http://www.pedro.jmrezende.com.br/sd.htm > ICP: Debate-FAQ

Sobre Eficácia Probante e Prova Digital

Debate com o acadêmico Ricardo Mahlmeister *,
sobre documentos eletrônicos digitalmente assinados como prova judicial

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
Março de 2005


Entre 8 e 20 de Março de de 2005, Ricardo Mahlmeister e o Autor travaram, numa troca de emails, o seguinte debate:  

email 1:

RM: Estive lendo vários de seus artigos, mas fiquei com um dúvida.  No seu sentimento, qual seria a solução para o problema do repúdio da assinatura digital?

Não há solução técnica. A solução deve ser jurídica, caso a caso, conforme heurísticas gerais que venham a se desenvolver pela hermenêutica e com a jurisprudência, na busca, ao menos em tese, do equilíbrio de riscos e responsabilidades.

Foi assim que a assinatura de punho evoluiu como mecanismo público de manifestação de vontade, inclusive com caminhos diferentes percorridos pela tradição Romana e Anglo-Saxã, no que concerne, por exemplo, à fé pública.

A Lei deveria se ater apenas a princípios gerais de "cautela devida" na esfera digital, permitindo ao Juiz decidir, caso a caso, sob tais princípios e dentro do ordenamento jurídico vigente, acerca do ônus da prova. Isto, se supusermos que o legislador esteja buscando o mesmo nível de equilíbrio alcançado pela jurisprudência da assinatura de punho como mecanismo público de manifestação de vontade.

Supondo este objetivo, não há porque se precipitar com a revolução semiológica causada pela desmaterialização do meio, que passa de físico para simbólico com a virtualização das práticas sociais.

RM Há algum mecanismo técnico que elimine os riscos da forja (um sistema de auto-autenticação anti-forja)?

Não só não existe, como não pode existir, pois o problema da ligação entre bits e intenção humana é um problema de natureza semilógica, e não técnica. Entre a fibra vegetal que recebe a tinta de um documento e de uma posterior assinatura de punho, e o olho e a mão do signatário que segura a caneta, existe apenas o ar. Ao passo que, entre os bits que representam um documento e sua posterior assinatura eletrônica, e o olho e a mão do signatário que segura o mouse, existem várias camadas de software, onde a inteligência de terceiros (programadores) interfere, molda e determina a interpretação do processo, inclusive com a possibilidade sorrateira de má-fé. O ciberespaçao é campo bem mais fértil para o demônio de Descartes do que a atmosfera.

Tentar resolver tecnicamente o problema só teria chance de sucesso passando pela amarração do negócio do hardware ao do software, no qual o hardaware só irá executar software que tenha sido autorizado pelo fabricante do hardware. Ninguém mais poderia programar ou desenvolver software fora da camisa de força de um fornecedor que controlasse absolutamente tudo, sem transparência. Teríamos que confiar cegamente nesse fornecedor, e estaríamos de volta a um regime absolutista.

Será que a solução não seria a imputação do ônus da prova àquele que tinha o dever de cautela, ou àquele em que se diz ter sido responsável pela forja?

Esta abordagem parece ser um primeiro passo razoável para o estabelecimento de regras heurísticas relativas ao ônus da prova. Entretanto, o problema a meu ver é que, no caso digital, não sabemos bem julgar o que seria um caminho razoável para estabelecer regras "justas", se tivermos a devida humildade perante a natureza dos desafios.

Detalhes aparentemente insiginificantes do contexto podem desequilibrar o que seria razoável atribuir como "dever de cautela". Como, por exemplo, a auditabilidade pública da lógica de sistemas, ou o seu bloqueio; a existência, ou não, de alternativas com relação custo/benefício equivalente para mecanismos de manifestação de vontade, e muitas outras, são capazes de alterar completamente a direção com que evolui a confiabilidade de sistemas e serviços, etc., sob a influência de regras sobre "dever de cautela" fixadas em Lei.

Desculpe estar fazendo tantos questionamentos, mas pelo que li até agora, o Sr. tem bom senso jurídico, apesar de não ser advogado, e conhecimento técnico. Alguns conhecidos advogados vão atrás de modelos estrangeiros, por, meramente, acharem que, pelo simples fato de serem aplicados na Europa e nos EUA, são bons. Vou me virando como posso, principalmente tentando entender a questão técnica, para depois aplicar o direito sobre ela.

