Eficácia Probatória de Documentos Eletrônicos
Stefano Kubiça
RESUMO
Considerando que a impossibilidade de impugnação implica plena eficácia probatória do documento eletrônico, este artigo tem como objetivo mostrar que, através da integração do GED ou do ECM com a Certificação Digital, pode-se garantir eficácia probatória de documentos eletrônicos nos aspectos inerentes à acessibilidade, autoria e integridade dos conteúdos. Mostra também a aplicabilidade e faz considerações sobre a viabilização.
1 Contextualização
A palavra 'documento' tem sua origem do latim documentum e, segundo o Dicionário Houaiss (2001, p.1.069), em uma de suas definições, é "qualquer escrito usado para esclarecer determinada coisa". A derivação desse conceito, por extensão, é "qualquer objeto de valor documental que elucide, instrua, prove ou comprove cientificamente algum fato, acontecimento, dito etc.". É importante observar que o referido dicionário define como documento autêntico "aquele que se faz de acordo com as normas estabelecidas e cuja assinatura é verdadeira".
Documentos surgiram quando a humanidade percebeu a necessidade de registrar informações. Hoje, documentos fazem parte de nossas vidas de tal modo que um dos fatos mais importantes quando nascemos é a geração de um, a certidão de nascimento. Muito conhecimento produzido pela humanidade nos últimos séculos está registrado em documentos que podem variar na forma e meio pelos quais são apresentados. Pode-se considerar como documento desde uma anotação feita em um pequeno pedaço de papel, até um grande conjunto de dados armazenados em computadores. A produção de documentos cresce em escala geométrica e a Tecnologia da Informação tem permitido que documentos sejam gerados, armazenados e recuperados em meio eletrônico, sendo chamados, por essa razão, de documentos eletrônicos.
Qualquer que seja o formato ou suporte, documentos precisam ser autênticos, íntegros e devem estar acessíveis em tempo oportuno para quem de direito. Para documentos em papel, esses requisitos podem ser facilmente atendidos. Porém, é necessário garantir integridade, autenticidade e acessibilidade também aos documentos eletrônicos.
Importantes avanços tecnológicos têm ocorrido desde meados da década de 1990, com o Gerenciamento Eletrônico de Documentos – GED (BALDAN, VALLE e CAVALCANTI, 2002), e mais recentemente com o Enterprise Content Management – ECM (GLASER, JENKINS e SCHAPER, 2006) para garantir acessibilidade aos documentos eletrônicos. Atualmente, com a Certificação Digital (2006), é possível assegurar também a autenticidade e integridade desses documentos.
2 GED e ECM
O tratamento dos documentos eletrônicos, em seu nível mais elementar, é chamado de GDE (Gerenciamento de Documentos Eletrônicos) e tem como propósito gerenciar somente documentos que estão em formato digital. No início da década de noventa o CENADEM (2006) criou a sigla GED para facilitar a introdução, no Brasil, das tecnologias para o Gerenciamento Eletrônico de Documentos. É importante destacar que o GED, diferentemente do GDE, trata também documentos em formato analógico. Com o passar dos anos, e para acompanhar a evolução, o GED incorporou novas tecnologias voltadas para o tratamento de documentos. Algumas dessas tecnologias são consideradas correlatas, como o Workflow (CRUZ, 2000). Existem também as chamadas atividades correlatas, como é o caso da Gestão Documental (CALDERON, CORNELSEN, PAVEZI e LOPES, 2004), que está ligada à área da Administração e é importante como pré-requisito para a viabilização de soluções de GED. Muitas organizações, hoje, consideram a sigla GED como "Gestão Eletrônica de Documentos", o que na verdade amplia o seu escopo, porque incorpora atividades como a Gestão Documental.
Em função da atualização tecnológica, o GED tem sofrido redefinições. A definição atual do CENADEM é a que segue:
um grupo de tecnologias, divididas em cinco funcionalidades básicas: captação, gerenciamento, armazenamento, distribuição e preservação. Dentro dessas funcionalidades, cada tecnologia tem uma função específica. Essas tecnologias, trabalhando reunidas ou isoladamente, promovem a organização de informações não-estruturadas.
Em 2002, a AIIM (2006) definiu o ECM como
as tecnologias, ferramentas e métodos usados para captar, gerenciar, armazenar, preservar e distribuir conteúdo pela empresa. No nível mais elementar, as ferramentas e estratégias de ECM permitem o gerenciamento de informação não-estruturada de uma organização, enquanto aquela informação existir.
