A assinatura eletrônica

Dentro do tema da equivalência de suportes, merece especial atenção a questão da assinatura dos documentos. Com efeito, a possibilidade de atribuir os atos a quem é seu autor constitui, em geral, um requisito da atividade jurídica409. Essa função de autenticação é tradicionalmente desempenhada pela assinatura manuscrita ou autógrafa, que proporciona alguma certeza sobre a participação de uma determinada pessoa no ato, vinculando-a ao conteúdo do documento410. Dessa maneira, por exemplo, a assinatura é capaz de transformar uma simples minuta, ainda sem valor para o direito, em um ato jurí- dico411.

No contexto digital, o equivalente funcional da assinatura manuscrita, destinado a resolver problemas criados pela utilização de meios informáticos, desde que

408 _{Para F}

ÁBIO ULHOA COELHO,no ordenamento brasileiro “não existe nenhuma norma expressa preceituan- do que a validade, eficácia e executividade do documento eletrônico são idênticas à do papelizado”. Há, assim, segundo o autor, uma lacuna que deve ser suprida pela aplicação do art. 4º da Lei de Introdução ao Código Civil, invocando, como princípio geral de direito, o princípio da equivalência funcional. “O princípio da equivalência funcional pode e deve ser invocado pelos Juízes para a superação dessa lamentável lacuna” (cf.op. cit., p. 44). No entanto, assim dispõe o art. 225 do Código Civil: “As reproduções fotográficas, cine- matográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão”. Nesse sentido, a questão poderia ser mais de distribuição de ônus da prova do que de reconheci- mento da validade jurídica do documento eletrônico. Mesmo assim, seria preciso considerar que a exatidão do documento, caso impugnada, deve ser analisada de acordo com as regras atuais da experiência, que, hoje, incluem a compreensão dos meios eletrônicos e seus requisitos.

409

Cf. DUNI, Giovanni, Teleamministrazione, cit., item 2.3. 410 _{Cf. M}

AGÁN PERALES, José María Aristóteles, op. cit., p. 95. O Código Civil brasileiro, por exemplo, assim prescreve: “As declarações constantes de documentos assinados presumem-se verdadeiras em relação aos signatários” (art. 219).

411 _{Cf. D}

observados determinados requisitos, é a assinatura eletrônica412. Trata-se de um método informático capaz de realizar outras funções além daquelas atribuídas à firma tradicio- nal413, assegurando não só a autoria, mas a integridade do documento eletrônico414.

Assim como ocorre no uso dos meios tradicionais, há diferentes níveis de controle de autenticidade, devendo haver alguma proporcionalidade entre a atividade que se pretende realizar por meios eletrônicos e o nível de segurança exigido415. Sem dúvida, há uma diferença considerável entre comprar um jornal – o que nem exige identificação – e adquirir um bem imóvel – o que normalmente deve ser feito por escritura pública416. Isso se verifica também no caso do governo eletrônico, havendo várias hipóteses em que não é necessário garantir a autenticidade e integridade do documento digital, pois os efeitos jurí- dicos dele advindos são bastante restritos417. Por outro lado, deve ser respeitado o anoni- mato em todas as solicitações que não necessitem de identificação, sendo excessivo exigir que o usuário se identifique, por exemplo, para solicitar informações disponíveis para qualquer interessado418.

412 _{Cf. M}

AGÁN PERALES, José María Aristóteles, op. cit., p. 95 e VALERO TORRIJOS, Julián, SANZ LARRUGA, Francisco Javier, E-administración, identificación del ciudadano y protección de datos personales en la Unión Europea: ¿una ecuación posible?, disponível em http://www.apdcat.net/media/191.pdf, acesso em 27.08.10, p. 2.

