Presidência da República
Secretaria-Geral
Secretaria de Assuntos Parlamentares

PROJETO DE LEI

 

Disciplina o uso de assinaturas eletrônicas e a prestação de serviços de certificação.

 

 

                        O CONGRESSO NACIONAL decreta:

Art. 1o  O uso de assinaturas eletrônicas e a prestação de serviços de certificação rege-se por esta Lei.

 

Art. 2o  Para os fins desta Lei, entende-se por:

 

I – assinatura eletrônica, o conjunto de dados sob forma eletrônica, ligados ou logicamente associados a outros dados eletrônicos, utilizado como meio de comprovação de autoria;

 

II – assinatura eletrônica avançada, a assinatura eletrônica que:

 

a)      esteja associada inequivocamente ao seu titular, permitindo a sua identificação;

 

b)      seja produzida por dispositivo seguro de criação de assinatura;

 

c)      esteja baseada em certificado qualificado válido à época de sua aposição; e

 

d)    esteja vinculada ao documento eletrônico a que diz respeito, de tal modo que qualquer alteração subseqüente no conteúdo desse seja plenamente detectável;

 

III – chave de criação de assinatura, o conjunto único de dados eletrônicos, tal como chaves criptográficas privadas, utilizado pelo seu titular para a criação de uma assinatura eletrônica;

 

IV – chave de verificação de assinatura, o conjunto de dados eletrônicos, tal como chaves criptográficas públicas, utilizado para verificar uma assinatura eletrônica;

 

V – dispositivo seguro de criação de assinaturas, o dispositivo físico (hardware) e lógico (software) destinado a viabilizar o uso da chave de criação de assinatura que, na forma do regulamento:

 

a)      assegure a confidencialidade dessa;

 

b)      inviabilize a dedução dessa a partir de outros dados;

 

c)         permita ao legítimo titular dessa protegê-la de modo eficaz contra o seu uso por terceiros;

 

d)      proteja a assinatura eletrônica contra falsificações; e

 

e)         não modifique o documento eletrônico a ser assinado, nem impeça a sua apresentação ao titular antes do processo de assinatura;

 

VI – certificado, o atestado eletrônico que vincula uma chave de verificação de assinatura a uma pessoa, identificando-a;

 

VII – certificado qualificado, o certificado emitido por prestador de serviços de certificação credenciado que contenha, ao menos:

 

a)      o seu número de série;

 

b)      o nome do seu titular e a sua respectiva chave de verificação de assinatura;

 

c)         a identificação e a assinatura eletrônica avançada do prestador de serviços de certificação que o emitiu;

 

d)      a data de início e de fim do prazo de validade do certificado;

 

e)      as restrições ao âmbito de utilização do certificado, se for o caso; e

 

f)        outros elementos definidos em regulamento e nas normas complementares a esta Lei;

 

VIII – prestador de serviços de certificação, a pessoa jurídica que emite certificados ou presta outros serviços relacionados com assinaturas eletrônicas;

 

IX – prestador de serviços de certificação credenciado, o prestador de serviço de certificação titular de certificado emitido na forma do art. 5o, § 1o;

 

X – componentes de aplicação de assinatura, os produtos físicos (hardware) e lógicos (software) que:

 

a)    vinculem ao documento eletrônico processo de produção ou verificação de assinaturas eletrônicas; ou

 

b)   verifiquem assinaturas eletrônicas ou confiram certificados, disponibilizando os resultados; e

 

XI – componentes técnicos para serviços de certificação, os produtos físicos (hardware) e lógicos (software) que:

 

a)    gerem chaves de assinatura, transferindo-as para um dispositivo seguro de criação de assinatura; ou

 

b)   mantenham certificados disponíveis ao público para verificação e, caso necessário, obtenção por rede de computadores.

 

Parágrafo único.  É condição para emissão de certificados qualificados, a identificação e o cadastramento de seu titular mediante a sua presença física.

 

Art. 3o  Observado o disposto nesta Lei, a prestação de serviços de certificação não se sujeita à prévia autorização pelo Poder Público.

