Monitoramento, algoritmos e privacidade: o que as orientações do CNPD sinalizam para conformidade e gestão de dados
O relatório final do Grupo de Trabalho 1 do Conselho Nacional de Proteção de Dados traz orientações concretas sobre os limites ao monitoramento de trabalhadores e aos riscos de discriminação algorítmica, exigindo que empresas e plataformas reequilibrem seus programas de compliance à luz dos direitos fundamentais.
Em junho de 2026, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) consolidou o relatório final do seu Grupo de Trabalho 1 (GT1), dedicado à proteção de dados pessoais no contexto laboral. O documento, resultado de 120 dias de trabalho que envolveu especialistas, sindicatos, confederações empresariais e organizações da sociedade civil, representa a análise mais abrangente já empreendida no Brasil sobre a interseção entre LGPD, integridade e relações de trabalho. As recomendações contidas no relatório sinalizam uma mudança significativa na forma como reguladores, gestores e tecnólogos devem compreender o monitoramento, a automatização de decisões e a proteção da privacidade no ambiente corporativo.
A relevância deste diagnóstico vai além do setor público e de grandes corporações. Fornecedores de soluções tecnológicas, consultores de RH, gestores de integridade e compliance, bem como todos aqueles que oferecem ou implementam programas de monitoramento de produtividade, encontram-se em uma encruzilhada: adaptar suas práticas aos parâmetros técnicos definidos pelo relatório ou enfrentar riscos significativos de não conformidade, danos reputacionais e exposição a litígios. O presente artigo examina os principais achados e proposições do relatório, traduzindo suas recomendações em implicações práticas para as organizações.
Monitoramento é legítimo, mas não é ilimitado
O relatório não veda o monitoramento de trabalhadores no contexto laboral. Reconhece que o poder diretivo do empregador, previsto no art. 2º da CLT, inclui a prerrogativa de fiscalizar, disciplinar e organizar a atividade. Contudo, estabelece que essa prerrogativa não é absoluta e deve ser exercida em conformidade com os direitos fundamentais, especialmente a privacidade, a dignidade e a autodeterminação informativa do trabalhador.
O fundamento legal dessa limitação reside nos princípios da Lei nº 13.709/2018 (LGPD), particularmente a finalidade, a necessidade e a proporcionalidade. O relatório consolida entendimento de que a simples identificação de uma hipótese legal não autoriza o tratamento de dados; os princípios funcionam como filtros prévios que delimitam e orientam a escolha da base jurídica. Na prática, significa que um empregador não pode justificar o monitoramento por meio de uma base legal genérica como “legítimo interesse” sem demonstrar, concretamente, por que a medida é necessária, por que é proporcional aos riscos, e se não há formas menos invasivas para alcançar a finalidade declarada.
O relatório aponta como práticas recorrentes e problemáticas: coleta de dados fora do horário de trabalho; monitoramento contínuo sem limites claros; geração de dados sobre locais privados (vestiários, banheiros); captura de tela, registro de teclas e análise de atividades sem justificativa robusta de finalidade; e uso secundário de dados sem consentimento prévio específico. Essas práticas representam não apenas violações técnicas da LGPD, mas também uma compreensão equivocada de que o poder diretivo autoriza vigilância total.
Tecnologias invasivas: biometria, geolocalização e “boss ware”
O relatório dedica análise minuciosa a tecnologias específicas de monitoramento, estabelecendo parâmetros distintos de conformidade para cada uma delas.
Dados biométricos (reconhecimento facial, impressão digital, íris, voz):
Por se tratar de dado pessoal sensível (art. 5º, II, LGPD) e de natureza imutável )não pode ser alterado em caso de incidente de segurança), o uso deve ser excepcional e restrito a situações de risco relevante e devidamente justificado. O cumprimento de obrigação legal relativa ao controle de jornada (art. 74, CLT) não impõe necessariamente o uso de biometria. Deve-se priorizar alternativas menos invasivas, como crachás, sistemas de autenticação por PIN ou verificação por celular. A experiência internacional, citada no relatório (diretrizes da CNIL francesa), indica que biometria deve ser exceção, não regra. Quando adotada, exige realização de Relatório de Impacto à Proteção de Dados (RIPD) conforme a Resolução ANPD nº 23/2025, e salvaguardas técnicas reforçadas.
Geolocalização:
Legítima para controle de jornada e verificação de presença em campo, mas deve ser ativada apenas durante o horário de trabalho, com desligamento automático ao final do expediente. A preferência é por registro por evento (check-in/check-out) ou amostragem, não por rastreamento contínuo 24/7. Geolocalização fora do expediente ou para inferir atividades pessoais (frequência a locais de lazer, consultas médicas, participação em manifestações) viola a privacidade e é vedada. O Tribunal Superior do Trabalho já validou a geolocalização como prova de jornada (decisão ROT-23218-21.2023.5.04.0000), desde que limitada ao local e horário de trabalho.
Softwares de monitoramento de produtividade (“boss ware”):
Ferramentas que capturam cliques, tempo de inatividade, janelas ativas, uso de aplicativos, webcam, áudio ambiente e até reconhecimento facial para análise de emoções são classificadas como altamente intrusivas. O relatório destaca que essas práticas geram impactos negativos comprovados: aumento de estresse, ansiedade, comprometimento da saúde mental. Apesar disso, o Tribunal Superior do Trabalho tem validado seu uso apenas quando há ciência prévia inequívoca do trabalhador e desde que não ultrapasse os limites de necessidade e proporcionalidade.
O relatório recomenda que o desenho dessas soluções siga o princípio de “privacy by default”, privilegiando o menor nível de coleta possível. Métricas devem focar em entregas e resultados, não em vigilância contínua do comportamento. Adicionalmente, identifica-se um risco estrutural: a maioria dos fornecedores dessas ferramentas são grandes empresas estrangeiras, gerando dependência tecnológica e risco de uso secundário dos dados dos trabalhadores pelos próprios fornecedores, sem transparência adequada.
Algoritmos opacos e o direito à revisão de decisões automatizadas
Uma das principais conclusões do relatório é a falha sistêmica na implementação do art. 20 da LGPD no contexto laboral. Este artigo assegura ao titular o direito de obter revisão de decisões automatizadas que afetem seus interesses legais. Na prática, contudo, a opacidade algorítmica prevalece: trabalhadores não sabem como algoritmos distribuem tarefas, calculam pontuações de desempenho, definem sua reputação ou até determinam sua suspensão ou bloqueio.
O relatório aponta que as empresas mantêm esses algoritmos sob sigilo empresarial, argumentando proteção de segredos comerciais. Contudo, o direito do trabalhador à compreensão mínima não é incompatível com a proteção de código-fonte. O que se exige é transparência significativa: quais dados são coletados e como alimentam o algoritmo; quais critérios e métricas são utilizados; como a pontuação é calculada e interpretada; quais decisões podem ser afetadas; se há revisão humana e quais são os canais de contestação.
A ausência de transparência compromete a capacidade do trabalhador de compreender e contestar decisões que afetam sua renda, permanência no vínculo e oportunidades de carreira. O relatório recomenda boas práticas incipientes já implementadas por algumas organizações: disponibilização de dashboards individuais com as métricas utilizadas; possibilidade de solicitar revisão humana; canais de reclamação acessíveis; manutenção de governança algorítmica com inventário de modelos, documentação de testes de viés e registro das decisões que impactam trabalhadores.
Riscos discriminatórios: quando algoritmos reproduzem e amplificam desigualdades
O relatório identifica um risco crítico negligenciado em muitos programas de compliance: sistemas automatizados podem gerar ou amplificar discriminações por raça, gênero, idade, condição de saúde, deficiência e outras características protegidas, mesmo quando critérios são aparentemente neutros. A discriminação algorítmica ocorre por múltiplos mecanismos.
- Vieses em dados históricos: Algoritmos treinados com dados de desempenho passado reproduzem padrões discriminatórios existentes (avaliações inferiores para mulheres em licença-maternidade, menor pontuação para trabalhadores negros em contextos de racismo estrutural).
- Métricas enviesadas: Indicadores como “tempo de inatividade”, “número de pausas” e “velocidade de digitação” penalizam desproporcionalmente pessoas com deficiências, condições crônicas, neurodivergências ou aquelas que realizam tarefas de maior complexidade.
- Penalizações indiretas: Sistemas que ranqueiam automaticamente podem direcionar menos tarefas ou tarefas de menor valor para perfis repetidamente mal avaliados, reduzindo renda e oportunidades.
- Falta de auditoria algorítmica: A maioria dos empregadores não realiza auditorias periódicas para identificar vieses, e a ausência de Relatório de Impacto agrava o risco.
O relatório cita exemplos concretos: softwares que medem tempo de atividade em tela penalizam trabalhadores com responsabilidades familiares; geolocalização usada para avaliar desempenho prejudica quem reside em áreas periféricas; algoritmos de recrutamento treinados com dados históricos excluem automaticamente mulheres, negros ou pessoas mais velhas; sistemas de reconhecimento facial têm precisão menor para determinados grupos demográficos, gerando bloqueios ou avaliações injustas. O caso do iFood, mencionado explicitamente, demonstra como tecnologias de validação de identidade baseadas em reconhecimento facial reproduzem racismo algorítmico.
A jurisprudência recente reconhece essas falhas: condenação de plataforma de recrutamento por dano moral coletivo no TRT da 15ª Região ilustra que uso de algoritmos com viés discriminatório viola a LGPD, a Constituição e a legislação trabalhista. Mitigação desses riscos exige mecanismos estruturados de governança algorítmica, incluindo testes de viés antes da implantação, auditorias periódicas dos resultados e revisão humana significativa antes de qualquer decisão relevante baseada em pontuação automatizada.
