EMI n^o 00053/2002-MJ/CCivil-PR/AGU

Brasília, 14 de outubro de 2002.

            Excelentíssimo Senhor Presidente da República,

            Submete-se à elevada consideração de Vossa Excelência projeto de lei com o propósito de disciplinar o uso de assinaturas eletrônicas e a prestação de serviços de certificação.

2.         A Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, instituída a partir da edição da Medida Provisória n^o 2.200-2, de 24 de agosto de 2001, é hoje uma realidade consolidada. Constitui exitosa iniciativa de estruturação e regulação dos serviços de certificação digital no País. Deve-se asseverar, contudo, que a Medida Provisória n^o 2.200-2, de 2001, embora de capital importância, consagrou texto normativo de escopo restrito. Limitou-se, em linhas gerais, a estabelecer estrutura administrativa adequada à prestação satisfatória desses serviços.

3.         Algumas questões ainda estão a reclamar tratamento legislativo adequado, tais como a responsabilidade civil das prestadoras de serviços de certificação, os procedimentos a serem observados na hipótese de falência de uma certificadora e o valor jurídico dos certificados emitidos no exterior. O presente projeto de lei tem por objetivo colmatar estas lacunas, inserindo a legislação brasileira dentre as mais modernas do mundo. Sob esta perspectiva, o projeto encontra inspiração nas principais leis sobre assinatura eletrônica do mundo, em especial na Diretiva 1999/93/CE aprovada pelo parlamento europeu em 13 de dezembro de 1999.

4.         Desse modo, em seu art. 2º a proposta enfeixa várias definições de elementos técnicos como assinatura eletrônica, certificado, dispositivo seguro de criação de assinatura, chave de verificação de assinatura, chave de criação de assinatura. Acolhe-se, ademais, nesse dispositivo, as categorias de assinatura eletrônica e assinatura eletrônica qualificada, bem como as de certificado e certificado qualificado. Objetiva-se, além de precisar os termos técnicos adotados no texto proposto, compatibilizar terminologias, conceitos e categorias com a legislação estrangeira.

5.         Contempla o projeto concretização – no âmbito da certificação digital – do princípio constitucional da livre iniciativa insculpido no parágrafo único do art. 170 da Constituição Federal. Nesse sentido, consagra o art. 3º que a prestação de serviços de certificação não se sujeita à prévia autorização pelo Poder Público. Fica estabelecido, segundo o texto, um regime de livre competência na área da certificação digital.

6.         A proposição, de outra parte, empresta disciplina legislativa mais detalhada ao credenciamento de prestadores de serviços de certificação na ICP-Brasil. Arrolam-se, nesse sentido, vários critérios técnicos e operacionais a serem observados pelas prestadoras de serviços de certificação que se submeterem ao processo de credenciamento na ICP-Brasil (p.ex. dispor de profissionais de comprovada qualificação, assegurar que seus órgãos de registro realizem a identificação e o cadastramento dos usuários mediante a sua presença física, possuir sistema de proteção de dados adequado de modo a impedir o uso indevido de informações e documentos, etc...).Segundo a exposição de motivos que acompanha a Diretiva 1999/93/CE aprovada pelo Parlamento Europeu, os regimes de credenciamento visando níveis mais elevados na oferta de serviço podem proporcionar aos prestadores de serviços de certificação o quadro adequado para desenvolverem os seus serviços de modo a atingirem os níveis de confiança, segurança e qualidade exigidos por este mercado em evolução. Tais regimes devem encorajar o desenvolvimento de boas práticas entre os prestadores de serviços de certificação. Em caso de inobservância superveniente dos requisitos técnicos e operacionais exigidos para o credenciamento, cancelar-se-á, na forma do §4º do art. 5º, o ato de credenciamento, sem prejuízo da aplicação outras sanções.

