Duas importantes leis que entraram em vigor no Brasil recentemente já são aplicadas na Europa há pelo menos dois anos. Quais são as lições aprendidas da experiência europeia?
A tecnologia traz muitos benefícios, mas é necessário que parâmetros baseados no novo comportamento da sociedade sejam organizados e considerados nas legislações das nações para que as inovações tecnológicas não causem o caos social.
As plataformas digitais proporcionam praticidade, redução de custos, ganho de tempo entre outros fatores aos governos, empresas e cidadãos, mas precisam prover aos usuários garantias como autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade para que as transações tenham, no meio eletrônico, os mesmos condicionantes legais que utilizamos no mundo analógico.
Atualmente, nações de todos os continentes estão atentas a legislação em torno das aplicações da tecnologia.
As questões que envolvem privacidade e proteção de dados e como pessoas, equipamentos e empresas se identificam no meio eletrônico estão sendo priorizadas.
Conversamos com Colin van den Heuvel, que ocupa o cargo de Consultor de Negócios na empresa global AET Europe, sobre a GDPR – General Data Protection Regulation – Regulamento Geral de Proteção de Dados e eIDAS, que respectivamente tratam da privacidade e proteção de dados e o uso de credenciais de identificação no meio eletrônico.
Nesse momento, o tema está em foco no Brasil porque recentemente entraram em vigor duas importantes leis que tratam dessas questões – LGPD – Lei Geral de Proteção de Dados Nº 13.709, de 14 de agosto de 2018, que entrou em vigor em 18 de setembro de 2020, e a Lei 14.063, de 23 de setembro de 2020, que trata da comunicação entre os entes e o público e, que também apresenta conceitos sobre assinaturas eletrônicas.
A Lei 14.063/2020 é muito importante, também, para a iniciativa privada por que é o parâmetro legal mais atual uma vez que a Medida Provisória nº 2.200-2, de 24 de agosto de 2001, que regula a aplicação de identidades digitais e eletrônicas para assinatura e autenticação é uma Lei que já tem praticamente 20 anos e será substituída por outra específica e mais adequada à evolução da tecnológica que ocorreu nesse período bem como a contínua mudança do comportamento da sociedade.
A eIDAS estabelece o framework técnico e legal provendo suporte para que as assinaturas eletrônicas se tornem legais na Europa
A eIDAS – Regulamentação de Identificação Eletrônica e Serviços Confiáveis (eIDAS 910/2014/EC) simplifica e padroniza as IDs – Identidades Digitais e as assinaturas digitais e eletrônicas em toda a Europa e cria o “mercado digital único” para garantir transações digitais seguras entre os países-membros da União Europeia (UE) e outros países com quem esses países tem relações internacionais.
A eIDAS foi introduzida na Comunidade Europeia em 2016 mas apenas em 2018 a regulação entrou em vigor. Foi criada para garantir de forma eficiente e segura transações eletrônicas entre os países da União Europeia, que reúnem diferentes economias digitais.
“A eIDAS garante a comunidade europeia uma base legal para os cidadãos, governos e empresas trocarem dados entre si de forma segura e confiável. O framework digital da União Europeia estabeleceu regras e acordos para o reconhecimento das assinaturas digitais e também, por exemplo, como cidadão você se autentica para utilizar os serviços que são fornecidos pelo governo”, diz Colin.
A AET Europe é expert em regulamentações internacionais tem o estado da arte em tecnologias de privacidade, proteção de dados e identificação digital e tem muitos casos de sucessos em vários países do mundo, inclusive o Brasil, com soluções de criptografia direcionadas para criação, gestão e armazenamento de credenciais de identificação digital conforme o quadro demonstrado a seguir:
“Nós, da AET Europe, fornecemos soluções que tornam possível a troca de dados em conformidade com as regulamentações da eIDAS e do GDPR. Um bom exemplo de como nossas soluções auxiliam as empresas e governos é o que chamamos no eIDAS de níveis de garantia elevados. Nesta regulamentação existem requisitos para garantir a privacidade do cidadão que estabelecem, obrigatoriamente, autenticação forte para ele acessar seus próprios dados em poder do governo ou empresas. eIDAS determina que as organizações que armazenam dados possuam, comprovadamente, soluções técnicas corretas para autenticar seus usuários de forma inquestionável,” diz Colin.
