Por Susana Taboas
Nesses últimos anos aprendemos – pessoas e empresas – a importância dos documentos eletrônicos em nossas vidas, e hoje vamos falar sobre como mantê-los em segurança.
Indiscutivelmente, os documentos eletrônicos facilitam a vida das pessoas seja no trato das coisas pessoais ou nas rotinas profissionais.
Aprendemos que digitar, imprimir, assinar, reconhecer firma em cartório e distribuir os documentos para as pessoas envolvidas ficou definitivamente no passado.
O documento eletrônico que é assinado por credenciais reconhecidas pela Legislação brasileira sobre Identificação Digital e Documentos Eletrônicos tem valor legal e dispensa o reconhecimento de firmas em cartórios e testemunhas das transações.
No Brasil, a validade de documentos eletrônicos está fundamentada na Medida Provisória 2.200-02 /2001 de agosto de 2001 e complementada pela Lei 14.063 de 23 de setembro de 2020 e pelo Decreto nº 10.543, de 13 de novembro de 2020.
Quando se trata de legislação eletrônica nada é definitivo uma vez que a evolução da tecnologia e a alterações comportamentais podem influenciar novos padrões e requisitos técnicos. Desta forma, é sempre bom consultar fontes confiáveis para se certificar da legislação vigente no momento.
O documento eletrônico que é, simplificadamente, o registro de uma transação adicionada a manifestação de vontade das partes envolvidas, assim como os impressos, precisam seguir normas e padrões técnicos determinados pela legislação, ou seja, utilizar determinados tipos de arquivos eletrônicos, tipos de assinaturas e serem armazenados de forma que permita o acesso aos dados e às respectivas evidências que comprovam a legalidade do documento.
Aqui temos algumas questões que devem ser avaliadas quando se documenta uma transação em meio eletrônico. São elas:
Os diversos tipos de assinatura eletrônica
As assinaturas eletrônicas de pessoas e até mesmo de empresas e máquinas podem ser produzidas utilizando métodos diferentes. Nesse momento, vamos tratar sobre a autenticação e assinatura eletrônica de pessoas.
Para serem utilizadas, as assinaturas eletrônicas por pessoas vão muito além do uso de tecnologia que aplicam cálculos matemáticos gerados em ambientes únicos, controlados, auditáveis que é o caso dos Certificados Digitais emitidos em sistemas de PKI – Public Key Infrastructure – em português, Infraestrutura de Chaves Públicas. Podem ser produzidas, por exemplo, por meio de fatores biográficos que são informações que utilizadas em conjunto tornam uma pessoa única, como por exemplo: o nome da mãe, a escola que estudou no primário, o endereço atual, a cidade em que nasceu e assim por diante.
As assinaturas eletrônicas feitas com o uso da biometria abrem um leque enorme de opções tais como: a face das pessoas, as digitais dos dedos e das mãos, o formato das orelhas e a íris, e também podem ser feitas pelo uso da voz ou cheiro das pessoas.
Já a biometria comportamental, que é a forma como as pessoas andam, assinam seus nomes, digitalizam e tudo mais relacionado a ritmo, movimento, pressão e frequência com que as pessoas fazem as coisas estão sendo cada vez mais utilizadas.
Muitas formas de autenticação e assinatura podem ser utilizadas para identificar as pessoas no meio eletrônico e a melhor opção vai depender da transação envolvida. O que você precisa proteger? O quanto você precisa se certificar sobre a identidade da outra parte? Quanto tempo essa informação será importante? Por exemplo, o acesso à uma academia de esporte não precisa, nem de longe, utilizar as mesmas credenciais eletrônicas que utilizam as pessoas que acessam o centro de controle de uma usina nuclear.
E da mesma forma, quando estamos falando dos tipos de assinaturas em documentos eletrônicos o melhor tipo de assinatura dependerá do grau de importância de cada documento.
A Lei 14.063 de 23 de setembro de 2020, por exemplo, estabeleceu três tipos de assinaturas eletrônicas para serem utilizadas na comunicação envolvendo agentes públicos: as assinaturas simples, avançada e qualificada.
A Assinatura Simples é a combinação de login e senha, a Avançada utiliza a validação de outras entidades como o banco que a pessoa tem conta e a Qualificada é a assinatura feita com os Certificados Digitais ICP-Brasil.
O Portal GOV.BR por exemplo utiliza-se desses 3 tipos de assinaturas e criou selos que dão acesso aos serviços mediante sua qualificação: Bronze, Prata e Ouro. Sem entrar em detalhes sobre o que pode ou que não fazer cada tipo de assinatura ou com cada tipo de selo adquirido no Portal GOV.BR, o que é interessante ser observado é que quanto mais crítica for a transação em relação, por exemplo, à dados sigilosos, valores e consequências que o acesso indevido por terceiros ao documento pode causar, mais elevado será o tipo de assinatura eletrônica que deve ser utilizada ou a forma de autenticação exigida.
Fechando esse capítulo, sempre que for escolher o tipo de assinatura eletrônica opte pela assinatura que possibilite a geração de evidências como autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade dessa maneira você estará livre de possíveis futuros aborrecimentos em relação a transação eletrônica firmada.
Geração dos documentos eletrônicos
É comum, as entidades públicas e privadas proverem assinadores de documentos específicos, como é o caso dos assinadoras na Secretarias de Fazenda, nas Juntas Comerciais, nos Tribunais de justiça e na Receita Federal do Brasil.
