de praticas de certificação.
INTRODUCCIÓN
Las operaciones que se realicen mediante la trasmisión y conservación de los mensajes de datos, deben ser realizadas de manera segura, por lo que el servicio de certificación de firmas electrónicas o digitales es determinante para garantizar la confianza y el desarrollo del comercio electrónico.
Es por esto, que la Ley 527 de 1999, creó las entidades de certificación y las definió como:
Aquellas personas que, autorizadas conforme a la ley, están facultadas para emitir certificados en relación con las firmas digitales, ofrecer o facilitar los servicios de registro y estampado cronológico y cumplir con las demás funciones relativas a las comunicaciones basadas en las firmas digitales[1]. (Ley 527 de 1999)
Posteriormente, en los artículos 29 y siguientes, señaló las características y requerimientos de las entidades de certificación, sus actividades, remuneración y deberes. Así mismos, el Decreto 019 de 2012 en los artículos 160 a 163, modificó algunos artículos de la Ley 527 de 1999, señalando las características, requerimientos, actividades y deberes de las entidades de certificación.
Recientemente, el artículo 160 del Decreto 019 de 2012, mediante el cual se establecieron las características y requerimientos de las entidades de certificación, fue reglamentado por el Decreto 333 de 2014, que definió el régimen de acreditación de las entidades de certificación.
Es decir, que las entidades de certificación llevan a cabo diversas actividades, como son, entre otras, las de emitir certificados en relación con las firmas electrónicas o digitales de personas naturales o jurídicas; emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos y de documentos electrónicos transferibles; emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos que versen sobre algún derecho sobre mercancías o con arreglo al contrato de transporte de mercancías; y ofrecer o facilitar los servicios de generación de los datos de creación de las firmas digitales certificadas, servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos y cualquier otra actividad relacionada con la creación, uso o utilización de firmas digitales y electrónicas (Ley 527, art. 30, 1999).
Estas actividades deben ser cumplidas a cabalidad por las entidades de certificación, pues de no hacerlo, los derechos de los suscriptores, esto es, los destinatarios del servicio, y terceros de buena fe, pueden resultar siendo afectados. Por lo anterior, en el presente artículo de investigación analizaremos la responsabilidad en la que incurren las entidades de certificación, frente a los suscriptores o a las personas que confíen en sus certificados, ya sea por el incumplimiento de los deberes previstos en la ley, por ejercicio ilícito de sus actividades o por la Declaración de Prácticas de Certificación (en adelante, DPC), definidas como la manifestación pública de la entidad de certificación sobre las políticas y procedimientos específicos que aplica para la prestación de sus servicios.
Para nuestro análisis, tendremos en cuenta demás, los Criterios Específicos de Acreditación [2](en adelante, CEA) que deben ser cumplidos por la Entidad de Certificación Digital[3] , ante el Organismo Nacional de Acreditación en Colombia (ONAC).
El estudio se hará a partir del régimen general de responsabilidad contemplado en el artículo 16 del Decreto 333 de 2014, el cual establece que las entidades de certificación responderán por todos los perjuicios que causen en el ejercicio de sus actividades.
Resultados
Determinar y socializar mediante un artículo de investigación cuáles son las responsabilidades de las entidades de certificación por los servicios prestados.
La responsabilidad de las entidades de certificación
Para analizar el régimen de responsabilidad civil de las Entidades de Certificación debemos remitirnos al artículo 2341 del Código Civil[4], el cual establece que todo aquel que ha cometido un delito o culpa, causando un daño a otro, es obligado a la indemnización, sin perjuicio de la pena principal que la ley imponga por la culpa o el delito cometido.
1. Elementos de la responsabilidad civil
La responsabilidad civil de las entidades de certificación está subordinada a la existencia de los elementos que la condicionan, estos son: la culpa, el daño y la relación de causalidad entre la conducta culposa y el daño.
Respecto a la culpa, el sistema normativo nacional le confiere a este elemento subjetivo notable relevancia al momento de valorar el cumplimiento o incumplimiento de las obligaciones y el alcance de la indemnización[5].
El Código Civil acoge un sistema de graduación de culpa en referencia a los contratos que define el alcance de las tres nociones de culpa, graduando la responsabilidad del deudor según la gravedad de la culpa cometida, lo cual implica que el deudor incumplido no indemniza los daños causados por su inejecución culposa en general, sino que, atendiendo al beneficio que le reporta el contrato, y de acuerdo con el artículo 636 del Código Civil[6], algunas veces responderá hasta por culpa le vísima, otras hasta por culpa leve y otras solo por dolo o culpa grave. Ahora bien, ¿cuál será el grado de diligencia que cabe esperar de las Entidades de Certificación?
El grado de diligencia que se les exige, responde a la especialidad de las actividades desarrolladas por las entidades de certificación y, por tanto, eleva el grado de perfección de las labores desarrolladas. Dice la Corte Constitucional (Sentencia C-219, 2015), que las entidades de certificación tienen una labor trascendental en la actualidad por cuanto garantizan que todas las operaciones que envuelvan trasmisión y conservación de mensajes de datos y certificaciones sobre firmas digitales, se realicen de manera segura.
Las entidades de certificación asumen obligaciones cuyo objeto estriba en dar confianza a las partes respecto de la veracidad de los contenidos de los documentos y operaciones electrónicas, en donde la buena fe de las partes preside la ejecución del contrato, correspondiéndole a la entidad de certificación acreditar la diligencia debida en el empleo de las normas técnicas que rigen su labor fedante.
Por lo tanto, aunque su carácter eminentemente técnico no se discute, comoquiera que se desprende inequívocamente del componente tecnológico que es característico de los datos electrónicos, es lo cierto que participa de un importante componente de la tradicional función fedante, pues al igual que ella, involucra la protección a la confianza que la comunidad deposita en el empleo de los medios electrónicos de comunicación así como en su valor probatorio, que es lo realmente relevante para el derecho, pues, ciertamente es el marco jurídico que crea el elemento de confianza (Sentencia C-662, 2000). La certificación técnica busca dar certeza a las partes que utilizan medios tecnológicos para el intercambio de información, en cuanto a la identidad y origen de los mensajes de datos intercambiados.
En efecto, las entidades de certificacion son de vital importancia para la certificación de los mensajes de datos, pues contrario a lo que ocurre con los documentos en papel, para cumplir con el princpio de equivalencia funcional se requiere que los mensajes de datos sean certificados técnicamente. Son estas entidades quienes certifican que un mensaje de datos cumple con los elementos esenciales para considerarlo como tal, a saber, la confidencialidad, la autenticidad, la integridad y la no repudiación de la información, lo que, en últimas permite inequívocamente tenerlo como auténtico.
Abundante jurisprudencia de la Corte Constitucional ha sostenido, que el legislador goza de una amplia libertad para regular el servicio notarial, por lo tanto, bien puede la ley atribuir la prestación de esa función a particulares, siempre y cuando establezca los correspondientes controles disciplinarios y administrativos para garantizar el cumplimiento idóneo de la función[7].
Por otra parte, en las labores desarrolladas por las entidades de certificación, estas asumen la calidad de “profesional”, pues poseen el conocimiento de una determinada técnica derivada de su estudio comprobado o de su ejercicio; situación que le atribuye competencias especificas, por ejemplo, sobre certificación electrónica, que permiten hacerlas responsables por su omisión y, por tanto, en grado superior a lo que podría esperarse de un individuo cualquiera (Mosset, 2001), por ello hablamos de una responsabilidad profesional (Santos, 2006).
