Compliance e responsabilidade penal da pessoa jurídica: O exemplo espanhol sobre os programas de prevenção

Os critérios de avaliação de um programa de prevenção ao crime adotado e implementado pela pessoa jurídica não estão estabelecidos no Código Penal Espanhol. De modo diverso, quando se instaura um processo contra a pessoa jurídica, existe um cenário de incerteza, no qual se deve decidir se o modelo apresentado atende aos requisitos essenciais para ser considerado eficaz. Há poucos pronunciamentos judiciais nas cortes espanholas que tentam esclarecer os padrões de eficácia dos programas de conformidade e muitas dúvidas que o operador judicial enfrenta, o que tem um impacto negativo na segurança jurídica necessária.

No Brasil, e em relação às pessoas jurídicas, o legislador introduziu o compliance por meio do art. 7º, da lei 12.846/13, em que o programa de integridade é fator de análise no momento da imposição de sanção administrativa. Nota-se a ausência de critérios objetivos:

VIII - a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica;

Nieto Martín¹ apontou recentemente que “argumentos sólidos de política criminal podem certamente ser desenvolvidos tanto a favor quanto contra a criação de uma defesa afirmativa para programas de conformidade eficazes. Mas, considerando todos os argumentos em jogo, é provavelmente preferível que o legislador não forneça uma defesa afirmativa (ou seja, não criminalize uma exclusão de responsabilidade), mas leve em consideração a existência de um programa de conformidade eficaz em relação a questões como acusação, negociação de confissão e sentença”. O fato é que não é uma tarefa fácil determinar se um programa de conformidade tem o conteúdo mínimo que legitima tal consideração.

Nesse sentido, e para dar um exemplo, cita-se o conteúdo da Ordem da JCI - Juzgado Central de Instrucción número 6, de 2/6/22², que, embora sem muitos detalhes, baseou a decisão no fato de que a entidade tinha um programa em vigor de cumprimento efetivo nos termos previstos no Código Penal Espanhol. Em concreto, considerou que as duas pessoas jurídicas sob investigação, Caixabank e Repsol, dispunham de um modelo de prevenção criminal que cumpria os requisitos previstos no art. 31.o-A na sua redação dada pela reforma de 2015, com as consequências jurídico-penais que daí advêm, sustentando esta conclusão no desempenho dos seguintes indicadores:

• avaliação dos riscos inerentes à atividade;
• implementação de controles eficazes para evitar os crimes realmente cometidos;
• um canal apropriado de denúncias conhecido pelos funcionários, sob cuja cobertura qualquer violação da estrutura de controle e prevenção poderia ser denunciada;
• indicação de ações de treinamento para seus funcionários sobre questões de conformidade;
• a necessidade de avaliação e aprimoramento do programa de acordo com os indicadores observados no decorrer de seu desenvolvimento;
• estabelecimento de uma unidade de conformidade responsável pela vigilância e controle do modelo implementado;
• previsão de consultores externos para o desenvolvimento e a melhoria contínua de seus programas.

O julgado citado destacou que não se trata, portanto, de uma imputação independente da imputação feita contra a pessoa física, mas tem esta última como base necessária para as consequências criminais que resultariam para a pessoa jurídica. Portanto, a pessoa jurídica está preocupada não apenas se sua organização contém medidas ou planos de conformidade, quer façam parte de um plano abrangente ou não, estabelecidas com o objetivo de evitar infrações ou reduzir significativamente o risco de sua prática. Também diz respeito a todos os assuntos relacionados à prova dos atos praticados por pessoas, com todas as circunstâncias que possam ter influência sobre a prevenção que poderiam influenciar a evitabilidade do delito específico e a caracterização legal da conduta. Portanto, não se trata apenas de provar que não havia um sistema de prevenção que impedisse a prática do delito, mas sim deve ser deve ser estabelecido quais medidas concretas poderiam ter impedido o cometimento do delito sob investigação.

Feita essa consideração, que dá uma imagem de confusão e insegurança jurídica, devemos registar os parâmetros que, em nossa opinião, não existem escalas ou parâmetros para atribuir valores ao programa de compliance, analisando unicamente a sua correta implementação, razão pela qual existe uma grande margem de discricionariedade na determinação da eficácia do programa, o que sustenta a necessidade de protocolizar sua avaliação em abstrato, a fim de reduzir o subjetivismo existente nessa área.

No modelo espanhol, a avaliação da adequação das medidas preventivas para isenção ou mitigação e o exame dos requisitos do programa (estrutura e elementos do programa) são regulamentados de forma diferente. Na realidade, o art. 31 bis 5 descreve os elementos estruturais mínimos que um programa deve ter para ser avaliado legal e criminalmente como adequado, mas o fato de uma empresa ter um programa estruturado com todos esses requisitos legais não é suficiente para cumprir a condição de adequação. Esses são os “requisitos necessários”, mas não suficientes, para obter isenção ou mitigação da responsabilidade penal.