Um bom exemplo é o sistema de assinatura eletrônica da Receita Federal do Brasil. Alguns documentos precisam da identificação do usuário para ser validado. Nestes casos, o contribuinte pode utilizar o sistema e-Assina RFB em que o certificado digital ICP-Brasil é obrigatório.
Além dos assinadores dessas organizações públicas também existem as plataformas de assinatura eletrônica e digitais fornecidas por empresas privadas. Essas plataformas das diferentes empresas possuem funcionalidades básicas e cada uma delas tem outras funcionalidades que podem ser uteis dependendo do perfil do usuário.
Normalmente, são disponibilizadas por empresas que dominam a tecnologia de identificação digital e o usuário não precisa se preocupar com o tipo de assinatura que deve ser utilizada em cada situação, os formatos dos arquivos que são válidos pela legislação brasileira e tão pouco se os processos de assinatura cumprem os requisitos técnicos que determina a lei. Por isso, antes de utilizar uma plataforma de assinatura, avalie muito bem qual é a empresa que está por trás dessa plataforma de assinatura. Porque tudo o que você fizer por meio de uma plataforma que não cumpre os procedimentos descritos em lei pode comprometer a validade e segurança dos seus documentos eletrônicos no futuro.
Para ter certeza de que a empresa está cumprindo os protocolos e requisitos recomendados, basta submeter os documentos ao Validador de documentos digitais desenvolvido pelo ITI – Instituto Nacional de Tecnologia da Informação, que é uma autarquia do Governo Federal com a responsabilidade de criar procedimentos e auditar toda Infraestrutura de Chaves Públicas Brasileira, ICP-Brasil.
O Verificador de Conformidade do Padrão de Assinatura Digital ICP-Brasil é um serviço gratuito disponibilizado pelo ITI. E, com ele, você pode aferir se um arquivo assinado com certificado ICP-Brasil está em conformidade com os documentos que regulam a assinatura eletrônica no País – DOC-ICP-15. Atualmente, o sistema verifica os padrões CAdES, XAdES e PAdES, melhor visualizado nos navegadores Mozilla, Firefox e Google Chrome.
Armazenamento dos arquivos eletrônicos
Após selecionar o tipo de assinatura eletrônica e eleger uma plataforma de assinatura que atenda aos pré-requisitos definidos, você precisa pensar em como armazenar os documentos eletrônicos.
Uma coisa é certa: nunca se deve guardar documentos eletrônicos em um único dispositivo, seja celular, PC ou servidor. O ideal é manter uma pasta de arquivos em um serviço de nuvem com redundância – backup – para que esses documentos não sejam perdidos.
Algumas plataformas de assinaturas eletrônicas providas por empresas privadas disponibilizam o armazenamento de documentos como serviço e essa é uma excelente opção a ser considerada, porque essas empresas especializadas geralmente trabalham em ambientes criptografados, com redundância operacional, com logs rastreáveis e controle de acessos com múltiplos fatores de autenticação.
As organizações públicas armazenam os documentos eletrônicos, mas é conveniente que as empresas e as pessoas tenham seus próprios arquivos submetidos a esses órgãos. Alguns órgãos inclusive deixam claro que os documentos eletrônicos devem ser arquivados pelas empresas emissoras como é o caso das notas fiscais eletrônicas.
Sobre o armazenamento de documentos eletrônicos é interessante destacar que alguns documentos de longa duração precisam ter assinaturas digitais especiais. Essa assinatura é denominada Assinatura Digital ICP-Brasil de Arquivamento.
O Registro de Imóvel feito pelos Cartórios é um documento de longa duração e desta forma o CNJ – Conselho Nacional de Justiça determina que seja aplicada uma Assinatura Digital ICP-Brasil de Arquivamento, assim como, o Ministério da Educação determina que os arquivos eletrônicos que contenham os diplomas digitais utilizem essa mesma tecnologia.
Concluindo: para usufruir dos benefícios dos documentos eletrônicos devemos pensar em que tipo de arquivo esses documentos eletrônicos estão sendo finalizados, quais são as credenciais eletrônicas utilizadas e como estão as questões de guarda, gestão e armazenamentos dos documentos eletrônicos. Além disso, a contratação de uma plataforma de assinaturas eletrônicas é uma forma de utilizar o meio eletrônico para transacionar utilizando os inúmeros benefícios que os documentos eletrônicos trazem às pessoas e às empresas sem comprometer a governança corporativa resguardando a empresa de sanções por conta das leis relacionadas a proteção e privacidade de dados – LGPD – Lei Geral de Proteção de Dados.
Sobre Susana Taboas
Susana Taboas | COO – Chief Operating Officer – CryptoID. Formada em Economia pela PUC Rio, com MBA em Finanças pelo IBMEC e diversos cursos de extensão na FGV RJ, Harvard University (EUA). Atuou em empresas como Vale do Rio Doce, NEC do Brasil, Cheminova, Nortel, Cableway Argentina, Certisign, Cast Group e Supportcomm. Durante sua carreira acumulou ampla experiência na definição e implementação de projetos estratégicos de médio e longo prazos nas áreas de Governança Corporativa, Recursos Humanos, Planejamento Estratégico e Financeiro, Tesouraria, Operações Financeiras Estruturadas no Brasil e no Exterior, Contabilidade, Fiscal, Logística e TI.
Imagem de capa: StartupStockPhotos por Pixabay
