Artigos

Assinatura eletrônica no âmbito da Administração Pública

Lauro Rutkowski*

1. Síntese 
O presente artigo tem como objetivo investigar a validade jurídica de documentos com chancelas eletrônicas no âmbito da Administração Pública.  Após exame da legislação pertinente ao tema, concluiu-se que a validade jurídica dos documentos não poderá ser contestada se forem adotados procedimentos, técnicas e práticas da Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil) do Instituto Nacional e Tecnologia da Informação (ITI).  A aposição de assinaturas obtidas por scanners ou simples “carimbos eletrônicos” obtidos por diversos meios de informática não conferem ao documento presunção absoluta de validade diante de terceiros.

2. A assinatura digital
 A assinatura digital é uma seqüência de letras e números que acompanham os dados de identificação das partes envolvidas na produção de um documento eletrônico (entendido como conjunto de dados organizados e armazenado em banco de dados, passível de conferência por terceiros na tela do computador ou de transposição para outras mídias, como CDs, disquetes e papel).
Um determinado documento produzido por João, por exemplo, trará uma informação alfanumérica única (XXXCCC309303), por exemplo, e os dados de João (nome, sobrenome, matrícula, órgão de lotação), bem como dia e horário em que o documento foi considerado pronto pelo seu autor. Essas informações são inalteráveis e permanecem armazenadas no computador de João e nas máquinas das pessoas que tiveram contato com a mensagem, bem como no banco de dados da instituição.
A seqüência alfanumérica é o resultado do processo matemático de criptografia (“embaralhamento” da mensagem por fórmulas matemáticas baseadas em algoritmos) e jamais se repete. É o oposto da assinatura analógica, que, para ser reconhecida como válida, precisa ser exatamente igual ao longo do tempo.
A assinatura só é introduzida no documento se as partes da comunicação detiverem conhecimento de duas senhas. É o chamado par de chaves. O emissor tem uma senha que só ele conhece (a sua chave privada) e uma senha conhecida por todos os envolvidos na comunicação (a chamada chave pública). O destinatário, da mesma forma, tem a sua senha (chave privada, diferente da do emissor) e a chave pública (igual à do emissor). Na Administração Pública, por exemplo, cada usuário teria duas chaves: uma pública (da Administração Pública) e outra sigilosa (a sua senha secreta). Seria, mal comparando, como se tivéssemos duas senhas de login para acessar o Outlook Express.
O texto é cifrado com o uso das duas chaves. Ao enviar um texto para alguém por e-mail, por exemplo, o remetente deve digitar, em campo próprio, os dados da chave pública e, em seguida, preencher outro espaço com as letras e números da sua chave privada. Em alguns sistemas, a chave pública fica automaticamente gravada no campo próprio, dispensando a necessidade de digitação. O texto é decifrado da mesma forma pela qual foi cifrado. O destinatário, ao receber a mensagem, utilizará a chave pública e a sua chave privada para ter acesso ao conteúdo original da mensagem.
A assinatura digital fica de tal modo vinculada ao documento eletrônico “subscrito” que, diante da menor alteração neste, a assinatura se torna inválida. Ou seja, há geração de uma mensagem alertando que o documento sofreu violação e não é autêntico, idêntico ao enviado pelo remetente.
A técnica da assinatura digital permite verificar a autoria do documento e sua incolumidade no tempo – como se fosse, por analogia, um cartório que autentica assinaturas analógicas (as assinaturas tradicionais).