7.         Cumpre esclarecer que inexiste antinomia entre o regime de livre competência na prestação dos serviços de certificação (art. 3º) e a previsão de um sistema de credenciamento (art. 5º). A disciplina legal proposta – na esteira do que já dispõe a Medida Provisória n^o 2.200-2/2001 – atribui caráter eminentemente voluntário ao credenciamento na ICP-Brasil. Conforme o texto do projeto, é lícito à certificadora não-credenciada prestar serviços de certificação digital. Caso preencha os requisitos exigidos para o credenciamento, poderá, se assim entender conveniente, requerê-lo a qualquer tempo.

8.         Constitui decorrência do credenciamento a emissão de certificado ao prestador de serviços de certificação pela Autoridade Certificadora Raiz – AC Raiz da ICP-Brasil ou por prestadora de serviços de certificação já credenciada. Trata-se de procedimento técnico de segurança e confiabilidade do sistema decorrente do processo de credenciamento, prática comum nos países mais desenvolvidos no setor de certificação digital. É o que se depreende da Seção 16 da Lei da Alemanha (Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften vom 16. Mai 2001, BGBl. I, S. 876 – veröffentlicht am 21. Mai 2001), do art. 18, item 5 da Lei de Portugal (Decreto-Lei nº290-D/99, publicado no Diário da República nº178, Série I-A, em 02 de agosto de 1999), do §13 da Lei da Áustria (Bundesgesetz über elektronische Signaturen –Signaturgesetz-SigG, Ausgegeben am 19. August 1999), do art. 18 da Lei da Índia (The information technology act, 2000 – nº21 of 2000, on the 9^th june, 2000), e do art. 41 da Lei de Singapura (Electronic Transactions Act, 1998 – nº25 of 1998, on 3^rd july, 1998).

9.         Do credenciamento de que trata o art. 5º do projeto também deriva a atribuição do selo de qualidade da ICP-Brasil e o uso da designação “Prestador de Serviços de Certificação Credenciado, conforme o disposto no art. 7º do projeto. O uso do selo e da designação importa em revelar que os serviços de certificação foram testados, auditados, fiscalizados e aprovados técnica e operacionalmente, presumindo-se seguros e confiáveis. Tais procedimentos em face do processo de credenciamento encontram inspiração na Seção 15 da Lei alemã de assinatura eletrônica (Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften vom 16. Mai 2001, BGBl. I, S. 876 – veröffentlicht am 21. Mai 2001).

10.       O credenciamento de prestadores de serviços de certificação, na forma do §3º do art. 5º do projeto, poderá ser limitado no tempo e a determinados tipos de certificados. Daí decorre que somente os certificados contemplados pelo ato de credenciamento serão considerados certificados qualificados, na forma definida no art. 2º, VII.

11.       Assegura, de outro lado, o texto do projeto o mesmo valor jurídico e probante da assinatura manuscrita à assinatura eletrônica avançada (cf. art. 4º, caput e §1º). A assinatura eletrônica avançada constitui, na forma do inciso II do art. 2º, a assinatura eletrônica que: (a) esteja associada inequivocamente ao seu titular, permitindo sua identificação; (b) seja produzida por dispositivo seguro de criação de assinatura; (c) esteja baseada em certificado qualificado válido à época de sua aposição; e (d) esteja vinculada ao documento eletrônico a que diz respeito, de tal modo que qualquer alteração subseqüente no conteúdo desse seja plenamente detectável. Tais requisitos para a configuração de uma assinatura eletrônica avançada conferem-lhe a segurança e a confiabilidade necessárias, sobretudo porque terá por base certificado qualificado, emitido por prestador de serviços de certificação devidamente credenciado.

12.       Quanto aos atos da vida civil em que a legislação exige forma especial – principalmente os sujeitos aos serviços de que trata a Lei n^o 8.935, de 18 de novembro de 1994 –, o projeto estabelece que, na hipótese de serem formalizados em meio eletrônico, devem ser assinados mediante a aposição de assinatura eletrônica avançada. Trata-se de medida que visa manter a segurança e certeza na realização de tais atos, tanto do ponto de vista jurídico – forma especial – quanto do ponto de vista tecnológico – assinatura eletrônica avançada. Além disso, tais atos, ao serem realizados sob forma especial, normalmente produzem efeitos contra terceiros. Faz-se necessário, portanto que – para que obrigue terceiros – a assinatura eletrônica utilizada tenha, por força de lei, o mesmo valor que a assinatura manuscrita.

