Na terça-feira passada o Presidente da República em exercício anunciou a adoção de um novo documento nacional de identidade para os cidadãos brasileiros. O documento será armazenado em um cartão inteligente, que provavelmente conterá um certificado digital emitido no âmbito da Infra-estrutura de Chaves Públicas Brasileira — a ICP-Brasil, um vasto sistema regulatório que atribui efeitos jurídicos preponderantes a tecnologias de autenticação e identificação oferecidas por prestadores de serviços credenciados pelo Estado.

A ICP-Brasil

Documentos assinados eletronicamente com tecnologias ligadas à ICP-Brasil gozam de presunção juris tantum de integridade e autenticidade — i.e. essas tecnologias permitem o reconhecimento jurídico de que documentos originalmente assinados com base nas mesmas permanecem inalterados e, mais importante, elas permitem a identificação autoritativa dos signatários de tais documentos. Na prática, essas tecnologias culminam por possibilitar e delinear o reconhecimento e o exercício da personalidade jurídica no ambiente informacional. No que tange às pessoas naturais, elas são uma ferramenta de suma importância para o exercício da cidadania digital no Brasil dentro do marco jurídico-institucional vigente. Não por outra razão, disse o Presidente da República em exercício que elas são “sinônimo do fortalecimento da cidadania”.

Um documento nacional de identidade eletrônico torna ainda mais concreta essa realidade e será um marco de profunda importância para a vida jurídica e política do País. Daí que o tema merece ser estudado com vagar e intenso envolvimento da academia e da sociedade civil. Ele revolve a base primeira de nosso Direito: o conceito de pessoa. Ele diz respeito à capacidade de cada um de nós para adquirir e exercer direitos na ordem jurídica. As questões que ele gera são inúmeras.

As Pessoas

Podem os nascituros ter certificados? Podem os espólios? Que poderes um certificado confere? Nossa identidade — o conjunto de atributos que lastreia nossa continuidade no espaço-tempo — é definida, em grande parte, por atributos socialmente construídos. Esses atributos definem as pessoas que somos; nossas capacidades e nossas responsabilidades. Como então essas capacidades e responsabilidades se ligam aos atributos permanentes ou variáveis de um sujeito de direito no ambiente informacional? Quais desses atributos devem estar refletidos em certificados digitais? Quem deve gozar do poder de declarar cada um deles? Tem o Estado algum papel em definir como julgamentos coletivos sobre sujeitos de direito marcam definitivamente as relações juridicas dos mesmos — julgamentos esses que são uma das notas características da chamada Web 2.0? O que ocorre se tais julgamentos se ligarem de forma permanente aos certificados contidos nos documentos nacionais de identidade eletrônicos? Retroagiremos assim impiedosamente ao período formulário, deixando julgamentos tão fundamentais sobre “quem somos” nas mãos por vezes açodadas, por vezes cruéis dos pretores multitudinários dos novos tempos?

A Constituição

Todas essas questões podem parecer extremamente distantes para o nosso presente constitucionalismo. Mas elas são urgentes e se agigantarão com a iniciativa que se avizinha. Apesar disso, é clara a insuficiência de nossas leis (não devem essas questões ser objeto de meros atos administrativos…) assim como é claro o desinteresse de nossa academia por buscar respostas mais densas para tão profundos problemas da era da informação. Há tempos postei aqui um ensaio sobre a questão da aquisição da Serasa pela Experian, que dificilmente não terá culminado na transferência dos perfis da vasta maioria dos consumidores brasileiros para as mãos de uma companhia estrangeira, ao lado do poder de emitir certificados digitais que identificam esses consumidores — a Serasa é um dos prestadores de serviços de certificação credenciados pela ICP-Brasil. Não há nada no art. 43 do Código de Defesa do Consumidor que impeça tal transferência. E não há nada que desde então, em meu conhecimento, tenha sido objeto de exame mais detido de nossa doutrina a respeito. Mas se a lei vacila, a Constituição não pode faltar.

