Compliance 360º: como proteger a sua empresa de responsabilidade criminal e riscos corporativos no século XXI

Artigo12 de dezembro de 2025
Desde a reforma do Código Penal em 2010, as empresas podem ser responsabilizadas criminalmente por crimes cometidos em seu benefício, o que exige que elas tenham modelos organizacionais e de gestão eficazes, supervisionados e totalmente operacionais.

Um único episódio de fraude, corrupção, crime ambiental, falha tecnológica ou uso indevido de dados pode resultar em multas de milhões, investigações da mídia, perda de confiança e até mesmo o fim da empresa. Isso levanta uma questão crucial: a conformidade, quando bem projetada e executada, pode realmente salvar uma empresa?


Parte responsável

Após a reforma do Código Penal em 2010, a Espanha introduziu a possibilidade de responsabilizar criminalmente pessoas jurídicas por crimes cometidos em seu benefício ou interesse. Essa transformação representou uma mudança radical na concepção do direito penal económico: a empresa deixou de ser um mero instrumento passivo e tornou-se uma entidade responsável, passível de ser julgada, punida e sujeita a medidas graves, como suspensão de atividades, encerramento temporário, intervenção judicial ou mesmo dissolução. Não se trata de uma teoria abstrata; inúmeras decisões judiciais posteriores confirmaram que as empresas podem ser responsabilizadas criminalmente mesmo que não haja benefício económico direto, desde que o crime tenha sido cometido no âmbito das suas atividades e tenha sido facilitado por falhas sistémicas nos controlos internos.


A responsabilidade da empresa assenta em três elementos essenciais: a prática de um crime por uma pessoa ligada à organização; a existência de uma ligação funcional entre esse crime e os interesses da empresa; e a constatação de que a empresa não dispunha de mecanismos adequados para prevenir, detetar ou reagir. A ausência de controlos — ou a existência de controlos meramente formais — é interpretada como uma falta de cultura ética e de diligência, o que pode agravar significativamente a posição da empresa em processos penais.


Escudo jurídico e estratégico

Neste contexto, a conformidade deixa de ser um mero protocolo interno e torna-se um verdadeiro escudo jurídico e estratégico. A legislação permite que, se a empresa puder provar a existência de um modelo organizacional e de gestão eficaz para prevenir crimes — e não apenas no papel, mas operacional, real e adaptado ao seu risco —, ela pode até mesmo ser isenta de responsabilidade criminal. Mas a eficácia não é presumida: deve ser demonstrada com provas, recursos adequados, supervisão constante, uma cultura ética e ações diligentes. Além da sua capacidade de evitar sanções, um bom modelo de conformidade profissionaliza os processos, reforça a governança, melhora a rastreabilidade interna e envia um sinal claro aos clientes, investidores e autoridades: a empresa está comprometida com a integridade.


O papel do responsável pela conformidade assume então uma importância particular. Embora não sejam criminalmente responsáveis simplesmente por ocupar este cargo, podem ser responsabilizados quando participam na prática de um crime ou quando violam gravemente os seus deveres de supervisão. Para que o seu trabalho seja credível e eficaz, a organização deve proporcionar-lhes independência, recursos, formação, autoridade real e a capacidade de emitir recomendações que não podem ser ignoradas pela alta administração. Um responsável pela conformidade sem ferramentas é, na realidade, um risco disfarçado de solução.


Para além do quadro jurídico familiar, existem tendências emergentes que estão a transformar completamente o papel da conformidade. Uma delas é o surgimento da conformidade algorítmica. Com a crescente implementação da inteligência artificial em processos como recrutamento, pontuação de clientes, tomada de decisões automatizada e vigilância interna, estão a surgir novos riscos que eram impensáveis há uma década. Um algoritmo mal treinado pode levar à discriminação automática, preconceitos, violações de direitos, violações de segurança ou até facilitar o cibercrime. Novas regulamentações europeias, como a Lei de IA, exigirão que as empresas integrem auditorias algorítmicas, rastreabilidade de decisões automáticas e controlos específicos sobre o uso de dados e modelos de IA.


Também estão a surgir crimes corporativos emergentes que vão muito além da fraude económica tradicional. As empresas devem agora prevenir questões como o greenwashing punível (relatórios de sustentabilidade manipulados ou métricas ambientais falsas); crimes ambientais derivados da infraestrutura digital, como poluição tecnológica ou uso ilegal de energia; manipulação de big data; criação de deepfakes que podem causar danos a terceiros; ou crimes cibernéticos cometidos a partir de servidores corporativos sem envolvimento humano direto. Isso requer ampliar o foco para uma conformidade multidisciplinar que abranja aspectos ESG, tecnológicos, de privacidade e de segurança cibernética.


Ao mesmo tempo, está a surgir uma tendência decisiva conhecida como «prova digital de conformidade». Hoje, não basta afirmar que os funcionários foram treinados ou que os controlos foram implementados. Os juízes procuram evidências rastreáveis: registos automáticos, históricos de acesso, registos de auditoria, análises forenses, relatórios digitais, capturas de atividades, rastreabilidade de decisões internas e qualquer indicação objetiva de comportamento ético. A conformidade do futuro será, por necessidade, digitalizada, monitorizada e apoiada por dados.


Conformidade comportamental

Esta abordagem é complementada pelo aumento da conformidade comportamental. As empresas mais avançadas estão a incorporar conhecimentos de psicologia e ciências comportamentais para compreender como as decisões são realmente tomadas na organização, onde ocorrem preconceitos, por que os controlos são violados e quais os incentivos que podem ser redesenhados para minimizar erros. Em vez de confiar apenas em protocolos, elas analisam como as pessoas interagem com eles, tornando a conformidade uma parte natural — em vez de forçada — da cultura corporativa.


Para que tudo isso funcione, um manual de centenas de páginas não é suficiente. O processo deve começar com uma análise de risco específica adaptada ao setor; continuar com a implementação de controlos reais e eficazes; ser reforçado por meio de formação contínua, canais de comunicação confiáveis e uma cultura ética autêntica; ser mantido vivo por meio de auditorias, revisões periódicas e atualizações regulatórias; e ser ativado rapidamente quando ocorrer um incidente, por meio de protocolos de investigação interna e medidas corretivas proporcionais. Nada disso funcionará se a alta administração não demonstrar um compromisso real, visível e consistente, porque a cultura irradia de cima para baixo.


A conclusão é simples, mas poderosa: num mundo em que os riscos criminais estão a expandir-se, em que a tecnologia introduz novos perigos e em que as expectativas sociais exigem ética e transparência, a conformidade deixa de ser um custo e torna-se um ativo estratégico. As empresas que compreendem isso estarão em posição de evitar sanções, atrair investimentos, reter talentos e fortalecer a sua reputação. Aquelas que não o fazem correm o risco de qualquer incidente, por menor que seja, tornar-se um ponto sem retorno. Nesta nova era corporativa, não ter um programa de conformidade eficaz não é apenas imprudente: é provavelmente o maior risco criminal que uma organização pode enfrentar.


Leia o artigo completo escrito por Lydia García, associada do departamento de Direito Penal Económico da El Derecho.com aqui.

Una embarcación de vela se encuentra en un mar tranquilo bajo un cielo azul.

ATUALIDADE #ECIJA