I. DOCUMENTO ELETRÔNICO
Por documento entende-se a "coisa representativa de um fato" (Moacyr Amaral Santos). Nesta idéia, o termo "coisa" pode ser reputado como fundamental ou essencial e indicativo, ou não, da presença de algo material. O afastamento da materialidade por ser obtido pela mitigação da forma, assumindo importância decisiva o aspecto funcional do registro do fato. Por outro lado, a palavra em questão pode ser tomada no sentido de "tudo o que existe" ou "realidade absoluta (por oposição a aparência, ou representação)".
Assim, o documento eletrônico pode ser entendido como a representação de um fato concretizada por meio de um computador e armazenado em formato específico (organização singular de bits e bytes), capaz de ser traduzido ou apreendido pelos sentidos mediante o emprego de programa (software) apropriado. (1)
A partir do conjunto normativo aplicável (2) (3) e mesmo das considerações acerca da materialidade do documento são encontradas duas correntes jurídicas quanto à existência e validade dos chamados documentos eletrônicos (4). Uma delas, sustenta a impossibilidade jurídica do documento eletrônico. A outra, admite a existência e a validade dos documentos eletrônicos. Esta última desdobra-se em duas vertentes: a que admite o documento eletrônico como realidade jurídica válida por si e a que somente aceita o documento eletrônico com o atendimento de certos requisitos, dada a sua volatilidade e a ausência de traço personalíssimo de seu autor.
Entendemos, afastando o critério de interpretação literal (e restritivo), fundado sobretudo nos arts. 368 ("escrito e assinado"), 369 ("reconhecer a firma do signatário"), 371 ("assinar"), 374 ("assinado"), 376 ("escreveu"), 386 ("entrelinha, emenda, borrão ou cancelamento"), entre outros, do Código de Processo Civil, que a existência e validade do documento eletrônico em si não pode ser recusada. Afinal, adotado um raciocínio hermenêutico sistemático (5) e consentâneo com a evolução histórica das tecnologias manuseadas pelo homem, verificamos o império da liberdade de forma no direito pátrio. Não custa lembrar a aceitação inquestionável do contrato verbal. Assim, quem pode o mais pode o menos (argumento "a maiori ad minus").
A conhecida lei modelo da UNCITRAL (Comissão das Nações Unidas para leis de comércio internacional) sobre comércio eletrônico, que a busca a uniformização internacional da legislação sobre o tema, consagra em seu art. 5o.: "Não se negarão efeitos jurídicos, validade ou eficácia à informação apenas porque esteja na forma de mensagem eletrônica".
A utilização e aceitação jurídica do documento eletrônico é crescente, independentemente da aplicação, na sua confecção, de certas técnicas de segurança. Neste sentido, encontramos importantes decisões judiciais (6) e diplomas legais (7).
Com certeza, a volatilidade e a ausência de traço personalíssimo do autor fragilizam o documento eletrônico. Surge, assim, o grande e crucial problema da eficácia ou validade probatória do mesmo, resolvido, como veremos adiante, por modernas técnicas de criptografia.
As dificuldades, no campo probatório, do "documento eletrônico puro" (desprovido de técnicas, acréscimos ou requisitos de "segurança") deverão ser superadas, na linha do livre convencimento, pelo recurso a todos os elementos e circunstâncias envolvidos na sua produção e transmissão.
Merece destaque a noção de cópia de documento eletrônico. Deve ser assim considerada "... o documento eletrônico resultante da digitalização de documento físico, bem como a materialização física de documento eletrônico original" (conforme o Anteprojeto de Lei apresentado pela OAB/SP).
A edição da Medida Provisória n. 2.200, de 28 de junho de 2001, responsável pela fixação do quadro regulamentório da assinatura digital no Brasil, suscitou um problema novo em relação à validade jurídica do documento eletrônico. Com efeito, o art. 1o. do diploma legal referido afirma: "Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, (...)". Como posto, é possível a interpretação de que a Medida Provisória não trata apenas da validade probatória do documento eletrônico, e sim, da validade jurídica do próprio documento em forma eletrônica.
Nossa opinião, na linha dos argumentos anteriormente apresentados, relacionados, sobretudo, com a liberdade de forma e admissão de contratos verbais no direito brasileiro, é de que a Medida Provisória n. 2.200, de 2001, trata, embora com redação deficiente, da validade ou eficácia probatória dos documentos eletrônicos.