Implicações práticas para as organizações
Riscos típicos identificados pelo relatório:
- Coleta excessiva de dados — captura de informações além do necessário, alimentando sistemas de vigilância desproporcional e criando exposição a vazamentos e usos secundários.
- Falta de transparência sobre tecnologias e algoritmos — impossibilidade de o trabalhador compreender e contestar decisões, comprometendo autodeterminação informativa e favorecendo litígios trabalhistas.
- Ausência de testes de viés — algoritmos perpetuando discriminações, gerando danos morais coletivos e responsabilidade civil objetiva das organizações.
- Dependência de provedores estrangeiros — falta de controle sobre uso secundário de dados, vulnerabilidades de soberania digital e transferências internacionais sem salvaguardas adequadas.
- Conformidade formal sem substância — avisos de privacidade genéricos, canais de direitos fictícios, programas de compliance que não reduzem riscos reais.
Oportunidades de conformidade e diferenciação:
- Adoção de “privacy by design” em novas soluções de RH e monitoramento, priorizando arquiteturas que minimizam dados desde a concepção.
- Realização de Relatórios de Impacto à Proteção de Dados (RIPD) para sistemas de monitoramento, avaliação de desempenho e IA, documentando finalidade, necessidade, proporcionalidade e mitigação de riscos.
- Implementação de governança algorítmica robusta: inventário de modelos, documentação de critérios, testes de viés, auditoria periódica de resultados, registro de decisões automatizadas.
- Transparência significativa sobre tecnologias, mediante dashboards com métricas, explicações dos algoritmos em linguagem acessível, e canais de contestação efetivos.
- Renegociação de contratos com fornecedores de software, reduzindo dependência de provedores únicos e incluindo cláusulas sobre limitação de uso secundário e transferências internacionais.
- Diálogo social contínuo com representantes de trabalhadores, incorporando proteção de dados em negociações coletivas e comissões paritárias permanentes.
As recomendações do CNPD consolidam entendimento que já vinha se formando na jurisprudência trabalhista e nas orientações de autoridades internacionais de proteção de dados: monitoramento é legítimo, mas não é ilimitado; transparência algorítmica não é opcional; discriminação automatizada viola direitos fundamentais; e conformidade exige mais que documentos formais — requer mudança estrutural em como tecnologias são desenhadas, implementadas e auditadas. Empresas que antecipar essas mudanças reduzem riscos legais, ganham diferenciação competitiva e consolidam confiança com seus colaboradores e fornecedores.
Fontes:
CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE. Proteção de Dados no Contexto Laboral: relatório final do GT1. Brasília: CNPD, 2026.
Read More
Designação do PCC e do CV como terroristas globais: o que a nova classificação americana exige dos programas de compliance e dos controles internos de empresas brasileiras
Em 28 de maio de 2026, o Departamento de Estado dos Estados Unidos classificou o Primeiro Comando da Capital (PCC) e o Comando Vermelho (CV) como “Terroristas Globais Especialmente Designados” (Specially Designated Global Terrorists — SDGTs). A medida, fundamentada na Executive Order nº 13.224, entrou em pleno vigor em 5 de junho de 2026 e impõe restrições de amplo alcance a qualquer entidade que preste o que a legislação americana define como “suporte material” às organizações designadas.
Para o ambiente corporativo brasileiro, a designação não é apenas um evento de política externa. Empresas com operações em moeda estrangeira, correspondentes bancários americanos, parceiros comerciais ou investidores com presença nos EUA passam a estar sujeitas a risco concreto de sanções. E mesmo aquelas sem nexo direto com o sistema financeiro americano precisam revisar seus controles: a designação eleva o padrão de diligência esperado e sinaliza um ambiente de maior escrutínio regulatório para toda a cadeia produtiva.
O conceito de “suporte material” e por que o risco é mais amplo do que parece
A legislação americana utiliza o conceito de “suporte material” (material support) de forma deliberadamente abrangente. Além de transferências financeiras diretas, ele pode alcançar a venda de produtos, a prestação de serviços, operações de crédito, pagamentos de proteção (extorsão), apoio a familiares de integrantes das organizações e outras relações comerciais aparentemente ordinárias.
Esse alcance importa porque as empresas raramente mantêm relação direta com o crime organizado. O risco se apresenta de forma intermediada: um fornecedor com vínculos com o PCC, um prestador de serviços que opera em território dominado pelo CV, um cliente que movimenta recursos de origem suspeita, ou um imóvel locado em área de influência de uma das organizações. A pergunta que o compliance precisa responder não é “temos relação com criminosos?”, mas “quem está na cadeia de valor dos nossos relacionamentos comerciais e quais são as exposições decorrentes?”.
Abrangência setorial: o risco não se concentra no sistema financeiro
Parte significativa do debate público após a designação focou nos efeitos sobre o sistema financeiro e sobre instrumentos como o Pix. Esse recorte, embora relevante, é estreito. O crime organizado financia suas atividades por meio de toda a economia — varejo, construção civil, transporte, agronegócio, saúde, tecnologia — como ilustrou a Operação Carbono Oculto, que identificou infiltração de organizações criminosas em setores muito além do financeiro.
Instituições financeiras de médio e grande porte já operam com sistemas robustos de identificação de operações suspeitas e políticas internas alinhadas à legislação de prevenção à lavagem de dinheiro. O risco real de desconformidade tende a estar em empresas de outros setores — com cadeia de fornecedores extensa, operação em regiões de alta vulnerabilidade, uso intensivo de mão de obra terceirizada ou dependência de intermediários sem estrutura de governança própria.
O quadro normativo brasileiro: o que já existe e o que a designação amplifica
O Brasil conta com arcabouço normativo que obriga pessoas jurídicas a adotar controles contra o crime organizado, a lavagem de dinheiro e o financiamento ao terrorismo. A designação americana não cria novas normas brasileiras, mas amplia o risco de exposição de quem não cumpre as que já existem — e eleva o padrão de diligência esperado nas relações comerciais.
As bases normativas de maior relevância são:
– Lei nº 9.613/1998 (com alterações da Lei nº 12.683/2012): dispõe sobre crimes de lavagem de dinheiro e cria obrigações de identificação de clientes, manutenção de registros e comunicação de operações suspeitas ao COAF — Unidade de Inteligência Financeira do Brasil. Sua aplicação vai além das instituições financeiras e alcança setores como imobiliário, joias, bens de luxo, fomento mercantil e factoring;
– Lei nº 13.260/2016 (Lei Antiterrorismo): tipifica crimes de terrorismo e financiamento ao terrorismo no Brasil. A designação americana de PCC e CV não é automaticamente vinculante ao Poder Judiciário brasileiro, mas cria contexto em que a análise de relacionamentos comerciais com essas organizações pode configurar contribuição a atos ilícitos nos termos desta lei;
– Lei nº 12.846/2013 (Lei Anticorrupção) e Decreto nº 11.129/2022 (Programa de Integridade): os padrões de due diligence sobre terceiros — fornecedores, distribuidores, intermediários — e a exigência de canais de denúncia e controles internos são exatamente os mecanismos que podem identificar e interromper vínculos com organizações criminosas antes que configurem responsabilidade;
– Resolução BCB nº 44/2021 e Resolução COAF nº 36/2021: disciplinam obrigações de prevenção à lavagem de dinheiro e ao financiamento ao terrorismo (PLD/FT) para setores regulados, com exigências específicas de Know Your Customer (KYC), monitoramento de transações e reporte de atividades suspeitas.
Organizações que já mantêm programas de integridade estruturados têm, portanto, uma base sobre a qual atuar. O problema se apresenta para aquelas que tratam o compliance como formalidade — e que, em um cenário de maior escrutínio regulatório e risco extraterritorial, ficam expostas sem instrumentos adequados de defesa.
Implicações práticas: riscos e oportunidades para organizações
Riscos típicos:
– due diligence de terceiros desatualizada ou superficial, sem mapeamento de fornecedores, prestadores de serviço e clientes em regiões de alta vulnerabilidade ao crime organizado;
– ausência de critérios específicos de KYC para setores expostos — construção civil, transporte, varejo de grande fluxo de caixa, agronegócio com múltiplos intermediários;
– inexistência de processo de monitoramento contínuo de relacionamentos comerciais: a verificação feita no momento da contratação não é suficiente se o vínculo do contratado com o crime organizado surgir ou se tornar conhecido posteriormente;
– falta de canal de denúncia funcional e de mecanismo para tratamento de alertas internos sobre possíveis vínculos de parceiros ou colaboradores com organizações criminosas;
– exposição extraterritorial de empresas que transitam pelo sistema financeiro americano — por meio de SWIFT, operações de câmbio ou correspondentes bancários — sem revisão de contrapartes à luz das listas SDN/OFAC.
Oportunidades:
– revisar e atualizar os procedimentos de due diligence de terceiros com critérios específicos de risco territorial e setorial, integrando esse processo ao ciclo de gestão de fornecedores e parceiros;
– incorporar a verificação de listas de sanções internacionais, incluindo a SDN/OFAC, nos fluxos de onboarding e revisão periódica de parceiros e clientes;
– fortalecer o treinamento de equipes operacionais para identificação de sinais de alerta: sobrepreço, pagamentos em espécie, intermediários sem atividade econômica aparente, subcontratação em cascata sem rastreabilidade;
– alinhar o programa de integridade (anticorrupção) com a função de prevenção à lavagem de dinheiro e ao financiamento ao terrorismo (PLD/FT), que frequentemente operam de forma isolada dentro das organizações;
– documentar, para fins de atenuação de responsabilidade em eventual processo sancionatório, que a organização adotou medidas razoáveis de controle e as reforçou após a designação.