413 _{Cf. L}

INARES GIL,Maximino Ignacio,Identificación y autenticación de las administraciones públicas, cit., p. 287; LINARES GIL, Maximino Ignacio, Modificaciones del Régimen Jurídico Administrativo derivadas del empleo masivo de nuevas tecnologías, cit., p. 731 e MAGÁN PERALES, José María Aristóteles, op. cit., p. 95. 414

Cf. LINARES GIL, Maximino Ignacio, Modificaciones del Régimen Jurídico Administrativo derivadas del empleo masivo de nuevas tecnologías, cit., p. 737. No mesmo sentido, cf. PONTI, Benedetto, op. cit., pp. 69- 70. Ainda sobre as funções adicionais da assinatura eletrônica, cf. também CIAMPI, Isabella D‟Elia, op. cit.,

p. 1681. 415

Cf. VALERO TORRIJOS, Julián, La gestión y conservación del documento administrativo electrónico, cit., p. 43; JINESTA LOBO, Ernesto, op. cit., p. 9 e MARTÍN DELGADO, Isaac, Los derechos de los ciudadanos ante la administración electrónica, in VVAA, La protección de datos en la Administración Electrónica, Pamplo- na, Aranzadi, 2009, p. 166, e, de deste último autor, Identificación y autenticación de los ciudadanos, cit., p. 365.

416 _{Cf. L}

INARES GIL, Maximino Ignacio, Modificaciones del Régimen Jurídico Administrativo derivadas del empleo masivo de nuevas tecnologías, cit., p. 732.

417 _{Cf. M}

ARTÍN DELGADO, Isaac, Los derechos de los ciudadanos ante la administración electrónica, cit., pp. 166-167.

418 _{Essa preferência pelo anonimato, sempre que possível, tem sido denominada princípio da segurança gra-} duada pela doutrina francesa (cf. SAURET, Jacques, Efficacité de l'administration et service à l'administré: les enjeux de l’administration électronique, in Revue française d'administration publique, n. 110, Paris, E- NA, 2004, pp. 291 e ss., fazendo referencia ao entendimento adotado pela Comission Nationale de l’Informatique e des Libertés, em seu 24e rapport d’activité 2003, p. 80, cujo texto está disponível em http://lesrapports.ladocumentationfrancaise.fr/cgi-bin/brp/telestats.cgi?brp_ref=044000252&brp_file=0000.pdf, acesso em 18.06.2011).

Todavia, embora haja operações que não exigem a identificação comple- ta da pessoa419, o relacionamento com a Administração, muitas vezes, não pode ocorrer de forma anônima420. É possível distinguir, assim, entre os serviços, aqueles que são de livre acesso e os que estão condicionados à identificação do interessado421. No caso destes últi- mos, é importante garantir que a pessoa que se comunica com a Administração é quem diz ser422. Nesse sentido, o desenvolvimento do governo eletrônico depende de alguma segu- rança na identidade daqueles que se relacionam com o Poder Público423. Além disso, é pre- ciso assegurar a autenticidade dos atos praticados pelos servidores públicos, de forma a garantir sua imputação ao respectivo órgão; caso contrário, resta inviabilizada a atividade administrativa424. Por tais razões, a assinatura eletrônica constitui um importante instru- mento para a difusão das novas tecnologias no âmbito da Administração425.

O efeito representativo da proveniência do documento, proporcionado pela assinatura eletrônica, não se realiza de modo direto, mas por meio da intermediação da máquina426. Assim, a assinatura autógrafa e eletrônica são realidades ontologicamente di- versas, pois a primeira é resultado de um ato humano, ao passo que a segunda decorre de um procedimento informático427. Nesse sentido, os mecanismos destinados à garantia da

419

Cf. TRUDEL, Pierre, op. cit., p. 46. 420 _{Cf. V}

ALERO TORRIJOS, Julián, SANZ LARRUGA, Francisco Javier, E-administración, identificación del ciudadano y protección de datos personales en la Unión Europea, cit., p. 1; JINESTA LOBO, Ernesto, op. cit., p. 13 e PIÑAR MAÑAS, José Luis, op. cit., p. 65.

421

Cf. CAMMAROTA, Giuseppe, Servizi pubblici in rete e applicabilità dei principi classici del servizio pub- blico, cit., p. 191.

