® BuscaLegis.ccj.ufsc.br
O apagão do comércio eletrônico
no Brasil
Marcos da Costa
Augusto Tavares Rosa Marcacini*
1. Foi publicada na data de 29 de
junho a Medida Provisória nº 2.200, instituindo a
Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil.
A finalidade da ICP-Brasil vem descrita no art. 1º
daquela MP: "garantir a autenticidade, a integridade e a validade jurídica
de documentos em forma eletrônica, das aplicações de suporte e das aplicações
habilitadas que utilizem certificados digitais, bem como a realização de
transações eletrônicas seguras".
Logo, a MP não trata apenas de
documentos internos da própria administração federal: todos os documentos
emitidos de forma eletrônica passam a estar sujeitos às suas disposições.
Em reforço a essa afirmação,
transcreva-se o art. 12 da mesma MP, que afirma: "consideram-se documentos
públicos ou particulares, para todos os fins legais, os documentos eletrônicos
de que trata esta Medida Provisória".
2. Documento eletrônico é, em
termos singelos, aquele gerado por meio eletrônico, e que por esse mesmo meio
pode ser arquivado, recuperado ou transmitido. Ele vem substituir o papel nas
contratações realizadas por via eletrônica.
A grande preocupação inerente ao
documento não está em sua "validade jurídica", ou seja, se uma
contratação eletrônica terá ou não valor jurídico. O ato jurídico, salvo
exceções previstas em lei, como a compra e venda de um imóvel, que requer
escritura pública, independe de maiores formalidades.
Uma contratação pode ser inclusive verbal (arts 82 e
129 do Código Civil).
A questão jurídica controvertida
que o documento eletrônico tem nos apresentado está no seu valor probante, ou
seja, se será ou não admitido como prova do ato praticado, quando apresentado
Ambos os requisitos,
autenticidade e integridade, são supridos pelo uso da criptografia de chave
pública, que consiste basicamente em codificar documentos a partir de uma chave
de conhecimento restrito ao seu titular (chave privada), sendo possível
decodificá-lo a partir de uma chave correspondente, mas de conhecimento público
(chave pública). O sistema é simples, barato e eficiente. O conhecimento para implementar tais operações é de domínio público. E há
softwares gratuitos que podem ser obtidos na Internet, como, por exemplo - o
mais famoso deles - o PGP, gratuito para uso não comercial; ou o GnuPG, software livre compatível
com o primeiro; ou, ainda, o OpenSSL, outro software
livre que opera com o padrão comumente utilizado pelas certificadoras que já
existem no mercado.
O resultado da criptografia de
documentos utilizando a chave privada é denominado assinatura digital; sendo
possível decodificar com o uso de determinada chave pública, isto quer dizer
que a assinatura foi necessariamente codificada a partir da chave privada
correspondente. Sabendo-se quem é o titular desta chave pública, será conhecido
o titular da chave privada, ou seja, quem codificou o documento. Por outro
lado, qualquer alteração que um documento assinado venha a sofrer será acusada
quando se pretender conferir a assinatura. O próprio sistema de criptografia de
chave pública acusa a adulteração, dando como má a assinatura eletrônica.
3. Por outro lado, os sistemas de
criptografia de chave pública permitem que uma terceira pessoa certifique a
titularidade destas chaves, ou seja, afirme quem é o titular da chave pública.
Isto é feito assinando digitalmente a própria chave pública a ser certificada. Mutatis mutandis, é como o
reconhecimento de uma firma por cartório, ou o abono de assinatura por um banco.
Isto não é obrigatório no documento em papel, e não pode ser também no
documento eletrônico privado. Deveria ser uma opção das partes - de quem assina
digitalmente um documento e de quem o recebe - estabelecer se querem ou não que
as chaves públicas sejam certificadas.
Do ângulo técnico, a certificação
não agrega segurança alguma ao documento eletrônico. Esta segurança está ligada
exclusivamente ao fato de ter sido assinado pelo sistema de criptografia de
chave pública. Chaves não certificadas, ou auto-certificadas, funcionam do mesmo modo. A
certificação se relaciona apenas com a confiança que pode ser depositada acerca
da verdadeira titularidade daquela chave pública. Não é, pois, um pressuposto
do funcionamento do sistema.
Do ângulo jurídico, a eficácia da
certificação dependerá dos termos da lei, ou do contrato. Isto porque a
certificação não exige unicamente o uso de tecnologia: envolve, principalmente,
um procedimento (para afirmar-se que a chave pública é de titularidade de
alguém, é necessário conhecer-se essa pessoa, identificá-la ou, até mesmo,
produzir provas físicas de que esta pessoa reconhece a chave como sua) e um
conteúdo (há certificações que apenas declaram que não existe outra chave
relacionada à mesma pessoa e mesmo endereço eletrônico, sem que se garanta que
a chave pertença mesmo a esta pessoa). Mais ainda: pressupõe definição de
responsabilidades pela emissão de um certificado. Qual a responsabilidade de
uma empresa ao certificar a chave pública de alguém? A lei deveria dizê-lo.
