Os casos de vazamento de dados pessoais que deveriam estar sob os cuidados de empresas estampam os jornais a cada dia. As discussões sobre a forma de proteger essas informações estão alta ainda mais após a promulgação da Lei Geral de Proteção de Dados – LGPD, que entrará em vigor em agosto do próximo ano.
No painel jurídico do CERTFORUM 2019, a certificado digital ICP-Brasil foi apresentada como uma ferramenta facilitadora no âmbito da LGPD, já que é a única tecnologia que assegura a assinatura digital com presunção de validade jurídica.
Uma possível aplicação da assinatura digital é como forma de garantir o consentimento para o uso das informações pela empresa ao acessar um serviço digital, um dos princípios estabelecidos pela nova legislação. O advogado Sênior do Escritório Mattos Filho, Júlio Regoto, explicou que a atual forma de se obter a concordância atualmente é juridicamente questionável. Regoto se refere aos textos de condições que aparecem em letras pequenas em boxes quando o usuário se cadastra em algum serviço digital.
“O mundo se digitalizou de forma muito rápida e desestruturada. As operações que eram feitas em papel migraram para o mundo digital nas últimas décadas e a preocupação com vazamentos de dados deixa de ser uma possibilidade e se torna uma questão de tempo”, disse Regoto.
De acordo com a LGPD, a coleta de dados do cidadão deve ser justificada pelas empresas com a finalidade específica do seu uso e a real necessidade delas, sendo que as informações não podem servir para a discriminação da pessoa de nenhuma forma. A lei ainda apresenta princípios de livre acesso e transparência no uso dos dados e permite responsabilizar as empresas por quaisquer acessos indevidos à base da dados e tratamentos indevidos ou ilícitos.
O que muda na ICP-Brasil com a LGPD?
As instituições se preparam para atender ao novo normativo e essa preocupação não exclui as empresas do mercado de certificação digital. Foi o que apresentou a advogada especialista em LGPD Vivian Moraes no painel.
“A ICP-Brasil já está aderente à maioria dos princípios estabelecidos pela Lei. Os processos que ainda não estão totalmente encaminhados podem ser revistos para o seu pleno atendimento”, declarou ao citar que as empresas que emitem os certificados digitais lidam com dados classificados como sensíveis pela lei como a coleta biométrica.
A regulamentação dos procedimentos da ICP-Brasil que garante, cada vez mais, uma segurança lógica em detrimento de requisitos físicos, foi outro ponto de aderência à LGPD destacado pela advogada. Enquanto tecnologias mais recentes no cenário de digitalização apresentam uma regulação esparsa e, muitas vezes, superficial, a ICP-Brasil é reconhecida pela consistência normativa já reconhecida em 18 anos de know-how e mais de 150 DOCs de regulamentação técnica de procedimentos técnicos emitidos pelo Instituto Nacional de Tecnologia da Informação – ITI.
Validade jurídica
O normativo legal que cria a Infraestrutura de Chaves Públicas Brasileira é a Medida Provisória 2.200-2, data de 2001. É essa norma que equipara expressamente a assinatura digital nos moldes da ICP-Brasil à assinatura manuscrita.
O procurador federal do ITI Vilson Malchow explicou em sua palestra que o pressuposto jurídico para a presunção legal da ICP-Brasil é atendido pelo fato de que os efeitos jurídicos decorrentes da aplicação da tecnologia aos documentos eletrônicos são garantidos pela MP, que tem força de Lei.
Já os pressupostos fáticos do reconhecimento jurídico da ICP-Brasil se baseiam na vinculação entre a pessoa e a sua marca pessoal e desta ao documento digital. No ambiente digital a marca da pessoa é representada pelo certificado digital, que é emitido no âmbito de uma cadeia de confiança baseada em uma única infraestrutura de chaves públicas nacional.
“Essa vinculação é feita pela geração de um par de chaves criptográficas assimétricas, que é atribuído a uma determinada pessoa mediante identificação presencial, em procedimento que atende a elevados níveis de segurança”, pontuou Malchow.
A vinculação da marca a um documento eletrônico é garantida pela utilização de uma função resumo - hash, cujo resultado é cifrado com a chave privada da pessoa. Esse processo garante a integridade na transação, de forma que o remetente é capaz de decifrar a mensagem criptografada a partir da chave pública do titular do par de chaves indicado no certificado digital que assinou a manifestação de vontade em ambiente digital.
Fonte: ITI