O final de 2021 ficou marcado pela concretização de algumas das medidas em discussão na Estratégia Nacional de Combate à Corrupção (ENCC). No passado dia 9 de dezembro, precisamente no Dia Internacional contra a Corrupção, foi publicado o Decreto-lei n.º 109-E/2021, que cria o Mecanismo Nacional Anticorrupção (MENAC) e estabelece o Regime Geral de Prevenção de Corrupção (RGPC). Adicionalmente, foi publicada a Lei n.º 94/2021, de 21 de dezembro, que aprova as medidas previstas na ENCC, alterando o Código Penal, o Código de Processo Penal e leis conexas. No seu conjunto, estes normativos representam um passo determinante no combate à corrupção e infrações conexas em Portugal e, em particular, no compliance corporativo, até aqui desconhecido de muitos.
O novo regime consagra, entre outros, a obrigação de as médias e grandes empresas com sede em Portugal e as sucursais portuguesas de empresas estrangeiras com mais de 50 trabalhadores conduzirem uma avaliação de risco de corrupção dos terceiros com quem se relacionam, i.e., dos seus representantes, fornecedores e clientes. Ora, a due diligence de terceiros, como também é denominada, não é terreno desconhecido para os responsáveis de compliance, sendo um procedimento chave na prevenção e mitigação do risco de corrupção no seio das empresas. Com efeito, uma pesquisa rápida pelas notícias de escândalos de corrupção revela que esta é praticada, maioritariamente, através de terceiros intermediários, sejam eles reais ou fictícios.
Apesar da sua importância no compliance anticorrupção, este procedimento não era, até então, obrigatório por lei (ao contrário do que acontece na prevenção do branqueamento de capitais e financiamento de terrorismo, estando as entidades sujeitas obrigadas a conduzir avaliações exaustivas aos seus clientes). Porém, para as empresas que já haviam identificado um risco relevante de corrupção – seja pela geografia e setor industrial em que atuam, seja pela forma como desenvolvem o seu negócio além-fronteiras – a alocação de recursos (humanos e financeiros) na avaliação e monitorização das relações comerciais com os seus parceiros, não é novidade. Com efeito, esta prática, quando sistemática e eficiente, não apenas auxilia na prevenção de ocorrência de atos de corrupção através de terceiros, como é suscetível de afastar a responsabilidade criminal das empresas e dos seus dirigentes (a quem incumbe o dever de vigilância ou controlo), quando a prevenção por algum motivo falhou. Adicionalmente, é uma prática muito bem acolhida (senão mesmo exigida) pelos clientes, sobretudo os mais relevantes, que temem pela sua reputação e a dos seus fornecedores.
Apesar do que acabamos de referir, constituir, em teoria, incentivo suficiente para as empresas adotarem, voluntariamente, este mecanismo de controlo interno, a sua obrigatoriedade é de aplaudir, porquanto resolve, pelo menos parcialmente, o constrangimento legal colocado pelo afamado Regulamento Geral sobre a Proteção de Dados (RGPD). Com efeito, as avaliações prévias em causa implicam frequentemente o tratamento de informação sobre as pessoas que detêm e gerem as pessoas coletivas alvo de avaliação, nomeadamente dados de identificação pessoal, informação sobre as participações sociais que detêm, relações profissionais ou familiares, entre outros. Ora, tendo por base uma obrigação legal clara, o tratamento de dados em causa, até aqui justificado pelo interesse legítimo das empresas, tem agora um respaldo legal mais forte – exceto no que se refere aos dados pessoais relacionados com condenações penais e infrações, os quais, sem uma norma que especificamente o permita, não podem ser tratados pelas empresas. Cremos, por isso, que o legislador deveria ter ido mais além, permitindo expressamente às empresas questionar os terceiros sobre os seus antecedentes criminais, sempre que o risco o justifique, atendendo à importância dessa informação para uma avaliação eficaz. Com efeito, referir, como a norma o faz, que os procedimentos devem ser aptos a identificar os riscos “em termos de imagem e reputação” não parece ser suficiente para legitimar a recolha de dados sobre antecedentes criminais, à luz do RGPD.
Por outro lado, e apesar de o legislador esclarecer que os procedimentos de avaliação prévia devam ser adaptados ao perfil de risco do terceiro alvo da avaliação, temos dúvidas sobre como tal preceito deva ser interpretado, de molde a não se afastar do seu rationale, i.e., a prevenção eficaz de atos de corrupção e criminalidade conexa.
Em primeiro lugar, ao obrigar as empresas a analisarem previamente os terceiros que ajam em seu nome, fornecedores e clientes, a norma parece deixar de fora, inexplicavelmente, os terceiros que ajam em nome próprio, mas por conta e no interesse daquela, como por exemplo agentes e facilitadores de negócios, os quais, consabidamente, expõem a empresa a um risco legal acrescido. A omissão é ainda mais patente quando vemos que o legislador alterou o Código Penal para incluir expressamente a responsabilidade criminal das pessoas coletivas pelos ilícitos cometidos pelas pessoas que agem “em seu nome ou por sua conta e no seu interesse direto ou indireto” (sublinhado nosso). Cremos, por isso, que o MENAC deve clarificar se os terceiros que ajam por conta e no interesse da pessoa coletiva se subsumem no conceito de fornecedores, sob pena de haver um desfasamento ilógico entre as duas normas, com custos para a prevenção eficaz da corrupção.
Em segundo lugar, o legislador parece ir longe demais ao obrigar as empresas a avaliar os fornecedores e clientes. Mesmo considerando que a avaliação deve ser proporcional ao risco colocado pelo fornecedor ou cliente em causa, urge esclarecer se tal ponderação permite deixar de fora um conjunto de fornecedores e clientes que, apesar de quantitativamente relevante, expõem a empresa a um risco legal e/ou reputacional desprezível. A não ser assim, esgotar-se-ão recursos preciosos na recolha e registo de dados supérfluos, com resultados práticos inúteis. Melhor andaria o legislador se tivesse ido no mesmo sentido da homónima francesa Sapin II, limitando, de forma clara, a obrigação de avaliação aos fornecedores mais importantes, o mesmo se dizendo em relação aos clientes.
Por fim, consideramos que as dúvidas acima expostas serão clarificadas, pelo menos parcialmente, nas prometidas recomendações e diretrizes de apoio às empresas, a publicar pelo MENAC. Para já, resta-nos o exercício de prognose, tão habitual para quem faz da prevenção de risco profissão….
Joana Freitas
Advogada e especialista em Compliance
Colaboradora do Nova Compliance Lab
Disclaimer: o presente artigo reflete apenas os pontos de vista e opiniões da autora