Meu recente período na Alemanha me faz lembrar da pergunta de Ferdinand Lassalle sobre o grande incêndio em Hamburgo e a essência das constituições. Sua situação hipotética de destruição de todos os registros legais e constitucionais e da permanência inobstante de uma ordem jurídica ilustra seu entendimento de que a essência de uma Constituição são as relações reais de poder existentes em uma sociedade. Se isto é verdade, e eu acredito que Lassalle estava certo, onde estão nossos constitucionalistas a examinar a atualidade dessas relações; a demandar que normas legais e constitucionais sejam arejadas pelas densas e tumultuosas relações da sociedade em rede?

O que põe uma constituição à prova, disse Lassalle, não é o fogo, mas a tempestade das transformações sociais. “Das Volk stand auf. Der Sturm brach los”. E não há talvez tempestade mais intensa do que a que nossa sociedade vive nos tempos contemporâneos. Mas é a tempestade invisível dos dados; o que se agita são questões de difícil visualização e discernimento para o homem comum. Talvez assim sempre tenha sido. Talvez os sans-culottes do presente estejam, eles também, destinados à manipulação que levará ao terror. Mas em algum momento há de vir o Direito. Em algum momento levantaremos todos. E a tempestade nos virá desvestir de todas as máscaras insinceras com que nos cobrem a face; dos involuntários heterônimos, das ilusões de autonomia com que os ilegítimos porteiros do ciberespaço nos defletem dos caminhos que levam a nós mesmos. “Porque agora vemos por espelho em enigma, mas então veremos face a face”.

Questões Fundamentais da ICP-Brasil

Duas questões demandarão um pronto delineamento jurídico quando da instituição de um documento nacional de identidade eletrônico. Elas dizem respeito aos arranjos presentes da ICP-Brasil. A primeira deriva da totalidade de poderes atribuída por lei aos titulares de certificados digitais. A Medida Provisória 2.200-2 de 2001, que regula a matéria, não estabelece limitações ou delimitações sobre como certificados digitais se ligam aos atributos que eles asseveram. Um documento nacional de identidade eletrônico emitido nesses termos e extensivo, como deve ser, a todos os cidadãos implicará em que um cidadão possa utilizar seu certificado digital para a prática de todos os atos da vida civil.

Mas pode, por exemplo, um cidadão que teve suspenso seus direitos políticos usar seu certificado para o sufrágio? Pode um cidadão que não é um advogado subscrever uma petição eletrônica a ser apresentada a nossas cortes? Como esses poderes, essas capacidades específicas, estarão ligadas a um certificado? Como isto reflete na situação jurídica de um indivíduo no âmbito de uma pessoa formal — e.g. em relação a poderes que lhe sejam estatutaria ou contratualmente atribuídos? Em relação à capacidade de exercício dos relativamente incapazes, como se levará a efeito o instituto da assistência?

A questão da totalidade, o “tudo ou nada” que hoje caracteriza a ICP-Brasil deve receber texturas e tonalidades adicionais que se liguem aos diferentes status de um sujeito de direitos. Há de se repensar a questão dos atributos.

Em segundo lugar, mas ligado ao primeiro ponto, está o problema da relação público-privado na ICP-Brasil. Hoje temos pessoas jurídicas de direito privado estranhas à administração descentralizada atestando atributos individuais de ordem pública. Duas únicas companhias não estatais — Certisign e SERASA — se encontram hoje habilitadas a prestar esses serviços comercialmente a usuários privados. Os certificados que elas emitem, como acabamos de ver, oferecem uma ilimitada gama de poderes aos titulares dos mesmos. Há pequenas variações, sobretudo nos certificados para interação com a Receita Federal, que são emitidos no âmbito de uma estrutura ligada à própria Receita e que estabelece alguns requisitos adicionais. Em linhas gerais, porém, essas empresas gozam de um amplo espectro de possibilidades para habilitar indivíduos à prática de todos os atos da vida pública e privada.

O fato de essas empresas prestarem tais serviços não é, em si, um problema. O regime jurídico dos serviços de certificação é delineado por lei como um regime jurídico de direito público, mas um em que os serviços de certificação são objeto de delegação. Há um processo de credenciamento no curso do qual os prestadores desses serviços se demonstram aptos a atender as regras estabelecidas pelo Comitê Gestor da ICP-Brasil e suplementadas pelo Instituto Nacional de Tecnologia da Informação, da Casa Civil da Presidência da República. Havendo um marco regulatório definido, não seria em si um problema que a certificação de atributos de ordem pública se desse por esses prestadores.