 

Art. 4o  As assinaturas eletrônicas avançadas têm o mesmo valor jurídico e probante da assinatura manuscrita.

§ 1o  As declarações constantes dos documentos em forma eletrônica que contenham assinatura eletrônica avançada presumem-se verdadeiras em relação ao seu titular.

§ 2o  Os atos que exijam forma especial, bem como aqueles sujeitos aos serviços de que trata a Lei no 8.935, de 18 de novembro de 1994, quando formalizados em meio eletrônico, deverão ser, sob pena de nulidade, assinados mediante a aposição de assinatura eletrônica avançada.

 

§ 3o  Não serão negados efeitos jurídicos à assinatura eletrônica, nem será excluída como meio de prova, em virtude de se apresentar em forma eletrônica, de não estar baseada num certificado qualificado ou de não ter sido gerada através de dispositivo seguro de criação de assinaturas, desde que admitida pelas partes como válida ou aceita pela pessoa a quem foi oposta.

Art. 5o  Mediante requerimento a ser encaminhado à Autoridade Certificadora Raiz – AC Raiz da Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, o prestador de serviços de certificação poderá ser credenciado, desde que, na forma do regulamento:

I – comprove o cumprimento das diretrizes e normas técnicas, bem como das regras operacionais e práticas de certificação editadas pelo Comitê Gestor e pela AC Raiz da ICP-Brasil na forma da Medida Provisória no 2.200-2, de 24 de agosto de 2001;

II – mantenha contrato de seguro em vigor para cobertura total da responsabilidade civil decorrente da atividade de certificação;

III – disponha de profissionais que comprovadamente tenham o conhecimento, a experiência e a qualificação necessários ao exercício da atividade;

IV – garanta a confidencialidade da chave de criação de assinatura de modo que o seu uso, conhecimento e controle sejam exclusivos do seu titular;

V – demonstre possuir mecanismos e procedimentos adequados a impedir a falsificação ou deturpação de certificados;

VI – utilize sistema seguro de armazenamento de certificados de modo que:

a)      apenas as pessoas autorizadas possam introduzir-lhe dados e alterações;

b)      a autenticidade das informações possa ser verificada; e

c)         os certificados possam ser conferidos pelo público apenas quando consentido pelo seu titular;  

VII – possua sistemas de proteção de dados adequados para impedir o uso indevido de informações e documentos fornecidos pelo titular para emissão do certificado;

VIII – suas instalações operacionais e seus recursos de segurança física e lógica sejam compatíveis com a atividade de certificação e estejam localizados no território nacional;

IX – assegure que seus órgãos de registro realizam a identificação e o cadastramento dos usuários somente mediante a presença física desses, bem como mantenham os documentos por eles fornecidos pelo período de tempo necessário;

X – implemente práticas eficazes de informação do usuário, inclusive sobre os efeitos jurídicos produzidos pelo certificado emitido e as medidas necessárias para proteção e segurança da chave de criação de assinatura;

XI – garanta o funcionamento de diretório rápido e seguro e de serviço de revogação de certificados seguro e imediato;

XII – assegure com precisão a possibilidade de verificação da data e hora de emissão ou revogação de cada certificado;

XIII – utilize componentes de aplicação de assinatura e componentes técnicos para serviços de certificação que atendam os requisitos definidos nos arts. 12 e 13 desta Lei, e tenham sido previamente testados e aprovados; e

XIV – utilize sistemas e produtos seguros que estejam protegidos contra modificações e garantam a segurança técnica e criptográfica dos processos para os quais estejam previstos;

§ 1o  O credenciamento importa necessariamente na emissão do certificado do prestador de serviços de certificação pela AC Raiz da ICP-Brasil ou por prestadora de serviços de certificação credenciada na forma deste artigo.

§ 2o  O credenciamento poderá ser limitado no tempo e a determinados tipos de certificados.