A designação do PCC e do CV como terroristas globais pelos Estados Unidos não é um evento circunscrito ao campo da segurança pública. Ela reposiciona o risco de compliance para empresas brasileiras de todos os setores e coloca em evidência que os controles internos existentes foram, em muitos casos, desenhados para um ambiente de menor pressão regulatória externa. A questão não é apenas se o crime organizado chegará às operações de uma empresa, mas se os mecanismos de monitoramento existentes são suficientes para detectar e interromper essa aproximação antes que ela gere responsabilidade jurídica — no Brasil e além de suas fronteiras.
Read More
Rede Nacional de Integridade Pública da CGU: o que muda na prática para órgãos e para empresas que contratam com o Estado
Portaria Normativa CGU nº 262/2026 cria um espaço permanente de cooperação técnica e tende a elevar o padrão de cobrança por programas de integridade no setor público.
A Controladoria-Geral da União (CGU) anunciou, em 20 de maio de 2026, a criação da Rede Nacional de Integridade Pública, instituída pela Portaria Normativa CGU nº 262/2026, como um espaço permanente de cooperação técnica entre instituições e de disseminação de boas práticas de integridade no setor público.
A notícia pode soar institucional, mas o movimento tem um efeito muito concreto: quando a Administração Pública passa a harmonizar conceitos, critérios e rotinas de integridade, cresce a tendência de cobrança mais uniforme (e mais documentada) sobre controles internos, gestão de riscos, prevenção à corrupção e resposta a irregularidades. Isso repercute tanto na forma como órgãos e entidades se organizam internamente, quanto na forma como fornecedores, parceiros e contratados são avaliados.
O que exatamente foi criado — e por que isso importa
A Rede surge como um ambiente estruturado de cooperação. Em termos práticos, redes desse tipo costumam produzir (i) guias e referências técnicas, (ii) alinhamento de terminologia e métricas para programas de integridade, (iii) intercâmbio de experiências sobre investigações, corregedorias, ouvidorias e auditorias, e (iv) recomendações para contratações, convênios e parcerias.
O ganho esperado é reduzir a assimetria: antes, um mesmo tema (por exemplo, “o que é um bom canal de denúncias” ou “como evidenciar due diligence de terceiros”) podia ser interpretado de modo bastante diferente entre órgãos, estados e municípios. Com a coordenação e a difusão de padrões, o setor público tende a exigir mais evidência e mais consistência.
Quem é impactado: não é só o gestor público
Embora o foco seja a integridade do setor público, o “efeito dominó” atinge:
– Empresas que participam de licitações e executam contratos administrativos, inclusive em cadeias de subcontratação.
– Entidades do terceiro setor e organizações que celebram termos de fomento/colaboração, convênios e instrumentos congêneres.
– Parceiros comerciais e intermediários (representantes, consultores, despachantes) que atuam em relações com o Estado.
– Gestores públicos, responsáveis por estruturar programas, responder a órgãos de controle e documentar decisões.
Em todos esses casos, o ponto sensível é a rastreabilidade: se houver questionamento por CGU, controladorias locais, auditorias, corregedorias, Ministério Público ou tribunais de contas, a resposta não pode depender apenas de “boas intenções”; ela precisa se apoiar em procedimentos, evidências e governança.
A ponte com a Lei Anticorrupção e com a avaliação de programas de integridade
Para empresas, a leitura jurídica mais imediata passa pela Lei nº 12.846/2013 (Lei Anticorrupção) e seu regulamento federal, o Decreto nº 11.129/2022. Dois pontos merecem atenção:
- Programa de integridade como fator de dosimetria: o art. 7º da Lei nº 12.846/2013 prevê critérios para a aplicação de sanções, incluindo a existência e efetividade de mecanismos de integridade (art. 7º, VIII). Na prática, não basta “ter um manual”: a Administração e os órgãos de controle olham para efetividade, aderência ao risco e evidências de funcionamento.
- Padronização de expectativas: quando uma rede nacional consolida boas práticas, ela tende a influenciar “o que conta” como evidência de integridade — e isso pode repercutir em Processos Administrativos de Responsabilização (PAR), negociações de acordo de leniência, e avaliações de risco em contratações.
É nesse cenário que a iniciativa da CGU se torna relevante: ela não cria, por si, novas obrigações para o privado, mas pode contribuir para elevar o patamar de avaliação do que é considerado um programa “maduro”.
Contratações públicas: integridade como requisito e como vantagem competitiva
A Lei nº 14.133/2021 (Nova Lei de Licitações e Contratos) já contempla a ideia de integridade como ferramenta de governança. Um dispositivo frequentemente lembrado é o art. 25, § 4º, que prevê a obrigatoriedade de implantação de programa de integridade pelo licitante vencedor em contratações de grande vulto, no prazo estabelecido na lei.
Mesmo quando o programa não é formalmente exigido, a prática de mercado mostra que:
– editais e contratos vêm incluindo cláusulas anticorrupção, obrigações de reporte e exigências de treinamento;
– due diligence pré-contratual e monitoramento durante a execução estão se tornando mais comuns;
– ocorrências de integridade (fraude documental, conluio, vantagens indevidas, manipulação de medições) têm aumentado o custo de não conformidade.
Com uma Rede Nacional voltada à integridade pública, o cenário tende a se tornar mais “comparável” entre órgãos: a empresa que se prepara com antecedência reduz risco de desclassificação, rescisão, sanções, inidoneidade e danos reputacionais.
Onde costuma estar o problema: o programa existe, mas não se prova
Em auditorias e investigações, muitos casos falham não por inexistência total de controles, mas por lacunas típicas:
– políticas sem treinamento e sem atualização;
– canal de denúncias sem triagem e sem resposta documentada;
– investigações internas sem cadeia de custódia e sem critérios;
– ausência de due diligence de terceiros (especialmente intermediários que lidam com o poder público);
– matriz de riscos genérica, incapaz de explicar “por que” certos controles foram priorizados;
– governança frágil: compliance sem autonomia, sem orçamento e sem acesso à alta administração.
Com o fortalecimento de boas práticas no setor público, cresce a probabilidade de o contratante exigir evidência operacional (relatórios, atas, trilhas de auditoria, indicadores, registros de decisões) e não apenas declarações.
Soluções e oportunidades: transformar integridade em gestão (e não em burocracia)
A resposta mais eficiente costuma combinar três camadas:
- Gestão de riscos de integridade orientada ao contrato: mapear riscos de licitações, execução, aditivos, medições, subcontratações e relacionamento com agentes públicos.
- Controles proporcionais ao porte e ao setor: pequenas e médias empresas não precisam copiar modelos de multinacionais; precisam de controles que funcionem e que sejam demonstráveis.
- Prontidão para controle e crise: roteiro de resposta a auditorias e notificações; política de preservação de evidências; comitê de crise; condução de investigação interna quando necessário.
Há também oportunidade para empresas bem estruturadas: integridade deixa de ser apenas “custo de conformidade” e passa a ser critério de confiabilidade em parcerias, consórcios e contratações.
Como o escritório pode ajudar (sem promessas fáceis)
Diante desse novo contexto, o apoio jurídico costuma ser mais valioso quando combina visão regulatória e execução prática. O escritório pode auxiliar, por exemplo, em:
– diagnóstico e aprimoramento de programas de integridade à luz da Lei nº 12.846/2013 e do Decreto nº 11.129/2022, com foco em evidências e efetividade;
– revisão de cláusulas anticorrupção em contratos com o poder público, subcontratações e parcerias;
– estruturação de governança de compliance (papéis, independência, comitês, fluxos decisórios);
– treinamentos e protocolos de interação com agentes públicos, brindes/hospitalidades, patrocínios e doações;
– respostas a auditorias, demandas de controladorias, corregedorias e tribunais de contas, com organização de documentos e estratégia de comunicação;
– atuação em PAR e medidas correlatas, incluindo análise de risco sancionador, construção de defesas e mitigação de impactos.
Em resumo
A criação da Rede Nacional de Integridade Pública pela CGU, formalizada pela Portaria Normativa CGU nº 262/2026, sinaliza um ambiente de maior coordenação e maior exigência técnica sobre integridade no setor público. Para empresas que contratam com a Administração, o recado é pragmático: conformidade genérica tende a ser insuficiente; o diferencial estará na capacidade de demonstrar, com consistência, que o programa de integridade funciona — especialmente nos pontos mais expostos de licitações e execução contratual.
Read More
Bets, lavagem de dinheiro e fiscalização: o que o Acórdão 1296/2026 do TCU sinaliza para operadores e meios de pagamento
Auditoria do TCU aponta fragilidades de coordenação e recomendações que tendem a acelerar bloqueios, sanções e exigências de AML no ecossistema de apostas on-line.
O Tribunal de Contas da União (TCU) publicou, em 19/05/2026, notícia sobre auditoria operacional que examinou os controles da Administração Pública para prevenir e combater lavagem de dinheiro associada a apostas on-line (“bets”). O tema foi apreciado em sessão extraordinária de 19/05/2026, no Processo TC 015.852/2025-3, sob relatoria do ministro Jorge Oliveira, resultando no Acórdão 1296/2026 – Plenário.
Para além do debate moral ou econômico, a auditoria tem um efeito jurídico muito concreto: ela indica para onde a fiscalização deve caminhar e quais “peças do tabuleiro” serão cobradas — não apenas operadores de apostas, mas também instituições financeiras, fintechs, subadquirentes, gateways de pagamento, afiliados, anunciantes e parceiros.
O que o TCU mediu (números que mudam o risco)
O resumo do próprio TCU chama atenção para três achados de impacto:
– A atuação de operadores ilegais geraria entre 41% e 51% do volume total de apostas, equivalendo a até R$ 40 bilhões anuais.
– Foram identificados riscos de lavagem de dinheiro, manipulação de resultados e evasão fiscal.