A diferença é que esses advogados assumem que o jogo do poder já está decidido, enquanto uma nova dinâmica das relações sociais apenas começa, com a revolução digital, a estabelecer novos contornos para esse jogo. Eles provavelmente estão tomando partido pelo sataus quo sem a reflexão que a grandeza do momento exige, correndo atrás da cenoura de prestígio e poder da ordem vigente. Talvez nós estejamos sendo mais prudentes do que eles, independente de como o resultado desse jogo se defina.


email 2

RM: Pelo que pude perceber o Sr. entende que esse equilíbrio seria alcançado, primordialmente, com a adoção de softwares livres, cuja auditabilidade pública seja permitida, sem contar no fato de que nesses softwares o código fonte é acessível e se pode saber exatamente como eles lidam com a sistemática da criação do par de chaves, da assinatura e da sua posterior certificação.

Acredito que a eficácia do que se possa chamar de auditabilidade, no sentido do valor probante de uma prova eletrônica, requer, sim, que o regime de licenciamento de software trate o código fonte nos termos em que o trata o modelo FOSS de desenvolvimento e licenciamento. Acredito também que a auditabilidade neste sentido é peça fundamental na busca deste equilíbrio, posto que sua ausência é certamente um fator de desequilíbrio.

RM: Podemos imputar o ônus da prova quanto ao "dever de cautela" sempre ao prejudicado (aquele que sofreu a forja, seja a certificadora, seja o detentor da chave privada), pois a ele caberia comprovar que adotou os meios tecnológicos adequados para impedir a usurpação do sistema. Contudo, ao que me parece essa prova é extremamente difícil, muito mais para aquele que tem o dever de guarda da chave privada. De fato, temos um grande problema, pois o equilíbrio dos riscos é difícil de ser alcançado. Por outro lado, esse equilíbrio, ao meu ver, nunca existirá,

Acho que esta sua opinião é interessante e defensável, pois, devido à natureza e as características do mercado de informática, qualquer tentativa de se buscar este equilíbrio de riscos e responsabilidades com imputação prévia de ônus probante na norma jurídica tende a afetar, no mercado, as condições que pressupunham esse equilíbrio, fazendo-o "caminhar" como o horizonte.  Quem faz lobby mais forte é quem manda no mercado, e quem manda no mercado quer se livrar de responsabilidades enquanto garante seus lucros. Daí, a tecnologia muda para desviar-se das responsabilidades se os lobbies, ou comunidades de desenvolvedores livres, não conseguirem as leis que querem. Para o Direito não cair nesta arapuca tecnológica, tem que orientar o legilador a não legislar em excesso ou em direção equivocada.

RM: Acredito que podemos adotar a mesma solução dada pelo Código de Defesa do Consumidor - em que o desequilíbrio é presumido. Além disso, como a relação com a certificadora é, em última análise, uma relação de consumo, nada obsta que o ônus da prova seja imputado a elas.

O problema com esta alternativa é que ela cobre apenas uma etapa, uma etapa inicial e assaz pequena do processo onde fraudes podem ocorrer, a saber, a etapa de emissão do certificado.

O ambiente onde a chave privada irá operar para assinar em nome do titular, e o ambiente onde a verificação de uma assinatura com o certificado emitido irá ocorrer para o terceiro interessado, não estão e não precisam estar sob controle ou mesmo influência da certificadora. O único fio de ligação entre essas etapas do processo é a adesão ao padrão aberto X-509, e aos protocolos adotados pela ICP em questão, para a emissão de certificados.

A estridência em muitas de minhas críticas ao regime jurídico da ICP Brasil decorre do fato dos interessados o tratarem através de uma sinédoque (figura de estilo na qual se toma a parte pelo todo) interesseira e perigosa.

RM: No caso de transações entre particulares, acredito que o dever de cautela incumbe a todos os envolvidos. Ao proponente para se certificar que o aceitante é que diz ser e vice-versa. Caso haja algum problema o prejuízo deverá ser suportado por aquele que não se cercou do dever de cautela que lhe era esperado.

Acredito que esta é a posição inicial mais sensata. Entretanto, a etapa inicial de instrução de um processo envolvendo alegação de fraude e repúdio de assinatura eletrônica, etapa que determinaria com plausibilidade aceitável ao Código Civil em que domínio de cautela teria ocorrido a irregularidade, já é, em si, tarefa tecnicamente complexa e onerosa.