La culpa es el factor de atribución que sirve de fundamento al deber de reparar, como mencionamos anteriormente, el artículo 2341 del Codigo Civil, sustenta la responsabilidad subjetiva en la obligación de resarcir el daño causado, por lo tanto, la culpa es considerada el factor de imputación cuando el causante del daño funge como profesional, pero no obstante, al aplicar el sistema de la apreciación de la culpa in abstracto, no suele utilizarse como sujeto hipótetico de comparación al buen padre de familia, sino que al realizar funciones fedantes las entidades de certificación pueden incurrir en una responsabilidad de carácter profesional y el sujeto hipótetico para calificar una conducta culposa es el buen profesional (Mantilla, 2007; Cortés 2009) de la misma especialidad.
Para Le Tourneau (2014), mientras que para un ciudadano común un comportamiento determinado sería culpa levísima, para un profesional en esas mismas circunstancias sería culpa grave siempre y cuando evidencia ineptitud en la tarea encomendada. En general, la tendencia es exigir al profesional el comportamiento de otro sujeto de su misma profesión, profesional prudente término medio, advirtiendo, eso sí, que para eventos de extrema complejidad o para casos pioneros, el nivel de exigencia debe disminuirse al rango de culpa grave (Ariza, 2010).
Por ejemplo, las entidades de certificación actúan como terceros de confianza, para lo cual la ley le atribuye facultades relevantes en atención a la certificación de firmas electrónicas o digitales. Un comportamiento descuidado sobre los datos de generación de la firma digital de una persona titular de un certificado, que posteriormente genera un mensaje de datos y lo firma, mensaje de datos que es interceptado y descifrado por terceros no autorizados, sería un comportamiento culposo, con una exigencia mayor que el que podría darse a una empresa cualquiera por el mal manejo que haga de la información de un cliente.
Respecto al daño, dentro de la sistemática establecida en el orden jurídico colombiano, el principio de reparación integral no excluye la posibilidad de que el legislador, a quien corresponde efectuar el diseño normativo de la responsabilidad derivada del incumplimiento contractual, contemple algunas limitaciones que sean compatibles con el principio de equidad que debe regir esta materia.
En efecto, prevalece la regla que todo deudor incumplido, actúe con dolo o con culpa, está obligado a responder de todos los daños que sean consecuencia inmediata y directa del incumplimiento, y que paralelamente limite los daños imputables al contratante no doloso, a aquellos que podían preverse al momento de contratar. En materia de responsabilidad civil extracontractual, la extensión de la reparación del daño es mayor.
El nexo de causalidad es la relación necesaria entre el hecho generador del daño y el daño probado. Para poder atribuirle el resultado a una persona y declararla responsable como consecuencia de su acción u omisión, es indispensable definir si aquel aparece ligado a esta por una relación de causa-efecto. La relación de causalidad debe ser probada en todos los casos por el actor, si se tiene en cuenta que por norma general no existen presunciones del nexo causal en el ordenamiento jurídico colombiano (Patiño, 2008), independientemente de si el régimen está fundamentado en la culpa o en algún tipo de responsabilidad objetiva.
2. Responsabilidad civil contractual y sus limitaciones
La regla general consagrada en el artículo 2341 del Código Civil es reiterada por el artículo 16 del Decreto 333 del 2014, el cual establece un régimen general de responsabilidad para las actividades desarrolladas por las Entidades de Certificación, señalando que estas responderán por todos los perjuicios que causen en el ejercicio de sus actividades y por los perjuicios que puedan causar los prestadores de servicios utilizados por la entidad de certificación, a los suscriptores o personas que confíen en los certificados[8].
En la última parte, el artículo 16, del citado Decreto y en armonía con la concepción dualista de la responsabilidad civil en Colombia, se indica la existencia para las entidades de certificación de ambas responsabilidades, a saber:
• Responsabilidad contractual respecto a los suscriptores de los certificados, para quienes el pago de la indemnización estará limitado por la autonomía de la voluntad de las partes, y por la naturaleza y alcance de la obligación incumplida.
• Responsabilidad extracontractual respecto a los terceros de buena fe ajenos a la relación, pero que con ocasión de la misma han resultado de alguna manera perjudicados, por haber confiado en los certificados y para quienes la reparación es por la totalidad de los daños y sin eximir ningún tipo de culpa por parte de las entidades de certificación.
No puede confundirse el tratamiento de una y otra responsabilidad, las cuales están reguladas de manera autónoma e independiente en capítulos distintos del Código Civil, se originan en causas o fuentes diversas y sus prescripciones en materia de reparación no son coincidentes.
Cuando la responsabilidad civil es contractual[9], hacemos alusión a la obligación de reparar los perjuicios provenientes del incumplimiento, o del retraso en el cumplimiento, o de cumplimiento defectuoso de una obligación pactada en el contrato[10].
Cuando se produce el incumplimiento de una de las obligaciones derivadas del certificado, surge la necesidad del acreedor de pedir al deudor que incumplió, el resarcimiento de los daños y perjuicios que el incumplimiento le ocasionó[11]. Existe una relación jurídica previa y el sistema de responsabilidad derivado del contrato tiene como finalidad asegurar al perjudicado la obtención del beneficio que se buscó con la obligación pactada (Roca y Navarro, 2011).
En materia contractual, la víctima tiene derecho a la reparación total de los daños que sean ciertos, directos, personales y que hayan causado la supresión de un beneficio obtenido lícitamente por el afectado. Sin embargo, este principio general puede estar limitado ya sea por cláusulas legislativas razonables, o por estipulaciones de los contratantes, quienes autónomamente pueden decidir que el responsable se libere total o parcialmente de su obligación frente a la víctima, habida cuenta del interés privado que está inmerso en los derechos de crédito asociados a un contrato (Sentencia C-1008, 2010). En este sentido, el inciso final del artículo 1616 establece que “las estipulaciones de los contratos podrán modificar estas reglas”.
Con fundamento en esta cláusula los contratantes pueden prever una intensificación o reducción de los estándares de responsabilidad del deudor, toda vez que la norma protege intereses privados. Asimismo, el artículo 1604 del Código Civil, último aparte establece respecto a la responsabilidad del deudor que, se entiende sin perjuicio de las disposiciones especiales de las leyes y de las estipulaciones expresas de las partes. Esto significa, que el legislador puede en desarrollo de su potestad de configuración, fijar las reglas especiales que considere convenientes, necesarias y adecuadas para establecer y cuantificar la responsabilidad civil derivada del incumplimiento contractual, preservando en ello el derecho a la autonomía individual de los contratantes (Sentencia C-1008, 2010).
En este sentido, en materia de responsabilidad de las entidades de certificación, el artículo 10, numerales 6 y 7 del Decreto 333 del 2014, establecen que sin perjuicio de los demás requisitos que establezca el ONAC, el contenido de la DPC deberá incluir al menos lo siguiente:
6. Descripción de las garantías y recursos que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades.
7. Límites de responsabilidad por el ejercicio de su actividad
De tal forma que, por disposición expresa, en la Declaración de Prácticas de Certificación (DPC) las entidades de certificación pueden alterar las premisas generales de responsabilidad e incluir las estipulaciones que estas crean convenientes.
Por lo general, las limitaciones y/o exoneraciones de responsabilidad establecidas en la DPC[12] son para las entidades de certificación, los suscriptores (ambos partes del contrato) y para quienes confían en los certificados (terceros de buena fe). A continuación algunos ejemplos de cláusulas limitativas de responsabilidad, incluidas en la Declaración de Prácticas de Certificación (DPC).