13        Não se nega, porém, efeitos jurídicos à assinatura eletrônica que não observe todas as exigências de uma assinatura eletrônica avançada. Segundo o §3º do art. 5º, a assinatura eletrônica não será excluída como meio de prova em virtude de se apresentar em forma eletrônica, de não estar baseada num certificado qualificado ou de não ter sido gerada através de dispositivo seguro de criação de assinatura, desde que admitida pelas partes como válida ou aceita pela pessoa a quem foi oposta. A assinatura eletrônica produz, fica evidente, efeitos jurídicos condicionados à vontade das partes, ou seja, desde que haja concordância entre as pessoas envolvidas, qualquer mecanismo ou tecnologia de assinatura eletrônica pode ser válida como meio de comprovação de autoria de documentos em forma eletrônica. Nesse sentido, também orienta-se a Diretiva 1999/93/CE aprovada pelo Parlamento Europeu quando dispõe, em sua exposição de motivos, que não é necessário um quadro regulamentar para as assinaturas eletrônicas utilizadas exclusivamente no âmbito de sistemas fechados que assentam em acordos voluntários de direito privado entre um número determinado de participantes; a liberdade de as partes acordarem entre si os termos e condições em que aceitam dados assinados eletronicamente deve ser respeitada, dentro dos limites permitidos pela lei nacional; as assinaturas eletrônicas utilizadas no âmbito de tais sistemas deverão produzir efeitos legais e ser admitidas como meio de prova em processos judiciais.

14.       Instaura-se assim um regime dual relativamente ao valor jurídico e probante das assinaturas eletrônicas. De um lado há a assinatura eletrônica avançada que produz, por força da lei,os mesmos efeitos jurídicos de uma assinatura manuscrita. De outro, tem-se a assinatura eletrônica a que não se pode recusar valor jurídico e probante, desde que admitida pelas partes como válida ou aceita pela pessoa a quem foi oposta. Nesse caso, seu valor jurídico deriva da vontade das partes. Esta disciplina dual do valor jurídico da assinatura eletrônica encontra inspiração no art. 5º da Diretiva 1999/93/CE aprovada pelo Parlamento Europeu e adotada na legislação de diversos países.

 15.       Em seu art. 8º, o projeto estabelece o dever dos prestadores de certificação de informar os usuários acerca das medidas de segurança para o uso de assinaturas eletrônicas e para a verificação confiável das mesmas, através do fornecimento de documento explicativo. Exige-se também, na forma dos §§ 1º e 2º do texto proposto, além da prestação de informações sobre o valor jurídico das assinaturas eletrônicas, que o par de chaves de assinatura seja gerado sempre pelo próprio titular, e que sua chave de criação de assinatura seja de seu exclusivo controle, uso e conhecimento. Cabe ressaltar que o uso, controle ou conhecimento da chave de criação de assinatura de uma pessoa por outra permite que esta assine documentos em nome daquela. Tal princípio de exclusividade constitui, portanto, postulado basilar de qualquer sistema confiável de certificação digital.

16.       Disciplina, de outra parte, o projeto as causas de revogação de certificados por uma prestadora de serviços de certificação. O art. 9º determina que se revogue um certificado, (I) mediante solicitação do seu titular, ou representante constituído; (II) caso o certificado tenha sido emitido com base em dados falsos; (III) caso o prestador de serviços de certificação tenha encerrado suas atividades sem que fossem prosseguidas por outro prestador de serviços de certificação; (IV) por determinação da AC Raiz da ICP-Brasil, caso o prestador de serviços de certificação seja credenciado na forma do art. 5º; e (V) em outros casos definidos em regulamento e nas normas complementares a esta Lei.