Segundo o executivo, um dos requisitos relacionados aos níveis de garantia elevados da eIDAS é que a aplicação identifique o tipo do certificado digital qualificado, assim como, o dispositivo em que está armazenado.
QSCD – Qualified Signature Creation Devices
A eIDAS estabelece que empresas e governos utilizem soluções certificadas QSCD – Qualified Signature Creation Devices – Dispositivo de Criação de Assinatura Qualificada.
“Na AET Europe, integramos nossas soluções em smartcards e tokens com certificados do tipo QSCD. E o QSCD e os certificados qualificados são gerenciados pelo BlueX. O BlueX eID Management gerencia o ciclo de vida das identidades digitais e eletrônicas do usuário na forma de certificados virtuais, cartões inteligentes e tokens. A solução que desenvolvemos é aderente a regulamentação eIDAS e a regulamentações similares em outros países além dos que pertencem a comunidade europeia, é inclusive aderente a legislação Brasileira: LGPD, MP 2.200/2001, Lei 14.063/2020 e outras afins, além de ser totalmente regulamentado no padrão da ICP Brasil. No Brasil temos clientes que já utilizam o BlueX para emissão e controle de identidades digitais. Nossos clientes são as Autoridades Certificadoras – AC, organizações de governos e outras organizações dos setores financeiro, indústria e saúde,” informa Colin.
Sobre o reconhecimento mútuo entre as assinaturas digitais na União Europeia para o fechamento de acordos e transações comerciais entre governos e/ou entre empresas Colin nos contou que existem alguns exemplos, principalmente no setor financeiro, em que os bancos utilizam assinaturas digitais para permitir que cidadãos de um determinado país assinem acordos com a instituição financeira sediada em outro país.
“O reconhecimento mútuo entre as assinaturas digitais permite que muitos cidadãos aqui na União Europeia abram e movimentem, de forma remota, uma conta bancária em outro país diferente do que residem, mas é indispensável que as assinaturas sejam qualificadas. Dessa forma, um francês pode abrir e movimentar uma conta em um banco na Itália sem nunca ter ido àquele país.
QTSP – Provedor de Serviços Confiáveis Qualificados
As empresas para se identificarem utilizam, com frequência, o QC eSeal – Qualified Certificate for Electronic Seal, que é um certificado qualificado emitido para selo eletrônico. O selo deve ser emitido por um QTSP – Provedor de Serviços Confiáveis Qualificados, e que atenda aos requisitos estabelecidos no Anexo III do Regulamento (UE) n.º 910/2014 (eIDAS).
Também é comum que empresas troquem informações cadastrais de clientes entre diferentes países, mas é necessário que haja autenticação forte entre as empresas e que sejam seguidos os procedimentos para sigilo dos dados trocados de acordo com os requisitos tecnológicos da eIDAS.
Esses são alguns exemplos práticos do reconhecimento mútuo da identificação digital na União Europeia sendo que, atualmente, o setor que mais utiliza o reconhecimento mútuo é o setor financeiro,” diz Colin.
“Sobre as soluções voltadas para a eIDAS, a estrutura está aí, as soluções estão disponíveis e enquanto conversamos agora mais soluções estão sendo desenvolvidas e atualizadas. Então, agora é a hora da adoção por todos aqui na Europa, com isso quero dizer que os governos, empresas e cidadãos devem começar a usar cada vez mais para uma maior utilização do reconhecimento mútuo de assinaturas digitais”, complementa Colin.
A interseção das regulamentações GDPR e eIDAS
Com relação a interseção das regulamentações GDPR e eIDAS, Colin disse que a GDPR é muito rígida e se concentra principalmente em garantir que a privacidade e os dados pessoais dos cidadãos europeus estejam protegidos.
Segundo Colin, “Uma instituição, privada ou pública, que processa dados pessoais ou que os troca ou qualquer coisa relacionada a isso, deve se certificar de que possui todos os mecanismos de tecnologia possíveis para garantir que os dados estão protegidos.”