422 _{Cf. O}

CHOA MONZÓ, Josep, Hacia la ciberadministración y el ciberprocedimiento?, cit., p. 165. 423 _{Cf. G}

UARNACCIA,Elio, Evoluzione del ruolo della firma digitale nel dialogo tra cittadino e P.A., in Qua- derni del DAE – Rivista di Diritto Amministrativo Elettronico, jul. 2004, disponível em http://www.cesda.it/quadernidae/index.php, acesso em 15.12.2010, p. 1 e PIÑAR MAÑAS, José Luis, op. cit., p. 65.

424 _{Cf. M}

ARTÍN DELGADO, Isaac, Naturaleza, Concepto y Régimen Jurídico de la Actuación Administrativa Automatizada, cit., p. 362. Assim já foi apontado: “Desmaterialização e assinatura eletrônica são duas faces da mesma medalha, no sentido em que não pode haver desmaterialização da atividade jurídica se não houver técnicas que assegurem a possibilidade de atribuir o documento e, portanto, o ato, ao seu autor” (DUNI, Gio- vanni, L'amministrazione digitale, cit., p. 19, tradução livre).

425

Cf. CRESPO RODRÍGUEZ, Miguel, Firma Electrónica y Administración Electrónica, in MATEU DE ROS, Rafael, LÓPEZ-MONÍS GALLEGO, Mónima, Derecho de Internet: La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Cizur Menor, Aranzadi, 2003, p. 714.

426

Cf. MASUCCI, Alfonso, Il documento amministrativo informatico, cit., pp. 30-31. No mesmo sentido, CIAMPI, Isabella D‟Elia, op. cit., p. 1681.

427 _{Cf. M}

ASUCCI, Alfonso, Procedimento amministrativo e nuove tecnologie, Torino, G. Giappichelli, 2011, pp. 74-75. Também apontando tal diferença, cf. MARCACINI, Augusto Tavares Rosa, Certificação eletrônica, sem mitos nem mistérios, in Revista do Advogado, n. 69, São Paulo, AASP, mai. 2003, p. 109.

referida equivalência funcional são denominados assinatura eletrônica por mero costume terminológico428.

A firma eletrônica não se confunde com a mera impressão do nome do autor do documento, nem com a assinatura digitalizada429. Esta última seria uma reprodu- ção da imagem da assinatura de uma pessoa, que pode ser aposta em um documento ele- trônico com finalidade apenas estética. A imagem digitalizada de uma assinatura manuscri- ta não é válida para fins de autenticação por não oferecer segurança a respeito de quem assinou o documento, pois qualquer pessoa pode escanear uma assinatura e reproduzi-la em um ato ou mensagem430.

Embora haja muitos métodos para autenticação de documentos informá- ticos, que podem ser denominados assinaturas eletrônicas, nem todos eles proporcionam adequadas condições de segurança431. Os mecanismos de autenticação simples – baseada em controles tradicionais de usuário e senha –, por exemplo, muitas vezes são insuficien- tes, na medida em que um terceiro pode efetuar adulterações e manipulações com relativa facilidade432. Tal insegurança é inadmissível nos casos em que há necessidade de controlar de modo rigoroso a vinculação de um documento ao seu autor.

Procurando alcançar níveis apropriados de segurança, um método especí- fico alcançou maior difusão, em razão de suas qualidades técnicas433. Trata-se do sistema de assinaturas eletrônicas baseado na criptografia assimétrica, que passou a ser adotado por diversas legislações do mundo, inclusive a brasileira, como o meio mais adequado para dar

428 _{Cf. D}

UNI, Giovanni, L'amministrazione digitale, cit., p. 18. 429 _{Cf. D}

UNI, Giovanni, Teleamministrazione, cit., item 2.3. 430

Cf. MAGÁN PERALES, José María Aristóteles, op. cit., p. 96 e MARCACINI, Augusto Tavares Rosa, op. cit., p. 110.