• Las obligaciones son de medio y no de resultado. Ello significa que la entidad de certificación utilizará su conocimiento y experiencia en la prestación del servicio de certificación digital, y responderá profesionalmente por la culpa leve en sus actuaciones como Entidad de Certificación Digital. Dicha entidad no puede garantizar que la actividad de certificación tenga un resultado determinado, solo responderá por aquellos errores que, ocurridos, hubieran podido evitarse por su diligencia profesional.
• Los daños producidos o relacionados con la no ejecución o ejecución defectuosa de las obligaciones a cargo del suscriptor, de la parte confiante o de ambos, correrán por cuenta de estos, así como todo perjuicio que se ocasione por el uso indebido de los certificados digitales o las violaciones a sus limitaciones de uso establecidas en el mismo, en la sección de uso de los certificados digitales o en cualquier otro documento que regule el Sistema de Certificación Digital.
• La entidad de certificación no responderá por los perjuicios ocasionados por el incumplimiento de sus obligaciones por casos de fuerza mayor, caso fortuito o, en general, cualquier circunstancia sobre la que la entidad de certificación no pueda tener un control razonable, incluyendo pero sin limitarse a los siguientes: los desastres naturales, las alteraciones de orden público, el corte de suministro eléctrico y/o telefónico, los virus informáticos, las deficiencias en los servicios de telecomunicaciones (internet, canales de comunicación, etc.) o el compromiso de las claves asimétricas derivado del riesgo tecnológico imprevisible.
• Independientemente de la causa u origen de su responsabilidad, la entidad de certificación fija como cuantía máxima para la indemnización de perjuicios por los daños ocasionados por certificado digital emitido. En consecuencia, la entidad de certificación solo indemnizará hasta este valor a las personas perjudicadas por un certificado digital emitido por esta, independientemente del número de veces que el mismo se haya utilizado o del número de perjudicados por dichos usos. En caso de que existan varios perjudicados, el monto máximo indemnizable se distribuirá a prorrata entre ellos. Si habiéndose distribuido la indemnización, surgieren nuevos perjudicados, estos deberán dirigirse contra las personas ya indemnizadas para efectos de obtener a prorrata su indemnización.
• La entidad de certificación solo responderá por los perjuicios que se ocasionen por la utilización de los servicios de certificación digital dentro del año siguiente a su expiración o revocación del certificado digital.
• La entidad de certificación no ofrece ningún tipo de garantía que no esté expresamente estipulada en esta Declaración de Prácticas de Certificación, ni responderá por evento que no esté expresamente contemplado en este acápite.
• En caso que las leyes aplicables al servicio de certificación digital establezcan la imposibilidad de limitar la responsabilidad en alguno de los aspectos aquí descritos o que se describen en esta Declaración de Prácticas de Certificación, se dará a estas cláusulas el mayor alcance que la ley permita darles en cuanto a la limitación de la responsabilidad de la entidad de certificación.
• La entidad de certificación no se hará responsable por el contenido de los mensajes o documentos firmados o por el contenido de páginas web que posean un certificado.
• La entidad de certificación no se hará responsable por prácticas no notificadas a la entidad de certificación que afecten la llave privada del suscriptor permitiendo su uso por terceros (p. ej. robo, pérdida o compromiso).
• La entidad de certificación no se hará responsable por la no recuperación de documentos cifrados con la llave pública del suscriptor.
• Dada la complejidad de los sistemas informáticos y el propio riesgo tecnológico, la entidad de certificación no será responsable de los errores o inconsistencias que puedan presentarse en el sistema de claves asimétricas, o cualquier otro riesgo no predecible de naturaleza similar. Consecuentemente, de acuerdo con la costumbre internacional, la presencia de fallas para efectos legales se asimilará al caso fortuito o fuerza mayor.
Los artículos 39 y 40 de la Ley 527 de 1999[13] imponen deberes a los suscriptores con relación a la generación, uso y custodia de la firma digital, el suministro de información a la entidad de certificación y la revocación de los certificados. Por esta razón, la DPC establece cláusulas exonerativas de responsabilidad para las entidades de certificación ante el incumplimiento de las obligaciones impuestas al suscriptor. Así tenemos por ejemplo:
• De conformidad con lo establecido en el artículo 40 de la Ley 527 de 1999, el suscriptor será responsable y se compromete a indemnizar a la entidad de certificación y a las partes confiantes los daños y perjuicios que se ocasionen o puedan ocasionarse por el incumplimiento de cualquiera de sus obligaciones, asumiendo igualmente los gastos judiciales en que la entidad de certificación pudiera incurrir por esta causa, incluyendo los costos de abogados.
• La custodia del soporte físico (tarjeta inteligente, token, disco duro, disquete u otro suministrado o no por Certicámara) del certificado digital es responsabilidad exclusiva del suscriptor.
• El suscriptor será el único responsable frente a las partes confiantes y a la entidad de certificación por todos los perjuicios que se ocasionen por la falsedad, inexactitud o insuficiencia de la información que entregue a la entidad de certificación o a la parte confiante, independientemente de la causa por la cual haya entregado dicha información falsa, inexacta o insuficiente.
• El suscriptor asumirá los perjuicios que sufra como consecuencia por eventos de caso fortuito o fuerza mayor.
• La entidad de certificación no se hará responsable por daños y/o perjuicios producto de la errada interpretación de las Prácticas de Certificación por parte de usuarios y suscriptores en el uso de los servicios.
3. Responsabilidad civil extracontractual
Respecto a las personas que confían en los certificados, que son terceros de buena fe, contrario a lo que sucede con los suscriptores de los certificados, se está frente a un supuesto de responsabilidad civil extracontractual puesto que entre víctima y agente del daño no existe vínculo anterior alguno, o aun existiendo tal vínculo, el daño que sufre la víctima no proviene de dicha relación anterior sino de otra circunstancia.
En la responsabilidad extracontractual será deber del litigante demostrar la culpa, negligencia o impericia en la que incurrió la entidad de certificación, mientras que si es deseo de la entidad de certificación relevarse de la responsabilidad contractual, deberá demostrar que ejerció la diligencia y el cuidado debidos o la existencia de una causa extraña no imputable (caso fortuito o fuerza mayor) (Cuellar, 1983).
Criterios de imputación de responsabilidad a las entidades de certificación en la legislación colombiana
Con relación a los criterios de imputación de la responsabilidad de las entidades de certificación, la doctrina nacional e internacional ha establecido que, pese a las particularidades de cada actividad u oficio, a cualquier profesional puede exigírsele una conducta mínima, so pena de atribuírsele culpa, como elemento de la responsabilidad subjetiva, o atribuírsele un evento dañoso, como elemento de responsabilidad civil objetiva.
Ahora bien, ¿cuál es el comportamiento mínimo que puede exigirse a una Entidad de Certificación para no imputarle responsabilidad civil? Al respecto, podemos decir, que el comportamiento mínimo que debe exigirse a las entidades de certificación, es el cumplimiento de las obligaciones derivadas del ejercicio profesional, como consecuencia de un vínculo contractual o de las obligaciones que deben ser cumplidas frente a las personas que confíen en los certificados, exista o no contrato de por medio (Decreto 333, art. 16, 2014).
Es decir, que se encuentran en el deber de cumplir las obligaciones generales, que constituyen comportamientos reclamables por cualquiera que reciba un servicio profesional de las entidades de certificación, exista o no contrato de por medio y también las obligaciones específicas derivadas de su relación contractual con los suscriptores.
