Últimas notícias

Fique informado

A MP 983 e a classificação das assinaturas eletrônicas: comparação com a MP 2.200-2 | Por Fabiano Menke

29/06/2020

A Medida Provisória nº 983 e a classificação das assinaturas eletrônicas: comparação com a Medida Provisória nº 2.200-2 de 2001

Em 16 de junho de 2020 foi editada a Medida Provisória nº 983 (MP 983), que dispõe sobre as assinaturas eletrônicas em comunicações com entes públicos e em questões de saúde, e trata sobre as licenças de softwares desenvolvidos por entes públicos.

Por Fabiano Menke

Advogado e Professor de Direito Civil da Faculdade
de Direito da UFRGS

No que diz respeito às assinaturas eletrônicas, o âmbito de aplicação da MP 983, consoante determinação de seu art. 1º, I, abarca as comunicações internas dos órgãos e entidades da administração direta, autárquica e fundacional dos Poderes e órgãos constitucionalmente autônomos dos entes federativos. Assim, e consoante o destaque da exposição de motivos, “as novas regras sobre assinatura eletrônica aqui propostas não se aplicam apenas ao Poder Executivo federal, mas a todos os poderes e todos os entes federados. Portanto, os Estados, o Distrito Federal e os Municípios também são beneficiários diretos das medidas aqui propostas.” Além dessa abrangência, a MP 983 também não se aplica apenas internamente, mas entre os próprios entes públicos (art. 1º, III) e na comunicação entre os entes públicos e as pessoas naturais e as pessoas jurídicas de direito privado.

Mas um dos pontos que mais desperta o interesse no novo regramento é o que diz respeito à classificação das assinaturas eletrônicas. Uma primeira observação a ser feita é a de que a MP 983 não revogou nem alterou a MP nº 2.200-2, de 24 de agosto de 2001 (MP 2.200-2). A MP 983 tem a característica de texto legal especial em relação à MP 2.200-2, com a abrangência restrita ao âmbito dos entes públicos.

A MP 2.200-2, fonte normativa de abrangência geral, adotou uma classificação bipartida das assinaturas eletrônicas. Primeiramente, a partir da previsão do art. 10, §1º[1], que equiparou a assinatura digital denominada ICP-Brasil à assinatura manuscrita, com referência ao art. 219 do atual Código Civil. Isso implica em dizer que apenas esta assinatura digital agregará presunção de autoria e integridade ao documento eletrônico[2]. Em outras palavras, seguindo a tendência de regras internacionais, especialmente do ambiente europeu, houve por bem o legislador da MP 2.200-2 realizar a equiparação a partir do reconhecimento da equivalência funcional dos mecanismos de atribuição e autoria disponibilizados no âmbito da ICP-Brasil, que são baseados em criptografia assimétrica e uma densa regulação[3].

De outro lado, a MP 2.200-2 facultou a utilização de outros mecanismos de comprovação de autoria para o meio eletrônico, que não os do âmbito da ICP-Brasil, de modo que as partes, no exercício de sua autonomia privada, ou aqueles que estabelecem modelos de negócios ou simplesmente optam pela utilização do ambiente digital em suas atividades, possam optar por outras alternativas. Cuida-se, aqui, de um ambiente desregulado e que merecerá o valor probatório a ser aferido a cada caso, pelas próprias partes, ou, em caso de litígio, pelo Poder Judiciário ou pelo Tribunal Arbitral. Esta é a razoável interpretação do disposto no parágrafo segundo do art. 10 da MP 2.200-2[4], uma vez que vigora no Brasil o princípio da liberdade de forma da declaração de vontade (art. 107 do Código Civil), ao lado da  diretriz de que as partes têm o direito de empregar todos os meios legais, bem como os moralmente legítimos para provar a verdade dos fatos (art. 369 do Código de Processo Civil).