17.       No art. 10, define-se as responsabilidades das prestadoras de serviços de certificação. Nesse sentido, responderá a certificadora (I) diretamente pelos danos a que der causa, (II) solidariamente, pelos danos a que der causa os prestadores de serviços de certificação por ele diretamente certificados, bem como os órgãos de registro e os prestadores de serviços de suporte a ela vinculados. Os certificados digitais permitem, ademais, que conste de suas extensões restrições relativas ao uso do certificado, inclusive em relação aos valores das transações eletrônicas nas quais pode ser utilizado. Desse modo, admite-se que, caso o certificado contenha restrições, a prestadora de serviços de certificação responda no limite das dessas restrições (cf. parágrafo único do art. 10). Sobre a responsabilidade das certificadoras aplica-se, ademais, na forma do §3º do art. 15 da presente proposta, a legislação de defesa do consumidor.  

18.       O art.11 do projeto dispõe sobre os procedimentos a serem observados na hipótese de encerramento das atividades de uma prestadora de serviços de certificação. Admite-se, nesse caso, dois tipos de procedimentos. O primeiro corresponde à sucessão de uma certificadora por outra. O outro procedimento importa na revogação dos certificados emitidos e gerenciados pela prestadora de serviços de certificação. Em ambas as hipóteses, a certificadora que encerrará suas atividades, ainda que por motivo de falência ou liquidação extrajudicial, deverá comunicar o procedimento adotado (I) às pessoas a quem tenha emitido certificados que estejam em vigor; e (II) à AC Raiz da ICP-Brasil, caso seja credenciada. Na hipótese de encerramento das atividades de prestadora de serviços de certificação credenciada em que inocorra sucessão por outra, os documentos relativos aos certificados emitidos serão repassados à AC Raiz da ICP-Brasil (cf. §3º do art. 11).

19.                   Por sua vez, os arts. 12 e 13 estabelecem critérios técnicos a serem observados pelos componentes de aplicação de assinatura e pelos componentes técnicos para serviços de certificação. Tratam-se de requisitos que garantem a eficácia e o correto uso de certificados digitais e assinaturas eletrônicas.

20.                   O texto proposto, segundo o parágrafo único do art. 14, permite que os certificados emitidos no exterior produzam, no Brasil, os mesmos efeitos de um certificado qualificado, desde que expressamente admitido por tratados e acordos internacionais. Os certificados estrangeiros que não sejam contemplados por acordos internacionais têm, no país, o mesmo valor jurídico e probante dos certificados de que trata o art. 2º, inciso VII, do projeto.

21.                   Na hipótese de infração do disposto nesta lei, propõe-se a sujeição do responsável à multa variável entre cinqüenta mil a um milhão de reais, na forma do regulamento (cf. art.15). A fiscalização e imposição de penalidades às entidades credenciadas fica sob a responsabilidade da AC Raiz da ICP-Brasil. O regulamento, sob este prisma, disporá sobre (I) a aplicação de outras medidas administrativas cabíveis em caso de infração lei e sobre (II) a possibilidade de supervisão da AC Raiz em relação aos demais prestadores de serviços de certificação, nos moldes do supervisory scheme adotado em vários países.

22                    O projeto contempla ainda alguns comandos normativos que cuidam da compatibilização do atual regime jurídico – notadamente a Medida Provisória nº2.200-2, de 24 de agosto de 2001 – e a disciplina constante desta proposta (cf. arts. 17 e 19). Delega-se à regulamentação a disciplina do uso de certificação na emissão de passaportes, de documentos de identidade, de carteiras de habilitação de condutores de veículos, de certificados de registros de veículos e em outras aplicações, bem como sobre a emissão de certificados de atributos.

                        Essas, Excelentíssimo Senhor Presidente da República, as razões que nos fazem submeter, à Vossa elevada consideração, o anexo projeto de lei.

Respeitosamente,