E, no artigo 12, fica
estabelecido que o documento deverá estar ajustado à ICP-Brasil, ou seja, que tenha sido assinado com chaves
certificadas por uma certificadora credenciada. Assim sendo, a exigência de
certificação das chaves utilizadas para gerar uma assinatura digital passaria a
ser da essência do ato praticado (art. 130 do Código Civil).
Isto, do ângulo técnico, cria uma
distorção, pois, como já dito, a certificação da chave não é essencial à
segurança do documento eletrônico, nem é requisito de funcionamento do sistema.
Sob o aspecto econômico, a
obrigação da certificação é inaceitável: burocratiza o comércio eletrônico,
além de agregar-lhe os custos da certificação. Sem contar a provável formação
de monopólio das entidades certificadoras credenciadas.
Do ângulo jurídico, isto se
constitui em verdadeira aberração: nosso Código Civil, em vigor desde 1917,
permite contratações verbais! Mas a nova medida provisória aponta para a
exigência de forma especial, caso a contratação - mesmo a
compra de um mero CD - se faça por meio eletrônico. Isto porque, reitere-se,
confunde valor de prova com "validade jurídica".
Mas mesmo que o texto queira se
referir apenas ao valor do documento eletrônico como prova,
o certificado não deveria ser essencial, e assim têm sido entendido por praticamente
todas as legislações estrangeiras recentes. A Diretiva da Comunidade Européia
determina que "não se negue eficácia jurídica, nem admissibilidade como
prova em processos judiciais, à assinatura eletrônica pelo mero fato de que:
(...) não se baseie em um certificado reconhecido, ou não se baseie em um
certificado expedido por um provedor de serviços de certificação credenciado
(...)" (art. 5º, item 2). O nosso Código de
Processo Civil admite qualquer meio de prova, ainda que não especificado na lei
(art. 332), desde que idôneo e moralmente legítimo. O projeto OAB, que tramita
na Câmara sob nº 1589/99, estabelecia que qualquer
meio de prova é hábil a provar a titularidade das
chaves públicas, exceto a prova exclusivamente testemunhal.
A imposição de certificação,
portanto, não faz o menor sentido, quando se trata de relações privadas e
comerciais, representando um entrave aos negócios e um retrocesso na nossa
legislação civil, comercial e processual.
4. Ainda mais grave, porém, é
que, ao mesmo tempo em que a MP institui um novo requisito formal de validade
de um documento, inclusive de natureza privada, ela simplesmente não traz
nenhum elemento desse requisito: não diz como serão os certificados, qual o
procedimento para certificação, que requisitos deverá
preencher quem quiser atuar como entidade certificadora, ou qual a
responsabilidade destas entidades.
Simplesmente nomeia um Comitê
Gestor da ICP-Brasil, formado majoritariamente pelo
Poder Executivo Federal, a quem competirá expedir toda a regulamentação dos
mais variados aspectos, destacando-se (art. 5º): adotar as medidas necessárias
e coordenar a implantação e o funcionamento da ICP-Brasil
(inc. I); estabelecer a política, os critérios e as normas para licenciamento ds AC, das AR e dos demais
prestadores de serviços de suporte à ICP-Brasil (inc.
II); estabelecer a política de certificação e as regras operacionais da AC Raiz
(inc. III); estabelecer diretrizes e normas para a formulação de políticas de
certificados (inc. V); aprovar políticas de certificados e regras operacionais,
licenciar e autorizar o funcionamento das AC e das AR (inc. VI); atualizar,
ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a
atualização tecnológica do sistema e a sua conformidade com as políticas de
segurança (inc. VIII).
Não se trata, como se pode
perceber, de conferir ao dito Comitê tão somente a
atribuição de regulamentar aspectos técnicos. Os poderes atribuídos pela medida
provisória implicam em delegar ao Comitê função tipicamente legislativa,
estabelecendo os elementos formais de validação do ato jurídico. É de se
duvidar, por isso, da constitucionalidade da referida MP 2.200. A propósito do
Comitê, aliás, merece destaque o fato de que o mesmo "será assessorado e
receberá apoio técnico" do CEPESC, órgão ligado à Abin,
sucessora do SNI. Será que uma compra de CD na internet é tão importante para a
segurança nacional do país, que precisa ser regulado por órgão assessorado e
apoiado tecnicamente pelo CEPESC? E quais as verdadeiras implicações disto, em
face da segurança privada dos cidadãos e das empresas? Tal fato não encontra
paralelo em regimes verdadeiramente democráticos, colocando o país ao lado da
Rússia, onde o uso da criptografia depende de autorização prévia da FAPSI,
sucessora da KGB, da China, onde os nacionais não podem utilizar criptografia,
ou ainda Irã, Iraque, Mongólia, Paquistão, Vietnã, países onde não se pode
dizer que os direitos fundamentais sejam exemplarmente respeitados (fonte: Relatório "Criptografia e Liberdade 2000", Electronic Privacy Information Center (disponível
em: http://www2.epic.org/reports/crypto2000/countries.html).