3. O modelo de certificação brasileiro
As Autoridades Certificadoras seriam os “cartórios” mencionados acima. São elas as responsáveis pela geração da chave privada de cada indivíduo de determinada instituição e pela obtenção da chave pública junto à Autoridade Certificadora Raiz (o Instituto Nacional de Tecnologia da Informação - ITI -, autarquia federal vinculada à Casa Civil da Presidência da República que detém a competência para conferir o status de Autoridade Certificadora a entidades públicas e privadas). A lista de Autoridades Certificadoras é grande (vide Anexo I). Tanto a Autoridade Certificadora Raiz (o “cartório dos cartórios”) quanto as Autoridades Certificadoras (os “cartórios” propriamente ditos) seguem normas padronizadas e conferem a seus clientes certificados que podem ser visualizados nos documentos produzidos .
A ICP-Brasil é justamente esse conjunto de técnicas, práticas e procedimentos que estabelecem os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em pares de chaves (senhas). No modelo brasileiro, conforme descrição acima, há uma chave pública (senha pública) e uma chave privada (senha personalíssima). A Autoridade Certificadora credenciada pelo ITI tem o verdadeiro papel de conferir autenticidade e originalidade aos documentos produzidos em determinado sistema, emitindo, expedindo, distribuindo, revogando e gerenciando os certificados, bem como colocando à disposição dos usuários listas de certificados revogados e outras informações pertinentes em banco de dados próprio.
As Autoridades Certificadoras credenciadas são auditadas pela Autoridade Certificadora Raiz (o ITI) antes de iniciarem seus serviços. A auditoria verifica se as exigências das normas da ICP-Brasil são integralmente cumpridas e só depois há o credenciamento das Autoridades Certificadoras. Após o credenciamento, persiste o dever de as Autoridades Certificadoras cumprirem todas as obrigações assumidas.
Cada Autoridade Certificadora possui uma Autoridade de Registro (AR), entidade operacionalmente vinculada, a quem compete identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados e manter registros de suas operações. A Autoridade de Registro é, digamos assim, o braço operacional da Autoridade Certificadora no que tange à coleta de informações necessárias para a atribuição de chaves pública e privada. É a Autoridade de Registro que coleta os dados dos usuários de um determinado sistema para a alimentação do banco de dados da Autoridade Certificadora, a responsável pela atribuição das chaves.
Em síntese, há três figuras:
a) AC Raiz – responsável por gerar chave pública, credenciar ACs e auditar as ACs;
b) AC – responsável por gerar chave privada, receber informações dos usuários das ARs e emitir certificados para contratantes de que os documentos produzidos em determinada entidade seguem as normas da ICP-Brasil;
c) AR – responsável por coletar os dados dos usuários de forma a assegurar que cada assinatura corresponda a um determinado indivíduo.

4. Legislação pertinente
18. A segurança das comunicações eletrônicas foi objeto do Decreto n.º 3.505, de 13 de junho de 2000, que instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Um segundo passo foi a edição do decreto 3.587, de 5 de setembro de 2000, que estabeleceu normas para a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal (ICP-Gov). Nele ficou definido que a criptografia utilizaria duas chaves matematicamente relacionadas, na qual uma delas é pública e a outra é privada, para a criação de assinatura digital.
19. Em 27 de julho de 2001, a Medida Provisória 2.200-1 instituiu o ICP-Brasil, que possibilitou a habilitação de instituições públicas e organismos privados para atuarem na validação jurídica de documentos produzidos, transmitidos ou obtidos sob a forma eletrônica. Com essa medida passou-se a dispor de alternativa para realizar eletronicamente transações que até agora não se podiam fazer e exigiam registros em papel escrito para adquirirem validade.