O ECM é uma evolução do GED porque trata outros objetos além de documentos, preconiza uma abordagem corporativa e incorpora tecnologias que no GED são consideradas correlatas. Um importante componente, definido pela abordagem da AIIM como integrante do ECM, é a PKI (ADAMS e LLOYD, 2002), que é o principal componente para viabilização da Certificação Digital.
Excetuando-se os aspectos da evolução do ECM em relação ao GED, pode-se deduzir que tanto um como outro têm como objetivos captar, gerenciar, armazenar, localizar, disponibilizar e visualizar documentos, garantindo assim a acessibilidade. Em se tratando de documentos eletrônicos, é importante que a acessibilidade seja pautada por normas jurídicas e de segurança adequadas (ABNT, 2005). Porém, o GED e o ECM não têm condições de prover assinatura eletrônica com eficácia probatória. Uma assinatura digitalizada a partir de um documento em papel ou baseada em biometria (figura 1), pelo fato de poder ser facilmente adulterada ou substituída por outra em qualquer documento eletrônico sem deixar vestígio, não pode garantir eficácia probatória uma vez que, se for contestada, poderá ser facilmente impugnada. Assim, para documentos eletrônicos não é suficiente que a assinatura seja verdadeira; ela precisa ser lavrada de tal forma que qualquer tipo de falsificação possa ser facilmente detectada.
Figura 1 - Assinaturas Eletrônicas digitalizada( a ) E baseada em biometria( b )
FONTE: O autor
3 Certificação Digital
De acordo com a definição do Instituto Nacional de Tecnologia da Informação - ITI (2006), "A Certificação Digital é um conjunto de técnicas e processos que propiciam mais segurança às comunicações e transações eletrônicas, permitindo também a guarda segura de documentos". A Certificação Digital utiliza como base uma Infra-estrutura de Chaves Públicas - ICP, internacionalmente conhecida como PKI (ADAMS e LLOYD, 2002) e tem como principal objetivo prover assinatura de documentos eletrônicos com garantia de autenticidade e integridade. Deve ser viabilizada de acordo com a legislação pertinente (INSTITUTO, 2006) e operacionalizada em condições computacionais adequadas.
Diferentemente da assinatura digitalizada e da assinatura baseada em biometria (ver figura 1), uma Assinatura Digital (figura 2) gerada através da Certificação Digital permite que qualquer falsificação seja facilmente detectada. Isso é possível porque a assinatura é produzida da seguinte forma: com uma função matemática unidirecional conhecida como hash , gera-se, a partir do conteúdo do documento eletrônico a ser assinado, um resumo único, o qual é cifrado com uma chave secreta do assinante conhecida como chave privada, criando-se, assim, a Assinatura Digital. Dessa forma, qualquer pessoa poderá verificar se houve adulteração, sendo necessário, para tanto, estar de posse da chave pública do assinante para decifrar o resumo. Depois, com a mesma função matemática, gera-se um novo resumo a partir do documento assinado. Por fim, compara-se o novo resumo com o resumo decifrado – se forem iguais, pode-se ter certeza de que o conteúdo do documento eletrônico e a respectiva assinatura não foram alterados.
Figura 2 - Geração da Assinatura Digital
FONTE: O autor
Esse processo ainda não permite garantir que a assinatura seja verdadeira, pois falta ter a certeza de identificação do autor. É preciso confirmar se a chave privada utilizada para gerar a assinatura é realmente de quem diz ser e não de um impostor. Para isso utilizam-se os certificados digitais, que são documentos eletrônicos que associam um titular a sua chave. Os certificados são emitidos por entidades de confiança conhecidas como Autoridades Certificadoras, as quais, dependendo do nível de exigência ou necessidade da aplicação, devem estar credenciadas à ICP-Brasil (INSTITUTO, 2006).
Em situações em que for necessária a comprovação dos instantes de ocorrência dos eventos com registro de hora oficial, a Tempestividade Digital (KUBIÇA, 2006) deverá estar integrada. Com tudo isso, se um documento eletrônico for contestado em relação à integridade, autoria ou tempestividade, dificilmente será impugnado. É oportuno lembrar que um documento eletrônico somente será útil como prova se tiver garantia de acessibilidade, o que nem a Certificação Digital nem a Tempestividade Digital podem garantir.
4 Mutualismo
Desde a época em que a humanidade começou a produzir seus documentos em suporte papel sabe-se como garantir a eficácia probatória desses documentos. Conhecemos os três principais requisitos: 1) garantia de que o documento estará acessível quando for necessário apresentá-lo como prova; 2) garantia de autenticidade da assinatura, podendo ser necessário o reconhecimento de firma; 3) garantia de integridade, podendo-se, em caso de dúvida, ser realizada uma perícia. Dependendo da aplicação, outros requisitos são necessários, a exemplo da tempestividade, que é indispensável quando são requeridos protocolos com carimbo de data e hora oficial.