Um litigante que repudia uma assinatura digital em seu nome pode alegar que a irregularidade ocorreu fora do seu domínio de cautela, para se livrar deste ônus inicial, e este tem sido um dos motivos alegados para se justificar o desequilíbrio atual no regime jurídico estabelecido pela MP2200-2.

Imagine, por exemplo, o imbroglio jurídico que teríamos se os tais "documentos da ABIN" "comprovando" que o PT teria recebido dinheiro das FARC, fossem digitalmente assinados com função de hash MD5 sob o regime da ICP-BR (vide
http://www.pedro.jmrezende.com.br/trabs/kummel.html#nota), e desaguassem numa CPI? Portanto, sua colocação acima é uma sugestão apenas parcial no sentido de se regular, de maneira equilibrada, a imputação do ônus probante.



email 3
Sim, na etapa da emissão do certificado, entendo que a responsabilidade é toda da certificadora. Depois dessa etapa, acredito que o risco pode ser imputado aos "usuários", a não ser no caso de pedido de revogação e não atendimento pela certificadora, ou de fraude na emissão do certificado, ou negligência da certificadora. Em todos os demais casos, acredito que as partes podem assumir os riscos, mesmo porque, como você disse, foge ao controle da certificadora.

Deveria ter completado meu comentário. A sinédoque a que me referi ocorre no marketing, não na Lei. Ocorre na hora de vender, não na hora de responder pela venda. Ocorre na explicação simplificada para leigos. Vemos, por exemplo, com frequência nauseante matérias e matérias na grande mídia alardeando que todo o esquema, que este ou aquele serviço ou produto é totalmente seguro "porque a Certificadora/software/etc emprega chave criptográfica de 2048 bits".

Com esse tipo de simplificação grosseira, com a frequência e amplitude em que ocorrem à guisa de tornarem o assunto "compreensível para leigos" (vide, por exemplo, "Contra o exagero nas simplificações para leigos", em http://www.pedro.jmrezende.com.br/trabs/galmeida2.html), os arautos da tecnologia-enquanto-panacéia levam o usuário a acreditar, ingenuamente, que a cautela da Certificadora protegerá o cliente contra TODO E QUALQUER tipo de risco, valendo-se da sua incompreensão do processo tecnológico, dos riscos neles embutidos e, portanto, do significado da letra da Lei.

Mas quando ocorrer algum problema no ambiente de uso do certificado ou de uso da chave privada, o discurso nos autos dos processos  judiciais certamente mudará em relação ao que seja "compreensível para leigos": o enfoque passará do marketing para a fria letra dos artigos 6 e 10 da MP2200, deixando o usuário ou o signatário com o prejuízo.



email 4
Ora, se assim o fizerem os "marketeiros de plantão" pior para eles, pois se eles vendem esse milagre, eles se responsabilizam pelos vícios e defeitos dos produtos. Aí entramos numa outra discussão, o Código de  Defesa do Consumidor, que determina a correta apresentação do produto, como todas as informações a ele inerentes, bem como a responsabilidade pelo seu vício ou defeito. Eles não podem sair vendendo água por vinho, pois a responsabilidade é legalmente deles, desde que comprovem as excludentes de responsabilidade prevista no Código: que não colocou o produto no mercado, ou o defeito inexiste ou culpa exclusiva do consumidor. Nesse último caso entraria a prova de que o consumidor não agiu com a cautela que lhe cabia. Mas, em todo caso essa prova é da certificadora. Acho que assim temos mais uma solução para nosso dilema.
 
Então tá. Vamos fazer um experimento mental para testar sua solução

Você tirou um certificado na SERASA porque, hipoteticamente, sua firma agora só pode pagar imposto de renda ou INSS de forma eletrônica, e com certificado. Você gera o par de chaves, tira o certificado e paga os impostos. Agora você tem uma chave privada no seu HD ou no SmartCard, da qual você ou sua firma é o titular, e com a qual a MP2200 diz que se pode assinar qualquer documento "público ou particular" em nome do titular: no caso, sua firma ou você mesmo.

Quando você foi tirar o certificado, você pediu à SERASA que o certificado indicasse o uso da chave exclusivamente para pagar impostos, mas a SERASA se negou a atender seu pedido, dizendo que a norma da ICP-BR só a autoriza a emitir certificados de uso geral.