– Entre apostadores em bets autorizadas, o gasto efetivo médio de 17,7 milhões de brasileiros teria sido de cerca de R$ 164 por mês por apostador, no período analisado, com risco de vício e endividamento.
A notícia também registra referência do relator a dados do Banco Central sobre beneficiários do Bolsa Família que teriam destinado R$ 3 bilhões a apostas on-line em agosto de 2024, cerca de 21% do total repassado pelo programa naquele mês — um recorte que tende a aumentar a sensibilidade regulatória do assunto.
Onde está o “problema” do ponto de vista institucional: coordenação e capacidade operacional
A auditoria não se limita a apontar que há ilegalidade. Ela descreve um gargalo de governança: falta de protocolos formalizados de compartilhamento de informações entre órgãos e ausência de ações integradas para bloqueio, fiscalização e sanção de operadores irregulares.
O TCU destaca limitações técnicas e estruturais na capacidade de detecção de casas de apostas não autorizadas, incluindo monitoramento de domínios mais reativo (dependente de denúncias e buscas manuais), além de morosidade para identificação de operações irregulares.
Essa leitura é relevante porque, quando o órgão de controle identifica falhas de governança, a resposta típica da Administração é dupla: (i) reforço de regras e sistemas; (ii) aumento de cobrança documental em fiscalizações.
O que o Acórdão 1296/2026 recomenda — e como isso chega ao mercado
Entre as deliberações noticiadas, o TCU recomenda que a Secretaria de Prêmios e Apostas do Ministério da Fazenda (SPA/MF) institua mecanismo permanente de coordenação interinstitucional para combater bets ilegais, com participação, ao menos, de:
– Anatel (bloqueio e medidas sobre domínios/conectividade),
– Banco Central do Brasil,
– Conselho de Controle de Atividades Financeiras (Coaf),
– Receita Federal do Brasil,
– e órgãos de persecução penal.
Há recomendação também para que a ENCCLA (Estratégia Nacional de Combate à Corrupção e à Lavagem de Dinheiro), via Ministério da Justiça, desenvolva e implemente sistema informatizado de monitoramento das ações coordenadas.
Na prática, isso tende a produzir três consequências para o setor:
- Bloqueios mais frequentes e mais rápidos de operações irregulares (inclusive por medidas técnicas envolvendo domínios e meios de pagamento).
- Fiscalização cruzada (pagamento, telecom, fiscal e PLD/FT conversando mais).
- Exigência de trilhas de auditoria mais completas: de onde veio o usuário, como foi identificado, como o pagamento passou, para onde foi e quais alertas foram gerados.
Implicações jurídicas para operadores e plataformas (não é só “ter licença”)
A empresa que opera bets, ou que presta serviços essenciais ao ecossistema, precisa olhar para o tema com lentes de regulação setorial + PLD/FT + direito do consumidor + tributação.
Alguns eixos jurídicos costumam ser cobrados em inspeções e apurações:
– PLD/FT (Lei nº 9.613/1998): obrigações de identificação, registro, monitoramento e comunicação de operações suspeitas (a depender do enquadramento do agente e das regras aplicáveis). Mesmo quando a obrigação direta recai sobre entidades específicas, o risco se espalha por contratos e corresponsabilidades.
– Risco de facilitação por meios de pagamento: instituições e intermediários podem ser demandados a demonstrar KYC, monitoramento de transações, filtros (listas, padrões atípicos), e critérios para recusar/encerrar relacionamento.
– Contratos com afiliados e anunciantes: a auditoria reforça que publicidade e aquisição de usuários, quando conectadas a operações irregulares, podem criar risco reputacional e, em determinados cenários, risco jurídico por participação/benefício.
– Consumidor e responsabilidade por fraudes: o TCU menciona jogos ilegais como “Fortune Tiger” (“Tigrinho”) com risco de fraudes e manipulação de algoritmos. Isso costuma desaguar em litígios com base no CDC (Lei nº 8.078/1990) e em demandas coletivas.
Riscos específicos para empresas “fora” do setor (mas dentro do fluxo)
Mesmo quem não é operador pode ficar exposto:
– Bancos e fintechs: risco regulatório e de supervisão por falhas de monitoramento; congelamentos/bloqueios com efeito em experiência do cliente; necessidade de resposta rápida a ofícios.
– Agências de marketing e influenciadores: risco de vinculação a operações não autorizadas e de publicidade potencialmente abusiva, principalmente quando dirigida a públicos vulneráveis.
– Clubes, ligas e organizadores de eventos: exposição a investigações sobre integridade esportiva (manipulação de resultados) e necessidade de cláusulas de integridade e cooperação.
– Empresas que aceitam apostas em seus ambientes (promos, links, white label): risco de serem vistas como canal de captação para bets irregulares.
Medidas de “solução” que reduzem atrito com fiscalização
Do ponto de vista de governança e defesa, há um conjunto de medidas que costuma fazer diferença quando o ambiente se torna mais coordenado, como o TCU recomenda:
– Mapeamento completo do fluxo financeiro (entrada/saída, beneficiários finais, conciliações e retenção de evidências).
– KYC proporcional ao risco (incluindo validação de documentos, verificação de identidade, análise de comportamento e prevenção a múltiplas contas).
– Monitoramento transacional com critérios claros e governança de alertas (quem analisa, prazos, escalonamento, encerramento de contas, reporte quando aplicável).
– Controles sobre parceiros (afiliados, subadquirentes, provedores de tecnologia): due diligence, cláusulas de auditoria, SLAs de compliance e gatilhos de rescisão.
– Plano de resposta a incidentes regulatórios (como atender ofícios, preservar logs, produzir relatórios e sustentar decisões de bloqueio/encerramento).
Como o escritório pode auxiliar
Em um cenário de maior integração entre SPA/MF, Anatel, Banco Central, Coaf, Receita Federal e persecução penal, o apoio jurídico tende a ser mais efetivo quando combina prevenção e resposta:
– Revisão/estruturação de programa de integridade e PLD/FT adaptado ao modelo de negócio (operador, PSP, fintech, anunciante).
– Adequação contratual com parceiros e prestadores críticos (pagamentos, afiliados, tecnologia, compliance outsourcing), com mecanismos de auditoria e responsabilização.
– Atuação em fiscalizações e processos administrativos sancionadores, incluindo produção de memoriais, organização de evidências e condução de estratégias de mitigação.
– Gestão de risco tributário associado a operações e a irregularidades (especialmente quando o TCU aponta risco de evasão fiscal).
O recado do Acórdão 1296/2026 – Plenário é que o combate à ilegalidade não será tratado apenas como “problema de polícia”: será também problema de governança, dados e coordenação. Para o mercado, isso significa que a pergunta central deixa de ser “estamos no setor certo?” e passa a ser “conseguimos provar, com registros e controles, que a operação é íntegra e rastreável?”.
Read More
A ILUSÃO DE MATURIDADE EM COMPLIANCE: O QUE A 3ª PESQUISA NACIONAL DE TENDÊNCIAS SINALIZA PARA PROGRAMAS DE INTEGRIDADE E FORNECEDORES DO SETOR PÚBLICO
Ter canal de denúncias e código de conduta não comprova que o programa funciona; é a aplicação efetiva, e não a existência formal, que pesa quando a empresa precisa responder por um ato lesivo.
A 3ª Pesquisa Nacional sobre as Necessidades e Tendências do Compliance, conduzida pela Be.Aliant em parceria com a Protiviti Brasil e divulgada no início de 2026, com dados coletados em outubro e novembro de 2025 junto a 129 profissionais, traz um diagnóstico que merece atenção jurídica. O estudo mostra um mercado que já não discute se possui compliance, mas se o compliance que possui cobre, de forma efetiva, os riscos reais da organização.
O dado central é o contraste entre infraestrutura visível e fundações de profundidade. Quase todas as empresas possuem canal de denúncias e código de conduta, mas poucas auditam o programa, medem sua efetividade ou estendem a diligência a toda a cadeia de contratações. Esse descompasso, que a pesquisa chama de “ilusão de maturidade”, importa para além do público de compliance officers: atinge diretamente empresas que contratam com o setor público, organizações que dependem do programa de integridade como atenuante e fornecedores sujeitos a auditoria de terceiros.
O retrato: muita parede, pouca fundação
Os números desenham um programa de infraestrutura básica. Canal de denúncias aparece em 96,9% das organizações, código de conduta em 94,6% e investigações internas em 84,5%. Já os pilares que verificam se o programa funciona ficam para trás: a avaliação de riscos está em 62,8% e a auditoria e monitoramento em 56,5%.
A lacuna fica mais nítida na rotina. Apenas metade das empresas mantém indicadores para medir a efetividade do programa, e somente 36% realizam auditoria regular. Na ponta da prevenção, 60% não fazem due diligence para todas as contratações e 33% não submetem colaboradores a qualquer análise de integridade na admissão. O programa existe no papel; a verificação sistemática de seu funcionamento, não.
Existir e aplicar: uma distinção jurídica, não retórica
Essa diferença tem consequência direta na responsabilização. A Lei nº 12.846/2013 (Lei Anticorrupção) prevê, no art. 7º, inciso VIII, que a existência de programa de integridade é circunstância considerada na dosimetria da sanção. O Decreto nº 11.129/2022, ao regulamentar a matéria, é mais preciso: o art. 57 determina que o programa seja avaliado quanto a sua existência e aplicação, e o respectivo § 2º estabelece que a efetividade do programa em relação ao ato lesivo objeto de apuração será considerada nessa avaliação.
Em outras palavras, ter os documentos não basta. O que se examina em um processo administrativo de responsabilização é se o programa estava em funcionamento e se foi capaz de prevenir ou detectar o ato. Vários parâmetros do art. 57 dependem justamente das práticas que a pesquisa apontou como deficitárias: a gestão de riscos com análise e reavaliação periódicas (inciso V) e o monitoramento contínuo do programa (inciso XV). Um programa sem auditoria regular e sem indicadores tende a ser lido como existente, mas pouco aplicado, o que reduz seu peso como atenuante.
