Certificados Digitais - Aspectos Legais

"A Liberdade só Existe com Lei e Poder"
Emmanuel Kant

A legislação brasileira sobre emissão e utilização de certificados digitais foi regulamentada pela MEDIDA PROVISÓRIA No 2.200-2, DE 24 DE AGOSTO DE 2001, que tem força de lei devido à EMENDA CONSTITUCIONAL Nº 32, DE 11 DE SETEMBRO DE 2001.

“Art. 2º As medidas provisórias editadas em data anterior à da publicação desta emenda continuam em vigor até que medida provisória ulterior as revogue explicitamente ou até deliberação definitiva do Congresso Nacional.” EC32

A MP2200 definiu que o Instituto Nacional de Tecnologia da Informação – ITI, uma autarquia federal vinculada à Casa Civil da Presidência da República, é a “Autoridade Certificadora Raiz - AC Raiz - da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil”. Assim, o ITI “é a primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil.” http://www.iti.gov.br/

Atenção: ICP-Brasil é definido pela MP2200. Mas esse termo causa alguma confusão, por ser usado para designar tanto as normas técnicas para emissão de certificados quanto o conjunto de entidades que regulamentam as normas.

“O que é o ICP-Brasil

É um conjunto de técnicas, práticas e procedimentos, a ser implementado pelas organizações governamentais e privadas brasileiras com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em chave pública.” http://www.icpbrasil.gov.br/

“Art. 2o A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR.” MP2200

Fato é que há uma autoridade principal, o ITI, que delega, por força da MP2200, a responsabilidade de emissão de certificados às Autoridades Certificadoras – AC´s.

“Art. 6o Às AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptográficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações.”MP2200

Cabe à Autoridade de Registro, AR, identificar e cadastrar os usuários de certificados digitais.

“Art. 7o Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações.”

Como há presunção de veracidade de signatário nos documentos eletrônicos assinados com certificados digitais, é imprescindível a correta identificação do usuário quando da emissão do certificado. Por isto o processo de emissão é tão burocrático quanto o de emissão de um passaporte.

“Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.§ 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários.”

Contudo, no mesmo art. 10 da MP, em seu parágrafo segundo, há um dispositivo muito interessante. Documentos eletrônicos assinados com certificados digitais emitidos por entidades fora da estrutura ICP-Brasil têm validade, desde que aceitos pelas partes.

“ § 2o O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”

Há muitas empresas fora do Brasil que emitem certificados digitais. Mesmo aqui no país há entidades emissoras não vinculadas ao ICP. Aliás, qualquer pessoa pode emitir um. Há dúzias de programas, alguns até gratuitos, que servem para emissão de certificados digitais. Mas eles têm valor legal?

Depende. Imagine o seguinte cenário: uma empresa vai emitir certificados digitais para seus clientes utilizarem um determinado serviço pela Internet, com a necessidade de identificação e confirmação da operação pelo usuário. Para haver valor legal, um contrato formal deve estabelecer as condições, formas de uso e emissão desses certificados.

Assim, do ponto de vista legal, há dois tipos de certificados: os ditos ICP, que são emitidos por AC´s e AR´s vinculadas ao ICP-Brasil, e os Não ICP, emitidos pelas demais entidades públicas ou privadas. Os primeiros podem ser utilizados de forma ampla, do ponto de vista jurídico, incluindo assinatura de documentos, identificação perante entidades públicas e privadas. Já os Não ICP, estes podem ser utilizados em relações jurídicas específicas desde que formalizadas previamente entre as partes interessadas.