Por Edmar Araújo*
De autoria do Deputado Federal Alexandre Molon (REDE/RJ), o Projeto de Lei nº 7843/17 acena para o que podemos considerar grande risco para toda a sociedade brasileira. Muito embora a proposta seja muito boa e louvável, pois pretende instituir regras e instrumentos para a eficiência pública, seu artigo 10º prevê que, por meio de login e senha, pessoas se relacionem com as mais diferentes plataformas de governo.
Art. 10. A autoria, a autenticidade e a integridade dos documentos e da assinatura, nos processos administrativos ou judiciais eletrônicos, poderão ser obtidas por meio de certificado digital emitido no âmbito da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, observados os padrões definidos por essa Infraestrutura.
- 1º O disposto no caput não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem identificação por meio de nome de usuário e senha, conforme ato da Secretaria Especial de Desburocratização, Governo Digital e Gestão do Ministério da Economia. (grifo meu)
O parágrafo primeiro do artigo 10 joga fora 50 anos de matemática aplicada na ciência da computação. Comprovar autoria e integridade de documentos eletrônicos utilizando um método frágil de autenticação como usuário e senha é impossível. Seria o mesmo que dizer que Leis naturais da vida não se aplicam mais no Brasil. É o primeiro país no mundo a escrever um enxerto artificial a algo impraticável. E piora. Vamos falar sobre os riscos.
Sabemos que a única tecnologia capaz de garantir a integridade de documentos e assinaturas digitais é a ofertada pela ICP-Brasil. Fora dela, não há como comprovar que uma pessoa seja autora de uma mensagem ou que documentos foram, de fato, assinados por quem declara ser o autor.
Em outras palavras, o PL impõe a criação de uma base de dados pessoais de cidadãos e estes utilizarão login e senha para pedir documentos, manifestar-se em processos e assinar atos, manifestando assim sua vontade, entre outras possibilidades.
E aí mora o perigo: quantas notícias sobre vazamentos de dados pessoais você já deve ter lido, não é mesmo? Seus dados, como os médicos e os fiscais, estarão expostos a hackers. E você não terá como se defender.
“Dados são o novo petróleo”
Tenho escutado este mantra com alguma frequência e concordo com o complemento certeiro do CEO da Mastercard Ajay Banga:
“A diferença é que o petróleo vai acabar um dia. Os dados, não”
A segurança é um direito fundamental do povo brasileiro e um dever do Estado. Isso está consagrado na Constituição Federal de 1988 e não se pode negar que ela deve ser provida também nos meios tecnológicos mais modernos. Se o Brasil quer ser digital, ele o será com as mesmas imposições constitucionais que lhe são feitas no mundo físico.
Permitir login e senha como mecanismo de autenticação e assinatura e, ainda, para garantir integridade aos atos praticados em meios eletrônicos flerta com a fragilização do princípio da segurança. Tudo o que os criminosos virtuais desejam.
A Lei Geral de Proteção de Dados, que vigorará a partir de agosto de 2020 no Brasil, prevê penalidades para os administradores que vazem ou deixem vazar dados. Ao redor do mundo ou aqui grandes empresas já sofreram com o problema. O Business Insider fez uma lista de alguns dos mais assustadores episódios de violações. British Airways, SingHealth, Facebook e Google+ estão entre as empresas afetadas. O mais emblemático até agora foi o ocorrido na Índia. O banco de dados de identificação do governo foi violado, expondo na internet dados de 1,1 bilhão de indianos.
Já no Brasil há casos envolvendo Uber, Banco Inter, C&A, Netshoes e o próprio governo.
– Dados do governo federal sinalizam um cenário sombrio: em 2018, o Gabinete de Segurança Institucional (GSI) da Presidência detectou 20,5 mil notificações de incidentes computacionais em órgãos do governo, dos quais 9,9 mil foram confirmados, o que dá uma média de mais de um por hora. Desde 2014, o número não fica abaixo de 9 mil –
Ao invés de fortalecer a cidadania por meio de uma identidade digital confiável, o PL aposta na solução mais barata, dando preferência para a conveniência e abandonando as melhores práticas de segurança da informação.
O Estado brasileiro, infelizmente, será réu em incontáveis processos na justiça caso este PL seja aprovado com a atual redação.
O cidadão brasileiro, lamentavelmente, será vítima de hackers e poderá ter sua intimidade e direito à segurança violados.
Estaremos mais expostos do que nunca na relação entre governo e sociedade.
É isso que queremos?
*Edmar Araújo é presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB)