Lembramos, neste particular, que o projeto de lei submetido à consulta pública pela Casa Civil da Presidência da República no final do ano 2000, estabelecia que os documentos eletrônicos teriam o mesmo valor jurídico daqueles produzidos em papel desde que fosse assegurada a sua antenticidade e integridade (8). A supressão da expressão "desde que" e a fixação de que a Infra-Estrutura de Chaves Públicas visa garantir a autenticidade, a integridade e a validade jurídica dos documentos eletrônicos, apontam para o aspecto funcional, para a agregação de um valor ou característica antes inexistente, para a validade probatória.
II. ASSINATURA DIGITAL
Como já vimos, se por um lado o documento eletrônico existe e é válido juridicamente, por outro lado, subsiste, diante de sua fugacidade, o crucial problema da eficácia ou validade probatória do mesmo. A indagação se impõe: como garantir autenticidade e integridade ao documento eletrônico? (9)
A resposta, para os padrões tecnológicos atuais, consiste na utilização da chamada assinatura digital baseada na criptografia assimétrica de chave pública (e chave privada). A rigor, num par de chaves matematicamente vinculadas entre si.
Neste ponto cumpre observar a realização da "máxima" de que os novos problemas trazidos pela tecnologia deverão ter solução buscada no âmbito tecnológico.
A criptografia consiste numa técnica de codificação de textos de tal forma que a mensagem se torne ininteligível para quem não conheça o padrão utilizado. Sua origem remonta às necessidades militares dos romanos (Escrita cifrada de César).
O padrão criptográfico manuseado para cifrar ou decifrar mensagens é conhecido como chave. Quando a mesma chave é utilizada para cifrar e decifrar as mensagens temos a denominada criptografia simétrica ou de chave privada, normalmente utilizada em redes fechadas ou computadores isolados. Quando são utilizadas duas chaves distintas, mas matematicamente vinculadas entre si, uma para cifrar a mensagem e outra para decifrá-la (10), temos a criptografia assimétrica ou de chave pública, vocacionada para utilização em redes abertas como a Internet.
A criptografia moderna lança mão de conceitos técnicos avançados para a cifragem das mensagens: os algoritmos. Estes, numa visão singela, consistem em fórmulas matemáticas extremamente complexas, utilizadas para geração dos padrões ou chaves criptográficas.
Como funciona a assinatura digital (baseada na criptografia assimétrica) de um texto ou mensagem eletrônica? Na sistemática atualmente adotada, aplica-se sobre o documento editado ou confeccionado um algoritmo de autenticação conhecido como hash (11) (12). A aplicação do algoritmo hash gera um resumo do conteúdo do documento conhecido como message digest, com tamanho em torno de 128 bits. Aplica-se, então, ao message digest, a chave privada do usuário, obtendo-se um message digest criptografado ou codificado. O passo seguinte consiste um anexar ao documento em questão a chave pública do autor, presente no arquivo chamado certificado digital. Podemos dizer que assinatura digital de um documento eletrônico consiste nestes três passos: a) geração do message digest pelo algoritmo hash; b) aplicação da chave privada ao message digest, obtendo-se um message digest criptografado e c) anexação do certificado digital do autor (contendo sua chave pública). Destacamos, neste passo, um aspecto crucial. As assinaturas digitais, de um mesmo usuário, utilizando a mesma chave privada, serão diferentes de documento para documento. Isto ocorre porque o código hash gerado varia em função do conteúdo de cada documento.
E como o destinatário do texto ou mensagem assinada digitalmente terá ciência da integridade (não alteração/violação) e autenticidade (autoria) do mesmo? Ao chegar ao seu destino, o documento ou mensagem será acompanhado, como vimos, do message digest criptografado e do certificado digital do autor (com a chave pública nele inserida). Se o aplicativo utilizado pelo destinatário suportar documentos assinados digitalmente ele adotará as seguintes providências: a) aplicará o mesmo algoritmo hash no conteúdo recebido, obtendo um message digest do documento; b) aplicará a chave pública (presente no certificado digital) no message digest recebido, obtendo o message digest decodificado e c) fará a comparação entre o message digest gerado e aquele recebido e decodificado. A coincidência indica que a mensagem não foi alterada, portanto mantém-se íntegra. A discrepância indica a alteração/violação do documento depois de assinado digitalmente.