Investigações internas: controle ou conflito de interesses?
A pesquisa registra que 72% das organizações conduzem investigações de forma totalmente interna. À primeira vista, sinal de controle; na prática, fonte de risco quando o investigador está subordinado à mesma hierarquia do investigado. Some-se a isso a escassez de marco normativo brasileiro sobre procedimentos de investigação interna, o que deixa as empresas sem direcionamento claro sobre limites e cadeia de custódia das evidências.
Há ainda uma camada de proteção de dados. A apuração trata dados pessoais e, com frequência, dados sensíveis, atraindo as bases legais e os deveres da Lei nº 13.709/2018 (LGPD). Conduzir a investigação sem definir finalidade, retenção e segregação de acesso expõe a organização a um segundo risco, agora regulatório. O modelo mais defensável combina triagem interna com investigadores externos para casos complexos ou com potencial conflito de interesses.
Due diligence e a interface com a contratação pública
O dado de que 60% das empresas não fazem due diligence universal ganha contorno próprio para quem se relaciona com a Administração. A responsabilidade na Lei Anticorrupção é objetiva (art. 2º), e atos de terceiros podem alcançar a contratante. O Decreto nº 11.129/2022 lista, entre os parâmetros do programa, procedimentos específicos para prevenir fraudes e ilícitos em licitações e contratos (art. 57, inciso VIII) e a extensão de padrões de conduta a terceiros (inciso III).
A Lei nº 14.133/2021 reforça o ponto: além de exigir programa de integridade em contratações de grande vulto (art. 25, § 4º), trata o programa como critério de desempate (art. 60) e como condição em hipóteses de reabilitação de empresas sancionadas. Para fornecedores do setor público, a diligência seletiva deixa de ser apenas uma questão de maturidade e passa a representar exposição contratual e concorrencial.
A onda regulatória que ampliou o escopo
A pesquisa mostra o compliance absorvendo temas trazidos por novas normas. A judicialização da LGPD cresceu de forma expressiva, ampliando a exigência de governança de privacidade. Os riscos psicossociais entraram na agenda com a atualização da NR-01, promovida pela Portaria MTE nº 1.419/2024, cuja fiscalização punitiva começa em 26 de maio de 2026, sem nova prorrogação. A Lei nº 14.457/2022 (Programa Emprega + Mulheres) antecipou parte desse movimento ao reforçar canais e medidas contra o assédio.
Não por acaso, assédio e discriminação assumem o topo dos riscos gerenciados (86,8%), à frente de conflito de interesses e fraude. O ponto de atenção é que parte das empresas transfere essas responsabilidades ao RH sem a expertise de investigação e gestão de risco que o tema exige, criando zonas cinzentas de governança e de segregação de funções.
IA: prioridade declarada, adoção incipiente
A inteligência artificial é vista como prioridade por 91,5% dos profissionais, mas apenas cerca de um terço a implementou. A barreira não é cultural, e sim técnica: a fragmentação de dados impede análises integradas. Surge também uma nova categoria de risco, o uso indevido de IA (28,7%), associada a vazamentos e ao tratamento de informações sensíveis. Adotar IA sobre dados fragmentados, sem governança e sem revisão humana das decisões, pode converter a ferramenta em passivo, inclusive sob a LGPD.
Riscos típicos
- Programa formalmente completo, mas sem auditoria e sem indicadores que comprovem aplicação efetiva em eventual responsabilização.
- Due diligence restrita a cargos de alto risco, deixando terceiros e contratações relevantes fora do radar.
- Investigações totalmente internas, sem segregação entre investigador e investigado e sem disciplina de proteção de dados.
- Absorção de temas trabalhistas e de privacidade pelo RH sem estrutura de compliance correspondente.
- Uso de IA sobre dados fragmentados, sem governança nem revisão, gerando risco desproporcional ao ganho.
Oportunidades
- Implantar auditoria do programa, ainda que temática ou por amostragem, e indicadores objetivos que sustentem a defesa do orçamento e a demonstração de efetividade.
- Estruturar mapeamento periódico e documentado de riscos, integrado à gestão de riscos corporativos.
- Adotar modelo misto de investigação, com triagem interna e suporte externo para casos sensíveis.
- Estender a due diligence a toda a cadeia com base em risco, em especial para quem contrata com o setor público.
- Investir em integração e governança de dados antes de escalar soluções de IA.
Mensagem central
A pergunta que orienta o setor mudou de “temos compliance?” para “nosso programa resiste a um exame de efetividade?”. A 3ª Pesquisa Nacional confirma que a infraestrutura visível já está, em grande medida, instalada, e que o diferencial dos próximos anos estará na profundidade: auditar, medir, estender a diligência e documentar o funcionamento. Para empresas que contratam com o setor público e dependem do programa como atenuante, essas lacunas não são apenas sinais de imaturidade; são exposições jurídicas concretas, medidas no momento em que o programa é chamado a comprovar que funcionava.
Fontes:
BE.ALIANT; PROTIVITI. 3ª Pesquisa Nacional sobre as Necessidades e Tendências do Compliance: Tendências em Compliance para 2026. São Paulo, 2025/2026. Disponível em: conteudos.aliant.com.br/lp-pesquisas-compliance-etica-gestao-de-riscos. Acesso em: 3 jun. 2026.
Read More
PRINCÍPIO DA INSIGNIFICÂNCIA E CORRUPÇÃO: O QUE A REAFIRMAÇÃO DA SÚMULA 599 PELO STJ SINALIZA PARA PROGRAMAS DE INTEGRIDADE E POLÍTICAS DE BRINDES E HOSPITALIDADE
Para o STJ, o valor reduzido da vantagem indevida não afasta a tipicidade nos crimes contra a Administração Pública. O recado para o setor privado é claro: pequeno valor não significa pequeno risco.
A Sexta Turma do Superior Tribunal de Justiça reafirmou, no julgamento do REsp 2.258.036-DF, relatado pelo Ministro Sebastião Reis Júnior e decidido por unanimidade em 22 de abril de 2026 (DJE de 27 de abril de 2026), que o princípio da insignificância não se aplica aos crimes contra a Administração Pública. A tese foi destacada no Informativo de Jurisprudência n. 888, de 12 de maio de 2026, e alcança especificamente o delito de corrupção passiva majorada, previsto no art. 317, § 1º, do Código Penal.
O caso concreto chama atenção pelo valor envolvido. Uma servidora solicitou e recebeu vantagem indevida de R$ 20,00 para quitar débitos de eleitores, inserindo dados falsos em sistema da Administração Pública. O Tribunal de origem havia absolvido a servidora sob o argumento de que o montante seria irrisório e pequeno o número de beneficiados. O STJ reformou esse entendimento. Ainda que a decisão se situe no campo penal, o recado interessa diretamente a empresas que contratam com o setor público, a fornecedores sujeitos a auditoria e a organizações que mantêm programa de integridade: nos ilícitos que atingem a coisa pública, o pequeno valor não converte a conduta em algo tolerável.
O que o STJ decidiu
A controvérsia consistia em saber se a atipicidade material por bagatela poderia absolver a conduta de corrupção passiva majorada diante do reduzido valor da vantagem e do pequeno número de pessoas atendidas. A Sexta Turma respondeu de forma negativa, com apoio na Súmula 599 do STJ, segundo a qual o princípio da insignificância não incide sobre crimes contra a Administração Pública.
O fundamento não é o montante financeiro, mas a natureza dos bens jurídicos tutelados. A Turma destacou que a tutela penal nesses casos protege o patrimônio público, a moral administrativa, a fé pública e a probidade administrativa. Esses bens sofrem lesão relevante ainda que o ganho econômico do agente seja ínfimo. O dinheiro é apenas o instrumento; o que se lesa é a confiança no funcionamento íntegro da máquina pública.
A decisão acrescentou um segundo argumento. A causa de aumento do § 1º do art. 317 do Código Penal, que incide quando o funcionário retarda ou deixa de praticar ato de ofício, ou o pratica infringindo dever funcional, revela maior reprovabilidade da conduta. Esse elemento de gravidade, por si só, é incompatível com o reconhecimento da insignificância.
A base normativa e o diálogo com o sistema de integridade
Embora o julgamento trate de responsabilidade penal individual, ele se conecta a um conjunto normativo mais amplo que rege a relação entre o setor privado e a Administração. A Lei nº 12.846/2013 (Lei Anticorrupção) responsabiliza objetivamente pessoas jurídicas por atos lesivos à Administração Pública, entre os quais prometer, oferecer ou dar vantagem indevida a agente público. O Decreto nº 11.129/2022, que regulamenta a lei e disciplina os programas de integridade, não estabelece qualquer piso de valor abaixo do qual a vantagem indevida seria irrelevante.
A Lei nº 14.133/2021 reforça esse alinhamento ao tratar fraudes e práticas corruptas como causa de sanção e de declaração de inidoneidade, além de prever a integridade como fator relevante na contratação pública. Para quem contrata com o poder público, portanto, vale a mesma lógica que orienta o STJ no campo penal: a lesão à integridade administrativa não se mede em reais.
Esse paralelo é relevante porque programas de integridade frequentemente operam com limiares de materialidade, por exemplo valores máximos para brindes, hospitalidade e cortesias. Tais limiares são úteis para a gestão de riscos, mas não podem ser lidos como uma zona de imunidade. O entendimento do STJ ajuda a desfazer essa leitura equivocada.
Valor reduzido não significa risco reduzido
A principal lição prática do julgado é também a mais contraintuitiva. Em muitas organizações, a percepção de risco é proporcional ao valor envolvido: quanto maior o pagamento, maior a preocupação. A decisão da Sexta Turma desloca o foco do valor para o bem jurídico afetado.