Algum tempo depois, aparece uma queixa de X em uma ação civil no tribunal Y na qual você ou sua firma é réu. Nesta ação, X alega que você ou sua firma não cumpriu com certas clásulas do contrato Z. Você vai ver do que se trata, e descobre que o contrato Z é eletrônico, e que tem uma assinatura digital válida em relação ao seu certificado, além de uma assinatura digital válida em relação ao certificado de X. O contrato Z é desvantajoso para você, e você alega que nunca assinou aquele documento eletrônico do contrato Z. Por sua vez, X alega que, pelo parágrafo1o. do artigo 10 da MP2200-2, se você refuta a assinatura digital em Z, validada pelo certificado do qual você é titular, cabe a você, e não a ele X, provar que aquela assinatura da sua chave privada em Z é fraudulenta. O juiz do tribunal Y acata a alegação de X.

Você então aciona judicialmente a SERASA. Pede auditoria e ressarcimento dos seus custos no processo que corre no tribunal Y contra você, mais os seus custos no processo que você move contra a SERASA. A SERASA apresenta a auditoria que o ITI fez na SERASA entre o periodo da emissão do seu certificado e o início da ação no tribunal Y onde você é réu. A auditoria não aponta nenhuma irregularidade na emissão de seu certificado ou no de X. Ato seguinte, a SERASA pede reconvenção, alegando que você denegriu irresponsavelmente a imagem dela, enquanto único responsável pelo controle e uso da sua chave privada no seu computador, conforme o parágrafo 2o. do artigo 6 da MP2200. O Juiz acata a alegação da SERASA.

Você contrata uma pericia técnica, fajuta ou não, que apura o fato de que o seu ruindows foi invadido entre o momento em que você obteve seu certificado na SERASA e o momento em que a ação de X contra você foi impetrada no tribunal Y. Sua perícia, fajuta ou não, não consegue mostrar uma trilha consistente de eventos apontando o fato de que o contrato Z foi introduzido sorrateiramente no seu computador, para ser assinado pela sua chave privada sem o seu conhecimento. Observe que se, de fato, isto for feito por um eventual invasor, com a mesma facilidade este invasor poderia ao final ter apagado qualquer trilha, tendo ou não o invasor tido a necessidade de assinar o contrato Z na sua própria máquina (o que ocorreria se sua chave privada estiver armazenada em um smartcard).

Mesmo assim, com base nessa auditoria você agora solicita ao juiz Y que lhe conceda mandado de busca e apreensão no computador de X, para você poder provar que foi ele quem invadiu seu computador para falsificar, à la Daniel Dantas, sua assinatura no contrato Z. O juiz alega que, não tendo você encontrado indícios na sua máquina de que o invasor teria sido X, seu pedido não é justo, já que o indício da sua negligência é mais forte do que o indício de autoria da invasão por X. 

Ademais, mesmo que você conseguisse o mandado de busca, X não seria tolo o bastante para deixar rastros na máquina dele apontando invasão na sua máquina. Ele certamente contrataria o serviço a algum pirata, ou simplesmente reformataria fisicamente o HD com o qual lhe atacou, logo após atacá-lo. Ele, é claro, vai alegar ao juiz Y que você está inventando a estória toda de invasão simplesmente para se livrar das responsabilidades num contrato cujos desdobramentos não sairam ao seu contento.

Você então junta sua perícia ao contrato de adesão chamado "acordo de licença de ususário final" (em ingles, EULA), que lhe dá direito de usar o ruindows instalado no seu computador, e com eles impetra ação contra a Microsoft Corporation, pelo fato de que, apesar da sua cautela, o seu computador teria sido invadido enquanto controlado pelo ruindows, e de que uma fraude da qual você teria sido vítima pode ter acontecido nesta invasão, embora você ainda não possa provar a ligação entre a invasão e a fraude. Você alega que a isenção de responsabilidade da Microsoft Corporation, constante na EULA, segundo o CDC é abusiva, e pede ressarssimento por:
a) Suas custas na ação de X onde você é reu.
b) Suas custas na ação que você move contra a SERASA, inclusive indenização caso perca a reconvenção
c) Suas custas nesta ação contra a Microsoft, inclusive a perícia que constatou a invasão do seu computador.
Agora, pense comigo. Quantos usuários, cautelosos ou não, que aderiram a esta EULA já tiveram sua máquina invadida, violada, estropiada, etc., por motivos conhecidos ou não? Quantas desses já ganharam ação judicial semelhante contra a Microsoft Corporation, com base no CDC? Não precisamos ir tão longe, podemos perguntar: quantos conseguiram devolver o "produto" e receber de volta o dinheiro que pagaram pela licença? Gostaria de apontar um caso interessante: um estudante de química que, não tendo conseguido devolver o "produto", tentou leiloá-lo, foi processado pela empresa por violação da EULA (que ele sequer pôde ler) mas não se intimidou (veja Microsft x Zamos, e Microsoft + Zamos).

