Em artigo publicado no site do Estadão no último dia 15 de fevereiro, na coluna de Fausto Macedo, o presidente da AARB Edmar Araújo alerta sobre o risco que o PL 317/21 traz para a segurança de dados pessoais, tema sensível diante do mega vazamento ocorrido recentemente.
Araújo ressalta, ainda, a importância da tecnologia da certificação digital no padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) para a segurança dessas informações.
Tramita no Senado Federal o Projeto de Lei 317/21 que pretende dispor sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública. Alguém, em são consciência, poderia ser contrário a mérito tão honroso? Não creio.
Porém, o diabo mora nos detalhes.
Este artigo quer estar para além de minha opinião pessoal. Meu desejo é que a sociedade brasileira seja alertada sobre os perigos que ela correrá caso o texto deste PL seja convertido em lei.
O artigo 7 deste projeto quer flexibilizar a segurança das operações em meios digitais ao permitir que assinaturas eletrônicas avançadas sejam utilizadas para digitalização de documentos, publicações legais de sociedades anônimas, prontuário eletrônico do paciente, notificação eletrônica de multa de trânsito, registro de atos processuais, nota fiscal eletrônica, demonstrativos contábeis da Administração Pública e Registros Públicos.
Noutras palavras, sem a devida segurança técnica e jurídica será possível realizar atos críticos na internet.
O risco é em si, mas o é também pelo momento que vivenciamos no Brasil. Dados de praticamente todos os brasileiros vazaram recentemente, inclusive os telefônicos. O problema não é apenas o vazamento, mas o que pode ser feito com as informações que pertencem a outra pessoa. No Brasil, é possível abrir contas em banco e criar empresas em nome de terceiros.
O site Registrato dá ao cidadão a chance de saber se contas correntes ou empréstimos estão vinculados ao seu CPF. Se os seus dados estiverem por aí, vazados numa base (acredite, a chance é enorme), significa dizer que talvez você seja titular de contas em bancos e tenha saldo devedor neles.
O Projeto de Lei 317/21 permitirá que dados de terceiros sejam utilizados em operações sensíveis, podendo causar enorme prejuízo social e o assoberbamento do judiciário com ações indenizatórias sem precedentes na história. O PL joga fora 50 anos de matemática aplicada na ciência da computação. Comprovar autoria e integridade de documentos eletrônicos utilizando método menos seguro de autenticação como assinaturas avançadas é impossível.
Atualmente, essas operações que o PL quer flexibilizar a segurança estão protegidas pela tecnologia da certificação digital no padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), referência mundial na área da criptografia assimétrica.
Entre as nações que mais sofrem com vazamento de dados pessoais, os Estados Unidos têm dedicado especial atenção ao tema. Prova disso é que o Senado Americano, em 2017, realizou audiência pública intitulada “Protegendo os consumidores na era das principais violações de dados“.
Em sua fala, disponível no site do Senado dos Estados Unidos (veja abaixo), o presidente e CEO da Entrust DataCard, Todd Wilkinson, afirmou que a segurança de dados pessoais na rede só é possível a partir de exemplos de identificação como o que ocorre no Brasil, o que ele chamou de “identidades dinâmicas”.
“Com uma identidade dinâmica, um documento comprometido poderia ser revogado e substituído, reduzindo esses transtornos para o cidadão. As identidades dinâmicas são comuns no Brasil, onde a Infraestrutura de Chaves Públicas – ICP-Brasil emite certificados digitais, uma identidade digital, para a identificação do cidadão. Neste exemplo, o governo detém a tecnologia para emissão de identidades, além de parcerias com o setor privado para viabilizar o acesso a este sistema. Geralmente, esses certificados digitais têm validade de um a três anos e podem ser utilizados para assinar documentos com a mesma validade da assinatura manuscrita, para uso dos sistemas online de governo e para prover o acesso seguro e descomplicado às instituições financeiras. Um ponto crítico é que a ICP-Brasil institucionalizou o conceito de identidades dinâmicas. Ainda que esta identidade não esteja comprometida, seu ciclo de vida é relativamente curto. No caso de comprometimento, o processo de substituição é bem assimilado e facilmente realizado”
Na audiência, por diversas vezes a ICP-Brasil foi mencionada como potencial modelo a ser seguido pelos Estados Unidos. Sabemos que ela é a única tecnologia capaz de garantir a integridade de documentos e assinaturas digitais. Fora dela, não há como comprovar que uma pessoa seja autora de uma mensagem ou que documentos foram, de fato, assinados por quem declara ser o autor.
A segurança é um direito fundamental do povo brasileiro e um dever do Estado. Isso está consagrado na Constituição Federal de 1988 e não se pode negar que ela deve ser provida também nos meios tecnológicos mais modernos. Se o Brasil quer ser digital, ele o será com as mesmas imposições constitucionais que lhe são feitas no mundo físico.
Flertar com a fragilização do princípio da segurança é tudo o que os criminosos virtuais desejam.
Ao invés de fortalecer a cidadania por meio de uma identidade digital confiável, o PL aposta na solução mais barata, dando preferência para a conveniência e abandonando as melhores práticas de segurança da informação.
O Estado brasileiro, infelizmente, será réu em incontáveis processos na justiça caso este PL seja aprovado com a atual redação.
O cidadão brasileiro, lamentavelmente, será vítima de hackers e poderá ter sua intimidade e direito à segurança violados.
Estaremos mais expostos do que nunca na relação entre governo e sociedade.
É isso que queremos?
*Edmar Araujo, presidente executivo da Associação das Autoridades de Registro do Brasil (AARB). MBA em Transformação Digital e Futuro dos Negócios, jornalista, especialista em Leitura e Produção de Textos. Membro titular do Comitê Gestor da ICP-Brasil
Leia aqui o artigo no site do Estadão