Uma vantagem de R$ 20,00 entregue a um agente público para que ele pratique ato com infração de dever funcional configura crime, com a mesma estrutura típica de um pagamento expressivo. No plano corporativo, esse mesmo gesto pode caracterizar ato lesivo sob a Lei Anticorrupção, gerar responsabilização administrativa da empresa, comprometer a participação em licitações e contaminar a reputação da organização.
Pequenas cortesias, gratificações informais a servidores, agilizações de processos mediante pagamentos modestos e brindes acima do razoável são exatamente as condutas que tendem a ser minimizadas internamente. O julgado serve de alerta: o sistema jurídico brasileiro não reconhece a bagatela quando o que está em jogo é a integridade da Administração.
Reflexos para empresas e programas de integridade
Para gestores e responsáveis por compliance, a decisão recomenda revisar como a organização trata condutas de baixo valor na interface com o poder público. Não se trata de proibir toda cortesia institucional, mas de calibrar políticas, treinamentos e controles para que o pequeno valor não seja confundido com ausência de risco.
Riscos típicos
- Políticas de brindes e hospitalidade que fixam tetos sem qualquer vedação a cortesias direcionadas a agentes públicos com poder de decisão sobre a empresa.
- Cultura interna que tolera pequenas gentilezas para agilizar trâmites administrativos, despachos aduaneiros, licenças e fiscalizações.
- Canais de denúncia que não captam relatos de baixo valor, por serem percebidos como irrelevantes.
- Treinamentos que enfatizam apenas grandes esquemas de corrupção e ignoram a corrupção difusa e de pequeno montante.
- Due diligence de terceiros que desconsidera intermediários encarregados de facilitar relações com a Administração.
Oportunidades
- Revisar a política de brindes, presentes e hospitalidade para deixar expresso que valor reduzido não autoriza vantagem direcionada a agente público.
- Reforçar, em treinamentos, que pagamentos de facilitação e cortesias dirigidas a servidores são vedados independentemente do montante.
- Ajustar o canal de denúncias para acolher e investigar relatos de pequeno valor, registrando-os para análise de padrões e recorrências.
- Documentar a tomada de decisão sobre cortesias institucionais, demonstrando ausência de contrapartida indevida.
- Utilizar o julgado como insumo de comunicação interna, traduzindo uma tese penal em orientação prática de conduta.
Mensagem central
A reafirmação da Súmula 599 pelo STJ no caso da vantagem de R$ 20,00 não é um detalhe penal. É a expressão, no campo criminal, de um princípio que percorre todo o sistema anticorrupção brasileiro: a integridade da Administração Pública não tem preço de tabela, e a lesão a ela não se afere pelo valor da propina. Para empresas, fornecedores e programas de integridade, o recado é direto. O risco anticorrupção não começa em um patamar financeiro relevante; ele já existe na primeira cortesia voltada a influenciar indevidamente um agente público. Programas de integridade maduros são justamente os que levam a sério as condutas que parecem pequenas demais para importar.
Fontes
Superior Tribunal de Justiça. Informativo de Jurisprudência n. 888, de 12 de maio de 2026 (REsp 2.258.036-DF, Rel. Min. Sebastião Reis Júnior, Sexta Turma, j. 22/4/2026). Disponível em: processo.stj.jus.br/jurisprudencia/externo/informativo.
Read More
COMPLIANCE ORIENTADO A DADOS: O QUE UM ESTUDO COM 120 MIL CONFLITOS REVELA SOBRE PROGRAMAS DE INTEGRIDADE
Dados em larga escala mostram que riscos internos predominam, monitoramento ativo é essencial, e LGPD lidera as prioridades de conformidade nas organizações.
Quando conformidade deixa de ser um tópico teórico e passa a ser medido em tempo real, aparecem padrões que desafiam percepções tradicionais sobre risco corporativo. Um estudo recém-publicado analisou mais de 120 mil conflitos de interesse, quase 1 milhão de documentos assinados digitalmente e 800 mil treinamentos concluídos em plataformas de conformidade, consolidando dados operacionais de centenas de empresas brasileiras. Os resultados oferecem um retrato preciso de como programas de integridade realmente funcionam na prática, qual é a incidência real de não conformidades, onde se concentram os riscos e que obrigações regulatórias comandam a agenda de compliance nas organizações.
Para gestores, advogados e profissionais de compliance, esses números importam porque traduzem a distância entre política de integridade e execução real. Indicam também quais temas devem receber reforço em treinamentos, onde automatizar controles e como calibrar investimentos em governança de risco. Este artigo sintetiza os principais achados e suas implicações para organizações que operam sob o escopo da Lei nº 12.846/2013, do Decreto nº 11.129/2022 e da Lei Geral de Proteção de Dados.
Riscos internos como principal vetor de exposição
Um dos achados mais significativos do estudo é a predominância de riscos de origem interna. Dos registros analisados, 28,1% foram categorizados como riscos internos, enquanto apenas 8,2% tiveram origem externa ou de mercado. Este desequilíbrio de mais de 3 para 1 sinaliza que desenho de processos, controles organizacionais e decisões gerenciais são fatores criticamente diferenciadores na redução de exposições.
O achado inverteu a hierarquia de preocupações frequentemente reportada por profissionais de compliance. Embora pesquisas de percepção apontem riscos externos como uma das principais inquietações, a realidade dos dados sugere que intervenções na qualidade dos processos operacionais, na clareza de rotinas e no reforço de controles internos reduzem significativamente as exposições antes que variáveis macroeconômicas ou de mercado as ampliem. Para empresas que contratam com o setor público ou operam sob programa de integridade certificado, isso reforça a necessidade de revisão contínua de fluxos críticos.
Detecção contínua como capacidade operacional
A forma como não conformidades são identificadas revela a maturidade de um programa de compliance. No estudo, monitoramento ativo respondeu por 93,1% das detecções, enquanto auditorias internas representaram apenas 2,3%. Este padrão indica que a maioria das organizações já opera em modelo de vigilância contínua, com mecanismos embarcados nos fluxos operacionais que sinalizam desconformidades em tempo real, em vez de depender de ciclos pontuais de revisão.
A importância prática dessa descoberta é dupla. Primeiro, reduz o intervalo entre o surgimento de um desvio e sua correção, diminuindo janelas de risco. Segundo, permite que programas de integridade operem com automação em larga escala, processando grandes volumes de transações com parametrizações claras e escaláveis. Para fornecedores e parceiros sujeitos a auditoria contratual, isso significa que expectativas de conformidade serão medidas contra padrões de detecção contínua, não apenas em avaliações periódicas.
LGPD e governança corporativa como eixos centrais
Entre as obrigações de conformidade monitoradas pelas organizações, proteção de dados (LGPD) aparece em primeiro lugar, com 22,2% da carteira de conformidade. Obrigações regulatórias gerais representam 15,4%, e governança corporativa 12,6%. Juntas, essas três categorias somam 50,2% do esforço de monitoramento, consolidando a agenda regulatória moderna em torno de dados, transparência e estrutura de governança.
O protagonismo de LGPD nos registros de obrigações reflete tanto a complexidade da Lei nº 13.709/2018 quanto a exposição crescente de organizações a riscos regulatórios e reputacionais relacionados ao tratamento de dados pessoais. Simultaneamente, a presença forte de governança corporativa e conformidade anticorrupção nos dados aponta para maior escrutínio sobre estrutura de controle, canais de denúncia e políticas de integridade. Para empresas do setor privado que interagem com o setor público ou que fazem parte de grupos multinacionais, isso traduz-se em trilhas de treinamento prioritárias em LGPD, cibersegurança e compliance anticorrupção.
Bases normativas e marco regulatório
Os achados do estudo conectam-se diretamente ao marco normativo brasileiro de integridade corporativa. A Lei nº 12.846/2013 (Lei Anticorrupção) estabelece em seu artigo 7º que organizações que implementem programas de integridade robustos podem sofrer redução de pena em processos administrativos. O Decreto nº 11.129/2022 detalha os elementos que um programa de integridade deve contemplar, incluindo avaliação contínua de riscos, mapeamento de processos críticos e sistemas de monitoramento.
À luz dessa regulação, o estudo oferece indicadores operacionais de aderência. A presença massiva de monitoramento ativo (93,1% das detecções), a declaração estruturada de conflitos de interesse (18,7% da população analisada), a documentação digital auditável (com ciclos de assinatura de 7 a 30 dias) e o investimento em treinamentos de massa (800 mil completados) alinham-se aos elementos esperados em um programa certificado conforme a norma federal. Para fornecedores e empresas em cadeia de valor do setor público, isso significa que expectativas de conformidade correspondem a padrões operacionais que já estão em uso por pares.
Adicionalmente, a Lei nº 13.709/2018 (LGPD) ocupa espaço equivalente no marco regulatório. Seus artigos 37 e 38 obrigam operadores de dados pessoais a implementar controles de segurança, processos de consentimento e politicas de retenção, com sanções civis e administrativas por descumprimento. O destaque de LGPD nos dados de conformidade (22,2% das obrigações) reflete essa multiplicidade de demandas de conformidade, que agora cobrem anticorrupção, proteção de dados e governança de forma integrada.