Quantos usuários do "produto" se intimidam? Também pudera! Como pode esta EULA ser considerada abusiva, se o Estado a legitima comprando-a aos milhares, até com dispensa de licitação? Não seria muito mais simples atacar o abuso na legislação que impede voce de obter um certificado ICP-BR de uso restrito? Se nesse experimento mental voce fosse a vítima esta opção lhe protegeria, invalidando uma enventual assinatura de sua chave privada em contratos como Z, por fugir ao escopo da utilização declarada para aquela chave; e a X também, caso você fosse um estelionatário.


email 5

RM: Entendi seu exemplo. Mas, acho que a solução não é tão simples assim.

Lembre-se que a "solução" que proponho não é no sentido de tentar ajudar o juiz no caso hipotético, mas argumentar pela utilidade de dispositivo que permita ao titular de um certificado ICP-BR limitar o uso da assinatura digital correspondente.
  
RM:  Ele é bem complexo e envolve diversas outras discussões jurídicas, que  não simplesmente a questão da assinatura digital.
 
O que eu quis dizer é que ele é complexo bastante já no que se refere à manifestação da vontade de um dos contratantes.

RM: No exemplo proposto,  me parece que o juiz teria uma grande dificuldade para decidir a causa.  A questão da "forja" da assinatura, no contrato Z, ainda que comprovada a sua ocorrência, não necessariamente acarretaria a vitória da ação para o contratante ("H"), em desfavor da vítima X.
 
A comprovação de que houve invasão no computador, analisando outras  provas produzidas no processo, poderia, pela boa-fé da vítima, isentar X da obrigação de cumprir o contrato, ainda que assinado digitalmente.  Mesmo porque,  se H não conhece X e, dependendo do objeto do contrato,  poderia ser alegado que H deveria ter se certificado que X realmente era X, e não outra pessoa. Entendo que essa necessidade de certificação de que fulano é realmente fulano, retira em parte a praticidade da  assinatura digital. Mas, aceitar sempre como exeqüível um contrato  elaborado entre duas pessoas que sequer se conhecem, ou com objetos duvidosos, seria tornar e/ou permitir que as relações pessoais ficassem um tremenda bagunça, sem contra a insegurança que isso geraria, podendo culminar com a descrença no sistema.

Mas é exatamente esta bagunça que os contratos digitais e o comércio eletrônico num regime de ICP única proporcionam: entidades que só se conhecem virtualmente entrando em contratos complexos, onde a possibilidade de se estabelecer positivamente a identidade civil das partes é depositada no processo de certificação. Em que sentido, por exemplo, você "conhece" a AC raiz da ICP-BR? É claro que os vendedores de caixa-preta e os FUDsters de plantão vão taxar a afirmação sobre bagunça como paranóia, até, ou mesmo depois, que ela se instale.

RM: Além disso, não podemos esquecer que dificilmente celebramos contratos com pessoas desconhecidas (isso falando-se em contratos entre pessoas  físicas). E, volto a lembrar, se o contrato está sendo efetuado entre pessoas físicas, os contratantes devem se certificar da veracidade das  informações.

Esse dever do contratante particular dilui a utilidade da certificação digital com raiz única para pessoas físicas, dificultando a motivação para o seu engajamento no uso de assinaturas digitais pelo regime da ICP-BR. A idéia que pode estar maquiavelicamente por de trás da certificação de chave pública apenas para uso geral é poder alegar que isto (raiz única e uso geral) é o melhor que a tecnologia pode oferecer, um passaporte para a capacidade de manifestação de vontade em qualquer contexto do ciberspaço, quando na verdade pode ser uma forma de enganchar uma necessidade civil (pagamento de impostos ou o dever de votar, por exemplo) à produção de dependências futuras das massas aos negócios da certificação digital, devidamente cartelizada.