431 _{Cf. M}

AGÁN PERALES, José María Aristóteles, op. cit., p. 104. 432

Cf. BAUZÁ MARTORELL, Felio José, Procedimiento Administrativo Electrónico, cit., pp. 55-56. No mesmo sentido, VALERO TORRIJOS, Julián, La gestión y conservación del documento administrativo electrónico, cit., pp. 44-45.

433 _{Cf. L}

INARES GIL, Maximino Ignacio, Modificaciones del Régimen Jurídico Administrativo derivadas del empleo masivo de nuevas tecnologías, cit., p. 731.

ao documento eletrônico as mesmas características funcionais oferecidas pelo papel434. Tendo em vista a importância de tal mecanismo, cabe explicar, de modo sintético, como ele funciona, até mesmo para permitir a compreensão dos conceitos adotados pelo direito positivo pátrio435.

A criptografia constitui um processo reversível de codificação de mensa- gens436. Como o documento eletrônico consiste em uma sequência numérica, compreensí- vel pela máquina, ele pode ser codificado por meio do uso de um código secreto, denomi- nado chave criptográfica437. A aplicação dessa chave por um software gera uma nova se- quência numérica, que pode ser decodificada de modo semelhante. Quando a mesma chave é usada para codificar e decodificar o documento, fala-se em criptografia simétrica; quan- do são usadas chaves diferentes em tais operações, a criprografia é assimétrica438.

Os métodos baseados na criptografia simétrica não oferecem segurança suficiente para garantia de autenticidade e integridade, pois aquele que deve ter acesso ao documento precisa dispor da mesma chave utilizada para codificá-lo, podendo alterá-lo como se fosse seu autor439. Além disso, é necessário que duas pessoas compartilhem o co-

434 _{Na Europa, a utilização de tal método de assinatura eletrônica foi prevista pela Diretiva 1999/93/CE do} Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, que pretendia uniformizar as regras legais dos países membros da União Europeia em matéria de assinatura eletrônica (texto disponível em http://eur-

lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:013:0012:0020:PT:PDF). Tal texto já trazia um

conceito genérico de assinatura eletrônica (art. 2º, 1) e um conceito específico, de assinatura eletrônica avan- çada, entendida como aquela dotada de mecanismos específicos de segurança (art. 2º, 2). Sobre o tema, cf. PONTI, Benedetto, op. cit., pp. 74-75. Seguindo tal distinção, Itália e Espanha adotaram o conceito genérico de assinatura eletrônica, aplicável a qualquer mecanismo de autenticação, e a noção de assinatura digital, que seria aquela baseada em mecanismos de criptografia assimétrica, atribuindo efeitos jurídicos plenos so- mente a esta última. Tal distinção é adotada por este estudo para a definição da terminologia adotada em relação a cada método de assinatura. Tratando do assunto, cf. DUNI, Giovanni, L'amministrazione digitale, cit., pp. 20 e 27; LINARES GIL,Maximino Ignacio, Identificación y autenticación de las administraciones públicas, cit., p. 288 e Modificaciones del Régimen Jurídico Administrativo derivadas del empleo masivo de nuevas tecnologías, cit., p. 732; MERLONI,Francesco,La documentazione amministrativa digitalizzata, cit., p. 98 e OROFINO,Angelo Giuseppe,Forme elettroniche e procedimenti amministrativi, cit., pp. 84-88. 435

No Brasil, o tema é disciplinado pela Medida Provisória n. 2200/01, que instituiu a Infraestrutura de Cha- ves Públicas Brasileira – ICP Brasil, adotando expressamente a sistemática da criptografia assimétrica para assegurar a autenticidade e integridade dos documentos digitais. Para uma explicação mais detida, cf. MAR- CACINI, Augusto Tavares Rosa, op. cit., pp. 108-114.

436 _{Cf. S}

TAIR, Ralph M., REYNOLDS, George W., op. cit., p. 274. 437 _{Cf. L}

AUDON, Kenneth C., LAUDON, Jane P., op. cit., p. 474. 438 _{Cf. M}

ACHADO, Robson, op. cit., pp. 29 e 36. 439 _{Cf. B}

nhecimento dessa chave, o que nem sempre pode ser feito de modo seguro, sobretudo pela internet440.