Um documento eletrônico não difere de um documento em suporte papel quando se faz uma análise dos objetivos e funções. Assim, requisitos podem ser prospectados com vistas a determinar uma maneira de satisfazer a esses mesmos objetivos e funções para documentos eletrônicos.
A Lei Modelo das Nações Unidas para o Comércio Eletrônico (UNCITRAL, 2006) recomenda tratar documentos eletrônicos com adoção de critérios de equivalência funcional em relação aos documentos em suporte papel. Assim, é razoável afirmar que se conseguirmos cumprir os requisitos acima listados para os nossos emergentes documentos eletrônicos, estaremos garantindo equivalência funcional entre documentos analógicos e digitais e, dessa forma, provendo a eficácia probatória dos documentos eletrônicos. Nessas condições, será possível migrar com legalidade e segurança do mundo dos documentos em papel para o mundo dos documentos eletrônicos.
Vimos anteriormente que a Certificação Digital pode garantir integridade e autenticidade e, se estiver integrada a uma Autoridade de Tempo (KUBIÇA, 2006), a Tempestividade também estará assegurada. Mas nada disso terá significado se os documentos eletrônicos assinados e autenticados não forem gerenciados de forma que possam ser acessados quando requisitados, o que o GED ou o ECM podem proporcionar.
Por outro lado, o GED ou o ECM podem muito bem proporcionar a acessibilidade dos documentos eletrônicos gerenciados, mas não têm condições de garantir a autenticidade das assinaturas e a integridade desses documentos.
Verifica-se, assim, uma dependência mútua entre o GED ou ECM e a Certificação Digital. Isto significa que o GED ou o ECM, para cumprir os requisitos para eficácia probatória de documentos eletrônicos, dependem da Certificação Digital. O mesmo se aplica à Certificação Digital em relação ao GED ou ECM. Esse tipo de dependência, em que um precisa do outro para sobreviver, no campo da biologia tem o nome de mutualismo.
Conforme foi visto, pode-se concluir que a integração do GED ou ECM com a Certificação Digital é indispensável para viabilizar equivalência funcional entre documentos analógicos e digitais e, assim, garantir a eficácia probatória de documentos eletrônicos.
Atualmente, em muitas organizações, o GED ou ECM e a Certificação Digital estão evoluindo em paralelo. É altamente recomendável que toda solução com Tecnologia da Informação envolvendo GED ou ECM considere a Certificação Digital em seu contexto, assim como que toda solução de Certificação Digital para documentos eletrônicos não desconsidere as facilidades para acessibilidade que o GED ou o ECM podem proporcionar.
5 Aplicabilidade
A grande vantagem da integração entre o GED ou o ECM com a Certificação Digital é a possibilidade de se livrar dos documentos em suporte papel, migrando para documentos eletrônicos. Mas uma tomada de decisão nessa direção deve considerar, antes de qualquer coisa, um aspecto conceitual que é crucial: o que são originais eletrônicos e o que são cópias eletrônicas? Uma interpretação equivocada pode conduzir a aplicações com pouca ou nenhuma vantagem, ou até mesmo com problemas de legalidade.
Um documento que foi gerado em meio eletrônico com assinatura digital é original eletrônico. Já o resultado da conversão de um documento analógico para o formato digital é uma cópia eletrônica. Podemos dizer então que as imagens resultantes de um processo de digitalização são cópias eletrônicas.
Esse entendimento é importante uma vez que, assim como no suporte papel, a garantia de eficácia probatória de documentos eletrônicos necessita de procedimentos diferenciados para originais e cópias. Poderá ser necessária a autenticação de cópia eletrônica com fé pública. Nesse caso, o outorgado para autenticação deverá proceder com Certificado Digital gerado por Autoridade Certificadora credenciada pela ICP-Brasil.
A aplicação do GED ou do ECM integrado à Certificação Digital pode trazer grandes benefícios, muitos ainda não mensurados. Maior eficácia probatória pode ser obtida tanto no armazenamento como no trâmite dos documentos eletrônicos. Quaisquer agentes podem ser autenticados, como: usuários, documentos, processos, equipamentos, programas etc. Autenticação remota de agentes em correio eletrônico, em dispositivos móveis e em redes privadas virtuais, pode ser realizada, permitindo, em muitos casos, substituir a exigência de identificação presencial pela autenticação à distância, dando condições de viabilizar o que se pode chamar de "balcão eletrônico".
