Os casos de vazamento de dados
pessoais que deveriam estar sob os cuidados de empresas estampam os jornais a
cada dia. As discussões sobre a forma de proteger essas informações estão alta
ainda mais após a promulgação da Lei Geral de Proteção de Dados – LGPD, que
entrará em vigor em agosto do próximo ano.
No painel jurídico do CERTFORUM
2019, a certificado digital ICP-Brasil foi apresentada como uma ferramenta
facilitadora no âmbito da LGPD, já que é a única tecnologia que assegura a
assinatura digital com presunção de validade jurídica.
Uma possível aplicação da
assinatura digital é como forma de garantir o consentimento para o uso das
informações pela empresa ao acessar um serviço digital, um dos princípios
estabelecidos pela nova legislação. O advogado Sênior do Escritório Mattos
Filho, Júlio Regoto, explicou que a atual forma de se obter a concordância
atualmente é juridicamente questionável. Regoto se refere aos textos de
condições que aparecem em letras pequenas em boxes quando o usuário se cadastra
em algum serviço digital.
“O mundo se digitalizou de forma
muito rápida e desestruturada. As operações que eram feitas em papel migraram
para o mundo digital nas últimas décadas e a preocupação com vazamentos de
dados deixa de ser uma possibilidade e se torna uma questão de tempo”, disse
Regoto.
De acordo com a LGPD, a coleta de
dados do cidadão deve ser justificada pelas empresas com a finalidade
específica do seu uso e a real necessidade delas, sendo que as informações não
podem servir para a discriminação da pessoa de nenhuma forma. A lei ainda
apresenta princípios de livre acesso e transparência no uso dos dados e permite
responsabilizar as empresas por quaisquer acessos indevidos à base da dados e
tratamentos indevidos ou ilícitos.
O que muda na ICP-Brasil com a LGPD?
As instituições se preparam para
atender ao novo normativo e essa preocupação não exclui as empresas do mercado
de certificação digital. Foi o que apresentou a advogada especialista em LGPD
Vivian Moraes no painel.
“A ICP-Brasil já está aderente à
maioria dos princípios estabelecidos pela Lei. Os processos que ainda não estão
totalmente encaminhados podem ser revistos para o seu pleno atendimento”,
declarou ao citar que as empresas que emitem os certificados digitais lidam com
dados classificados como sensíveis pela lei como a coleta biométrica.
A regulamentação dos
procedimentos da ICP-Brasil que garante, cada vez mais, uma segurança lógica em
detrimento de requisitos físicos, foi outro ponto de aderência à LGPD destacado
pela advogada. Enquanto tecnologias mais recentes no cenário de digitalização
apresentam uma regulação esparsa e, muitas vezes, superficial, a ICP-Brasil é
reconhecida pela consistência normativa já reconhecida em 18 anos de know-how e
mais de 150 DOCs de regulamentação técnica de procedimentos técnicos emitidos
pelo Instituto Nacional de Tecnologia da Informação – ITI.
Validade jurídica
O normativo legal que cria a
Infraestrutura de Chaves Públicas Brasileira é a Medida Provisória 2.200-2,
data de 2001. É essa norma que equipara expressamente a assinatura digital nos
moldes da ICP-Brasil à assinatura manuscrita.
O procurador federal do ITI
Vilson Malchow explicou em sua palestra que o pressuposto jurídico para a
presunção legal da ICP-Brasil é atendido pelo fato de que os efeitos jurídicos
decorrentes da aplicação da tecnologia aos documentos eletrônicos são
garantidos pela MP, que tem força de Lei.
Já os pressupostos fáticos do
reconhecimento jurídico da ICP-Brasil se baseiam na vinculação entre a pessoa e
a sua marca pessoal e desta ao documento digital. No ambiente digital a marca
da pessoa é representada pelo certificado digital, que é emitido no âmbito de
uma cadeia de confiança baseada em uma única infraestrutura de chaves públicas
nacional.
“Essa vinculação é feita pela geração
de um par de chaves criptográficas assimétricas, que é atribuído a uma
determinada pessoa mediante identificação presencial, em procedimento que
atende a elevados níveis de segurança”, pontuou Malchow.
A vinculação da marca a um
documento eletrônico é garantida pela utilização de uma função resumo - hash,
cujo resultado é cifrado com a chave privada da pessoa. Esse processo garante a
integridade na transação, de forma que o remetente é capaz de decifrar a
mensagem criptografada a partir da chave pública do titular do par de chaves
indicado no certificado digital que assinou a manifestação de vontade em
ambiente digital.
Fonte: ITI