O que se coaduna com o discurso sinedoquista dos interessados em vender caixas-pretas e certificados digitais feitos de bits, discurso que busca incutir a idéia de que contratos digitais assinados no regime da ICP-BR terão, no futuro, não só mais agilidade, mas também mais publicidade e mais valor probante do que outras formas de contratação, inclusive em papel. Já ouvi um certo advogado "especializado" dizer mais ou menos isso no "treinamento" que o SERPRO ofereceu aos notários, em 2002 (relatado em http://www.pedro.jmrezende.com.br/trabs/relatorioIRIB2.htm).

RM: No caso de contratos com empresas, entendo que a responsabilidade de cautela é sempre delas. Em se ocorrendo qualquer burla, a responsabilidade será dela, pois das empresas pode se esperar o dever de segurança da chave. Podemos até falar, nesses casos, em socialização dos riscos.
 
Para a ação contra a certificadora, como afirmado anteriormente, a responsabilidade presume-se dela, desde que ela comprove algumas das excludentes constantes do Código de Defesa do Consumidor (responsabilidade objetiva). No exemplo dado, ela comprovou e, portanto,  não pode ser condenada.


Acho que você não entendeu o que eu quis enfatizar. Tudo o que você diz acima eu entendo e não contesto. O que eu estava tentando enfatizar é  que a DETERMINAÇÃO sobre onde, isto é, em que domínio de responsabilidade, houve lapso de cautela não é um processo fácil, nem barato, nem é automaticamente inferível do exame de um conjunto de documentos eletrônicos contendo contrato, cadeias de certificado e listas de revogação, nem pode ser automatizado na evolução da forma desses instrumentos.

É uma questão semiológica, envolvendo a interpretação da intenção dos envolvidos, conforme interpretável por software, software que por sua vez pode também ocultar intenções externas de terceiros, se contaminado, contaminação esta que pode ou não incluir conflitos de interesse com o fornecedor do software. Esta dificuldade apresenta o que você chama de socialização dos riscos. Enquanto você só agora parece dar-lhe importância em nosso debate, é o que mais me preocupa nesse assunto de há muito, e sobre o qual muito tenho refletido e escrito.

RM:  Por fim, para a ação contra a Microsoft, o argumento dado foge à lógica dos anteriores. Não se pode partir do pressuposto de que a Microsoft é intocável, pelo simples fato de ser uma das maiores empresas de softwares do mundo, senão a maior. O fato de o Estado adquirir enormes quantidades de licenças, inclusive com dispensa de licitação, não retira a possibilidade, nem a legitimidade, de se  concluir pela abusividade de certas cláusulas contratuais.

Que bom ouvir isso. Foge à lógica, permita-me completar, apenas devido à circunscrição de foco que você deseja dar ao assunto desse debate. Sobre o seu argumento para excluí-lo do foco do debate quero apenas torcer para que magistrados brasileiros o ouçam. No CADE, por exemplo, acho que ninguém acredita nisto. Minha tentativa de por o assunto sob foco não foi para enganchar um ataque gratuito a monopólios de TI, mas para ressaltar a natureza, antes semiológica do que técnica, da determinação do locus jurisdicional de incidentes digitais que desembocam em disputas.

RM:  Creio que, até o momento poucos se insurgiram contra as empresas de softwares, pois, nada, ou quase nada poderia ser a elas imputado.

Leia a EULA linkada acima e diga, honestamente, se ela fere ou não o CDC e, particularmente, clásulas constitucionais sobre direitos de privacidade. Se você tiver dificuldades em apontar os conflitos que eu enxergo, seria bom que entendesse as consequências técnicas de dispositivos tais como o do parágrafo 7 da EULA exemplo, no sentido de permitir-nos inferir aspectos da arquitetura do "produto". Os indícios daquilo que se pode inferir estão hoje por toda parte, alimentando uma corrida atrás do próprio rabo onde só quem ganh são as simbióticas "empresas de segurança", ou quem opta por software livre de qualidade, mas que, neste caso, pagam o preço de uma guerra de incompatibilidades forçadas.

E por favor, caso você os enxergue, não me diga que se trata de uma renúncia voluntária a esses direitos por parte do licenciado porque aí eu serei obrigado a lhe mostrar uma dezena de URLs de sítios governamentais que, quando acessados com qualquer outro navegador, impedem o acesso com a mensagem "Você está usando o navegador errado: Instale o Internet Explorer", junto com outra lista de serviços públicos disponíveis apenas nesses sites. Isso tudo apesar da política de informática do governo, que tenta se livrar desse tipo de depenência. Trata-se de conflitos de interesse na questão semiológica do locus jurisdicional que abordei acima.