3.1 Obligaciones generales
Las llamadas obligaciones generales, las cumple la entidad de certificación como “profesional prudente promedio” sin importar, si existe o no un vínculo contractual previo. Dentro de las obligaciones derivadas del ejercicio de su actividad profesional, se encuentran las siguientes (Ariza, 2010):
Obligación de información
Las entidades de certificación están en la obligación de informar a los suscriptores y al público en general de los certificados que expide, su nivel de confiabilidad y las obligaciones que el suscriptor asume como usuario del servicio de certificación, así mismo, sobre la modificación o actualización de servicios incluidos en el alcance de su acreditación, la suspensión del servicio o revocación de los certificados por cualquier medio disponible, entre otros.
Cuando la entidad omite la obligación de informar y que causa un daño por tal omisión, este le será imputable objetivamente siempre que se logre demostrar que el suscriptor, de haber conocido el riesgo que acaeció, hubiera desistido del servicio solicitado, pues solo en este se evidencia la relación directa entre la conducta omisiva del profesional y el daño causado (Pantaleón, 1990).
Obligación de confidencialidad
Las entidades de certificación están en la obligación de obligación de mantener en reserva o en secreto la información que el suscriptor suministra con ocasión del contrato. En consecuencia, las entidades deben garantizar la protección, confidencialidad y debido uso de la información suministrada; las condiciones de integridad, disponibilidad, confidencialidad y seguridad, de acuerdo con los estándares técnicos nacionales e internacionales vigentes y con los criterios específicos de acreditación que para el efecto establezca el ONAC, por lo tanto deben conservar la documentación que respalda los certificados emitidos, por el término previsto en la ley para los papeles de los comerciantes y tomar las medidas necesarias para garantizar la disponibilidad, integridad y confidencialidad que le sean propias.
Obligación de seguridad
La obligación de seguridad está dirigida a proporcionar seguridad jurídica a las transacciones comerciales por vía electrónica, pues la entidad de certificación actúa como tercero de confianza, para lo cual la Ley le atribuye importantes facultades de certificación técnica de los mensajes de datos y de la identidad de las personas que los generan y reciben. La exigencia de seguridad genera para las entidades de certificación desde el punto de vista profesional una mayor prudencia en el desarrollo de sus actividades y encuentra su fundamento esencialmente en la diferencia no solo de conocimientos técnicos entre la entidad de certificación y el suscriptor o el tercero que confía en sus certificados, sino en la diferencia de capacidad tecnológica y económica entre unos y otros[14].
Obligación de vigilancia, de prevenir o anticipar un peligro para el suscriptor
Esta obligación impone a la entidad de certificación un cuidado y atención exacta en las actividades que están a su cargo, reaccionando ante una situación que pueda derivarle un perjuicio al suscriptor o a quien haya confiado en sus certificados.
Para ello, la entidad de certificación deben permitir y facilitar la realización de las auditorias por parte del ONAC, informar a la Superintendencia de Industria y Comercio y al ONAC sobre la ocurrencia de cualquier evento que comprometa o pueda comprometer la prestación del servicio y actualizar la información de contacto cada vez que haya cambio o modificación en los datos suministrados.
Obligación de fidelidad
Se impone a las entidades el deber de cuidado y atención exacta en las actividades que están a su cargo, reaccionando ante una situación que pueda derivarle un perjuicio al suscriptor o a quien haya confiado en sus certificados. Para ello la entidad de certificación debe permitir y facilitar la realización de las auditorias por parte del ONAC; informar a la Superintendencia de Industria y Comercio y al ONAC, de manera inmediata, la ocurrencia de cualquier evento que comprometa o pueda comprometer la prestación del servicio y actualizar la información de contacto cada vez que haya cambio o modificación en los datos suministrados.
La obligación de fidelidad conlleva el cumplimiento del contrato, tal como fue convenido, con lealtad y dentro de los límites del mismo contrato. El deber de fidelidad implica respetar los intereses del suscriptor y de quienes confían en los certificados.
La responsabilidad profesional está vinculada en sus orígenes a la necesidad de protección de los consumidores y se desarrolla como consecuencia del incremento de sus actividades (Le Tourneau y Cadiet, 1998, citados por Ariza, 2010) . En Colombia, la Ley 1480 del 2011 consagró el Estatuto del Consumidor, este tiene como objetivos proteger, promover y garantizar la efectividad y el libre ejercicio de los derechos de los consumidores, así como amparar el respeto a su dignidad y a sus intereses económicos.
Esta ley define el comercio electrónico y fija un régimen de protección al consumidor señalando una serie de obligaciones para los proveedores ubicados en el territorio nacional que ofrezcan productos utilizando medios electrónicos[15].
Conforme a lo anterior, cabe preguntarnos si las entidades de certificación tienen la cualidad de proveedores conforme a la Ley 1480 de 2011, pero aún más importante: sí los suscriptores de los certificados digitales que ofrecen las entidades de certificación tienen la cualidad de consumidores o usuarios. De ser así, existe entonces un conjunto de obligaciones para las entidades de certificación derivadas de la ley del consumo en cumplimiento de su actividad profesional, frente al suscriptor que actúa como destinatario final.
Al respecto, el artículo 5.3 de la Ley 1480 de 2011, establece que para los efectos de dicha Ley se denominará consumidor o usuario a toda persona natural o jurídica que, como destinatario final, adquiera, disfrute o utilice un determinado producto, cualquiera que sea su naturaleza para la satisfacción de una necesidad propia, privada, familiar o doméstica y empresarial cuando no esté ligada intrínsecamente a su actividad económica. Se entenderá incluido en el concepto de consumidor el de usuario.
De acuerdo con esta definición, queda claro que dentro de la noción de consumidor o usuario de los suscriptores del certificado, están incluidas las personas naturales o jurídicas, siempre y cuando actúen como destinatarios finales. Cuando el legislador vincula el término “destinatario final” a consumo significa que el destino del bien o servicio es ser consumido (en el ámbito particular, familiar o empresarial), lo que en términos económicos quiere decir acabar el proceso económico en un ámbito privado, ajeno a la actividad económica (Arroyo, 2003).
En este orden de ideas, podemos decir que el estatuto del consumidor le impone unas obligaciones generales a las entidades de certificación, pues se pueden considerar como proveedores que ofrecen productos utilizando medios electrónicos, en consecuencia, se ven reflejadas las obligaciones generales, así:
La obligación de información se fundamenta en el principio de la buena fe contractual y en el desequilibrio informativo, tecnológico y económico existente entre suscriptores y entidades de certificación. Por lo tanto, les impone el deber de dar información sobre la identidad del proveedor[16], los productos que ofrecen, las condiciones de la oferta, los medios de pago, el precio total del producto, el derecho de retracto que le asiste al consumidor y el procedimiento para ejercerlo, así como las condiciones generales del contrato y la afiliación de la entidad de certificación a algún esquema relevante de autorregulación, sin perjuicio de las demás obligaciones de información establecidas en la mencionada Ley.
Con relación a la obligación de seguridad, el proveedor debe adoptar mecanismos de seguridad apropiados y confiables que garanticen la protección de la información personal del consumidor y de la transacción misma. En este supuesto, el proveedor será responsable por las fallas en la seguridad de las transacciones realizadas por los medios por él dispuestos, sean propios o ajenos.