Por seu turno, a MP 983 criou classificação tripartite das assinaturas eletrônicas, inspirada no Regulamento nº 910 do ano de 2014 da União Europeia (Regulamento eIDAS), que contempla os conceitos de assinatura eletrônica, assinatura eletrônica avançada e assinatura eletrônica qualificada[5]. O Regulamento eIDAS revogou a Diretiva nº 93, de 1999 da União Europeia, que já previa a assinatura eletrônica, a assinatura eletrônica avançada e o certificado qualificado.

A assinatura eletrônica simples (art. 2º, MP 983), assim como na Europa (lá denominada simplesmente assinatura eletrônica), é o mecanismo de nível de segurança mais simples e menos regulado. Para que seja satisfeito, deve permitir a identificação do signatário (art. 2º, I, a), MP 983) e anexar ou associar dados a outros dados em formato eletrônico do signatário (art. 2º, I, b), MP 983) . Exemplificando, quando se utiliza uma mera mensagem de correio eletrônico, a digitação do nome do remetente no final da mensagem é considerada uma assinatura eletrônica, assim como a imagem da assinatura de próprio punho inserida no documento eletrônico[6].

O segundo nível de assinatura eletrônica é a avançada. Conceitualmente (art. 2º, II), é aquela que, “a) está associada ao signatário de maneira unívoca; b) utiliza dados para a criação de assinatura eletrônica cujo signatário pode, com elevado nível de confiança, operar sob o seu controle exclusivo; e c) está relacionada aos dados a ela associados de tal modo que qualquer modificação posterior é detectável.”

Decompondo os requisitos, o primeiro deles, “associação unívoca” ao signatário, quer indicar que a assinatura deve estar a ele vinculada de modo inequívoco, isto é, sem suscitar qualquer dúvida de que é a ele e não a outra pessoa. Os procedimentos de associação inequívoca ao signatário não foram determinados na MP 983, assim como não o foram no Regulamento Europeu nº 910. Anuncia-se, por exemplo, que um decreto do governo federal será editado para regulamentar a MP 983, especialmente no que toca aos detalhamentos das assinaturas eletrônica[7]. Os padrões mais altos de segurança para associar inequivocamente uma assinatura a um titular são os dos procedimentos da ICP-Brasil, onde há a previsão de identificação presencial do usuário para que lhe seja atribuído um certificado digital[8]. Caso o referido decreto não venha a ser editado, ou não discipline os detalhamentos do que possa ser considerado “associação inequívoca”, no que diz respeito às assinaturas eletrônicas avançadas, caberá aos tomadores de decisão no âmbito do poder público, que implementarem esta espécie de assinatura, determinar quais os procedimentos e as soluções técnicas que preencherão o conteúdo do conceito jurídico indeterminado “associação inequívoca” ao signatário.

O segundo requisito é o de que o signatário possa operar sob o seu controle exclusivo, com elevado nível de confiança, os dados para a criação da assinatura eletrônica. Essa operação sob controle exclusivo remete ao acesso ao mecanismo de criação de assinatura. Por exemplo, a partir da posse de um cartão inteligente ou de um token onde estejam armazenados de modo seguro os dados para a criação da assinatura, que no âmbito  dos mecanismos da ICP-Brasil da MP 2.200-2, são denominados de chave privada. Note-se a sutil diferença entre o que diz a MP 2.200-2 no que diz respeito ao controle dos dados de criação da assinatura e o que diz a regra da MP 983 relativa às assinaturas avançadas. A MP 2.200-2, por tratar de um mecanismo com nível de segurança mais elevado, é mais assertiva, referindo que “O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento”. Já a assinatura eletrônica avançada da MP 983 contempla as expressões que o signatário “pode”,  “com elevado nível de confiança”, “operar sob o seu controle exclusivo”, o que indica que há uma maior flexibilidade deste texto legal.

No que diz respeito ao terceiro requisito da assinatura eletrônica avançada, que estabelece que a assinatura eletrônica será relacionada aos dados a ela associados de tal modo que qualquer modificação posterior seja detectável é de se concluir que ele remete ao atributo de integridade do documento eletrônico, isto é, a sua não alteração. A integridade pode ser obtida pelo emprego da criptografia assimétrica, baseada em conceitos matemáticos de algoritmos de hash e de assinatura.