 

§ 3o  Somente os certificados contemplados pelo ato de credenciamento poderão constituir certificados qualificados, observado o disposto no art. 2o, VII, desta Lei.

 

§ 4o  A inobservância de qualquer dos requisitos previstos neste artigo implicará o cancelamento do ato de credenciamento e a imediata revogação do respectivo certificado, sem prejuízo das demais sanções cabíveis.

 

Art. 6o  O disposto no art. 5o aplica-se, no que couber, ao credenciamento de provedores de serviços de certificação de data e hora, bem como de outros serviços e aplicações de suporte.

 

Art. 7o  O credenciamento de um prestador de serviços de certificação importa na atribuição do selo de qualidade da ICP-Brasil.

 

§ 1o  É de uso exclusivo dos prestadores de serviços de certificação certificados na forma do § 1o  do art. 5o a designação “Prestador de Serviços de Certificação Credenciado”.

 

§ 2o  O certificado emitido por prestador de serviços de certificação credenciado na forma do art. 5o conterá a informação de que é um “certificado qualificado”, sendo vedado o emprego dessa expressão para designar quaisquer outros certificados.

 

§ 3o  Os certificados qualificados emitidos na forma desta Lei constituem documentos oficiais de identificação em meio eletrônico.

 

§ 4o  As aplicações e demais programas que admitirem o uso de certificado digital de um determinado tipo contemplado pela ICP-Brasil devem aceitar qualquer certificado de mesmo tipo, ou com requisitos de segurança mais rigorosos, emitido por qualquer prestador de serviço de certificação credenciado na forma do art. 5o.

 

Art. 8o  Os prestadores de serviços de certificação informarão seus usuários das medidas necessárias para a manutenção da segurança de assinaturas eletrônicas e sua verificação de modo confiável.

 

§ 1o  Será fornecido, na forma do caput, documento informativo ao usuário que confirmará que o leu e tomou ciência de seu conteúdo, por meio de termo formalizado em papel devidamente assinado.

 

§ 2o  Os prestadores de serviços de certificação informarão aos usuários que uma assinatura eletrônica avançada, nos termos desta Lei, produz os efeitos descritos no art. 4o.

 

§ 3o  O par de chaves de assinatura será gerado sempre pelo próprio titular, e sua chave de criação de assinatura será de seu exclusivo controle, uso e conhecimento.

 

Art. 9o  Deve o prestador de serviços de certificação revogar um certificado:

 

I – mediante solicitação do seu titular ou representante constituído;

 

II – caso o certificado tenha sido emitido com base em dados falsos;

 

III – caso o prestador de serviços de certificação tenha encerrado suas atividades sem que fossem prosseguidas por um outro prestador de serviços de certificação;

 

IV – por determinação da AC Raiz da ICP-Brasil, caso o prestador de serviços de certificação seja credenciado na forma do art. 5o; ou

 

V – em outros casos definidos em regulamento e nas normas complementares a esta Lei.

 

Art. 10.  O prestador de serviço de certificação responde:

 

I – diretamente, pelos danos a que der causa; e

 

II – solidariamente, pelos danos que derem causa os prestadores de serviços de certificação por ele diretamente certificados, bem como os órgãos de registro e os prestadores de serviços de suporte a ele vinculados.

Parágrafo único. Se constar do certificado qualificado restrições ao uso da assinatura eletrônica avançada, na forma do art. 2o, VII, “e”, os danos causados são indenizáveis dentro dos limites dessas restrições.

 

Art. 11. A intenção do prestador de serviços de certificação de encerrar suas atividades será comunicada, com, no mínimo, dois meses de antecedência, indicando o prestador que o sucederá ou o momento em que serão revogados os certificados:

I – às pessoas a quem tenha emitido certificados que estejam em vigor; e

II – à AC Raiz da ICP-Brasil, caso seja credenciado.

§ 1o  A comunicação prevista no caput será imediata, nas hipóteses de falência ou liquidação extrajudicial.

 

§ 2o  O prestador de serviços de certificação transferirá, se for o caso, a documentação relativa aos certificados digitais emitidos ao prestador que os tenha assumido.