Implicações práticas: riscos típicos e oportunidades
Para gestores de programas de integridade, o estudo sugere oportunidades concretas de aprimoramento:
Riscos típicos a considerar:
- Processos operacionais mal desenhados continuam sendo o maior vetor de risco; revisar fluxos críticos de contratação, aprovação e gestão de parceiros deve ser prioridade
- Lacunas na documentação de conformidade; 40% das não conformidades no estudo não possuem valor financeiro estimado, indicando que muitos eventos são registrados sem mensuração clara de impacto
- Subinvestimento em treinamentos de relacionamento com agentes públicos; apenas 1,4% dos treinamentos abordam este tema, apesar de ser requisito essencial sob Lei Anticorrupção
- Conflitos de interesse em áreas operacionais e comerciais (60% do total) mal estruturados em processos de aprovação
Oportunidades de fortalecimento:
- Automatizar parametrizações de monitoramento ativo em sistemas operacionais; dado que 93,1% das detecções já ocorrem assim, há oportunidade de integração mais profunda de controles em fluxos de TI
- Aprofundar métricas econômicas de risco; desenvolver critérios de valoração que capturem não apenas impacto financeiro direto, mas também retrabalho, perda de oportunidade e desgaste reputacional
- Reequilibrar carteira de treinamentos em direção a LGPD, cibersegurança e compliance anticorrupção; eliminar temas genéricos e reforçar conteúdo setorial-específico
- Estruturar governança executiva para risco residual; aproveitando que apenas 5,7% dos tratamentos optam por aceitar risco, há oportunidade de formalizar decisões estratégicas sobre exposições mantidas intencionalmente
Conclusão
Compliance orientado a dados não é mais aspiracional. O estudo demonstra que, para centenas de organizações, integridade já é rotina mensurável: riscos são mapeados diariamente, conflitos de interesse são declarados estruturadamente, documentos seguem ciclos de aprovação auditáveis, e colaboradores recebem treinamentos em massa sobre temas críticos. O desafio que permanece é traduzir esse diagnóstico em ação. Organizações que usam dados para identificar lacunas de processo, reforçar controles em áreas de alto risco e alinhar investimentos em governança com a realidade da exposição tendem a antecipar problemas, reduzir custos de correção e responder com segurança a auditorias e due diligence. Para isso, é essencial não apenas coletar dados, mas transformá-los em direção estratégica clara.
Fontes:
BE.ALIANT. Compliance Orientado a Dados: 1º Estudo sobre Compliance na Prática. São Paulo: Be.Aliant, 2026. Disponível em: https://www.be-aliant.com/publicacoes. Acesso em: 3 jun. 2026.
BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Dispõe sobre a responsabilidade civil das pessoas jurídicas pela prática de atos contra a administração pública. Diário Oficial da União, Brasília, DF, 2 ago. 2013.
BRASIL. Decreto nº 11.129, de 14 de julho de 2022. Estabelece as diretrizes para a implementação de programas de integridade nas organizações. Diário Oficial da União, Brasília, DF, 15 jul. 2022.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.
Read More
Governança de IA no setor público: o que muda com a política do MGI e como isso afeta contratações e projetos
Portaria nº 3.485/2026 cria diretrizes internas de uso ético e seguro de IA — e tende a elevar o padrão de compliance exigido de fornecedores.
A edição da Portaria nº 3.485/2026, no âmbito do Ministério da Gestão e da Inovação em Serviços Públicos (MGI), marca um passo relevante para organizar — com regras internas e responsabilidades — o ciclo de vida de soluções de inteligência artificial (IA) usadas pelo poder público. Na prática, trata-se de um movimento de institucionalização de controles: desde a fase de concepção e aquisição até a operação, auditoria e resposta a incidentes.
Embora a norma seja dirigida ao MGI, seu efeito tende a irradiar para outros órgãos e, sobretudo, para o mercado: fornecedores de tecnologia, consultorias e integradores passam a ser cobrados por um padrão de documentação, governança e prestação de contas mais robusto, especialmente quando a IA impacta direitos de cidadãos, decisões administrativas ou tratamento de dados pessoais.
O que exatamente foi instituído e por quê
A política busca estabelecer parâmetros para que o uso de IA seja ético, seguro e juridicamente conforme, evitando dois problemas frequentes em projetos públicos:
– Opacidade decisória (“a máquina decidiu”) sem trilha de justificativa técnica e administrativa.
– Risco jurídico por dados e vieses: tratamentos de dados pessoais sem base legal adequada, coleta excessiva, vazamentos, discriminações indiretas e decisões automatizadas sem controles.
O pano de fundo é o princípio constitucional da legalidade, impessoalidade, moralidade, publicidade e eficiência (art. 37 da Constituição Federal), que exige que decisões e processos administrativos sejam controláveis, motiváveis e auditáveis — mesmo quando suportados por algoritmos.
Quem é impactado (e onde o risco aparece)
1) Órgãos e agentes públicos (gestores e fiscais de contrato).
A política de governança de IA tende a elevar a exigência de diligência do gestor: seleção de solução adequada, verificação de requisitos, desenho de controles, acompanhamento de performance e tratamento de incidentes. Em contratações, isso se conecta diretamente ao regime de planejamento, gestão e fiscalização previsto na Lei nº 14.133/2021.
2) Empresas contratadas e potenciais fornecedoras ao setor público.
Além de entregar um “produto”, as empresas precisam demonstrar como o produto se comporta, quais dados utiliza, que riscos foram mapeados, quais salvaguardas existem e como a Administração poderá auditar resultados. A ausência de governança pode gerar:
– questionamentos durante a licitação/contratação (habilitação técnica, comprovação de aderência, diligências);
– glosas, multas e sanções administrativas se a execução for considerada inadequada;
– discussões de responsabilidade civil por danos a terceiros.
3) Particulares afetados por serviços públicos com IA.
Cidadãos podem ser atingidos por triagens, priorizações, análises de risco, detecção de fraudes e automações. Quando essas soluções influenciam decisões, há reflexos em direitos de informação, contestação e devido processo, especialmente se houver uso de dados pessoais.
Proteção de dados, transparência e decisões automatizadas: o núcleo jurídico
Em projetos de IA na Administração, três eixos costumam concentrar as disputas.
(i) LGPD (Lei nº 13.709/2018): base legal, minimização e governança.
Ainda que a Administração possua hipóteses próprias de tratamento de dados para execução de políticas públicas, a conformidade exige atenção a pontos como:
– finalidade e adequação (tratamento coerente com o objetivo declarado);
– necessidade (dados estritamente necessários);
– segurança e prevenção (medidas técnicas e administrativas);
– accountability (capacidade de demonstrar conformidade).
Em soluções de IA, isso se traduz em práticas como inventário de dados, avaliação de riscos, segregação de ambientes, controle de acesso, retenção, critérios de anonimização/pseudonimização quando cabível e governança de fornecedores.
(ii) Transparência e acesso à informação.
A Lei nº 12.527/2011 (LAI) impõe deveres de transparência ativa e passiva. Em IA, o desafio é equilibrar transparência com proteção de segredo industrial e segurança. Um bom desenho contratual deve prever: o que é documentável, quais relatórios podem ser compartilhados, como responder solicitações e como justificar exceções.
(iii) Motivação do ato administrativo e controlabilidade.
Se a IA influencia decisão administrativa, a Administração precisa manter capacidade de explicar e motivar o resultado, inclusive para órgãos de controle e para o próprio administrado. Mesmo quando não se trata de “decisão automatizada” em sentido estrito, a dependência excessiva de modelos sem explicabilidade cria fragilidade probatória e contenciosa.
Contratações públicas com IA: o que tende a ser cobrado em editais e contratos
A política do MGI sinaliza requisitos que, com o tempo, podem aparecer em termos de referência, ETP e minutas contratuais. Exemplos práticos:
– Matriz de riscos e responsabilidades (Lei nº 14.133/2021), incluindo risco de vieses, indisponibilidade, incidentes de segurança e mudança de dados.
– Cláusulas de auditoria e evidências: logs, relatórios de performance, versionamento de modelos, controles de mudança (change management).
– Regras de subcontratação e cadeia de fornecedores, especialmente quando há APIs, modelos de terceiros ou infraestrutura em nuvem.
– Requisitos de segurança da informação e resposta a incidentes (SLAs, RTO/RPO), com definição de comunicação e mitigação.
– Tratamento de dados pessoais: obrigações de operador/controlador, confidencialidade, instruções documentadas, critérios de eliminação ao final do contrato.
O “quanto” está menos ligado a um custo imediato e mais ao custo de não conformidade: um projeto de IA pode ser interrompido, refeito ou judicializado se não houver governança. E isso é especialmente sensível em soluções que classificam pessoas, concedem benefícios, priorizam atendimentos ou identificam suspeitas.
Oportunidades e riscos: como transformar governança em vantagem competitiva
Para empresas que fornecem IA ao poder público, há uma oportunidade clara: governança pode virar diferencial.
– Quem já possui políticas internas (ética, privacidade, segurança), documentação técnica e trilhas de auditoria tende a reduzir fricção em contratações.
– Quem depende de modelos “caixa-preta” sem documentação robusta tende a enfrentar mais diligências e risco de impugnações.
Para gestores públicos, a oportunidade é diminuir risco de responsabilização e aumentar a qualidade do serviço entregue. O risco, por outro lado, é adotar soluções rápidas sem critérios mínimos — o que pode gerar questionamentos por órgãos de controle, demandas judiciais e perda de confiança institucional.
Como o escritório pode auxiliar na prática
A atuação jurídica em IA, especialmente no setor público, é menos sobre “ter uma opinião” e mais sobre organizar evidências e responsabilidades. O escritório pode apoiar em:
– adequação LGPD: bases legais, instrumentos com operadores, DPIA/relatórios de impacto quando recomendável, governança de incidentes;
– revisão de editais e contratos (Lei nº 14.133/2021): cláusulas de auditoria, matriz de riscos, propriedade intelectual, subcontratação, SLAs;
– compliance documental para fornecedores: políticas de IA, gestão de vieses, trilhas de explicabilidade e prestação de contas;
– contencioso administrativo: impugnações, recursos, defesas em apuração de sanções e reequilíbrio econômico-financeiro quando houver alteração relevante de escopo.