A GDPR não determina como você deve usar a tecnologia. A legislação aponta alguns procedimentos que a empresa precisa seguir para garantir a proteção dos dados. A eIDAS complementa justamente esse ponto da GDPR.
A primeira determinação é que quem detém os dados deve certificar-se de que pode garantir a confidencialidade dos dados, a integridade dos dados e a disponibilidade dos dados. Deve certificar-se de que, onde quer que a troca de dados ocorra é feita com autenticação forte entre as partes envolvidas.
A GDPR determina os limites e a eIDAS o framework técnico
A eIDAS determina os diferentes níveis de autenticação e diferentes níveis de assinaturas eletrônicas e digitais a serem utilizadas dependendo do nível de criticidade do ato que utilizará a autenticação ou assinaturas eletrônicas.
Quanto maior o nível de exigência de criticidade maior será o nível de garantia ou de assinatura digital a ser utilizada.
Essas são as principais interseções entre GDPR e eIDAS.
A GDPR estipula que você precisa proteger os dados e a eIDAS fornece os requisitos técnicos para que você possa ter certeza, como empresa, que realmente está protegendo os dados. Adicionalmente, a eIDAS também determina que sejam utilizadas as soluções desenvolvidas por um QTSP – Provedor de Serviços Confiáveis Qualificados, para que as organizações possam ter certeza de que utilizam as soluções adequadas e seguras para a adequação a eIDAS.
Perguntamos ao Colin se ele já havia emitido uma identidade digital e ele nos disse que não é necessários para todos os cidadãos porque ainda estão implementando aplicações de uso na União Europeia.
“Aqui na Holanda, ainda não há um acesso fácil a certificados qualificados, porque ainda estamos no início da implementação de aplicações de uso, muito diferente da realidade que existe hoje no Brasil” disse Colin.
“No Brasil, vocês têm muitas aplicações de uso de certificados qualificados para se comunicar com o governo, também utilizam em grande escala no judiciário, no segmento de saúde e para acesso aos compromissos fiscais.
Portanto, o Brasil está muito à frente da Europa na utilização dos certificados digitais qualificados. Um dia esperamos ter tantas aplicações como as que temos conhecimento que existem no Brasil,” complementa o executivo.
As fronteiras eletrônicas
Por fim, falando sobre interoperabilidade entre transações eletrônicas – “Fronteiras eletrônicas” na Comunidade Europeia, Colin fala sobre suas perspectivas para os próximos anos.
“O que vemos como AET Europe é que o framework da eIDAS está disponível, a infraestrutura também está disponível, as soluções técnicas também estão disponíveis. Inclusive uma das soluções técnicas é o nosso SafeSign, que já está nos smartcards, tokens, e é o que permite que você acesse um certificado digital qualificado e faça essas transações seguras.
Agora é a hora de aumentar a adoção em todo os segmentos na União Europeia. Nós acreditamos que em um futuro próximo as empresas e também as pessoas comuns em uma parcela cada vez maior enxerguem o quão importante é usar transações seguras entre si e também com seu governo e empresas que competem na prestação de serviços, “finaliza Colin.
AET Europe é líder global na área de soluções de segurança digital.
Fundada em 1998, é especializa na criação de soluções seguras em identificação, autenticação, assinatura digital, consentimento e gerenciamento de credenciais
- AET Europe e o Sistema eID do Governo Sérvio: Um Estudo de Caso sobre Identidade Digital Segura
- AET Europa: Construindo Confiança desde 1998
- AET Europe: Comemora 25 anos de confiança digital
- Entrevista com Luis Correia, da AET Europe, sobre o mercado ICP-Brasil
- Saiba tudo sobre o Certificado de Atributo, a credencial mais versátil do mercado para autenticação eletrônica.
- AET Europe lançou uma nova versão do SafeSign Identity Client – versão 4.0.0.0
- Jan Rochat é um dos palestrantes na conferência IAM2023 em Apeldoorn dia 23 de maio
- Aet Europe anuncia o Release of BlueX 8.1.0
- AET Europe anuncia atualização do seu sistema de gestão de identidades eletrônicas – BlueX 8.0.0