Já a criptografia assimétrica utiliza um par de chaves: a primeira, reser- vada ao autor do documento, é chamada chave privada. A outra, divulgável para conheci- mento de todos, é denominada chave pública. É impossível deduzir uma a partir da outra, mas elas estão relacionadas matematicamente entre si, de maneira que a cada chave pública corresponde uma chave privada e vice-versa. A codificação feita com o uso de uma delas só pode ser desfeita pelo uso da outra. As técnicas de criptografia assimétrica foram inici- almente desenvolvidas para fins de sigilo: neste caso, a mensagem codificada com o uso de uma dada chave pública só pode ser lida pelo titular da respectiva chave privada, o que impede o acesso por terceiros441.

No entanto, a técnica passou a ser também usada de modo reverso, com o propósito de garantir a autenticidade e integridade dos documentos442. Isso ocorre com o auxílio de uma operação denominada hash, que produz um resumo da mensagem a ser assinada, também conhecido como impressão digital do documento443. Tal resumo é codi- ficado com o uso da chave privada daquele que pretende assinar o documento, gerando um arquivo informático, que passa a acompanhar o documento eletrônico444. Esse arquivo é a assinatura digital. Qualquer mínima variação no conteúdo do documento acarreta uma mu- dança de sua impressão digital e da assinatura que seria obtida ao aplicar de novo sobre ele a chave privada445.

Qualquer pessoa pode verificar a autenticidade e integridade do docu- mento, por meio de uma confrontação entre ele e a assinatura digital que o acompanha. São comparados, na verdade, dois resumos: o primeiro, obtido por meio do mesmo procedi- mento de hash, aplicado ao documento a ser conferido; o segundo, obtido pela decodifica-

440

Cf. MACHADO, Robson, op. cit., p. 33-34. 441 _{Cf. M}

ARCACINI, Augusto Tavares Rosa, op. cit., p. 110. 442 _{Cf. ibidem, p. 110.}

443

Cf. UNCITRAL, Model Law on Electronic Signatures with Guide to Enactment, New York, United Nations, 2002, disponível em http://www.uncitral.org/pdf/english/texts/electcom/ml-elecsig-e.pdf, acesso em 29.12.2010, p. 23.

444 _{Cf. P}

ONTI, Benedetto, L’informatica nelle pubbliche amministrazioni, cit., p. 72. 445 _{Cf. M}

ção da assinatura eletrônica, usando a chave pública do assinante. Se há identidade entre ambos os resumos, isso significa que o documento foi gerado com o uso daquela chave privada. Se, depois da aposição da assinatura, ele foi modificado, tal procedimento de veri- ficação não terá êxito446.

A chave privada constitui um arquivo eletrônico, gravado em um suporte físico que se encontra na posse do seu titular – v.g., um computador pessoal ou um disposi- tivo móvel de armazenamento de dados. O acesso a esse arquivo, intermediado por um

software, pode ser controlado por uma senha, de conhecimento do titular, ou mesmo por

um mecanismo biométrico447. Em vista da exclusividade da chave privada, garantida pela combinação dessas técnicas, presume-se que somente o seu titular é capaz de produzir o arquivo que possa ser decodificado com a chave pública correspondente448. Se a assinatura digital é conferida com a chave pública, é absolutamente certo que o documento foi produ- zido por alguém que tinha a posse da chave privada e que ele não foi alterado após isso449. No mecanismo de assinatura eletrônica baseado na criptografia assimé- trica, a autenticação depende da possibilidade de estabelecer um vínculo seguro entre uma pessoa e um determinado par de chaves criptográficas. Isso é necessário porque, se a assi- natura manuscrita está vinculada intrinsecamente a um indivíduo, o mesmo não ocorre com as chaves criptográficas, sequências numéricas que podem estar relacionadas a qualquer pessoa450. Por isso, é necessário que um terceiro seja responsável por registrar um determi- nado par de chaves em nome de uma pessoa. Também cabe a um terceiro dar publicidade à chave pública e informar, a pedido de quem interessar, em nome de quem ela está registra- da.