Em síntese, a Portaria nº 3.485/2026 sinaliza que a IA no setor público entra em uma fase mais madura: menos improviso e mais governança. Para quem contrata e para quem fornece, o recado é o mesmo — documentar, avaliar riscos e garantir controlabilidade passa a ser parte do próprio produto.
Fontes:
MGI institui Política de Governança de Inteligência Artificial no âmbito do ministério
PORTARIA MGI Nº 3.485, DE 24 DE ABRIL DE 2026
Read More
O cerco aperta nas Estatais: TCU exige maior rigor no controle e aplicação de sanções em contratos da Petrobras
O uso intensivo de análise de dados pelo Tribunal de Contas sinaliza nova era de fiscalização, exigindo que fornecedores revisem práticas de integridade.
O monitoramento contínuo e orientado a dados tornou-se a principal ferramenta dos órgãos de controle no Brasil. Uma demonstração clara dessa mudança de paradigma ocorreu recentemente, quando o Tribunal de Contas da União (TCU) concluiu um acompanhamento minucioso sobre as contratações realizadas pela Petrobras sob a égide da Lei das Estatais (Lei 13.303/2016). O resultado dessa fiscalização traz alertas urgentes não apenas para a petroleira, mas para toda a cadeia de fornecedores e consórcios que interagem com a administração pública indireta.
O peso do cruzamento de dados e os achados da auditoria
Ao empregar tecnologias de análise massiva de dados, os auditores do TCU identificaram gargalos preocupantes nos filtros de contratação. O sistema apontou fornecedores operando com CNPJ inativo, indícios graves de conflito de interesse e o uso de dispensas de licitação em valores superiores aos limites legais permitidos.
Contudo, o ponto de maior fricção regulatória revelado pelo Tribunal foi a participação ativa de empresas com restrições cadastradas no Cadastro de Empresas Inidôneas e Suspensas (CEIS) ou classificadas com alto grau de risco de integridade. Na prática, a auditoria evidenciou que os mecanismos de controle interno da estatal não estavam cruzando informações de maneira eficiente para impedir que fornecedores penalizados na esfera federal continuassem firmando contratos milionários.
Diante desse cenário, o TCU não se limitou a emitir alertas. A Corte de Contas estabeleceu um prazo peremptório de 120 dias para que a Petrobras aprimore seus procedimentos internos. O objetivo é criar uma barreira intransponível que faça valer as sanções federais vigentes no CEIS, padronizando a rastreabilidade dos dados e fortalecendo as avaliações de integridade prévias à assinatura dos instrumentos contratuais.
Reflexos jurídicos: o que muda na prática para os fornecedores?
A determinação do TCU reverbera de forma imediata no mercado. Empresas que atuam no segmento de óleo e gás, infraestrutura e fornecimento de bens para estatais precisam compreender que a “cegueira deliberada” em relação ao próprio compliance ou ao de seus parceiros de negócios não é mais tolerada.
A Lei 13.303/2016 exige um padrão elevado de governança, e a decisão do TCU consolida a tese de que os efeitos das sanções inscritas no CEIS possuem alcance sistêmico. Se uma corporação sofreu uma penalidade de suspensão temporária ou declaração de inidoneidade por outro órgão federal (inclusive com base na Lei Anticorrupção — Lei 12.846/2013, ou na Lei de Licitações), essa restrição deve ser imediatamente percebida e aplicada pelos controles internos das empresas estatais.
O risco operacional para as empresas privadas cresce exponencialmente. Fornecedores que não monitoram adequadamente o status de suas filiais, de membros do seu quadro societário ou de empresas com as quais formam consórcios estão sujeitos à desclassificação sumária em certames, retenção de pagamentos e rescisão unilateral de contratos em andamento. Além disso, a identificação de um “alto grau de risco de integridade” durante o processo de due diligence da estatal pode afastar a empresa da disputa, mesmo que ela apresente a melhor proposta comercial.
Um desdobramento crítico dessa nova diretriz afeta a formação de consórcios e a subcontratação. Em grandes projetos, é comum que a empresa líder possua um programa de compliance maduro, mas não realize auditorias profundas sobre as empresas consorciadas ou subcontratadas de escopo crítico.
Se o controle interno da estatal passa a cruzar dados de forma massiva, a contaminação do risco é imediata. Uma única empresa parceira com registro no CEIS ou com pendências cadastrais pode inviabilizar a qualificação de todo o grupo. Da mesma forma, situações de conflito de interesse — como vínculos societários não declarados entre fornecedores e agentes públicos ou funcionários da própria estatal — passam a ser detectadas preventivamente pela malha fina do TCU.
A antecipação como ferramenta de defesa
Neste ambiente de escrutínio elevado, a atuação reativa deixou de ser uma opção viável. As empresas precisam internalizar rotinas de background check e monitoramento contínuo de suas próprias certidões e do histórico de seus parceiros comerciais.
Nosso escritório atua diretamente na estruturação e na defesa dos interesses de empresas que contratam com o setor público, oferecendo suporte estratégico em múltiplas frentes. No campo preventivo, realizamos auditorias de integridade voltadas especificamente para os critérios exigidos pelas estatais, avaliamos a adequação dos programas de compliance aos padrões exigidos para redução do grau de risco e assessoramos a formação segura de consórcios.
Riscos ocultos em consórcios e cadeias de fornecimento
No cenário contencioso, nossa equipe atua na defesa administrativa perante comissões de licitação, na elaboração de recursos contra desclassificações indevidas, no gerenciamento de crises decorrentes de achados de auditoria e na representação perante o Tribunal de Contas da União. O objetivo é garantir que eventuais apontamentos restritivos sejam tratados de forma técnica, mitigando o risco de sanções severas e assegurando a manutenção da atividade econômica e contratual da empresa de maneira segura e transparente.
A mensagem do TCU é cristalina: os dados estão interligados. Preparar-se para essa realidade é o único caminho para continuar operando com segurança no mercado de contratações públicas.
Read More
Decreto nº 12.861/2026 e a Lei de Incentivo ao Esporte: o que muda para quem patrocina ou doa
Novos procedimentos, limites de dedução e reforço de fiscalização exigem atenção de pessoas físicas e empresas.
Por que o Decreto nº 12.861/2026 merece atenção
A Lei de Incentivo ao Esporte (LIE) é um instrumento que permite direcionar parte do Imposto de Renda para projetos esportivos previamente aprovados, por meio de doações e patrocínios. A publicação do Decreto nº 12.861/2026, que regulamenta a Lei Complementar nº 222/2025 e aprimora aspectos operacionais da LIE, sinaliza um movimento claro: mais padronização de procedimentos e mais ênfase em fiscalização, controles e responsabilização.
Na prática, mesmo quando a decisão de apoiar um projeto esportivo já faz parte da estratégia de marca, responsabilidade social ou ESG, o patrocinador/doador precisa tratar esse apoio como uma operação com risco regulatório e fiscal — especialmente porque qualquer falha documental ou de enquadramento pode levar a glosas de dedução, autuações e questionamentos em auditorias.
O que tende a mudar no dia a dia de patrocinadores e proponentes
O decreto fez ajustes procedimentais na apresentação, análise, aprovação, execução e prestação de contas dos projetos. Isso normalmente impacta:
– Prazos e etapas: maior formalização do fluxo, com exigências para comprovação de execução.
– Documentação e rastreabilidade: necessidade de evidências consistentes (contratos, comprovantes, relatórios, contrapartidas).
– Limites de dedução do IR: o decreto explicita limites aplicáveis a pessoa jurídica no lucro real e pessoa física, o que exige reavaliação do planejamento tributário.
– Mecanismos de controle: reforço de governança e responsabilização administrativa, com potencial de reflexos também na esfera tributária.
Implicações jurídicas para pessoas físicas
Para pessoas físicas, a oportunidade é direcionar parte do IR a um projeto com o qual se identifiquem. O risco principal está na inadequação formal (por exemplo, comprovação insuficiente do aporte, inconsistências de dados, ou apoio a projeto fora das condições exigidas). Em um cenário de maior controle, a recomendação é manter organização documental e verificar, antes do aporte, se o projeto e o proponente estão em situação regular.
Implicações jurídicas para empresas (lucro real)
Para empresas tributadas pelo lucro real, a LIE pode ser uma ferramenta relevante de planejamento tributário lícito, somada à estratégia institucional. Porém, o reforço de fiscalização aumenta a necessidade de:
- Due diligence do projeto e do proponente (idoneidade, governança, capacidade de execução);
- Contratos bem estruturados (obrigações, contrapartidas, prestação de informações, hipóteses de rescisão);
- Rotinas internas de compliance (aprovação, acompanhamento, matriz de responsabilidade, arquivo de evidências);
- Revisão dos limites de dedução e do calendário fiscal para evitar surpresas na apuração do IR.
Riscos típicos incluem: glosa do benefício, questionamentos por falta de lastro de execução/contrapartida, e efeitos reputacionais caso o projeto tenha problemas de prestação de contas.
Como o escritório pode ajudar
Um apoio jurídico preventivo costuma gerar economia de tempo e reduzir risco de retrabalho. O escritório pode auxiliar em:
– Revisão do enquadramento tributário e dos limites de dedução;
– Elaboração/negociação de contratos de patrocínio e doação, com cláusulas de compliance e auditoria;
– Criação de checklists e rotinas de prestação de contas para governança e auditoria;
– Atuação em defesas administrativas e tributárias em caso de glosa, exigências ou autuações.
Conclusão
O Decreto nº 12.861/2026 reforça que a LIE é um incentivo valioso, mas que precisa ser operado com método, documentação e governança. Quem se antecipa — revisando limites, contratos e controles — tende a capturar os benefícios com mais segurança e previsibilidade.
Read More