É justamente este o mecanismo utilizado para viabilizar as chamadas conexões seguras na Internet (identificadas pela presença do famoso ícone do cadeado amarelo). Para o estabelecimento de uma conexão deste tipo, o servidor acessado transfere, para o computador do usuário, um certificado digital (com uma chave pública). A partir deste momento todas as informações enviadas pelo usuário serão criptografadas com a chave pública recebida e viajarão codificadas pela Internet. Assim, somente o servidor acessado, com a chave privada correspondente, poderá decodificar as informações enviadas pelo usuário.
Subsiste, entretanto, o problema da autenticidade (autoria). Portanto, a sistemática da assinatura digital (baseada na criptografia assimétrica) necessita de um instrumento para vincular o autor do documento ou mensagem, que utilizou sua chave privada, a chave pública correspondente. Em conseqüência, também o problema da segurança ou confiabilidade da chave pública a ser utilizada precisa ser resolvido. Esta função (de vinculação do autor a sua respectiva chave pública) fica reservada para as chamadas entidades ou autoridades certificadoras.
Assim, a função básica da entidade ou autoridade certificadora está centrada na chamada autenticação digital, onde fica assegurada a identidade do proprietário das chaves. A autenticação é provada por meio daquele arquivo chamado de certificado digital. Nele são consignadas várias informações, tais como: nome do usuário, chave pública do usuário, validade, número de série, entre outros. Este arquivo, também um documento eletrônico, é assinado digitalmente pela entidade ou autoridade certificadora.
O sistema de criptografia assimétrica permite o envio de mensagens com total privacidade. Para tanto, o remetente deve cifrar o texto utilizando a chave pública do destinatário. Depois, ele (o remetente) deverá criptografar o texto com a sua chave privada. O destinatário, ao receber a mensagem, irá decifrá-la utilizando a chave pública do remetente. O passo seguinte será aplicar a própria chave privada para ter acesso ao conteúdo original da mensagem.
O processo de regulamentação da assinatura digital no Brasil pode ser dividido, até o presente momento, em 6 (seis) fases ou etapas. São elas:
1. Projetos
Num primeiro momento, notamos a presença de uma série de projetos de lei tratando do assunto. Vejamos os principais:
1.1. Lei Modelo das Nações Unidas sobre Comércio Eletrônico. Em 1996, a Organização das Nações Unidas, por intermédio da Comissão das Nações Unidas para leis de comércio internacional (UNCITRAL), desenvolveu uma lei modelo buscando a maior uniformização possível da legislação sobre a matéria no plano internacional. Na parte concernente a assinatura digital, a lei modelo consagra o princípio da neutralidade tecnológica, não se fixando em técnicas atuais e possibilitando a inovação tecnológica sem alteração na legislação. Deixa as especificações técnicas para o campo da regulamentação, mais afeita a modificações decorrentes de novas tecnologias.
1.2. Projeto de Lei n. 672, de 1999, do Senado Federal. Incorpora, na essência, a lei modelo da UNCITRAL.
1.3. Projeto de Lei n. 1.483, de 1999, da Câmara dos Deputados. Em apenas dois artigos, pretende instituir a fatura eletrônica e a assinatura digital (certificada por órgão público).
1.4. Projeto de Lei n. 1.589, de 1999, da Câmara dos Deputados. Elaborado a partir de anteprojeto da Comissão de Informática Jurídica da OAB/SP, dispõe sobre o comércio eletrônico, a validade jurídica do documento eletrônico e a assinatura digital. Adota o sistema de criptografia assimétrico como base para a assinatura digital e reserva papel preponderante para os notários. Com fundamento no art. 236 da Constituição e na Lei n. 8.935, de 1994, estabelece que a certificação da chave pública por tabelião faz presumir a sua autenticidade, enquanto aquela feita por particular não gera o mesmo efeito. (13)
Deve ser registrado que o Projeto 1.589 está apenso ao 1.483 e, ambos, encontram-se sob a apreciação de uma comissão parlamentar especial na Câmara dos Deputados.
2. Edição de Decreto pelo Governo Federal
Com a edição do Decreto n. 3.587, de 5 de setembro de 2000, foi instituída a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal. Estava, então, criado um sistema de assinaturas digitais, baseado na criptografia assimétrica, a ser utilizado no seio da Administração Pública Federal.
