Projeto de lei sobre validade documental de e-mails
Um projeto de lei em discussão no Congresso pode dar aos e-mails status de documento com valor legal.
O texto está sob análise da Comissão de Constituição e Justiça (CCJ) do Senado, que avalia se a medida é constitucional ou não. Se obter parecer positivo, o projeto pode seguir para votação em plenário.
A ideia é dar valor legal a e-mails trocados com certificação digital. Assim, ao invés do usuário precisar assinar um documento, reconhecer a assinatura em cartório e enviar o papel por correio ou entregá-lo pessoalmente, pode validar uma decisão apenas enviando um e-mail.
A Comissão quer certificar-se de que esse processo é seguro e que permitirá desburocratizar transações comerciais sem aumentar o risco de fraude. (via info.abril.com.br)
Saiba mais (info.abril.com.br).
• Publicado por Augusto Campos em
2009-05-18
@brlinuxblog
Feed RSS
Finalmente um projeto de lei útil… Depois dos ridículos projetos de “regulamentação da Internet” e de “regulamentação das profissões da área de informática”, finalmente o legislativo brasileiro resolveu fazer algo que preste.
Assinatura digital é válido como documento desde 2001, desde que emitidas pelo ICP-Brasil.
https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm
Att,
Renato
Tem gente viajando na batatinha!!!!
Como eh que e-mail pode vir a ter estatus legal num pais em que ate documentos
cartoriais algumas vezes nao tem!!!!
Nao estou dizendo que eh impossivel! Mas o congresso brasileiro nao tem competencia
tecnologica para sequer dar palpite no assunto – supondo que o interesse do
congresso esta montado em boa fe; o que na maioria das vezes nao eh!!!
Desde a primeira vez que usei um e-mail eu tenho solicitado aos provedores que
disponibilizem um log indelevel (que nao possa ser editado) contendo acesso/data/hora/
destino de todos os e-mails que partirem da minha conta. Nunca me atenderam!
Como eh que eu vou saber se alguem nao interceptou minha senha (keyboard scan) e usou
minha conta sem que eu saiba para enviar e-mails a revelia da minha vontade?
O acesso ao log indelevel da minha conta seria o MINIMO de segurançca!
Se o congresso quer dar status de documento ao e-mail, vai ter investir pesado nesta
tarefa! Estamos falando de gastos com investimento em pesquisa na casa dos milhoes!!!!
Mas se eh como eu penso mais uma maneira de justificar a quebra da privacidade de opositores
(pior dos parentes de seus opositores) para capitalizar material de anti-propaganda (ou ate
chantagem) entao vamos ter que comecççar a brigar! Usar e-mail em CPI no estado atual de
insegurançca dos e-mails eh no minimo irresponsabilidade
Nao existe justiçca gratuita no Brasil! Quem tem grana vai poder pagar o advogado da moda, o
pobre, incriminado por causa de e-mail forjado, vai pra cadeia sem amparo!
Cade a comunidade academica seria – aquela que nao esta apenas de olho no dinheiro do
contribuinte que vai custear esta aventura – neste momento?
“Desde a primeira vez que usei um e-mail eu tenho solicitado aos provedores que
disponibilizem um log indelevel (que nao possa ser editado) contendo acesso/data/hora/
destino de todos os e-mails que partirem da minha conta. Nunca me atenderam!”
Agora quem viajou na batatinha foi tu.
(Quase) Todo mundo sabe que a especificação SMTP não garante segurança nenhuma. Uma das maneiras de garantir que o email não foi alterado ou de criptografar o email é através do uso de um par de chaves publica e privada, como é feito com GPG.
É claro que se a chave privada não estiver segura e vazar e a senha dessa chave for insegura, não tem mais como garantir se o email foi realmente assinado pela pessoa detentora da chave. Ou seja, como sempre, a brecha da segurança volta para o usuário. E infelizmente não existe nenhum algoritmo, criptografia ou medida de segurança que conserte um usuário tanso.
Bom que exista a iniciativa de formalizar, mas talvez seja dispensável. Qualquer mensagem de correio eletrônico já tem valor jurídico legal, com base no disposto no Artigo 10, parágrafo segundo da medida provisória 2.200/2001 (a do ICP-Brasil), bastando haver admissão entre as partes como válido. Dessa forma ao meu entender se alguém assina um e-mail destinado a mim, com PGP, e a chave pública deste está disponível em um servidor de chaves (como do MIT) ou disponível pelo próprio emissor em outro lugar (site pessoal, blog), se eu aceito, há o acordo entre as partes.
Em especial caso todo documento com a chave PGP pública impressa e assinada pessoalmente (PGP Key Signing Party) temos ainda validade jurídica complementar pelo reconhecimento em pessoa e com testemunhas da fé pública dada acerca daquela chave. A fé pública pode ser notória no caso supracitado (sem signing party).
O mesmo se aplica a um e-mail (ou outro documento) enviado com chave pública padrão PKI mesmo que esta não seja do ICP-Brasil, sendo mais uma vez requisito prévio apenas o aceite entre as partes. De tal forma pode ser um certificado emitido pela ICP-OAB, ICP-EDU, ICP-BRLINUX, o que for. Com tanto que aceito entre as partes.
Podemos ir mais longe e considerar a plena validade jurídica legal de um e-mail transmitido por um servidor que assine-o com Domain Keys e um outro que valide a assinatura e integridade com DK ou DKIM também. Mas nesse sentido a validade acontece entre os responsáveis pelos servidores e não pelo emissor original do e-mail. O que abre mão a potencial inversão de ônus de prova, sendo necessário os responsáveis pelo servidor original ter que provar que a mensagem foi mesmo submetida pelo usuário cliente dele, e não por outro. Mas a validade jurídica existe entre as partes (não sendo o emissor original uma dessas partes no cenário com Domain Keys) – sim por isso pode ser um tiro no pé assinar e-mail com DK no Brasil hoje, deve-se ter cuidado.
Uma lei distinta da MP 2.200 torna a assinatura digital em e-mail válida, sem a necessidade que a MP em questão seja válida, lembrando que a MP 2.200 pode (apesar de improvável) ser revogada. Havendo uma lei separada para regulamentar o e-mail assinado, este ficaria respaldado ainda diante da (mais uma vez, improvável) revogação da MP que instaurou o ICP-Brasil. Mas o texto deve ser acompanhado de perto pelos interessados, tendo em mente o texto já existente da MP em questão.