446 _{Cf. M}

ASUCCI, Alfonso, Il documento amministrativo informatico, cit., p. 30. 447

Cf. BAUZÁ MARTORELL, Felio José, Procedimiento Administrativo Electrónico, cit., p. 69 e MARONE, Umberto, op. cit., pp. 83-84.

448 _{Cf. M}

ARCACINI, Augusto Tavares Rosa, op. cit., pp. 110-111. 449 _{Cf. ibidem, pp. 111-112.}

450 _{Cf. M}

O atestado de que uma chave pública corresponde a uma pessoa é deno- minado certificado digital451. A principal função do certificado é, portanto, associar a iden- tidade de uma pessoa determinada a uma chave pública e, indiretamente, a uma chave pri- vada452. Em vários países, incluindo o Brasil, as entidades responsáveis pela certificação são organizadas de modo hierárquico, de acordo com uma sistemática denominada infraes- trutura de chaves públicas453. Nesse regime, a autenticidade do certificado digital é verifi- cada por meio da atuação de um prestador de serviços de certificação de nível superior, repetindo-se a operação até chegar o certificador final, responsável pelo sistema. Assim, o sistema de assinaturas digitais exige uma infraestrutura ampla e complexa, no qual as auto- ridades certificantes operam sob normas estritas predeterminadas454.

A assinatura digital é baseada em uma lógica de presunções, porque não é possível saber quem estava utilizando o computador quando se deu a assinatura455. O fato de um documento estar acompanhado de uma firma digital só garante que a chave privada utilizada está registrada em nome daquela pessoa, mas não é capaz de assegurar que foi a própria pessoa que efetuou a assinatura. De fato, enquanto a firma manuscrita é intransfe- rível, a chave privada é transferível a terceiros, de forma voluntária ou não456. Assim, há o risco de que ela seja usada por outra pessoa, sem consentimento de seu titular457 – por e- xemplo, é possível que uma pessoa falecida assine um documento458. Por isso, a chave privada deve ser zelosamente custodiada por seu titular, que responde pelas eventuais ope-

451 _{Cf. M}

ASUCCI, Alfonso, Il documento amministrativo informatico, cit., pp. 31-32. Assim também já se escreveu: “O certificado eletrônico é um documento eletrônico assinado digitalmente, que declara a identida- de de alguém e lhe atribui a titularidade de uma chave pública” (MARCACINI, Augusto Tavares Rosa, op. cit., p. 112). O mesmo autor aponta que a certificação eletrônica deve ser entendida como um assunto subordina- do ao estudo dos documentos eletrônicos e das assinaturas digitais, que são os verdadeiros temas principais da matéria (ibidem, p. 111). De fato, o tema da certificação digital tem assumido grande importância nos estudos contemporâneos, mas deve ser entendido sempre como um aspecto relevante situado no âmbito do estudo das assinaturas e documentos eletrônicos. No mesmo sentido, MACHADO, Robson, op. cit., p. 12. 452 _{Cf. D}

ELPIAZZO, Carlos E., op. cit., p. 196 e MASUCCI, Alfonso, Il documento amministrativo informatico, cit., p. 31. O certificado pode ser revogado, quando não for mais possível vincular a pessoa à chave privada (v.g., perda do dispositivo onde ela está gravada, comunicada à entidade responsável pela certificação). 453

Cf. UNCITRAL, op. cit., p. 26. A Medida Provisória n. 2200/01, que disciplina o tema no Brasil, cria Infra- estrutura de Chaves Pública brasileira, composta por uma autoridade gestora e uma cadeia de autoridades certificadoras, organizadas de modo hierárquico (art. 2º).

454

Cf. MAGÁN PERALES, José María Aristóteles, op. cit., p. 98. 455 _{Cf. P}

ONTI, Benedetto, op. cit., p. 73. 456 _{Cf. B}

AUZÁ MARTORELL, Felio José, Procedimiento Administrativo Electrónico, cit., pp. 29-30.