5. Validade jurídica dos documentos eletrônicos

a) Validade erga omnes
Os documentos com assinaturas criptografadas criadas em procedimentos certificados nos padrões da ICP-Brasil são presumidamente autênticos em relação às partes e a terceiros – conforme a medida provisória n.º 2.200/01, que será objeto de análise mais detalhada na seção seguinte.
A validade jurídica foi conferida a esses documentos porque o legislador considerou seguros e indevassáveis os registros eletrônicos assinados digitalmente com base nos padrões da ICP-Brasil. Essa presunção de inviolabilidade decorre da avançada tecnologia de geração da assinatura digital.
O documento eletrônico, lato sensu, pode ser entendido como a representação de um fato concretizada por meio de um computador e armazenado em formato específico. capaz de ser visualizado mediante o emprego de programa apropriado (como Microsoft Word e Excel). Um exemplo de documento eletrônico lato sensu é o e-mail gerado no âmbito do outlook da Administração Pública.
Embora possa se argumentar que o e-mail, em tese, é juridicamente válido porque só é possível produzi-lo e enviá-lo com um login específico, o seu conteúdo nãotem, pela medida provisória em vigor, status de documento juridicamente válido erga omnes, justamente por não ter sido gerado em um procedimento certificado nos moldes da ICP-Brasil. 
Pela MP, o e-mail seria considerado um documento eletrônico com validade jurídica relativa, se e somente se reconhecida pelas partes envolvidas na sua produção ou pelos terceiros que assim o desejarem – conforme se verá em seguida.
A leitura da MP é esclarecedora:
“Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.
§ 1º As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil. ”
Observe-se que terceiros são todos aqueles não vinculados à Administração Públicaa – como os servidores dos órgãos de controle externo. Verifica-se, com leitura atenta do trecho do parágrafo 2.º do art, 10 sublinhado, que a validade jurídica do documento em relação a terceiros depende de aceitação desses terceiros quando não se utiliza tecnologia amparada pela ICP-Brasil. Ou seja, será preciso obter dos órgãos de controle externo, formalmente, a aceitação de que os documentos gerados no âmbito da Administração Pública são, a priori, autênticos
Como último ponto do tópico, ressalte-se que as assinaturas digitais – sempre devidamente certificadas por ACs e coletadas por ARs dentro do padrão do ITI -  têm sido amplamente utilizadas por tribunais e cartórios dentro do esforço de vários órgãos públicos de acelerar a tramitação de documentos, de forma a prestar melhores serviços e reduzir o imenso volume de papel arquivado. Ou seja, a inexistência de suporte material manipulável (papel) não é considerado empecilho para a autenticação de informações contidas em bancos de dados de órgãos que atestam a veracidade dessas informações (os notários) ou as utilizam para decidir litígios importantes (os magistrados).  
b) Validade relativa (dependente de aceitação de partes e de terceiros)
O texto final da Medida Provisória nº 2.200-02, de 24 de agosto de 2001, após alterações sofridas em duas reedições, evidencia que a validade jurídica de documentos eletrônicos não está necessariamente vinculada à certificação oficial da ICP-Brasil, mas há ressalvas a serem feitas, conforme se verá com a leitura do parágrafo 2.º do art. 10.
“§ 2º O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.” (sublinhou-se)
O trecho destacado no segundo parágrafo coloca condicionantes para a aceitação plena do documento (registro eletrônico) em relação a terceiros. Ou seja, restringe sua validade erga omnes.
Entre as partes, não resta dúvida de que a validade provém única e exclusivamente de um acordo de vontades materializado em documento: se um determinado prestador de serviço concorda em assinar eletronicamente um contrato armazenado no banco de dados da Administração Pública e aceita que a Administração Pública também proceda dessa forma, apondo assinatura eletrônica ao contrato, há certeza de que as vontades convergentes produziram ato jurídico válido. Embora momentaneamente possa existir suporte material tangível (papel), certamente há um registro escrito potencialmente materializável em papel no banco de dados de computadores.
Há três condições básicas para a validade jurídica relativa do registro entre as partes: a certeza de que ambas foram devidamente representadas, a convicção de que o documento é inalterável por terceiros e a confiança de que o registro não se perderá com o passar do tempo .
Os documentos certificados conformidade com a IPC-Brasil possuem, por presunção legal, esses três requisitos. Os não certificados, por sua vez, não gozam dessa presunção absoluta.
c) Risco de utilização de assinaturas digitalizadas
33. Outro detalhe relevante para a validade jurídica dos documentos gerados no âmbito da Administração: a utilização de imagens de assinaturas dos usuários não gera presunção de autenticidade dos documentos. A explicação é dada pelo ITI:
“Necessário distinguir assinatura digital da assinatura digitalizada. A assinatura digitalizada é a reprodução da assinatura autógrafa como imagem por um equipamento tipo scanner. Ela não garante a autoria e integridade do documento eletrônico, porquanto não existe uma associação inequívoca entre o subscritor e o texto digitalizado, uma vez que ela pode ser facilmente copiada e inserida em outro documento.”

