A entrada em vigor do Regime Geral de Prevenção da Corrupção (RGPC), significa legalizar, de forma geral, a institucionalização do Compliance, isto é, dar suporte legal, através da sua previsão na lei, deixando de ser só especifica a algumas atividades, o cumprimento normativo (palavras no masculino) ou a conformidade legal (no feminino, a Compliance, como tanto se fala e se tem escrito amiúde).
E o que é o cumprimento normativo – denominação prevista no RGPC e que é aquela que a Administração Pública deve adotar, de acordo com o princípio da legalidade, ou o Compliance, que o setor privado e os académicos preferem utilizar?
Até à entrada do RGPC, dia 7 de junho de 2022, o cumprimento normativo significava a autorregulação (auto responsabilização) realizada pelas sociedades comerciais e entidades empresariais públicas, com vista à integridade organizacional, concretizada através da elaboração de mecanismos de prevenção, gestão e mitigação de riscos, os quais eram desenhados segundo as melhores práticas organizacionais, em regra, setoriais (por áreas de atividade específicas) e internacionais (por entidades que se arrogam como tal, nem sempre sendo).
Convém clarificar que não se tratava, necessária e exclusivamente, da prevenção, gestão e mitigação de riscos de fraude, financiamento ao terrorismo, branqueamento de capitais, corrupção ou infrações conexas. Naturalmente que, podemos e devemos englobar a negligência, o erro, o desperdício e as irregularidades ou, de uma forma mais genérica, o desvio dos bons propósitos, incluindo, aquilo que agora, pomposamente, chamamos de “ESG” – environmental, social & corporate governance (boa governação – governança – ambiental, social e corporativa), que os geógrafos, há muitos anos, se debruçam (e sendo eu um deles, não me podia esquecer).
Importa refletir, antes de mais, na definição de infrações conexas. O que são? Parece que saíram do léxico, mas não do dicionário, palavras como deontologia (conjunto de princípios éticos e regras – deveres – de conduta de uma profissão) e, até mesmo fraude (artifício gerado para evitar a aplicabilidade da lei ou para ganhar uma vantagem), para entrarem, agora, na “moda” as infrações conexas.
De acordo com o artigo 3.º do RGPC, cuja epígrafe é intitulada definição de corrupção e infrações conexas, entende-se por corrupção e infrações conexas os crimes de corrupção (estranho seria se não estivessem incluídos), recebimento e oferta indevidos de vantagem, peculato, participação económica em negócio, concussão, abuso de poder, prevaricação, tráfico de influência, branqueamento ou fraude na obtenção ou desvio de subsídio, subvenção ou crédito, previstos no Código Penal; na lei dos crimes de responsabilidade dos titulares de cargos políticos; no Código de Justiça Militar; na lei que estabelece um (“novo”) regime de responsabilidade penal por comportamentos suscetíveis de afetar a verdade, a lealdade e a correção da competição e do seu resultado na atividade desportiva; na lei que cria o (“novo”) regime penal de corrupção no comércio internacional e no sector privado; na lei sobre infrações antieconómicas e contra a saúde pública.
Ora, estará incito neste artigo uma definição? Não creio. Na verdade, não define o que é corrupção (nem a separa das infrações conexas, ainda que utilize a conjunção coordenativa “e” e não a conjunção disjuntiva “ou”), à semelhança, das páginas 10 e 11 do Diário da República n.º 66, de 6 de abril, que publicou a Estratégia Nacional Anticorrupção 2020-2024 (Resolução do Conselho de Ministros n.º 37/2021), mas sim remete para outros diplomas legais.
Dessas páginas transcrevo a possível, sucinta, definição de corrupção como: «[o] abuso de um poder ou função públicos de forma a beneficiar um terceiro [ou o próprio – que lapso legislativo…], contra o pagamento de uma quantia ou outro tipo de vantagem». Alerto para o facto de a corrupção também poder ocorrer no setor privado, mas focando-me no tema, apenas acrescento que ela é mais complexa e vasta.
Irei agora refugiar-me na lei, não para ser mais um colecionador de textos, como tantos outros autores de pseudo opiniões, que papagueiam a lei, ou de livros, precipitados e pouco refletidos, para não desenvolver considerações que faço e farei em textos académicos.
Segundo o sumário do Decreto-Lei (DL) n.º 109-E/2021, de 9 de dezembro, este diploma legal cria o Mecanismo Nacional Anticorrupção (MENAC) e estabelece o RGPC; ora, o legislador não menciona, na súmula do DL, que o objeto do mesmo também procede à terceira alteração ao Regime Jurídico da Atividade de Inspeção da Administração Direta e Indireta do Estado.
Essa alteração (acesso a base de dados) não é singela e merece análise mais cuidada dos “especialistas” de proteção de dados, que têm estado mais preocupados com a possibilidade de acumularem funções com as de Compliance Officer (olvidando conflitos de interesses), uns com receio do que aí vem e outros pensando que terão um acrescido poder (maior influência), esquecendo aquilo que devem ser: guardiões dos dados pessoais. Fica o alerta para os “Data Compliance Protection Officers”.
De acordo com a alínea b) do artigo 1.º do DL n.º 109-E/2021, aprovou-se em anexo o RGPC, que por sua vez é aplicável, suprimindo algumas particularidades, às pessoas coletivas, públicas e privadas, que empreguem 50 ou mais trabalhadores.
Para a opinião que aqui importa expressar, destaco o artigo 5.º que nos diz que as entidades abrangidas adotam e implementam um programa de cumprimento normativo que inclua, pelo menos (no mínimo), um plano de prevenção de riscos de corrupção e infrações conexas, um código de conduta (código de ética – 1ª parte do n.º 1 do artigo 7.º – e conduta – o resto artigo), um programa de formação (e comunicação – crucial para a mudança organizacional) e um canal de denúncias (para mais desenvolvimentos vide o que escrevi sobre a proteção do denunciante (whistleblower), em Portugal, aos dias de hoje), a fim de prevenirem, detetarem e sancionarem atos de corrupção e infrações conexas, levados a cabo contra ou através da entidade.