O exame dos requisitos do conceito de assinatura eletrônica avançada da MP 983 remete o intérprete à possibilidade de utilização de assinatura digital com base em criptografia assimétrica, inclusive pela criação de infraestruturas de chaves públicas criadas em paralelo à robusta regulamentação da Infraestrutura de Chaves Públicas Brasileira.

Calha mencionar que na União Europeia o mesmo ocorreu, e a Comissão Europeia inclusive editou regra, a Decisão de Execução 2015/1506[9], que estabeleceu especificações relativas aos formatos de assinaturas eletrônicas avançadas para reconhecimento pelos organismos públicos.

Finalmente, o terceiro e mais seguro nível na classificação das assinaturas eletrônica na dicção da MP 983 é o das assinaturas eletrônicas qualificadas, que se baseia justamente na utilização do certificado digital nos termos do disposto na Medida Provisória nº 2.200-2. A denominada assinatura digital ICP-Brasil passa a ser conhecida, apenas no âmbito dos relacionamentos internos dos entes públicos e na sua relação com os privados, como assinatura eletrônica qualificada.

Cabe, neste ponto, o comentário de que o art. 2º, III da MP 983 poderia ter sido mais preciso, fazendo a referência específica ao parágrafo primeiro do art. 10 da MP 2.200-2 e não de modo geral a este texto legal, posto  que também é possível se falar em certificado digital que não o regulado no âmbito da ICP-Brasil, a partir da aplicação do art. 10 §2º da MP 2.200-2.

De resto, ainda que de aplicabilidade limitada ao setor público, não se pode considerar que a nova classificação tripartite das assinaturas eletrônicas acarrete mudanças consideráveis no ordenamento jurídico brasileiro relativo à matéria, pelo menos no que diz respeito aos efeitos jurídicos[10].  A realidade é que a classificação bipartida presente na MP 2.200-2 já permitia que se fizessem escolhas de mecanismos de comprovação de autoria e integridade da comunicação eletrônica diversos dos regulados pela ICP-Brasil.

O Projeto de Lei 7.316/2002, já amplamente modificado e discutido ao longo dos anos, em sua última versão, contempla uma classificação bipartida das assinaturas eletrônicas, nos moldes da MP 2.200-2, muito embora adote as denominações assinatura eletrônica (correspondente ao  vigente art. 10, §2º, MP 2.200-2) e assinatura eletrônica qualificada (correspondente ao  vigente art. 10, §1º, MP 2.200-2).

Cabem ainda algumas considerações sobre o art. 3º da MP 983, que cuidou de estabelecer a aceitação das assinaturas eletrônicas por entes públicos, facultando, em seu caput, que cada um deles estabeleça o nível mínimo exigido para a assinatura eletrônica em documentos e transações em sua esfera de atuação.

Além disso, a MP 983 contemplou as hipóteses de uso facultativo e de uso obrigatório das espécies de assinaturas eletrônicas. As hipóteses de uso facultativo são as dos §§1ºe 2º do art. 3º. Abre-se a possibilidade de emprego da assinatura eletrônica simples nas interações com o ente público que não envolvam informações protegidas por grau de sigilo. Há, no que diz respeito ao assunto sigilo, estreita ligação dos dispositivos da MP| 983 com o previsto na Lei de Acesso à Informação (Lei nº 12.527, de 2011), que dedica extenso tratamento da informação sigilosa, valendo citar, exemplificativamente, o seguinte artigo: “Art. 6º Cabe aos órgãos e entidades do poder público, observadas as normas e procedimentos específicos aplicáveis, assegurar a: (…) III – proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso”. A leitura conjunta da MP 983 e da Lei de Acesso à Informação é medida que se impõe[11].