Está sendo construído no Brasil um importante corpo regulatório, em que, na maioria dos casos, o "mutualismo" entre o GED ou ECM e a Certificação Digital está evidente. Um exemplo é a Resolução n. o 1.020 do Conselho Federal de Contabilidade, de 18/02/2005, que estabelece a escrituração contábil em forma eletrônica, exigindo assinatura digital de originais conforme ICP-Brasil (INSTITUTO, 2006) e autenticação de cópias eletrônicas com fé pública também de acordo com a ICP-Brasil. O item 2.8.2.12 da referida Resolução diz:
O contabilista deve tomar as medidas necessárias para armazenar em meio eletrônico ou magnético, devidamente assinados digitalmente, os documentos, os livros e as demonstrações referidos nesta norma, visando a sua apresentação de forma integral, nos termos estritos das respectivas leis especiais ou em juízo quando previsto em lei.
Isso mostra claramente a necessidade do GED ou do ECM para garantir acessibilidade dos documentos eletrônicos escriturados através da Certificação Digital.
Outro exemplo é o Ajuste SINIEF, publicado no Diário Oficial da União em 05/10/2005, em que o CONFAZ instituiu a Nota Fiscal Eletrônica, exigindo que todas as assinaturas digitais sejam de acordo com a ICP-Brasil. A cláusula décima afirma textualmente: "O remetente e o destinatário das mercadorias deverão manter em arquivo as NF-es pelo prazo estabelecido na legislação tributária para a guarda dos documentos fiscais, devendo ser apresentadas à administração tributária, quando solicitado". Aqui, o GED ou o ECM também são indispensáveis para garantir acessibilidade das Notas Fiscais eletrônicas assinadas e certificadas.
6 Viabilização Implantar uma solução de GED ou ECM integrada à Certificação Digital para garantir eficácia probatória de documentos eletrônicos não é uma tarefa trivial. Os aspectos tecnológicos, jurídicos e culturais devem ser considerados com disposição para quebrar barreiras e vencer desafios. A figura 3, a seguir, mostra uma abordagem que pode servir de base para qualquer organização, independentemente do estágio em que esta se encontre em termos de GED ou ECM e Certificação Digital.
Figura 3 - Viabilização da Eficácia Probatória de Documentos Eletrônicos
FONTE: O autor
A primeira etapa a ser vencida é perceber a importância da gestão de documentos e processos antes da definição das tecnologias necessárias. Gestão Documental com modelagem e racionalização de processos de negócio precisam ser considerados como pré-requisitos. Organizações que ainda buscam a viabilização tanto do GED ou ECM como da Certificação Digital têm como vantagem a possibilidade de realizar uma boa gestão antes e prever o "mutualismo" desde o início.
Durante o processo de viabilização, tecnologias correlatas podem ser incorporadas, como, por exemplo, o BPM - Business Process Management (SMITH e FINGAR, 2002), fundamental para automatizar o trâmite dos documentos eletrônicos e potencializar a acessibilidade. Outro exemplo é a Tempestividade Digital (KUBIÇA, 2006), indispensável quando for necessário o registro dos instantes de ocorrência dos eventos com hora oficial. As integrações das tecnologias correlatas com o GED ou ECM e a Certificação Digital são consideradas relações de "simbiose" porque ambas se beneficiam, mas não existe dependência entre elas, como ocorre no "mutualismo".
Cinco principais cuidados precisam ser observados para viabilizar a eficácia probatória de documentos eletrônicos com GED ou ECM e Certificação Digital:
1) O corpo regulatório no Brasil tem se desenvolvido no sentido de, na maioria dos casos, exigir que os Certificados Digitais sejam emitidos por Autoridades Certificadoras credenciadas à ICP-Brasil. Nesses casos, não é suficiente que o Certificado Digital esteja no padrão estabelecido. É imprescindível que a Autoridade Certificadora esteja de fato credenciada.
2) O acesso à chave privada de assinatura deve restringir-se ao seu titular, uma vez que ele será responsável por qualquer ato praticado com o uso dessa chave, inclusive com inversão do ônus da prova. O acesso à chave privada somente através de identificação biométrica é uma boa solução para evitar que a mesma seja indevidamente cedida para terceiros.
3) Da mesma forma, como na autenticação de cópias em papel, na autenticação de cópias eletrônicas quem autentica deve conferir a imagem resultante da digitalização com o original em papel. Pelo fato de a imagem poder ser alterada, a autenticação só tem validade quando realizada com fé pública, que, outorgada por direito, só se sustenta de fato com credibilidade.
4) É importante perceber que documentos com assinatura digital não são invioláveis; têm apenas imutabilidade lógica. Portanto, o ambiente eletrônico precisa estar adequado, o que uma solução de GED ou ECM com bom nível de segurança dos conteúdos pode proporcionar (ABNT, 2005).