Quem se fica pelo menos e não lê o todo do RGPC, pode vir a ser punido com uma contraordenação por não ter, por exemplo, um sistema de controlo interno (artigo 20.º, n.º 1, alínea c) do RGPC).
As entidades abrangidas designam, como elemento da direção superior ou equiparado, um responsável pelo cumprimento normativo, que garante e controla a aplicação do programa de compliance. Por mais que se queira externalizar esta função, provável dor de cabeça, a lei não refere essa possibilidade. Aliás, relativamente aos canais de denúncias, uma das responsabilidades do Compliance Officer, o Regime Geral de Proteção de Denunciantes de Infrações (RGPDI) prevê que os canais de denúncia interna sejam operados internamente para efeitos de receção e tratamento de denúncias e possam (apenas) ser operados externamente, para efeitos de receção de denúncias.
Ora, se alguma entidade, pública ou privada, quer estar em compliance, nos dias de hoje (no futuro poderá haver uma mudança de paradigma), por mais vontade “altruísta” que tenham em ajudar outras empresas, que se pavoneiam oferencendo uma oportunidade de negócio, o RGPC e o RGPDI não permitem sebastianismos (outros farão melhor do que o meu dever), ou comercialmente falando, prestações de serviços (outsorcing) para o tratamento de denúncias. Institucionalizar o Compliance, significa, na verdade, internalizar uma cultura organizacional de integridade, através de componentes ou instrumentos de prevenção e gestão de riscos.
Reparem que não me refiro a transparência (com rigor, prefiro a palavra desocultação que poderá permitir a confidencialidade), porque creio que ser íntegro pressupõe ter este valor e se deve evitar a tentação de cair no fundamentalismo de colocar tudo a nu que poderá, no limite, gerar situações de abuso de direito ou de devassa da privacidade.
Muitos oradores destas matérias, esquecem-se de mencionar o artigo 11.º do RGPC (porque será?), daí que seja importante transcrever: «o órgão de administração ou dirigente das entidades abrangidas é responsável pela adoção e implementação dos programas de cumprimento normativo previstos no presente regime, sem prejuízo da competência conferida por lei a outros órgãos, dirigentes ou trabalhadores». Sempre podem dizer que foi a empresa XYZ que criou o programa de compliance, mas afinal quem é o responsável pela adoção e implementação (mais um discurso à Joerardo: a minha responsabilidade é relativa)?
Recorde-se ainda, conforme o artigo 18.º do RGPC, que estar em compliance é encetar procedimentos de avaliação prévia (due diligence), isto é, simplificando, analisar o compliance da entidade com quem nos relacionamos. Por isso, querer que uma empresa nos coloque em compliance sem saber o que é, corre-se o risco de ter mais danos reputacionais e prejuízos, do que verdadeiramente ganhos (o descuido ou desleixo pode ter consequências nefastas).
Estruturalmente, será o Compliance a assunção da incapacidade de se responsabilizar a atuação das pessoas, singulares ou coletivas, através da lei? Será a perceção que a lei, por si só, não basta? Que não se consegue moldar, eficientemente, comportamentos adequados aos padrões, senso comum ou bom senso estabelecidos como corretos, de interesse público ou interesse de uma organização específica? Para um auditor, que é a minha essência, ainda que seja também jurista ou, na junção das duas habilitações académicas e experiências profissionais, Compliance Thinker, o cumprimento normativo voluntário (Compliance), não previsto na lei e típico da soft law, consistia na procura de exequibilidade do recomendável, segundo as melhores práticas, para garantir a sustentabilidade (continuidade – imagem, prestígio e integridade) da instituição. O que esteve na origem do Compliance, continua a estar em causa e a ter de ter em atenção: a mudança de mentalidades para prevenir e mitigar comportamentos incorretos.
Não obstante, fará sentido usar um neologismo anglo-saxónico (Compliance) com a institucionalização, legalização que o RGPC faz? O MENAC e as inspeções-gerais e regionais, que para além do seu diploma legal específico, têm competências previstas no RGPC, vão assegurar o cumprimento da lei, do compliance (conformidade legal do cumprimento normativo, que já não é voluntário), ou vão, simplesmente, continuar a garantir que se respeite o dever de zelo?
Que dever é este? De acordo com a Lei Geral do Trabalho em Funções Públicas, dever de zelo consiste em conhecer e aplicar as normas legais e regulamentares e as ordens e instruções dos superiores hierárquicos, bem como exercer as funções de acordo com os objetivos que tenham sido fixados e utilizando as competências que tenham sido consideradas adequadas. Assim sendo, estar em compliant é ser-se zeloso. Então é necessário importarmos palavras para algo que já temos previsto na lei? Penso que não! Então o que podemos fazer? Informar e formar as pessoas, singulares e coletivas, para que a legalização ou institucionalização do Compliance, seja efetiva (law enforcement – fazer cumprir a lei…).
Concluo, citando e concordando com o Professor Doutor José Fontes, «[p]or muitos princípios previstos em códigos deontológicos, em cartas éticas da administração pública ou em códigos de boas práticas que existam ou que venham a ser aprovados, de nada servirão se os recursos humanos não se propuserem a efetivá-los e se não existir uma preocupação permanente de (in)formação»[1].
[1] In Curso Sobre o Código do Procedimento Administrativo. Almedina, edição 8.ª, 2020. ISBN: 9789724086552, p. 34