ICP-Brasil e o cenário da LGPD

Por Marcelo Buz

Agosto de 2020 é o prazo para a entrada em vigor da Lei Geral de Proteção de Dados, a LGPD, inspirada no Regulamento (UE) 679/2016 do Parlamento Europeu, de 27 de abril de 2016.

Em outras palavras, faltam 200 dias para que as empresas adéquem seus sistemas e procedimentos quanto à gestão da informação de bancos de dados pessoais. A lei se aplica a qualquer empresa que realize o tratamento de dados pessoais, ou seja, colete nome, CPF, endereço, e-mail, de clientes, parceiros, fornecedores e funcionários.

É um processo de transformação profundo, que exige dos gestores mudanças em suas práticas gerenciais. As empresas devem realizar um diagnóstico que consiste em mapear como os dados pessoais são coletados e organizados, verificar os repositórios e os procedimentos adotados para sua armazenagem e acesso, identificando quem e quando acessa os dados pessoais de seus clientes ou usuários de algum serviço.

Isso quer dizer que todo o processo de coleta, classificação, utilização, acesso, reprodução, transmissão, arquivamento, processamento da informação no ambiente virtual deve ser revisto. E, para tanto, é necessária uma mudança de gestão e adoção de ferramentas e dispositivos tecnológicos que possam garantir a gestão segura de todo o fluxo informacional. E, a partir daí, é preciso encontrar as melhores soluções tecnológicas. A certificação digital é uma dessas soluções.

Nesse contexto, é importante destacar que o roubo de dados pessoais é o crime mais comum praticado na internet brasileira e o foco são as grandes empresas, sites de e-commerce e de governo. Um em cada cinco brasileiros já teve a identidade roubada na internet, o que representa 24,2 milhões de vítimas em todo o país, isso em uma projeção baseada na atual população de 131,1 milhões de pessoas com sistema operacional Android.

Falar sobre a proteção de dados pessoais significa, em outros termos, ressaltar a responsabilidade das empresas sobre o direito à privacidade do indivíduo, mas também, de coibir a prática de crimes, fraudes e prejuízos para indivíduos, empresas e instituições. O governo brasileiro atua em várias frentes para o combate aos crimes cibernéticos. E o exemplo mais recente é o início do processo de adesão, em dezembro de 2019, à Convenção de Budapeste, tratado internacional de combate a crimes praticados pela internet.

De acordo com a LGPD, a coleta de dados do cidadão deve ser justificada pelas empresas com a finalidade específica do seu uso e a real necessidade. As informações não podem servir para a discriminação da pessoa de nenhuma forma. A lei apresenta princípios de livre acesso e transparência no uso dos dados e permite responsabilizar as empresas por quaisquer acessos indevidos à base de dados e aos tratamentos
indevidos ou ilícitos.

A força do certificado digital ICP-Brasil

Uma possível aplicação da assinatura digital no âmbito da LGPD é como forma de garantir o consentimento do titular para o uso de seus dados pessoais pela empresa ao acessar um serviço digital, um dos princípios estabelecidos pela nova legislação.

A assinatura digital provida por certificado digital no padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) equipara-se ao que na Europa se conhece como assinatura eletrônica qualificada, presente em países como Alemanha, Estônia, Dinamarca, Espanha, Portugal, entre outros.

Operada por uma autarquia federal – o Instituto Nacional de Tecnologia da Informação (ITI) –, a ICP-Brasil permite a qualquer cidadão emitir o seu certificado digital em uma das mais de 100 Autoridades Certificadoras (AC), 1,5 mil Autoridades de Registro (AR) e 27 mil Agentes de Registro em todo o país para a manifestação de vontade com toda segurança. Em outubro deste ano, o ITI registrou recorde mensal de emissões de certificados digitais no padrão da ICP-Brasil: foram 509.975.

A assinatura digital é uma tecnologia criptográfica de máxima segurança, que associa uma identidade digital ao documento eletrônico que será assinado, a partir de um certificado digital emitido por uma Autoridade Certificadora credenciada pela ICP-Brasil, garantindo presunção de veracidade em relação ao signatário, plena validade jurídica ao documento eletrônico assinado. Cabe esclarecer que difere da assinatura eletrônica, que é um mecanismo, gênero ou categoria, não criptografado, usado para assinar ou validar um documento eletrônico ou identificar uma pessoa, porém, sem garantia de autenticidade e integridade.

Assinar um documento digitalmente com presunção legal de veracidade somente é possível a partir do certificado digital no padrão da ICP-Brasil, pois esta é a única tecnologia com valor jurídico assegurado pela legislação, no caso, pela MP 2.200-2/01. O uso do certificado digital pelas empresas e titulares de dados pessoais, a partir da adoção das medidas determinadas pela LGPD, permite a identificação inequívoca dos atores no tratamento de dados, com garantia de autenticidade, integridade, rastreabilidade, sigilo, privacidade e controle. O certificado digital ICP-Brasil contribui de forma inequívoca nos processos de governança digital, com transparência e segurança.

Marcelo Buz é diretor-presidente do Instituto Nacional de Tecnologia da Informação – ITI