RM: Os contratos de licenças de uso de software, assim como todos os outros contratos de adesão, usualmente, ferem, de uma forma ou de outra, as garantias constitucionais e as previstas no CDC. Não se trata de "renúncia voluntária" aos direitos do consumidor. Na verdade é falta de opção do consumidor. Se ele quiser usar o serviço, devem assinar o contrato como posto.  Mas, nem por isso impede-se a declaração de abusividade dessas cláusulas.São inúmeras as empresas, grandes, ou pequenas, que contratam com os Estados ou não que já tiveram cláusulas contratuais alteradas, ou vedadas em sues contratos de adesão com os consumidores. São bancos, seguradoras, prestadoras de serviço, etc. O que falta é vontade política para se atacar tais abusividades. Só não podemos acreditar que isso nunca vai ocorrer, pois caso contrário, perderemos a esperança de que, um dia, as coisas irão melhorar, e os consumidores serão tratados com respeito. Coisa que, hoje em dia, não ocorre. É sabido que as empresas apostam num número mínimo de reclamações. Assim, mesmo agindo ilegalmente, elas ainda terão lucro, pois serão poucos os consumidores que reclamarão. E isso tem que mudar.

Nos casos anteriores a responsabilidade estava sendo atribuída a outras empresa, como por  exemplo, aos bancos, nos casos de roubo de senhas de acesso aos  "home-bankings". Com o aparecimento das assinaturas digitais, a questão  da responsabilidade deverá ser revista. E, com essa revisão, poderemos  chegar à mesma conclusão: a responsabilidade é de quem presta o serviço  (objetiva, cabendo prova das excludentes), no caso de relação com as  empresas, simplesmente por que elas colocam o produto no mercado e devem  arcar com os riscos inerentes à prestação de seus serviços.

Devem, mas entre dever e arcar vai uma longa distância. Acho que o efeito deste seu comentário aqui, em relação aos monopólios de software para desktop, é o de ironia com o uso kantiano do "dever". Se não ironia, extrema ingenuidade em relação ao que a teoria realista do Direito tem a dizer, semiologicamente é claro, acerca da relação entre Direito e Poder.

RM: No caso da transação entre particulares, a coisa complica um pouco. Não podemos presumir a responsabilidade, mas podemos imputar o ônus da prova a quem alega a forja, sem contar que outros meios de prova podem ser utilizados, primordialmente ante a dificuldade de se comprovar a forja.

Procurei argumentar que, no regime estabelecido pela ICP-BR, esta imputação absoluta pela norma jurídica é perigosa pois estimulará a fraude. Veja que, no exemplo que estamos discutindo, por mais que se gaste com perícia, se o golpe for bem aplicado (de um lado ou de outro) o juiz terá remotíssimas chances de obter subsídios técnicos que funcionem como indício para apontar se "H" ou "X" é o esteleionatário.

Digo isto porque meu conhecimento técnico e profissional (de computata e de professor), permitindo-me avaliar a facilidade com que o cenário tecnológico e cultural atuais contextualizam a questão, assim me levam a crer. Lembre-se que o objetivo de alguém entrar com uma ação na justiça não é necessariamente ganhar a causa. Existem ações vexatórias que leis tortas ou desequilibradas estimulam, e que, hoje mais do que nunca, servem como armas de terrorismo econômico. E isto não exclui a empresa monopolista acima citada, ao contrário (o caso SCO vs. meio-mundo é emblemático: vide http://www.groklaw.net/).

É disso que trata o "horizonte que caminha", como metáfora para a meta de leis que buscam legislar demasiadamente, muitas vezes mas nem sempre com a melhor das intenções, sobre o ônus probante na esfera digital. Exemplos abundam. Neste momento e sobre este assunto, o risco de sermos excessivamente platônicos ou ingênuos nos reserva consequências desastrosas.


email 6

RM: Os contratos de lincenças de uso de software, assim como todos os outros contratos de adesão ferem, de uma forma ou de outra, as garantias constitucionais e as previstas no CDC. Mas, nem por isso elas não podem ser assim declaradas. São inúmeras as empresas, grandes, ou pequenas, que contratam com os Estados ou não que já tiveram cláusulas contratuais alteradas, ou vedadas em sues contratos de adesão com os consumidores. São bancos, seguradoras, prestadoras de serviço, etc. O que falta é vontade política para se atacar tais abusividades. Só não podemos acreditar que isso nunca vai ocorrer, pois caso contrário, perderemos a esprança de que, um dia, as coisas irão melhorar, e os consumidores serão tratados com respeito. Coisa que, hoje em dia, não ocorre. É sabido que as empresas apostam num número mínimo de reclamações. Assim, mesmo agindo ilegalmente, elas ainda terão lucro, pois serão poucos os consumidores que reclamarão. E isso tem que mudar.