Desde el punto de vista técnico, los mecanismos de seguridad deben garantizar la confidencialidad, integridad y disponibilidad de la información que estos manejan. En este contexto, la confidencialidad se entiende que la información solo puede ser revelada exclusivamente a los usuarios autorizados, en la forma y tiempo determinados; la integridad porque la información solo puede ser modificada por personal habilitado para ello y, finalmente la disponibilidad significa que la información pueda ser utilizada cuándo y cómo la requieran los usuarios legitimados (Ribagorda, 2000). Los adjetivos “apropiados y confiables” involucran además la privacidad de la información personal de los consumidores o usuarios, que atiende al aspecto personal o doméstico del suscriptor del certificado.
En estrecha relación se encuentra la obligación de mantener en un mecanismos de soporte duradero la prueba de la relación comercial, en especial de la identidad plena del consumidor, su voluntad expresa de contratar, de la forma en que se realizó el pago y la entrega real y efectiva de los bienes o servicios adquiridos, de tal forma que garantice la integridad y autenticidad de la información y que sea verificable por la autoridad competente, por el mismo tiempo que se deben guardar los documentos de comercio.
En cuanto a las obligaciones de vigilancia, también se encuentran consagradas en la Ley 1480 de 2011. En este sentido, la entidad de certificación debe disponer en el mismo medio en que realiza comercio electrónico, de mecanismos para que el consumidor pueda radicar sus peticiones, quejas o reclamos, de tal forma que le quede constancia de la fecha y hora de la radicación, incluyendo un mecanismo para su posterior seguimiento. Asimismo, el proveedor deberá establecer en el medio de comercio electrónico utilizado, un enlace visible, fácilmente identificable, que le permita al consumidor ingresar a la página de la autoridad de protección al consumidor de Colombia.
Respecto a las obligaciones que hemos denominado “derivadas de los Reglamentos de la profesión”, merecen atención los criterios específicos de acreditación (ONAC, 2015), pues estos deben ser atendidos para obtener la acreditación como entidad de certificación. Estas normas contribuyen a determinar las reglas del arte de esta actividad y tienen como destino específico a las entidades de certificación que obtienen acreditación ante el ONAC.
De acuerdo con lo expuesto, las entidades de certificación están en la obligación de cumplir las obligaciones generales, pues independientemente del vínculo contractual con el suscriptor, por la naturaleza de estas entidades y atendiendo a lo dispuesto en el estatuto del consumidor, le son exigibles y por su incumplimiento se les puede atribuir culpa, como elemento de responsabilidad subjetiva.
3.2. Las obligaciones específicas
Las obligaciones específicas son aquellas provenientes del contrato perfeccionado entre el suscriptor y la entidad de certificación y, respecto a las cuales, existe en Colombia un régimen de responsabilidad civil establecido en el Decreto 333 de 2014 y en las correspondientes DPC.
Estas obligaciones tienen origen en el entramado de deberes impuestos a las entidades de certificación, tanto en la normativa que las regula como en los propios contratos, los cuales son ejecutados mediante el desarrollo de una serie de actividades descritas en la primera parte de este trabajo, que dan origen, desde el punto de vista del suscriptor e incluso, de aquellos que confían en sus certificados, a los diversos servicios que prestan las entidades de certificación.
Así encontramos, los servicios de certificación; los servicios de generación de los datos de creación de firmas; los servicios de registro y estampado cronológico en la generación, trasmisión y recepción de los mensajes de datos, así como de archivo y conservación de los mismos; los servicios de registro, custodia, anotación, archivo y conservación de los documentos electrónicos transferibles y; cualquier otra actividad relacionada con la creación, uso o utilización de firmas electrónicas o digitales. Las entidades de certificación están obligadas a proporcionar estos servicios, los cuales funcionan como parámetros de exigibilidad fijados por las normas y explican la obligación de reparar los daños causados por su incumplimiento.
3.2.1. Los servicios de certificación
Constituyen un conjunto de actividades de certificación que ofrecen las Entidades de Certificación para hacer constar el origen e integridad de los mensajes de datos, basados en las firmas digitales o electrónicas, estampado de tiempo, así como en la aplicabilidad de estándares técnicos admitidos y vigentes en infraestructura de clave pública.
Las certificaciones son manifestaciones en las que se verifica la autenticidad, veracidad y legitimidad de las claves criptograficas y la integridad de los mensajes de datos (Sentencia C-662, 2000).
Con respecto a estos servicios, se establece la emisión de certificados con relación a las firmas, los cuales pueden definirse como la acción de producir y poner en circulación el mensaje de datos firmado por la entidad de certificación que identifica, tanto a la entidad de certificación que lo expide como al suscriptor y que contiene la clave pública de este (pues la clave privada la debe mantener el titular del certificado bajo su poder).
Un certificado digital, de acuerdo con las ABA Guidelines (ABA, 1996) es un mensaje que por lo menos: identifica a la entidad de certificación, designa o identifica a su suscriptor, contiene la clave pública del suscriptor, identifica su periodo operacional y esta digitalmente firmado por la entidad de certificación que lo emite.
Para comprender la responsabilidad civil que de él deriva, debe delimitarse esta actividad en el tiempo, en atención a la vigencia de los certificados. En primer lugar, la acción de solicitar el certificado a la entidad de certificación autorizada que es una iniciativa particular de cada usuario del servicio; en segundo lugar, en la cadena de eventos involucrados en la emisión de certificados en relación con las firmas, está la decisión de la entidad de certificación de acceder a la prestación del servicio de emisión del certificado, procediendo en consecuencia a la emisión del mismo; en tercer lugar, la acción por medio de la cual un suscriptor ha aceptado un certificado que se da cuando la entidad de certificación, a solicitud de este o de una persona en nombre de este, lo ha guardado en un repositorio (Ley 527, art. 36, 1999).
Una vez guardado el certificado en el repositorio, este entra en vigencia, y salvo revocación, solicitada por el suscriptor o efectuada por la misma entidad de certificación, la entidad de certificación se encuentra sujeta a responsabilidad durante la vigencia del mismo.
También está contemplada la emisión de certificados con relación a la verificación respecto de la alteración entre el envío y recepción del mensaje de datos y de documentos electrónicos transferibles; en ambos supuestos, la certificación hace alusión a la actividad de las Entidades de Certificación con relación a la verificación del origen e integridad de los mensajes de datos y de los documentos electrónicos transferibles firmados electrónicamente.
Por último, otra actividad desarrollada en relación con la emisión de certificados está en relación con las personas que posean un derecho u obligación sobre mercancías o con arreglo a un contrato de transporte de mercancías[17]. En este supuesto, la ley hace alusión a la transferencia de derechos sobre mercancías, partiendo del supuesto de que las garantías de fiabilidad y autenticidad, son igualmente aplicables a los equivalentes electrónicos de los documentos de transporte y alcanzables a través de las actividades de certificación digital.
3.2.2. Los servicios de generación de los datos de creación de firmas electrónicas o digitales certificadas.
Los datos de creación de firma son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica. Un dispositivo de creación de firma es un programa o sistema informático que sirve para aplicar los datos de creación, por lo tanto, la entidad de certificación ejerce como actividad la aplicación de estos dispositivos bajo ciertas garantías establecidas en el artículo 7 de la Ley 527 de 1999, a saber:
a) Se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación.
b) Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado.
La fiabilidad de la firma depende de las circunstancias que rodean la generación de los datos de creación de la firma electrónica. La responsabilidad de la entidad de certificación viene dada en este caso en función de la implementación de sistemas de seguridad que no estén vigentes por la industria PKI[18], y que comprometan la seguridad de la firma.
