Por Edmar Araújo*
A Associação das Autoridades de Registro do Brasil (AARB) vem a público tecer comentários acerca das publicações do articulista Ronaldo Lemos no jornal Folha de São Paulo intituladas “Liberal não, monopolista”, de 10 de fevereiro, e “País agora tem plano de cibersegurança”, de 17 de fevereiro.
O articulista fala, mais uma vez, em monopólio e o atribui ao Instituto Nacional de Tecnologia da Informação – ITI, autarquia federal vinculada à Casa Civil da Presidência da República.
O Brasil, por sua vez, apostou em um sistema oposto. O único método de identidade digital minimamente funcional disponível no país é o vergonhoso Certificado Digital, que é monopolizado por um órgão do governo federal chamado ITI (Instituto da Tecnologia da Informação). (grifo nosso)
Importa esclarecer a natureza do ITI. Trata-se de autarquia, entidade da administração pública indireta. Inexiste previsão constitucional para que explore atividade econômica porque sua expertise é a da prestação do serviço público típico, ou seja, próprio do Estado. Logo, como falar em monopólio por parte de quem não pode participar de qualquer mercado?
Sobre a alegação de que o certificado digital está restrito a um monopólio, vejamos os números oficiais desta Infraestrutura: 18 Autoridades Certificadoras de 1° nível, 101 Autoridades Certificadoras de 2º nível, 1633 Autoridades de Registro, 25 Prestadores de Serviço de Suporte, sete Prestadores de Serviço de Confiança e 30.314 Agentes de Registro. Com tantos entes credenciados, não é possível alegar que haja concentração abusiva de determinado serviço ou produto nas mãos de empresas. Aliás, no mercado de certificação digital podem atuar tanto as privadas quanto as públicas.
Ainda sobre monopólio, importa ressaltar a característica permissiva da Medida Provisória 2.200-2, de 24 de agosto de 2001, que regulamenta o uso de certificados digitais no Brasil.
- 2oO disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. (grifo nosso)
Pessoas podem assinar digitalmente com uso de certificados digitais emitidos em outras infraestruturas ou ainda utilizar mecanismos de autoria menos robustos. Contudo, a escolha pelo tipo de sistema a ser utilizado e pelos requisitos de segurança é de responsabilidade dos proprietários das aplicações. A própria Receita Federal do Brasil disponibiliza o Centro Virtual de Atendimento (e-CAC) onde o certificado digital ICP-Brasil é uma opção de acesso. O mesmo vale para o Portal de Serviços do governo federal.
Opção de acesso, não obrigação do contribuinte. Monopólios não produzem margem para concorrência.
No final dos anos 1980 era comum deparar-se com ofertas de linhas telefônicas em classificados de jornal. Os mais jovens vão achar estranho, mas casas foram vendidas e compradas tendo linhas telefônicas como importantes partes dos pagamentos na negociação. Veio o privado e a modernização das telecomunicações, que teve sua gênesis com a implantação de mais orelhões e democratização dos preços das ligações, enfim tornara-se uma realidade. Pessoas precisavam comunicar-se mais e melhor. O Estado limitou-se a criar o ambiente para a profusão de negócios. A necessidade criou demanda, oferta e procura por serviços de telefonia.
O mesmo vale para os certificados digitais. Bastará ao Estado brasileiro, mais uma vez, decidir-se por democratizar esta tecnologia para que o setor privado, que é quem produz riqueza, entregue aos cidadãos o mesmo que entregou à classe empresária.
O certificado digital não é caro. Ele custa, em média, R$ 12,50 por mês e pode produzir infinitas assinaturas digitais. O certificado digital é mais barato do que quaisquer serviços de streaming, telefonia, internet, TV a Cabo, assinaturas de jornais e cartórios, por exemplo.
Aliás, somos um case de sucesso internacional quando o assunto é massificação de identidades digitais. Com raras exceções, as empresas nacionais já possuem certificados digitais e, em vez de perderem tempo indo a repartições públicas levar e trazer papéis, podem realizar inúmeras operações pela internet, com a elevada segurança da Infraestrutura de Chaves Públicas Brasileira.
A demanda existe, mas em quais serviços as pessoas físicas poderiam utilizá-los? O ITI disponibilizou um site contendo inúmeros exemplos de uso dos certificados digitais – https://aquitemcd.iti.gov.br/
Sobre a Estratégia de Cibersegurança, Ronaldo Lemos questiona a presença do certificado digital no texto do Decreto 10.222, de 5 de fevereiro de 2020:
Alguém me conte, por favor, como esse jabuti foi parar no texto de um documento tão importante, minando sua credibilidade.
Entre as nações que mais sofrem com vazamento de dados pessoais, os Estados Unidos têm dedicado especial atenção ao tema. Prova disso é que o Senado Americano, ainda em 2017, realizou audiência pública intitulada “Protegendo os consumidores na era das principais violações de dados”
Em sua fala, disponível no site do Senado dos Estados Unidos, o presidente e CEO da Entrust DataCard, Todd Wilkinson, afirmou que a segurança de dados pessoais na rede só é possível a partir de exemplos de identificação como o que ocorre no Brasil, o que ele chamou de “identidades dinâmicas”.
“Com uma identidade dinâmica, um documento comprometido poderia ser revogado e substituído, reduzindo esses transtornos para o cidadão. As identidades dinâmicas são comuns no Brasil, onde a Infraestrutura de Chaves Públicas – ICP-Brasil emite certificados digitais, uma identidade digital, para a identificação do cidadão. Neste exemplo, o governo detém a tecnologia para emissão de identidades, além de parcerias com o setor privado para viabilizar o acesso a este sistema. Geralmente, esses certificados digitais têm validade de um a três anos e podem ser utilizados para assinar documentos com a mesma validade da assinatura manuscrita, para uso dos sistemas online de governo e para prover o acesso seguro e descomplicado às instituições financeiras. Um ponto crítico é que a ICP-Brasil institucionalizou o conceito de identidades dinâmicas. Ainda que esta identidade não esteja comprometida, seu ciclo de vida é relativamente curto. No caso de comprometimento, o processo de substituição é bem assimilado e facilmente realizado”
Na audiência, por diversas vezes a ICP-Brasil foi mencionada como potencial modelo a ser seguido pelos Estados Unidos.
A explicação para o que Ronaldo Lemos chama Jabuti é esta: quem tem sofrido com ataques cibernéticos sabe exatamente que temos a solução para a segurança cibernética do nosso país.
Por fim, a AARB procurou manter contato com o referido articulista desde sempre. Muitas informações presentes neste texto foram a ele encaminhadas por nós. Infelizmente seus escritos contém impropriedades às quais não basta discordar, mas também afirmar que foram escolhidas como partes fundamentais de sua opinião. É comum que se cometam equívocos ou excessos em nome das próprias convicções. Com efeito, ao não considerar o contraditório em suas visões acerca da ICP-Brasil, Ronaldo Lemos deixa de se preocupar com parte imprescindível da informação dada por quem é formador de opinião: o que se sabe sobre o que se analisa.
Permaneceremos sempre à disposição de Ronaldo Lemos e dos demais que desejem falar, bem ou mal, da certificação digital brasileira. Democracia é isso.
*Edmar Araújo é presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB)