Destaque-se que as legislações
européias que criaram alguma entidade credenciadora central
diferem diametralmente do texto desta MP, vez que, definindo na lei a forma de
certificação, requisitos e responsabilidade da certificadora, atribuem a esta
entidade central tão somente funções administrativas, fiscalizadoras, jamais
funções normativas; ademais, o credenciamento é opcional, podendo a entidade
certificadora particular atuar sem este "alvará"; e, mais importante,
a própria certificação das chaves não é requisito obrigatório para a validade
do ato jurídico praticado, ou da eficácia probatória do registro eletrônico com
que o ato foi documentado.
Quanto a este aspecto da validade
dos atos praticados por meio eletrônico, fica difícil prever o estrago que esta
medida provisória mal formulada, entrando em vigor imediatamente, pode causar
na sociedade. Será que as contratações eletrônicas que têm sido cotidianamente
efetuadas terão validade a partir do dia 29 de junho, já que a ICP-Brasil, apesar de criada pela MP, ainda demorará até
ser implantada? E na esfera pública? Terá validade jurídica a
publicação de uma lei, encaminhada ao D.O. em formato eletrônico, se não
preencher os requisitos ainda não estabelecidos pelo Comitê?
5. Ponto que merece ser
questionado refere-se aos limites da intervenção do Estado na atividade
econômica. Pelo que se vê nesta MP, a União está reservando para si o monopólio
da certificação eletrônica (para não dizer o monopólio da verdade...), vez que
somente certificados que "descendam" do certificado-raiz da
autoridade federal estarão aptos a produzir efeitos jurídicos. Não consta que a
Constituição Federal autorize tal monopólio.
A expedição e gerenciamento de
certificados criptográficos, por si só, tem se configurado uma atividade
econômica explorada por particulares; aliás, uma atividade bastante lucrativa.
Além disso, o uso de certificados pode se relacionar a alguma outra atividade
principal exercida pelo agente econômico no meio eletrônico.
Esta intervenção indevida pode
significar um engessamento da atividade econômica praticada por via eletrônica,
bem como um desnecessário aumento de custos.
E, a depender das regras que o
Comitê vier a estabelecer - já que a MP lhe passa um cheque em branco -
corre-se o risco da formação de cartéis da certificação, ou mesmo do monopólio
de algumas poucas empresas, notadamente as que já têm atuado no mercado. Este
meio já tem apresentado tendências monopolistas acentuadas, além de práticas
atentatórias contra a livre concorrência (como a distribuição de alguns
certificados-raiz juntamente com browsers ou sistemas
operacionais) e a MP somente colabora para centralizar ainda mais esta
atividade. E, mais do que estabelecer o monopólio, ainda se cria uma
"reserva de mercado", na medida em que todos os documentos
eletrônicos precisariam ser assinados por chaves certificadas, obrigando-se a
população, pois, a utilizar estes serviços.
6. Destaque-se que existem três
Projetos de Lei no Congresso Nacional pretendendo regular a mesma matéria
objeto da MP 2200 (Os PLs
1483/99 e 1589/99 na Câmara, que já foram objeto de Substitutivo do Relator, e
o PLS 672/99, do Senado Federal, já aprovado no Senado Federal e que se
encontra na Câmara dos Deputados). Os três projeto vêm sendo
objeto de intenso debate na sociedade. Numerosíssimos
foram os seminários, palestras e congressos realizados para debatê-los.
Diversas foram as audiências públicas no Congresso
Nacional. A imprensa, desde sua propositura, vem divulgando
quase que diariamente manifestações de todos os setores envolvidos. A
velocidade com que os três projetos vêm tramitando é impressionante, se
considerarmos todos os aspectos jurídicos, técnicos e econômicos envolvidos com
o comércio eletrônico.
Todos esses esforços foram
simplesmente desconsiderados por aquela MP, redigida em gabinetes fechados sem
qualquer relação com o perfil daquelas três propostas, ou com os reclamos já
manifestados por toda a sociedade brasileira.
7. Diga-se, mais uma vez, que do ponto de vista técnico, não há a menor necessidade de criação de uma ICP-Brasil para que documentos eletrônicos possam servir como prova. Uma infra-estrutura assim só faz sentido se implantada internamente à Administração Pública, como já se determinou, a partir de decreto presidencial que criou a ICP do Governo Federal. Extrapolar isso para esferas de poder diversas - estadual e municipal - já seria uma aberração. Obrigar o país todo a seguir este padrão centralizador - a ser ditado por burocratas do governo - é uma norma totalmente insana. Preparem-se: vai faltar energia também no comércio eletrônico do país!
Marcos da Costa. Advogado.
Presidente da Comissão de Informática do Conselho Federal da OAB. Conselheiro e
Presidente da Comissão de Informática Jurídica da OAB-SP.
Augusto Tavares Rosa Marcacini. Advogado. Vice-presidente da Comissão Especial
de Informática Jurídica da OAB-SP e Coordenador da Subcomissão de Certificação
Eletrônica. Mestre e Doutor em Direito pela Faculdade de Direito da USP.
Professor de Direito Processual Civil da Universidade São Judas Tadeu.
Disponível em: http://www.marcosdacosta.adv.br/
Acesso em: 27 outubro. 05.