A ausência de definições claras a respeito dos limites da descentralização em curso, no entanto, é um problema. O modelo atual atende, de certa forma, ao princípio da subsidiariedade, previsto no art. 2o., II, da Lei 7.232 / 84, que estabelece a Política Nacional de Informática. Mas há de se apurar a precisa medida do princípio da subsidiariedade em serviços que definem de forma tão pungente nossas possibilidades de existência no ambiente informacional. A mesma Lei 7.232, em seu art. 2o., V, prevê o ajuste continuado do processo de informatização às peculiaridades da sociedade brasileira. O Poder Executivo goza de plenas prerrogativas para acompanhar de perto esse processo e deve buscar estabelecer uma fina sintonia em área de tamanha sensibilidade; mas há a gritante necessidade de um maior escrutínio legislativo. Havendo de fato a necessidade de se estender os serviços de certificação a todos os indivíduos por meio de um documento nacional de identidade eletrônico, deve-se buscar quais as reais necessidades dessa extensão, assim como que formas de regulação se devem agregar a ela. E isto não só em relação aos prestadores de serviços de certificação na ICP-Brasil, mas também a outras formas de definição de atributos individuais que se possam agregar a esses serviços.

Deve-se buscar aferir quais os direitos e valores a serem protegidos na definição das novas fronteiras da personalidade humana nas redes de dados. As peculiriadades da sociedade brasileira não serão mais do que os fatores reais de poder de que falávamos acima. Mas há de se atentar também a como o universo mais amplo do mundo conectado que sobreveio à Lei 7.232 vem refletir sobre essas peculiaridades. Sobretudo, há se encontrar os mecanismos de filtragem próprios para captar os valores que mais importam em nossa sociedade da informação. Na raiz desses mecanismos deve estar o valor “pessoa”; ele o fim em si mesmo, o valor primeiro no qual — e somente no qual — todos os demais se justificam.

Sugestões para um Futuro Ponderado

Importa ver, porém, que os prestadores de serviços de certificação também fazem parte do sistema que foi originalmente erguido pelo próprio Estado precisamente para tutelar esse valor. Não fará sentido algum demolir toda a estrutura que se construiu até o presente momento e reabsorver tudo o que haja sido objeto de delegação. Um sistema em que a declaração autoritativa de nossos atributos individuais fosse completamente enfeixada pelo poder estatal seria um sistema totalitário. Assim como seria totalitário um sistema em que um mercado de grandes corporações — e de indivíduos conduzidos por elas — titularizasse um poder irrestrito de fazê-lo.

À estrutura original da Internet faltou a camada da identidade. A construção dessa camada deve ser conduzida de forma proporcional, buscando um equilíbrio reflexivo entre a superestrutura do Estado, do Direito posto, e da infraestrutura que pressupõe o Direito (como diria talvez o Ministro Grau). Deve-se buscar também esse equilíbrio dentre os diversos valores que orbitam em nossa sociedade em torno do conceito de pessoa — um processo que será tão averso a idéias de neutralidade quanto a quaisquer movimentos totalitários que pretendam reduzir esse multi-facetado conceito a uma realidade unidimensional.

Levando-se adiante a implementação do programa relativo ao documento nacional de identidade eletrônico, possibilidades que talvez mereçam ser consideradas são as seguintes:

i) restringir os atributos contidos nos certificados presentes no documentos nacionais de identidade eletrônicos (eDNI) àqueles necessários à prática de atos de natureza pública — vale dizer: os atributos individuais refletidos nesses certificados ou a ele ligados por meio de outras tecnologias (e.g. certificados de atributo) devem ser tão somente aqueles que minimamente possibilitem a interação dos indivíduos com as diferentes funções do Estado;

ii) exceções ao item i) devem ser as questões de estado — vale dizer: atributos relacionados ao estado civil, à menoridade, à interdição, à insolvência declarada judicialmente (não à insolvência declarada pela SERASA), entre outros — que também faz sentido sejam objeto de declaração autoritativa pelo Estado;