En este sentido, las entidades de certificación tienen el deber de utilizar tecnología avanzada para la generación de los datos de la firma, pues en función de que los sistemas de información han de ser confiables, se les puede atribuir responsabilidad civil. Los sistemas de información utilizados para el ejercicio de las actividades de las entidades de certificación se considerarán confiables si satisfacen los estándares técnicos nacionales e internacionales vigentes que cumplan con los CEA que para el efecto establezca el ONAC[19].
Las entidades de certificación deberán contar con una infraestructura tecnológica y sistemas de seguridad, que permitan a los sistemas que cumplan las funciones de certificación, primero, solo ser utilizados con ese propósito y, por lo tanto, no poder realizar ninguna otra función; segundo, que todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de conformidad con los estándares nacionales e internacionales vigentes y con los criterios específicos de acreditación que para el efecto establece el ONAC.
3.2.3. Los servicios de registro y estampado cronológico en la generación, trasmisión y recepción de los mensajes de datos, así como de archivo y conservación de los mismos.
El registro y estampado cronológico es definido como el mensaje de datos firmado digitalmente y con sello de tiempo por una TSA que vincula a otro mensaje de datos con un momento de tiempo concreto, el cual permite establecer con una prueba que estos datos existían en ese momento y que no sufrieron ninguna modificación a partir del momento en que se realizó el estampado (ONAC, 2015).
3.2.4. Los servicios de registro, custodia, anotación, archivo y conservación de los documentos electrónicos transferibles.
En la Ley Modelo sobre Comercio Electrónico aprobada por la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (2006) se dio especial relevancia al transporte de mercancías, como la rama comercial en la que era más probable que se recurriera a las comunicaciones electrónicas, por lo que era asimismo aquella en la que se necesitaba que se facilitara el empleo de esos medios de comunicación.
En este sentido, la Ley sobre Comercio Electrónico reguló el comercio electrónico en materia de transporte de mercancías, y pensamos que por estas mismas razones, las entidades de certificación ofrecen los servicios de registro, custodia, anotación, archivo y conservación de los documentos electrónicos transferibles.
La Ley 527 de 1999 enuncian ciertas disposiciones que son, por igual, aplicables a los documentos de transporte no negociables y a la transferencia de derechos en las mercancías por medio de un conocimiento de embarque negociable o transferible y, además, las reglas enunciadas son aplicables no solo al transporte marítimo, sino también al transporte de mercancías por otros medios, tales como al transporte aéreo y al transporte por carretera y ferrocarril (Ley 527, arts. 26 y 27, 1999).
3.3. Responsabilidad derivada de la administración de los repositorios
Las claves de un criptosistema asimétrico para firma digital se denominan clave privada y clave pública. La clave privada es conocida solo por el signatario y se utiliza para la creación de la firma digital o la transformación de los datos en una forma ininteligible, y la clave pública es conocida y utilizada para verificar la firma digital o devolver el mensaje a su forma inteligible. Para que una clave pública y su correspondencia con un firmante específico se puedan utilizar fácilmente en una verificación, el certificado debe publicarse en un repositorio o difundirse por otros medios. Normalmente, los repositorios son bases de datos electrónicas de certificados y de otro tipo de información a los que se puede acceder y que pueden utilizarse para verificar firmas numéricas.
El artículo 3.4 del Decreto 333 de 2014 define los repositorios como sistemas de información utilizados para almacenar y recuperar certificados u otra información relacionada con los mismos. La experiencia y el manejo de las tecnologías de clave pública y los repositorios son factores para determinar el grado de fiabilidad de una entidad de certificación.
Conforme a lo anterior, el artículo 18 del Decreto 333 de 2014 establece una responsabilidad específica derivada de la administración de los repositorios. Al respecto, cuando las entidades de certificación contraten los servicios de repositorios, continuarán siendo responsables frente a sus suscriptores y terceros de buena fe, que hayan confiado en sus certificados.
Tanto así, que uno de los deberes de las entidades de certificación es garantizar el acceso permanente y eficiente de los suscriptores, usuarios y de terceros al repositorio, por ello, en el contexto de una inadecuada administración de los repositorios, aun cuando contraten los servicios de terceros, se le asigna responsabilidad civil a la entidad de certificación.
3.4. Responsabilidad derivada de la no revocación
La obligación general del prestador de servicios de certificación es utilizar, al prestar sus servicios, sistemas, procedimientos y recursos humanos fiables y actuar de conformidad con las declaraciones que haga respecto de sus normas y prácticas. Además, se espera que actúe con diligencia razonable para cerciorarse de que todas las declaraciones materiales que haya hecho con relación al certificado sean exactas y cabales. En el certificado, el prestador deberá proporcionar información fundamental que permita al tercero que haya de confiar en el certificado determinar si se ofrece un servicio de revocación oportuna del certificado. Por esta razón, se establece un deber para las entidades de certificación de mantener actualizado el registro de los certificados revocados.
Revocar el certificado es dejarlo sin efecto, esta revocación procede por solicitud del suscriptor a la entidad de certificación o por iniciativa de la propia entidad. El artículo 37 de la Ley 527[20] establece las diferentes causales de revocación de certificados.
Las entidades de certificación serán responsables de los perjuicios que se causen a terceros de buena fe por incumplimiento de esta obligación. Una vez cumplidas las formalidades previstas para la revocación, la entidad de certificación será responsable por los perjuicios que cause la no revocación.
Conclusiones
1. Las entidades de certificación en Colombia responderán por todos los perjuicios que causen en el ejercicio de sus actividades y por los perjuicios que puedan causar los prestadores de servicios utilizados por la entidad de certificación, contractualmente respecto a los suscriptores de los certificados y extracontractualmente respecto a los terceros de buena fe, ajenos a la relación, pero que con ocasión de la misma han resultado de alguna manera perjudicados, por haber confiado en los certificados.
2. La responsabilidad civil de la entidad de certificación está subordinada a la existencia de los elementos que la condicionan, estos son: culpa, daño y relación de causalidad. Respecto a la culpa, a la entidad de certificación le corresponde acreditar la diligencia debida en el empleo de las normas técnicas que rigen su labor fedante, pues involucra la protección a la confianza que la comunidad deposita en el empleo de los medios electrónicos de comunicación. Igualmente, las entidades de certificación asumen la calidad de “profesional”, situación que le atribuye competencias específicas que permiten hacerlas responsables por su omisión y en grado superior a lo que podría esperarse de un individuo cualquiera, donde el sujeto hipotético para calificar una conducta culposa es el buen profesional de la misma especialidad.
3. La entidad de certificación como “profesional” responde de forma amplia por el incumplimiento de obligaciones generales y específicas derivadas del ejercicio profesional, en principio como consecuencia de un vínculo contractual pero también obligaciones que deben ser cumplidas frente a las personas que confíen en los certificados, exista o no contrato de por medio.
4. La entidad de certificación responde de manera especial por la inadecuada administración de los repositorios, aun cuando contraten los servicios de terceros y, por los perjuicios que cause la no revocación, una vez cumplidas las formalidades previstas para la revocación.
Referencias
ABA. (1 de agosto de 1996). Digital signature guidelines. American Bar Association. Recuperado de http://www.americanbar.org/content/dam/aba/events/science_techno-logy/2013/dsg_tutorial.authcheckdam.pdf
Ángel, L. (2016, julio-diciembre). Autonomía de la voluntad, ¿decadencia o auge? Revista Verba Iuris, 11(36), 71-91. Recuperado de http://www.unilibre.edu.co/verbaiuris/36/autonomia-voluntad.pdf
Ariza, A. (2010). El factor de imputación de la responsabilidad profesional en la doctrina moderna. Revista de Derecho, (34), 306-342.
