CPJ Safe: infraestrutura de identidade digital para escritórios de advocacia

A Preâmbulo Tech apresentou o CPJ Safe, uma solução corporativa de governança e controle de identidade digital voltada para eliminar riscos operacionais e jurídicos decorrentes do uso descontrolado de certificados digitais em escritórios de advocacia e departamentos jurídicos. O produto endereça uma vulnerabilidade estrutural amplamente reconhecida no mercado jurídico: a ausência de rastreabilidade e segregação de funções no acesso a credenciais críticas.

Contexto

O problema que motivou o desenvolvimento do CPJ Safe é elementar mas sistemático em operações jurídicas de todos os portes. Certificados A1 (certificados digitais de pessoa física com validade de um ano) compartilhados informalmente entre colaboradores, senhas de acesso a portais judiciais transmitidas por canais não seguros como correio eletrônico e mensageiros instantâneos, e completa ausência de registros de auditoria sobre quem acessou determinado recurso, quando, de qual localidade e com qual propósito. Este cenário cria exposição múltipla: fraude interna, responsabilização injusta de profissionais, impossibilidade de defesa em contencioso, não conformidade com exigências de compliance e, de forma crítica, desconformidade com os requisitos de rastreabilidade impostos pela Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD). A estrutura atual de muitos escritórios não diferencia adequadamente entre usuário, ação executada e evidência auditável, violando o princípio de segregação de funções que é fundamento de qualquer sistema de controle interno robusto.

O que foi decidido

A solução apresentada opera como um cofre digital centralizado. Os certificados A1 e as credenciais de acesso a sistemas judiciais são armazenados em ambiente em nuvem sob criptografia AES-256 — o mesmo padrão adotado por instituições financeiras reguladas pelo Banco Central. A partir de um painel administrativo, a gestão do escritório define granularmente as permissões de uso: quem pode acessar qual certificado, em qual sistema judicial, em qual intervalo de horário, e para qual categoria de operação. Operacionalmente, o acesso pelo usuário final é simplificado: uma extensão nativa para navegadores Chrome e Edge permite invocar o certificado sem necessidade de instalação local ou manipulação de arquivos criptográficos. Cada ação executada gera automaticamente um log estruturado e auditável, contendo timestamp, endereço IP de origem e identificação do usuário responsável. A revogação ou concessão de permissões ocorre em tempo real, sem latência operacional. O modelo incorpora o princípio do menor privilégio: cada membro da equipe recebe acesso apenas aos recursos estritamente necessários para o desempenho de suas funções, minimizando a superfície de risco e mitigando danos em caso de comprometimento de credencial individual.

Base normativa e precedentes

• Lei 13.709/2018 (LGPD) — Exige rastreabilidade de acesso a dados pessoais, manutenção de trilhas de auditoria e demonstração de conformidade. O CPJ Safe cria evidências sistemáticas de acesso, endereçando art. 5.º, XII (dado pessoal), e art. 32 (segurança de dados)
• Princípio de segregação de funções (compliance interno) — Controle que impede que uma única pessoa execute, autorize e registre uma operação crítica, reduzindo risco de fraude
• Resolução CNJ nº 65/2008 — Regulamenta o uso de certificados digitais no Poder Judiciário, exigindo responsabilidade pessoal do detentor do certificado
• Jurisprudência consolidada — Tribunais têm entendido que o compartilhamento de certificados A1 viola o nexo pessoal entre signatário e assinatura digital, tornando assinaturas contestáveis e deslocando responsabilidade de forma indeterminada

Impacto prático

Para escritórios e departamentos jurídicos:

• Eliminação da prática informal de compartilhamento de certificados, reduzindo exposição a fraude interna e acusações infundadas contra profissionais
• Disponibilização automática de trilhas de auditoria para fins de investigação interna, defesa em litígios administrativos ou processos judiciais
• Conformidade operacional com exigências de LGPD relacionadas a acesso e rastreabilidade de dados
• Redução de risco de violações de credenciais em massa, uma vez que o acesso centralizado permite revogação imediata sem necessidade de intervalo de dias

Para sócios e gestores:

• Transferência do risco informal (associado a práticas não documentadas) para risco institucional gerenciável (controlado por sistema formal)
• Separação clara entre acesso autorizado e não autorizado, fornecendo base para defesa jurídica em contextos de contestação ou auditoria
• Possibilidade de demonstrar, mediante logs, que a operação observou princípios de controle interno reconhecidos pelo mercado

Para colaboradores:

• Proteção contra atribuição indevida de ações executadas por terceiros sob mesma credencial
• Simplificação operacional: acesso via navegador, sem procedimentos de instalação local

Modelo comercial: A precificação mensal baseada em número de usuários e certificados ativos reduz barreira de entrada, permitindo adoção gradual conforme crescimento operacional, sem investimento inicial em implantação.

O que observar

Embora a solução endereça vulnerabilidades reais, alguns pontos permanecem em aberto:

1. Validação regulatória: Não há menção explícita a parecer ou certificação de órgãos como CNJ, ANPD (Autoridade Nacional de Proteção de Dados) ou CVM confirmando conformidade com protocolos de certificação digital. A adequação à Resolução CNJ nº 65/2008 deve ser verificada com assessoria especializada antes de adoção em massa.

2. Responsabilidade residual: Mesmo com rastreabilidade, a lei brasileira atribui responsabilidade pessoal ao detentor do certificado A1. O sistema reduz exposição mas não a elimina, especialmente em cenários de credencial comprometida via acesso não autorizado ao painel administrativo.

3. Integração sistêmica: A efetividade depende de adoção em todo o ecossistema de sistemas judiciais. Portais que não suportam acesso via proxy centralizado podem exigir adaptações técnicas adicionais.

4. Próximos passos: Recomenda-se que escritórios que adotarem a solução conduzam auditoria de conformidade LGPD paralela, confirmando que a rastreabilidade gerada atende aos requisitos do regulador. Organizações com requisitos setoriais específicos (como compliance de compliance officer ou assessoria de risco) devem validar a solução antes de rollout em operações críticas.