iii) tendo em vista que o certificado digital contido no eDNI será um documento público, livremente acessível por quem quer que pretenda verificar a identidade de um cidadão, os atributos contidos nos campos do próprio certificado devem ser aqueles estritamente necessários para a verificação de uma identidade numérica ou minimamente qualitativa — demais atributos se devem ligar ao certificado digital por meio de tecnologias alternativas (e.g. certificados de atributo) que permitam ao cidadão determinar se e quando tais atributos devem ser comunicados; há de se atentar para o que se vem usando chamar do “princípio da centralidade do usuário” (user-centricity), que é a nota característica de inúmeros projetos atualmente em curso para a construção de uma camada de identidade para a Internet, ou, em linguagem já mais usual no campo da proteção de dados pessoais, podemos falar do direito à autodeterminação informativa (informationelle Selbstbestimmungsrecht): por ambos, o sujeito de direitos deve ter a possibilidade ativa de definir o destino dos dados que a ele se referem, dentro de limites naturais à vida em uma sociedade conectada — limites que são normalmente delineados por princípios refletidos em leis de proteção de dados pessoais do tipo que vergonhosamente ainda não temos no Brasil;

iv) o certificado digital contido no eDNI não deve possibilitar a assinatura eletrônica de documentos privados sem que a eles se agreguem atributos conferidos por prestadores de serviço de certificação comerciais — duas justificativas podem ser imediatamente trazidas para tanto: a) a mais importante é a de que atos jurídicos praticados com base nesses certificados digitais podem atingir valores elevados e não faria o menor sentido que eventuais problemas técnicos fossem completamente absorvidos pelos cofres públicos — a ICP-Brasil hoje conta com uma cadeia de responsabilidade que mitiga as possibilidades de o Estado responder subsidiariamente: prestadores de serviço de certificação são obrigados a contratar seguros de responsabilidade civil e a manter um custoso ambiente tecnológico que, se não afasta por completo quaisquer remotas possibilidades de catástrofes, ao menos as atenua de forma muito significativa; e b) como já aludido acima, o princípio da subsidiariedade demanda que o Estado não intervenha na ordem econômica a não ser quando o mercado não apresente possibilidades de desempenhar com eficácia uma função de interesse público — tal não é o caso em relação à certificação de atributos relativos à prática de atos de natureza privada: mesmo que um desses atributos seja tão somente a manutenção de relação jurídica com uma pessoa de suficiente solvabilidade nos termos referidos em a) (tal relação estará refletida na própria emissão de um certificado por prestador privado de acordo com declaração de práticas de certificação e políticas de certificado previamente estabelecidas, e de acordo com as regras da ICP-Brasil que, como dito, presentemente demandam a contratação de seguro de responsabilidade civil).

v) há então de se rever a atual redação do art. 10 da MP 2.200-2 / 2001, ou ao menos, mas não idealmente, as correntes Resoluções do Comitê Gestor da ICP-Brasil, de forma que haja uma delimitação mais clara dos tipos de ato que se pode praticar com diferentes tipos de certificado digital / certificado de atributos, de quem terá o poder de certificar cada um desses atributos, e de que modo deverá fazê-lo;

vi) finalmente, há de se rever a forma como a estrutura mais complexa que a ICP-Brasil se tornará irá interagir com outras formas de identificação no ambiente informacional — por exemplo, a utilização do eDNI para cruzamento de dados pessoais ou para ligação com atributos que se possam fazer presentes de forma perene na Internet (e.g. julgamentos coletivos sobre a reputação de um vendedor no eBay) deve ser rigidamente disciplinada.

As sugestões acima são reconhecidamente superficiais. Elas parecem, porém, permitir a existência de um mercado. Prestadores de serviços de certificação comerciais poderão continuar a desempenhar seu importante papel social, no contexto de um sistema adequadamente regulado. A questão dos certificados de atributo que se liguem aos DNIe assumirá uma importância fundamental. Ela garantirá a própria subsistência dos prestadores comerciais. Órgãos públicos podem talvez mesmo nutrir interesse por descentralizar a emissão desses certificados, cujos atributos, seja por razões de necessidade de sua revisão permanente, seja por outras razões que já examinamos acima, não devem fazer parte do DNIe. Por exemplo, talvez os Conselhos de Fiscalização Profissional, interessados em vincular os atributos relativos ao exercício da profissão ao DNIe, optem por fazê-lo por meio de certificados de atributo emitidos por autoridades de atributo comerciais, vinculadas à ICP-Brasil. E se os prestadores de serviço de certificação comerciais certamente perdem em muito com o fato de que os certificados digitais para interação com o Estado não serão mais por eles emitidos, um sem fim de novas possibilidades se abre, em um mercado que ambicionará atingir toda a sociedade brasileira.