Arroyo, A. (2003). Los contratos a distancia en la Ley de ordenación del comercio minorista. Navarra: Aranzadi.
CNUDMI de las Naciones Unidas. (2006). Ley Modelo sobre Comercio Electrónico.
CNUDMI de las Naciones Unidas. (2009). Convenio de las Naciones Unidas sobre el Contrato de transporte internacional de mercancías total o parcialmente marítimo.
Cortés, E. (2009). La culpa contractual en el sistema jurídico latinoamericano. Bogotá: Universidad Externado de Colombia.
Cuellar, H. (1983). Responsabilidad civil extracontractual. Bogotá: Librería Jurídica Wilches.
Espinoza, F. M. (2007). El principio general de responsabilidad por culpa del derecho privado colombiano. Opinión Jurídica, 6(11).
Decreto 333. (19 de febrero del 2014). Por el cual se reglamenta el artículo 160 del Decreto-ley 19 de 2012. Diario Oficial n.° 49.069. Bogotá: Presidencia de la República. Recuperado de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=56767
Decreto 019. (10 de enero del 2012). Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Pública. Diario Oficial n.° 48.308. Bogotá: Presidencia de la República. Recuperado de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=45322
Duran, R. (2016, julio-diciembre). Reflexiones sobre derecho y transferencias electrónicas de fondos TEF en Colombia. Revista Verba Iuris, 11(36), 57-70. Recuperado de http://www.unilibre.edu.co/verbaiuris/36/Transferencias-electronicas.pdf
Le Tourneau, P. (2014). La responsabilidad civil profesional. Segunda edición. En J. T. Jaramillo (trad.) Bogotá: Legis.
Ley 527. (18 de agosto de 1999). Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. Diario Oficial n.° 43.673. Bogotá: Congreso de la República. Recuperado de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4276
Mantilla, F. (2007). El principio general de responsabilidad por culpa del derecho privado colombiano. Opinión Jurídica, 6(11), 129-150.
Martínez, G. (1988). La responsabilidad civil extracontractual en Colombia. Cuarta edición. Medellín: Biblioteca Jurídica Diké.
Mazeaud, L., Mazeaud, J., y Mazeaud, H. (1959). Lecciones de Derecho Civil. Primera edición. Buenos Aires: Ediciones Jurídicas Europa-América.
Mosset, J. (2001). Responsabilidad de los profesionales. Buenos Aires: Rubinzal Culzoni. Miranda, M. (2016, enero-junio). La regla o el principio de la selección objetiva en la contratación pública de Colombia. Revista Verba Iuris, 11(35), 65-84. Recuperado de http://www.unilibre.edu.co/verbaiuris/35/seleccion-objetiva.pdf
ONAC. (11 de agosto de 2015). Criterios específicos de acreditación de entidades de certificación digital, CEA-4.1-10 01. Organismo Nacional de Acreditación de Colombia. Recuperado de http://www.onac.org.co/anexos/documentos/CEAs/CEA-4%201-10%202015-02-02%20en%20consulta%20pública%20v%2001.pdf
Oviedo, J. (2009). Tratos preliminares y responsabilidad precontractual. En M. Bernal
Fandiño, y C. Jaramillo (). Tendencias de la responsabilidad civil en el siglo XXI, 624. Bogotá: Pontificia Universidad Javeriana.
Pantaleón, F. (1990). Causalidad e imputación objetiva: criterios de imputación. N. A. D. Civil, Centenario del Código Civil (1889-1989), tomo II, 1561-1592. Madrid: Centro de Estudios Ramón Areces.
Patiño, H. (2008). Responsabilidad extracontractual y causales de exoneración. Aproximación a la jurisprudencia del Consejo de Estado Colombiano. Revista de Derecho Privado, (14), 193-217.
Ribagorda, A. (2000). Curso de seguridad en redes de ordenadores e internet. Madrid: Universidad Carlos III de Madrid.
Roca , E., y Navarro, M. (2011). Derechos de daños. Textos y materiales. Sexta edición. Valencia: Tirant lo Blanch.
Santos, J. (2006). Instituciones de responsabilidad civil. Tomo III. Bogotá: Universidad Javeriana.
Sentencia C-219. (22 de abril del 2015). Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Pública. M.P. Mauricio González Cuervo. Bogotá: Corte Constitucional.
Sentencia C-1008. (9 de diciembre del 2010). Por medio de la cual se declaró la exequibilidad del inciso primero del artículo 1616 del Código Civil. M.P. Luis Ernesto Vargas Silva. Bogotá: Corte Constitucional.
Sentencia C-662. (8 de junio del 2000). Libertad informática, intercambio electrónico de informaciones, medios de comunicación, modernización, acceso a la información escrita y mensaje de d
[1] 1 Ley 527 de 1999, literal d). Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales;
[2] CEA-4.1-10 Versión 01
[3] La denominación Entidades de Certificación Digital, usada en los CEA y para todo el programa de acreditación, se establece con el fin de particularizar y diferenciar este tipo de organizaciones de los demás Organismos de Certificación que ONAC acredita.
[4] Código Civil. Artículo 2341. Responsabilidad Extracontractual. El que ha cometido un delito o culpa, que ha inferido daño a otro, es obligado a la indemnización, sin perjuicio de la pena principal que la ley imponga por la culpa o el delito cometido.
[5] Para Mantilla (2007) en el derecho colombiano, este supuestoprincipio general de responsabilidad por culpa ya no es tan general, puesto que su aplicación se ha venido restringiendo a causa de la proliferación de regímenes objetivos de indemnización de perjuicios, por cuanto la jurisprudencia y la doctrina han terminado por establecer un verdadero mito jurídico con el objeto de mantener la palabra ‘culpa’ en su discurso.
[6] Culpa y dolo. La ley distingue tres especies de culpa o descuido. Culpa grave, negligencia grave, culpa lata, es la que consiste en no manejar los negocios ajenos con aquel cuidado que aun las personas negligentes o de poca prudencia suelen emplear en sus negocios propios. Esta culpa en materias civiles equivale al dolo. Culpa leve, descuido leve, descuido ligero, es la falta de aquella diligencia y cuidado que los hombres emplean ordinariamente en sus negocios propios. Culpa o descuido, sin otra calificación, significa culpa o descuido leve. Esta especie de culpa se opone a la diligencia o cuidado ordinario o mediano. El que debe administrar un negocio como un buen padre de familia, es responsable de esta especie de culpa. Culpa o descuido levísimo es la falta de aquella esmerada diligencia que un hombre juicioso emplea en la administración de sus negocios importantes. Esta especie de culpa se opone a la suma diligencia o cuidado. El dolo consiste en la intención positiva de inferir injuria a la persona o propiedad de otro.
[7] Ver entre otras, Corte Constitucional, sentencia C 662/00, M.P. Dr. Fabio Morón Díaz; Corte Constitucional, sentencia C- 741/98, M.P. Alejandro Martínez Caballero.
[8]Decreto 333 de 2014. Artículo 16. Responsabilidad. Las entidades de certificación responderán por todos los perjuicios que causen en el ejercicio de sus actividades. La entidad certificadora será responsable por los perjuicios que puedan causar los prestadores de servicios a que hace referencia el artículo 12 del presente decreto, a los suscriptores o a las personas que confíen en los certificados.