5) O aspecto cultural deve ser encarado como fator crítico de sucesso. Migrar dos documentos em suporte papel para eletrônicos, onde a caneta utilizada para assinatura é substituída pelo Certificado Digital, pode significar um grande impacto. Disseminação, conscientização, treinamento e capacitação são fundamentais.
Por mais paradoxal que possa parecer, um dos principais desafios para a viabilização do "mutualismo" é a evolução tecnológica. Garantir eficácia probatória de documentos eletrônicos que precisam ser preservados por muito tempo, como, por exemplo, os documentos de engenharia no EDMS (BALDAN, 2004) ou dos documentos com temporalidade permanente, como os documentos históricos, ainda é uma questão em aberto. Qualquer alteração no conteúdo de um documento eletrônico, mesmo que seja de apenas um bit , torna inválida sua assinatura digital. Em função da obsolescência tecnológica, uma migração para nova tecnologia pode ser necessária, o que pode exigir a gravação em um novo formato. Nesse caso, se o conteúdo assinado for alterado, uma nova Assinatura Digital será necessária. Em situações como essa, teremos um problema ainda sem solução, se por qualquer razão o autor da assinatura não puder assinar a nova versão. Em função disso, recomenda-se muita cautela na Assinatura Digital de documentos que precisam ser preservados por muitos anos com necessidade de eficácia probatória.
Apesar dos desafios, a Certificação Digital veio para ficar, pois é hoje a única tecnologia que pode prover autenticidade de assinaturas e integridade de documentos eletrônicos. E para garantir a acessibilidade, tem como indispensável aliado o GED ou ECM, que agora projeta uma perspectiva de grande impulso, uma vez que, integrado à Certificação Digital, poderá viabilizar a tão sonhada eficácia probatória dos seus documentos eletrônicos gerenciados.
7 Referências ABNT - Associação Brasileira de Normas Técnicas. Tecnologia da informação – Técnicas de segurança – Código de prática para gestão da segurança da informação . Rio de Janeiro: ABNT, 2005.
ADAMS, C.; LLOYD, S. Understanding PKI : Concepts, Standards, and Deployment Considerations. Addison Wesley; 2nd edition, ISBN: 0672323915, 2002.
AIIM INTERNATIONAL. Disponível em: <http://www.aiim.org>. Acesso em: 18 jan. 2006.
BALDAN, R. EDMS : gerenciamento eletrônico de documentos técnicos. São Paulo: Érica, 2004.
BALDAN, R.; VALLE, R.; CAVALCANTI, M. Gerenciamento eletrônico de documentos . São Paulo: Érica, 2002.
CALDERON, W. R.; CORNELSEN, J. M.; PAVEZI, N.; LOPES, M. A. O processo de gestão documental e da informação arquivística no ambiente universitário. Ci. Inf. , Brasília, v.33, n.3, p.97-104, set./dez. 2004.
CENADEM. Disponível em: <http://www.cenadem.com.br>. Acesso em: 18 jan. 2006.
CERTIFICAÇÃO DIGITAL. Disponível em: <http://www.iti.br/twiki/bin/view/Main/Cartilhas>. Acesso em: 18 jan. 2006.
CRUZ, T. Workflow : a tecnologia que vai revolucionar processos. São Paulo: Atlas, 2000.
DICIONÁRIO Houaiss da Língua Portuguesa. Rio de Janeiro: Objetiva, 2001.
GLASER, D.; JENKINS, T.; SCHAPER, H. Enterprise Content Management : Tecnology. Disponível em: <http://www.opentext.com/corporate/ecm-technologybook.html>. Acesso em: 18 jan. 2006.
INSTITUTO Nacional de Tecnologia da Informação. Disponível em: <http://www.iti.gov.br>. Acesso em: 18 jan. 2006.
KUBIÇA, S. Tempestividade digital . Disponível em: <http://www.cenadem.com.br/news_tempestividade.php>. Acesso em: 18 jan. 2006.
SMITH, H.; FINGAR, P. Business Process Management : The Third Wave. Off-press, November 2002.
UNCITRAL: United Nations Commission on International Trade Law. Disponível em: <http://www.uncitral.org/uncitral/en/uncitral_texts/electronic_commerce.html>. Acesso em: 18 jan. 2006.
STEFANO KUBIÇA É Mestre em Informática Aplicada pela PUC-PR, consultor em GED, ECM e Certificação Digital da Companhia de Informática do Paraná - Celepar. e-mail: <stefano@celepar.pr.gov.br>. Leia o currículo na íntegra.
|