 

§ 3o  Caso os certificados qualificados não tenham sido assumidos por outro prestador de serviços de certificação credenciado, os documentos de que trata o parágrafo anterior serão repassados à AC Raiz da ICP-Brasil.

 

Art. 12. A assinatura de documentos eletrônicos, decorrente de certificados qualificados, exige componentes de aplicação de assinatura que claramente indiquem a produção de uma assinatura eletrônica, e permita a identificação do documento a que a assinatura se refere.

 

Parágrafo único. Para conferir o documento assinado, os componentes de aplicação de assinatura, na forma do regulamento, devem demonstrar:

 

I – a que documento a assinatura se refere;

 

II – se o documento não foi modificado;

 

III – a que titular de certificado está vinculado o documento; e

 

IV – o conteúdo do certificado em que está baseada a assinatura.

 

Art. 13.  Os componentes técnicos para serviços de certificação conterão, na forma do regulamento, mecanismos que:

 

I – assegurem que as chaves de criação de assinatura produzidas e transferidas a dispositivo seguro de criação de assinatura sejam únicas e sigilosas; e

 

II – protejam os certificados que estejam disponíveis para verificação e obtenção na rede de alterações, cópias ou obtenções (download) não autorizadas.

 

Art. 14.  Fica assegurado ao certificado emitido no exterior os mesmos efeitos do certificado de que trata o inciso VI do art. 2o.

 

Parágrafo único.  Tratados, acordos ou atos internacionais poderão atribuir aos certificados emitidos no exterior os mesmos efeitos do certificado de que trata o inciso VII do art. 2o, observado o princípio da reciprocidade.

Art. 15.  A infração de qualquer dispositivo desta Lei sujeita o responsável, sem prejuízo de outras sanções, à multa variável de cinqüenta mil reais a um milhão de reais, segundo o regulamento.

§ 1o  Cabe à AC Raiz da ICP-Brasil executar a fiscalização e auditoria dos prestadores de serviços de certificação credenciados, autuá-los, aplicar as penalidades de advertência, por escrito, e ainda as multas e medidas administrativas cabíveis, notificando os infratores e arrecadando as multas que aplicar.

§ 2o  Regulamento disporá sobre:

I – as medidas administrativas cabíveis, especialmente sobre revogação compulsória de certificados, cessação e suspensão dos serviços de certificação; e

II – o poder de supervisão da AC Raiz da ICP-Brasil em relação aos demais prestadores de serviços de certificação, a ser exercido na forma deste artigo.

§ 3o  Aplica-se, no que couber, à prestação de serviços de certificação a legislação de defesa do consumidor.

Art. 16.  O Poder Executivo disporá, ainda, sobre o uso de certificados digitais na emissão de passaportes, de documentos de identidade, de carteiras de habilitação de condutores de veículos, de certificados de registros de veículos e em outras aplicações, bem como sobre a emissão de certificados de atributos.

Art. 17.  As referências normativas a Autoridades Certificadoras – AC passam a ser entendidas como prestadores de serviços de certificação credenciados, exceto no caso da AC Raiz da ICP-Brasil.

 

Art. 18.  O disposto no § 2o do art. 4o não dispensa a manutenção, em papel ou microfilme, dos livros de registros públicos ou das fichas que os substituam, na forma da legislação vigente, em especial do art. 22 da Lei no 6.015, de 31 de dezembro de 1973.

 

Art. 19.  Ficam mantidas as competências do Comitê Gestor da ICP-Brasil e da AC Raiz da ICP-Brasil, na forma da Medida Provisória no 2.200-2, de 24 de agosto de 2001, salvo disposição regulamentar em contrário.

 

Parágrafo único.  Os certificados emitidos até a edição desta Lei permanecem válidos, na forma da Medida Provisória no 2.200-2, de 24 de agosto de 2001.

 

Art. 20.  Esta Lei entra em vigor na data de sua publicação.

Brasília,