[9] Sobre la ‘responsabilidad contractual’, es menester precisar que el Código de Bello, al igual que el Código Civil Francés, no consagra en forma expresa un verdadero sistema de responsabilidad civil por el incumplimiento de las obligaciones contractuales, sino que se limita a establecer, en su libro cuarto: “ De las obligaciones en general y de los contratos”, título XII (del efecto de las obligaciones), unas disposiciones que regulan la indemnización del daño emergente y el lucro cesante derivados del incumplimiento de obligaciones convencionales. Ahora bien, esto no significa, de ninguna manera, que la responsabilidad contractual no exista, como han pretendido algunos, sino solo que su estructuración se debe al trabajo emprendido por la jurisprudencia y la doctrina a partir del siglo XIX (Mantilla, 2007).
[10] Nos referimos al certificado emitido por una entidad de certificación acreditada que encaja en la definición de contrato contenida en el artículo 1495 del Código Civil, “contrato o convención es un acto por el cual una parte se obliga para con otra a dar, hacer o no hacer alguna cosa”, o en el artículo 864 del Código de Comercio, “contrato es un acuerdo de dos o más partes para constituir, regular o extinguir entre ellas una relación jurídica patrimonial”.
[11] Para los hermanos Mazeaud, la responsabilidad contractual es aquella que resulta del incumplimiento de una obligación nacida de un contrato. Cuando el contratante no cumple la obligación puesta a su cargo por el contrato, puede causar un perjuicio al otro contratante, acreedor de la obligación. En ciertas condiciones, está obligado a reparar ese perjuicio (Mazeaud, Mazeaud, y Mazeaud, 1959). Para Martínez (1988), la responsabilidad contractual es aquella que “nace para una persona que ocasiona un daño por el incumplimiento, demora o desconocimiento de determinadas obligaciones, adquiridas a través de un contrato o convención”.
[12] Los ejemplos han sido tomados de la Declaración de Prácticas de Certificación de las siguientes entidades de certificación: Andes Servicio de Certificación Digital SCD (https://www.andesscd.com.co), Sociedad Cameral de Certificación Digital Certicámara S. A. (https://web.certicamara.com/) y Entidad de Certificación Cerrada del Banco de la República (CA BANREP) (http://www.banrep.gov.co/contenidos/entidad-certificaci-n-cerrada-del-banco-rep-blica).
[13] Artículo 39. Son deberes de los suscriptores:
1. Recibir la firma digital por parte de la entidad de certificación o generarla, utilizando un método autorizado por esta.
2. Suministrar la información que requiera la entidad de certificación.
3. Mantener el control de la firma digital.
4. Solicitar oportunamente la revocación de los certificados.
Artículo 40. Los suscriptores serán responsables por la falsedad, error u omisión en la información suministrada a la entidad de certificación y por el incumplimiento de sus deberes como suscriptor.
[14] En este sentido, la entidad de certificación debe implementar los sistemas de seguridad para garantizar la emisión y creación de firmas digitales, la conservación y archivo de certificados y documentos en soporte de mensaje de datos; comprobar por sí solo o por medio de una persona diferente que actúe en nombre y por cuenta suya, la identidad y cualesquiera otras circunstancias de los solicitantes o de datos de los certificados, que sean relevantes para los fines propios del procedimiento de verificación previo a su expedición; mantener actualizado el registro de los certificados revocados; disponer de un canal de comunicación de atención permanente a suscriptores y terceros, que permita las consultas y la pronta solicitud de revocación de certificados por los suscriptores; capacitar y advertir a sus usuarios sobre las medidas de seguridad que deben observar y sobre la logística que se requiere para la utilización de los mecanismos que trata el Decreto 333 de 2014.
[15] Corregido por el artículo 4 del Decreto 2184 del 2012, “por el cual se corrigen yerros en la Ley 1480 del 12 de octubre del 2011”, artículo 49.
[16] En concordancia con el artículo 53 de la Ley 1480 de 2011, quien ponga a disposición una plataforma electrónica en la que personas naturales o jurídicas puedan ofrecer productos para su comercialización y a su vez los consumidores puedan contactarlos por ese mismo mecanismo, deberá exigir a todos los oferentes información que permita su identificación, para lo cual deberán contar con un registro en el que conste, como mínimo, el nombre o razón social, documento de identificación, dirección física de notificaciones y teléfonos. Esta información podrá ser consultada por quien haya comprado un producto con el fin de presentar una queja o reclamo y deberá ser suministrada a la autoridad competente cuando esta lo solicite.
[17] Una definición de contrato de transporte de mercancías se encuentra en el artículo 1 ordinal 1 del Convenio de las Naciones Unidas sobre el Contrato de Transporte Internacional de Mercancías Total o Parcialmente Marítimo. A los efectos del presente Convenio por “contrato de transporte” se entenderá todo contrato en virtud del cual un porteador se comprometa, a cambio del pago de un flete, a transportar mercancías de un lugar a otro. Dicho contrato deberá prever el transporte marítimo de las mercancías y podrá prever, además, su transporte por otros modos.
[18] PKI: Infraestructura de Llave Pública (Public Key Infraestructure): es el conjunto de hardware, software, políticas, procedimientos y elementos tecnológicos que, mediante la utilización de un par de claves criptográficas, una privada que solo posee el suscriptor del servicio y una pública, que se incluye en el certificado digital, logran: identificar al emisor de un mensaje de datos electrónico. • Impedir que terceras personas puedan observar los mensajes que se envían a través de medios electrónicos. • Impedir que un tercero pueda alterar la información que es enviada a través de medios electrónicos. • Evitar que el suscriptor del servicio de certificación digital que envió un mensaje electrónico pueda después negar dicho envío.
[19] Decreto 333, art. 4, 2014. Actualmente Decreto 1074 del 2015.
[20] Ley 527 de 1999. Artículo 37. El suscriptor de una firma digital certificada, podrá solicitar a la entidad de certificación que expidió un certificado, la revocación del mismo. En todo caso, estará obligado a solicitar la revocación en los siguientes eventos:
1. Por pérdida de la clave privada.
2. La clave privada ha sido expuesta o corre peligro de que se le dé un uso indebido. Si el suscriptor no solicita la revocación del certificado en el evento de presentarse las anteriores situaciones, será responsable por las pérdidas o perjuicios en los cuales incurran terceros de buena fe exenta de culpa que confiaron en el contenido del certificado. Una entidad de certificación revocará un certificado emitido por las siguientes razones:
1. A petición del suscriptor o un tercero en su nombre y representación.
2. Por muerte del suscriptor.
3. Por liquidación del suscriptor en el caso de las personas jurídicas.
4. Por la confirmación de que alguna información o hecho contenido en el certificado es falso.
5. La clave privada de la entidad de certificación o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado.
6. Por el cese de actividades de la entidad de certificación.
7. Por orden judicial o de entidad administrativa competente.
Licencia
Los autores mantienen los derechos sobre los artículos y por tanto son libres de compartir, copiar, distribuir, ejecutar y comunicar públicamente la obra bajo las condiciones siguientes:
Reconocer los créditos de la obra de la manera especificada por el autor o el licenciante (pero no de una manera que sugiera que tiene su apoyo o que apoyan el uso que hace de su obra).
Revista IUSTA está bajo una licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)
La Universidad Santo Tomás conserva los derechos patrimoniales (copyright) de las obras publicadas, y favorece y permite la reutilización de las mismas bajo la licencia anteriormente mencionada.