Em todo caso, nos propomos oferecer uma orientação geral e primária sobre se o programa apresentado pela entidade cumpre os requisitos essenciais de um modelo de prevenção corporativa (requisitos e condições), sem prejuízo da conclusão final de idoneidade e eficácia que poderá resultar, especificamente, após a conclusão da atividade probatória específica correspondente, momento em que, se o caso tiver chegado a essa etapa do processo, o juiz decidirá se a empresa adotou seu programa de prevenção idôneo e eficaz e quais são os efeitos desse programa.

Deste modo, pode-se pensar em um padrão inicial de indicadores eficácia, a saber³:

1. Mapa de risco (identificação de atividades em que podem ser cometidos crimes que precisam ser evitados).
2. Estabelecimento de protocolos para a formação da vontade e tomada de decisões da pessoa jurídica.
3. Estabelecimento de modelos de gerenciamento de recursos financeiros para evitar a prática de crimes a serem evitados.
4. Obrigação de relatar riscos e não conformidade.
5. Regime disciplinar.
6. Verificação periódica.

O mapa de risco pode ser analisado por meio das atividades da empresa durante as quais pode ocorrer uma infração penal, especificando a forma em que essa infração penal pode ocorrer. É um indicador de ineficácia do modelo que o crime especificamente investigado não apareça no mapa, de modo que, ao contrário, será um indicador de eficácia se os crimes sob investigação tiverem sido relacionados, com uma indicação das atividades da entidade no curso das quais a prática do crime específico poderia ter sido determinada. Também devem ser observados os controles estabelecidos, também chamados de medidas de controle, em relação a cada uma das modalidades criminais incluídas no mapa e, especialmente, aqueles relacionados aos delitos sob investigação.

O segundo requisito para que um modelo organizacional e gerencial seja considerado como tal é a determinação de quem toma as decisões, como elas são tomadas, como são transmitidas, por quem são transmitidas, quem acaba executando-as e como são realizadas. Em outras palavras, um modelo organizacional e de gestão, para ser considerado como tal, deve ser capaz de indicar a terceiros quem decide o que é feito, como essa decisão é transmitida e como é executada. Dessa forma, mais uma vez, a responsabilidade é transferida da pessoa jurídica para as pessoas físicas específicas que estiveram envolvidas, de alguma forma, no cometimento do ato criminalmente relevante. Nesse sentido, é um indicador da eficácia do programa que a entidade tenha regras e regulamentos internos que reflitam claramente o processo de tomada de decisão e os órgãos responsáveis pela tomada de decisão e implementação, inclusive em relação a atividades específicas, por exemplo, determinando o procedimento de contratação de funcionários públicos, a forma como os contratos são realizados, as cláusulas de confidencialidade etc.

A alta administração e os órgãos de supervisão devem garantir que os recursos adequados sejam alocados para o gerenciamento de riscos e a alocação de recursos deve ser refletida como um indicador de eficácia. Isso incluirá, entre outros, os seguintes mecanismos: a) reflexo contábil dos recursos alocados para a implementação do programa; b) designação de pessoas com as habilidades, a experiência e as competências necessárias para garantir a conformidade com os protocolos e com o próprio programa de gerenciamento de riscos criminais; c) identificação das ferramentas da organização a serem usadas para gerenciar riscos; d) estabelecimento de sistemas de gerenciamento de informações e conhecimento; e) garantir o desenvolvimento profissional e as necessidades de treinamento que reforcem a conformidade com o código de conduta e o programa de prevenção de riscos criminais.

A existência de um órgão de supervisão é verificada neste nível de controle, que, deve-se lembrar, é aplicável a ambos os fatos de conexão (pessoa física/jurídica/subordinados). Portanto, no caso de a infração penal ser cometida por um subordinado, a “obrigação de informar” pressupõe a existência de um órgão de conformidade com poderes para comunicação às autoridades, e, se necessário, para a melhoria e atualização dos controles do modelo para evitar a ocorrência de situações semelhantes.

Deve-se verificar se há uma indicação no programa do procedimento estabelecido para a imposição de sanções pelo não cumprimento de qualquer um dos critérios de ação contidos no código de ética e conduta, ou no próprio programa, se aplicável, por exemplo, pela omissão da obrigação de informar sobre possíveis riscos e pelo não cumprimento da obrigação de informar sobre possíveis riscos. A necessidade de revisão periódica também deve ser documentada no programa de cumprimento.

Ao analisar o exemplo brasileiro, nos deparamos com uma página quase em branco sobre quais devem ser os indicadores de idoneidade e efetividade dos programas de compliance, o que exige a realização de estudos doutrinários abrangentes, respaldados pela prática jurisprudencial, com o objetivo de oferecer um guia que oriente a atuação do Ministério Público e do Judiciário na decisão da imposição de sanção ou, caso tenha sido rigorosamente verificado que possui um programa de compliance que pode ser considerado adequado e eficaz, concordar em diminuir a penalidade, evitando, assim, os danos reputacionais à pessoa jurídica.

---------------

Samuel Ebel Braga Ramos
Advogado em Curitiba/PR - Samuel Ebel Braga Ramos Advogados. Doutor em Direito do Estado pela UFPR. Mestre em Direito (2019).