Tecnologia e Mudança Social

Em um artigo publicado há 2 anos na Computerworld, Dr Renato Martini notou, em resposta às minhas sempre insistentes observações sobre a questão dos certificados de atributo, que os “regramentos aplicados à tecnologia devem levar em conta a existência de plataformas tecnológicas comerciais e os limites das aplicações”.

Há de se examinar o que entendemos por tecnologia. Em seu excelente Rethinking Science, Technology and Social Change, Dr Ralph Schroeder, Professor do Oxford Internet Institute, nota que tecnologia pode ser contemporaneamente entendida como a “aventura da interligação entre o refinamento e a manipulação” do mundo natural. “[O] avanço tecnológico”, explica Schroeder, “consiste no processo por meio do qual artefatos vão sendo continuamente modificados de modo a aumentar ou estender nosso domínio sobre o mundo”. Ainda que a tecnologia seja certamente marcada pelas verdades objetivas do processo científico, não há negar que ela é precisamente essa aventura de que Schroeder fala: uma aventura em busca de nossas próprias possibilidades.

Em um mundo de leis (e de constituições!), entenderemos que o processo tecnológico deve ser demarcado também pelos fatores reais de poder de uma determinada sociedade — ele deve ser conduzido de forma a estender nosso domínio sobre o mundo, tanto quanto esse domínio deve levar a efeito os valores mais caros à nossa sociedade. A tecnologia então não é fogo a queimar nossa Constituição, porquanto essa não se queima, como vimos, mas é antes revolvida pelas próprias transformações sociais. A tecnologia é revolvida pela essência da Constituição; não o contrário. Ela deve ser o reflexo preciso desse processo pelo qual buscamos fortalecer a coesão de nossa sociedade em torno de valores comuns. O mais fundamental desses valores é o próprio valor “pessoa”. Daí que se certificados de atributo — ou algo que tenha semelhante função de subtrair atributos individuais do corpo dos certificados digitais e permitir ao mesmo tempo uma mais fina sitonia do mercado e um mais efetivo controle por parte dos indivíduos — se os certificados de atributo se prestam ao fortalecimento desse valor, não há porque não implementá-los; não há porque não rumarmos de um mundo de totalidades a um mundo de mais amplas possibilidades de desenvovimento pessoal… e social.

Naquele mesmo artigo, Dr Martini questionava de que valeria criar novas regras se nossos prestadores de serviços de certificação não têm ainda como implementá-las. Nesse sentido, é interessante notar que o problema dos certificados de atributo é tratado, desde 2002, pela RFC 3281 da IETF. Há, então, pelo menos padrões que definem a seara do possível. Meu ponto, porém, não diz respeito necessariamente a certificados de atributo, mas a mecanismos que possam levar a efeito equivalentes funcionalidades. Diante da iminência de um documento nacional de identidade eletrônico que, se implementado sem revisão das regras atuais, arrisca a própria subsistência da ICP-Brasil, o princípio da proporcionalidade nos oferece a cordial sugestão de revisar as normas que definem os presentes arranjos tecnológicos do sistema nacional de certificação digital. A tecnologia consistirá precisamente em refinar e manipular esse sistema em respeito aos valores que pretendemos tutelar. Diante da totalidade do fim, prefiro apostar em nossa capacidade de encontrar caminhos criativos para repensar as fronteiras da personalidade no Brasil.

No clarifications so far in the Google Public Policy Blog.

An e-mail with a troubling attachment reached my inbox some days ago. The file, with the Venezuelan coat of arms (which looks exactly like its Wikipedian version, though), contains some items of what would be a “Project of Constitutional Reform”, comprising some new “Socialist Laws for Venezuela”. An online version (in plain text) can be found here. These laws would be undergoing deliberation by the Venezuelan National Assembly. There is also an audio about them in the Internet Archive.