Plenamente de acordo. Conte comigo no plano técnico. Quanto o projeto de lei de assinatura digital e comércio eletrônico patrocinado pela OAB, o PLC1489/99, estava em discussão na comissão de ciência e tecnologia da Câmara, ofereci minha opinião de que qualquer ônus absolutamente imputado deveria ser evitado. Não só naquela, mas em qualquer lei sobre tecnologias digitais, devido ao problema do "horizonte móvel", onde o Direito corre atrás da Tecnologia sem chances de alcançá-lo.

Minhas proposta ao relator foi no sentido de que o dispositivo sobre ônus probante, que no PLC1489/99 seguia a idéia que você sugere acima, fosse modificado, para excluir casos em que o contratante seja impedido, por hiposuficiência ou por exigências da outra parte, a escolher forma alternativa à assinatura digital para manifestar sua vontade, com relação custo/benefício ou risco/benefício equivalente. As discussões, entretanto, foram atropeladas por uma canetada de FHC que assinou a Medida Provisória 2200 em 28 de junho de 2001.


email 7

O Sr. afirma em em de seus textos (Novos ventos digitais) que "o credenciamento das empresas privadas deveria seer facultativo, e deve significar um reconhecimento de que adotam procedimentos de segurança adequados, algo como um selo de qualidade,mas não devem implicar em concessão de fé pública para a atividade eminentemente privada".  A dúvida, a quem caberia então essa fé pública. Apenas aquelas certificadoras-raiz, que no caso do Brasil é única? Ou se existirem outras certificadoras-raiz, a cada uma delas.

Minha dúvida é anterior à sua, e talvez não a tenha explicitado ou indicado de forma suficientemente clara nos textos de minha lavra que você leu. A minha é: Por que deveria caber fé pública em documentos eletrôncios digitalmente assinados?

Observe que, na tradição jurídica brasileira, embora alguns cargos de estado sejam investidos de fé pública, isto não significa que todo ato de quem o ocupa terá fé pública. Salvo engano de minha parte, não é qualquer documento que, por exemplo, tendo sido lavrado em um cartório com a participação de um tabelião, terá por isso fé púbica: apenas aqueles cujo rito de lavra assim o determine (escrituras, inventários, etc.).

E mais. Na tradição jurídica anglo-saxâ sequer existe o conceito de fé pública: a veracidade de um documento é matéria de convencimento. Note que, no caso dos cartórios e da tradição brasileira, a fé púbica de documentos está vinculada a certos critérios mínimos de cautela no rito de lavra. Argumentar a favor da fé pública em documentos eletrônicos digitalmente assinados com base na tradição jurídica pressupõe, no meu entender, vínculo equivalente.

É nesse ponto, nessa pressuposição, que minha formação técnica me leva a crer que, sob as condições atuais de mercado e de cultura informática, ritos de lavra de assinatura digital deixam a desejar em termos de critérios mínimos de cautela, em relação aos equivalentes em ritos que hoje revestem de fé pública certos tipos de documentos em papel, segundo nosso ordenamento jurídico.

Não importa quão cauteloso seja o rito da certificação de chave pública, é com o rito da lavra e verificação da assinatura em documentos cujo signatário um dado certificado pretende identificar que devemos nos acautelar, por envolver as partes diretamente interessadas na lavra e verificação de manifestações de vontade às quais se pretende imputar fé pública. E nesse rito é onde hoje residem os piores problemas.

Neste sentido, acho que a tradição jurídica anglo-saxâ está melhor posicionada, ao menos em relação a expectativas do legislador, para receber os influxos tecnológicos que levam à marcha pela virtualização das provas documentais.



* - Em email de 16-03-2005 10:07 o remetente autorizou a publicação deste debate neste site nesses termos.