3. Projeto de Lei submetido à consulta pública pelo Governo Federal
No mês de dezembro de 2000, a Casa Civil da Presidência da República submeteu à consulta pública um projeto de lei dispondo sobre a autenticidade e valor jurídico e probatório de documentos eletrônicos produzidos, emitidos ou recebidos por órgãos públicos. A proposta definia que a autenticidade e a integridade dos documentos eletrônicos decorreriam da utilização da Infra-Estrutura de Chaves Públicas criada por decreto meses antes. A proposição consagrava profundos equívocos, notadamente a não inclusão de documentos eletrônicos trocados entre particulares e a caracterização de que os documentos eletrônicos não tinham validade jurídica sem os procedimentos ali previstos.
4. Apresentação de substitutivo para apreciação de Comissão Especial da Câmara dos Deputados
No final do mês de junho de 2001, o Deputado Júlio Semeghini, Relator do Projeto de Lei n. 1.483 (e do Projeto de Lei n. 1.589 - apensado), apresentou Substitutivo aos projetos referidos, consolidando as propostas e agregando aperfeiçoamentos. O trabalho apresentado pelo relator decorreu de uma rotina de atividades, com início registrado em maio de 2000, envolvendo discussões internas e audiências públicas da Comissão Especial.
Em relação à assinatura digital, o Substitutivo adotou o sistema baseado na criptografia assimétrica, ressalvando a possibilidade de utilização de outras modalidades de assinatura eletrônica que satisfaçam os requisitos pertinentes. Estabeleceu, ainda, o Substitutivo, um modelo de certificação no qual podem atuar entidades certificadoras públicas e privadas, independentemente de autorização estatal. Fixou, entretanto, que somente a assinatura digital certificada por entidade credenciada pelo Poder Público presume-se autêntica perante terceiros.
5. Edição da Medida Provisória 2.200
No dia 29 de junho de 2001, o Diário Oficial da União veiculou a Medida Provisória n. 2.200. Este diploma legal instituiu a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil para garantir a autenticidade e a integridade de documentos eletrônicos através da sistemática da criptografia assimétrica.
A organização da ICP-Brasil, a ser detalhada em regulamento, comporta uma autoridade gestora de políticas (Comitê Gestor da ICP-Brasil) e uma cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz (Instituto Nacional de Tecnologia da Informação - ITI), pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR.
À AC Raiz, primeira autoridade da cadeia de certificação, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC (de nível imediatamente subseqüente ao seu), sendo vedado emitir certificados para o usuário final. Às AC, órgãos ou entidades públicas e pessoas jurídicas de direito privado, compete emitir, expedir, distribuir, revogar e gerenciar os certificados de usuários finais. Às AR, entidades operacionalmente vinculadas a determina AC, compete identificar e cadastrar usuários, na presença destes, e encaminhar solicitações de certificados às AC.
O modelo centralizado adotado, vedando a certificação não derivada da AC Raiz, gerou profundas críticas (14). Nas edições subseqüentes da MP n. 2.200, apesar de mantido o modelo centralizado (15), único gerador da presunção de veracidade em relação ao signatário do documento eletrônico, admitiu-se a utilização de outros meios de comprovação de autoria e integridade, inclusive os que utilizem certificados não emitidos pela ICP-Brasil. Outro aspecto digno de nota é a definição de que o par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento.
6. Aprovação de substitutivo (com alterações) pela Comissão Especial da Câmara dos Deputados
No final de setembro de 2001, a Comissão Especial da Câmara dos Deputados aprovou, com várias alterações, o Substitutivo do Relator (Deputado Júlio Semeghini). A rigor, o novo texto ajustou-se a Medida Provisória da ICP-Brasil, aceitando a autoridade certificadora raiz. Foi criado um credenciamento provisório até a completa operacionalização do modelo da ICP-Brasil.
Como afirmamos, o problema da identificação e da integridade dos documentos eletrônicos encontrou solução por meio da assinatura digital, baseada na criptografia assimétrica (16). A assinatura digital, vale registrar, é apenas uma das espécies de assinatura eletrônica, abrangente de vários métodos ou técnicas, tais como: senhas, assinaturas tradicionais digitalizadas, chancela, biometria (íris, digital, timbre de voz), entre outras.