A assinatura eletrônica avançada, por seu turno, e de acordo com a previsão da MP 983, poderá ser admitida nos casos envolvendo o ente público e informações cobertas ou não pelo sigilo (art. 3º, §1º, II, a) e b)), bem assim no registro de atos perante as juntas comerciais.

Efetiva novidade da MP 983 é a previsão da obrigatoriedade do emprego da assinatura eletrônica qualificada nos atos de transferência e de registro de bens imóveis. Isto significa dizer que passa a ser obrigatória a assinatura digital do art. 10, § 1º da MP 2.200-2 na formalização de escrituras públicas celebradas pelo meio eletrônico que digam respeito à transferência de bens imóveis.

Neste ponto, a regra, ainda que não expressamente, resta por afastar importante diretriz do Provimento nº 100 do Conselho Nacional de Justiça, editado em 26.05.2020. O conflito reside no fato de que enquanto o Provimento nº 100 faculta a utilização tanto da assinatura digital do art. 10, §1º da MP 2.200-2 quanto qualquer outra tecnologia autorizada pela lei[12], como o certificado notarial, emitido gratuitamente em qualquer tabelionato, a MP 983 exige que a assinatura eletrônica qualificada, portanto a do art. 10, §1º da MP 2.200-2, seja empregada nas escrituras públicas que digam respeito à transferência de bens imóveis. As escrituras públicas que não digam respeito a este fim, poderão continuar a ser formalizadas da maneira prevista no Provimento nº 100.

Por fim, conclui-se que a pandemia do novo coronavírus restou por inserir ainda mais a sociedade no mundo digital, colocando em maior evidência os diversos mecanismos de identificação e de atribuição de autoria e de integridade às declarações de vontade veiculadas pelo meio eletrônico, o que chama a atenção não apenas para sua importância, mas também para os riscos de fraude, que também devem aumentar.

Isso torna necessária a manutenção de níveis de segurança adequados, especialmente no que toca à identificação dos sujeitos que pretendam obter uma assinatura eletrônica. Neste, e em outros pontos, há que se ter cautela com as regras da MP 983, para que não se retroceda nos níveis de segurança, num ambiente que clama justamente pelo oposto.

A MP 983 foi criada com base em legítimas preocupações, mas talvez tenha efetivamente chegado o momento de unir esforços no sentido da aprovação de uma lei brasileira de assinaturas eletrônicas que venha a consolidar, num texto legal mais amplo e estruturado, os avanços e a rica experiência obtidos nos quase vinte anos de operação da Infraestrutura de Chaves Públicas Brasileira[13].

 [1]§ 1o  As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 – Código Civil.

[2] Abordamos a questão em MENKE, Fabiano. Apontamentos sobre o comércio eletrônico no direito brasileiro. In: COELHO, Fábio Ulhoa. Questões de direito comercial no Brasil e em Portugal. São Paulo: Saraiva, 2014. Disponível na íntegra em:

https://menkeadvogados.com.br/wp-content/uploads/2020/06/ArtigoCome%CC%81rcioEletro%CC%82nicoLivroUlhoa.pdf

[3] Apenas a título ilustrativo, note-se que desde a criação da ICP-Brasil, em 2001, até o presente, o Comitê Gestor da ICP-Brasil, autoridade gestora de políticas, já editou 170 resoluções de índole técnico-organizacional. Ver em https://www.iti.gov.br/legislacao

[4] § 2o  O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.

[5] Sobre o Regulamento eIDAS ver a detalhada obra de Alexander Roßnagel, Das Recht der Vetrauendienste: Die eIDAS-Verordnung in der deutschen Rechtsordnung. Baden-Baden: Nomos, 2016.