6. Classes de certificados
Os certificados são classificados em três classes (quanto ao grau de segurança e origem).
Os certificados digitais classe 1 são emitidos para indivíduos e servem apenas para confirmar o endereço de correio eletrônico de determinado usuário em uma troca de e-mails. Não são, individualmente, aplicáveis ao Sicac.
Os certificados classe 2 são mais sofisticados, pois checam as informações da assinatura digital com outras, armazenadas em diversos bancos de dados. Há um processo de conferência on-line e automatizado que compara o nome, endereço e outras informações pessoais do candidato que constam na solicitação de identidade (coletadas pela Autoridade de Registro) com informações contidas em bancos de dados amplamente consultados (Serasa, por exemplo). Se os números de CPF ou identidade, por exemplo, não forem iguais, o documento não recebe assinatura digital.
Os certificados de classe 3 são os mais relevantes para o Sicac, pois só são emitidos com o comparecimento pessoal do usuários a determinada a Autoridade de Registro. Na autoridade de registro, os indivíduos são fotografados, têm digitais colhidas e apresentam os principais documentos.

6. Conclusão
Diante do exposto, recomenda-se aos órgãos e entidades da Administração Pública o estudo de três opções.
A primeira alternativa é a contratação de entidades públicas ou privadas oficialmente credenciadas pelo ITI para a implantação de certificação digital das comunicações via Sicac. O órgão ou entidade teria de contratar uma Autoridade Certificadora (responsável por gerar as senhas a serem usadas pelos usuários do Sicac) e uma Autoridade de Registro (encarregada de levantar os dados necessários para a personalização das senhas de cada usuários).
A segunda alternativa a merecer análise é a abertura de processo pelo qual o órgão ou entidade da Administração Pública venha a adquirir o status de Autoridade de Registro. Desta forma, o órgão ou entidade ficaria encarregadpode uma parte do processo (o levantamento dos dados necessários para a personalização das senhas dos usuários de um determinado sistema interno de comunicação eletrônica) e contrataria junto a terceiro (Autoridade Certificadora) o processo de geração de senhas. 
A terceira alternativa é a abertura de processo pelo qual o órgão ou entidade de natureza pública venha a obter a condição de Autoridade Certificadora e Autoridade de Registro, responsabilizando-se autonomamente pela validade dos documentos produzidos, submetendo-se diretamente ao ITI, sem intermediação de terceiros.
Embora a legislação admita a utilização de meios de comprovação da autoria e integridade de documentos em forma eletrônica não diretamente vinculados à ICP-Brasil, a adoção de soluções tecnológicas amparadas pelo ITI daria plena validade jurídica aos documentos gerados na Administração Pública em relação a terceiros (efeito erga omnes).

* Advogado, pós-graduando em Direito Registral e Notarial, foi assessor da diretoria da Agência Nacional de Energia Elétrica (Aneel) e Especialista em Regulação da Agência Nacional de Telecomunicações (Anatel)

Quintanilha, Rezende & Rutkowski

Centro Empresarial Brasília
Setor de Rádio e Televisão Sul, Quadra 701, Conjunto D, Bloco B, Sala 433 - Asa Sul
 Brasília, Distrito Federal
 CEP 70.340- 907

Telefone: (61) 4501-8281 
Fax: (61) 4501-8282