The supposed document has a very peculiar section on identity, whose most intriguing part reads:

“To the persons who appear as signatories in any lists against the revolution, as it was in the request of revocation (Revocatório) of the President of the Republic ['s mandate] neither the new identity document, nor the passport will be issued, unless these persons voluntarily subject themselves to courses on citizenship education, recognize in written their past mistakes, and fulfill a probation period without identification papers, under the State’s discretion (satisfacción)”.

Even if not true, this is quite illustrative. It eloquently portrays the link between identity and the legal concept of personhood — the possibility of acquiring rights and duties, which normally encompasses the capacity of exercising them. The right of being recognized as a person everywhere before the law is embedded in international human rights charters, and is perhaps one of the greatest achievements of humankind. Being a person also encompasses being a person distinct from others. The right to an identity is a corollary of the right to personhood — to a personhood. Laws that limit access to suitable forms of identification actually diminish human beings’ statuses as persons. Such diminution was known in ancient Rome as the institute of capitis deminutio — in which individuals could be downgraded to lesser possibilities of legal action, and then be more or less… persons. These supposed Socialist Laws for Venezuela would resurrect the capitis deminutio institute for those “against the revolution”.

It is interesting to confront the proposal above with the new Spanish Law on Citizens’ Access to Public Services. The latter is the first statute, to my knowledge, to expressly frame as one of its objectives to “facilitate the exercise of rights and fulfilment of duties in electronic means” and to recognize the right of every citizen to acquire the necessary means of electronic identification — i.e. the first statute to link legal personhood and the right to electronic means of identification.

In these times when we discuss the idea of an Internet Bill of Rights, it is important to think the precise boundaries of what it takes to be a person in the information environment — as well as to reflect on the dangers of any proposal that, like the one above, limits the very recognition of human personhood. In the case at hand, if it were true, I would not be able to avoid thinking of El Rey Juan Carlos’s recent words…

NOTE: The Project of Constitutional Reform actually undergoing the referendum can be consulted here.

So, you are a student. What is that that you are studying?
Hmmmm… and where did you do your Master?
What about your Bachelor?
And why did you go to Rio, now?
For a conference, hmmm… What was the name of the conference!?

Last, a hope that the British Government is not so invasive; he asked me my new address — which I had already provided for the Local Police in Thames Valley; yes, Brazilians need to do that. I was told that their databases are not integrated, and so I need to make sure to travel with a certificate to prove I have reported my change of address. Well, perhaps I will soon need to travel with all my diplomas, transcripts, and conference proceedings too.

Great! – the paper has been accepted. Please check further details at: http://www.legalscholars.ac.uk/durham

I submitted this abstract some days ago for the SLS Annual Conference (Cyberlaw Section), to be held at Durham University next September. Let us see what its fate will be. The abstract summarizes to some extent my thesis topic, which now follows a quite different structure from the initial expectations I had upon arriving at Oxford – though still encompassing much of my original ideas as a case study. My further posts will go unfolding as a consequence of this one. Stay tuned (or, better, RSSed).

–
Technology and Neutrality in the Information Age
On the Value of Persons and Access.

The “principle of neutrality” suddenly seems to have become the touchstone of policymaking in the information age. We talk about technological neutrality, network neutrality, neutral search, often in contradictory and rather vaporous ways. This paper will propose that, in their many instances, arguments towards neutrality tend to neglect that technologies embed values with regard to which it is not wishful thinking, if possible, to be neutral, and seek to conceive as a principle what in reality reflects a pathology of law and the traditional structure of the Nation-State — their difficulty to cope with the fluid and changing values of the network society. Moreover, claims to regulate technology so as to preserve its neutrality ignore the complexity of the games at play, and the desirability of making choices for some fundamental values. The paper will sketch a framework for understanding the dimensions of the so-called principle of neutrality in the information age, portraying the areas in which it is more frequently invoked. It will also identify two basic values which are risked by neutral policies with respect to technologies: the value of a human person, and the value of access. It will argue that neutral policies and suppositions that technologies are or should be regulated as if they were neutral may end up by risking these values. Drawing upon the debate historically conducted in jurisprudence and political philosophy between neutralists and perfectionists, it will propose that such an outcome is one with which not even neutralists would agree.