[6] O site do Instituto Nacional de Tecnologia da Informação exemplificou, corretamente, a assinatura eletrônica nas hipóteses de emprego da biometria, login/senha, correio eletrônico, confirmação de “aceite os termos”, confirmação do código pelo celular: https://www.iti.gov.br/component/content/article?id=4180

[7] Ver a entrevista do presidente do Instituto Nacional de Tecnologia da Informação, Carlos Fortner, em que afirma: “É importante destacar que ainda será editado um decreto regulatório para detalhar as assinaturas eletrônicas ora estabelecidas pela MP 983.” https://cryptoid.com.br/banco-de-noticias/carlos-fortner-diretor-presidente-do-iti-fala-sobre-a-mp-983-e-sua-contextualizacao-com-assinatura-digital-e-certificacao-digital/

[8] Aponte-se que a Medida Provisória nº 951, de 15.04.2020, em seu art. 2º, Parágrafo único, estabeleceu que “A identificação será feita presencialmente, mediante comparecimento pessoal do usuário, ou por outra forma que garanta nível de segurança equivalente, observada as normas técnicas da ICP-Brasil”. Ato contínuo, em 20.04.2020,  o Comitê Gestor da ICP-Brasil editou a Resolução nº 170, que dispõe sobre o regime transitório de emissão de certificados digitais em face da pandemia do novo coronavírus, facultando que a identificação do interessado se dê por videoconferência, observando-se, todavia, que o prazo de validade máximo do certificado digital neste caso não será de três anos, mas sim de um ano.

[9] Ver em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32015D1506

[10] Veja-se o posicionamento crítico de Luiz Carlos Zancanella quanto à tripartição: https://cryptoid.com.br/banco-de-noticias/novos-brasileiros-simples-avancado-e-qualificado/

[11] Importante atentar ao previsto no Capítulo IV da Lei de Acesso à Informação, que trat, das restrições de acesso à informação, prevendo, entre outros aspectos, regras acerca da classificação da informação quanto ao grau e prazos de sigilo, bem como da proteção e do controle das informações sigilosas.

[12] É o que se depreende da leitura conjunta dos art. 2º, III, art. 3º, III e IV, e art. 9º, §§ 3º, 4º e 5º do Provimento nº 100, de 26.05.2020.

[13] Veja-se a opinião de Renato Martini, com a qual concordamos, sobre a oportunidade de editar uma Lei Brasileira de Assinaturas Eletrônicas:  https://cryptoid.com.br/banco-de-noticias/renato-martini-ex-presidente-do-iti-fala-ao-crypto-id-sobre-a-mp-983-que-trata-das-assinaturas-eletronicas-no-ambito-dos-entes-publicos/

Fabiano Menke  é Advogado em Porto Alegre, Professor de Direito Civil da Faculdade de Direito e do Programa de Pós-Graduação da Universidade Federal do Rio Grande do Sul onde obteve o título de Mestre em direito a partir da defesa do trabalho “A assinatura eletrônica no direito brasileiro”. É Doutor em direito pela Universidade de Kassel, Alemanha, onde defendeu tese comparativa sobre Infraestrutura de Chaves Públicas e valor jurídico de documentos eletrônicos nos ordenamentos jurídicos brasileiro e alemão. Foi o primeiro Procurador-Chefe do ITI. 

Uso de HSM para guarda de certificados digitais: Por Viviane Bertol e Fabiano Menke

Fabiano Menke palestra em Ludwig-Maximilians Universität em Munique

Renato Martini, ex-presidente do ITI, fala ao Crypto ID sobre a MP 983 que trata das assinaturas eletrônicas no âmbito dos entes públicos

Assinatura Digital, escopo e tecnologia. Por Luiz Carlos Zancanella, D.Sc. 

Governo publica nova MP 983 sobre assinatura eletrônica em comunicações entre entes públicos

Advogado Cláudio Dias analisa a MP 983 sob o ponto de vista jurídico em entrevista para o Crypto ID

Entrevista com Bruno Portnoi, da Certisign, sobre adaptações recentes da empresa

Carlos Fortner, diretor-presidente do ITI, fala sobre a MP 983 e sua contextualização com assinatura digital e certificação digital

Kiatake, presidente da SBIS  Sociedade Brasileira de Informática em Saúde fala sobre a MP 983