O overcompliance e o princípio da proporcionalidade na aplicação de normas relativas à prevenção e combate ao branqueamento de capitais e financiamento do terrorismo
Miguel de Azevedo Moura
Professor Auxiliar da NOVA School of Law
Passados mais de dois anos desde a entrada em vigor da Lei n.º 83/2017, de 18 de agosto (“LBC”) que estabelece no ordenamento jurídico português medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo (“BCFT”), transpondo parcialmente – quase maioritariamente – a Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho (4.ª AMLD), já é tempo de fazer uma breve reflexão sobre o resultado da sua aplicabilidade prática. Aquilo que me preocupa – e que me ocupará nas próximas linhas – tem que ver com a forma como, de um ponto de vista comportamental, algumas entidades obrigadas têm vindo a adotar e aplicar certas políticas, procedimentos e medidas de execução no contexto do cumprimento dos deveres preventivos, em especial, dos deveres de identificação e diligência (“DID”) e de recusa.
Desde o início do período de vigência da LBC que se tem assistido ao passar de diversas fases de “sensibilidade jurídico-social”. Encontro, pelo menos, três: (i) uma primeira fase de pânico sobre as “novas” regras impostas pela LBC que, em bom rigor, não consubstanciam uma verdadeira alteração paradigmática face ao regime jurídico anterior; (ii) uma segunda fase, reativa, de “aparente” excesso de compliance por parte das entidades obrigadas ligadas aos setores de atividade mais críticos, muito por “culpa” do modelo sancionatório e da má informação sobre o conteúdo do regime aplicável, tendo esta fase sido largamente exponenciada pela publicação de atos normativos regulamentares setoriais; e (iii) uma terceira fase – a atual – de ajuste do mercado ao overcompliance, como se este tivesse ganho uma luta de forças.
Perante o medo generalizado e instalado sobre a forma como as entidades obrigadas deveriam conceber, implementar ou ajustar as suas políticas e procedimentos internos de Know Your Customer (“KYC”) para efeitos do cumprimento dos deveres preventivos, e face ao modelo tripartido – já anteriormente conhecido – de aplicação de medidas de execução em função de graus de risco, algumas entidades obrigadas decidiram adotar um modelo hiper-rígido, transversal a qualquer relação de clientela. Estas características são mais sintomáticas quando o cliente é uma pessoa coletiva ou entidade equiparada. Neste modelo – e sem o dizer expressamente no texto das políticas internas – exige-se sempre ao cliente a identificação do(s) seu(s) beneficiário(s) efetivo(s), informação sobre a finalidade do negócio, origem e destino de fundos, entre outros elementos, sob pena de não se iniciar uma relação de negócio (ou transação ocasional).
A ideia subjacente é a de que, existindo políticas e procedimentos ultra-rígidos nos quais se trata o cliente, por defeito, como um cliente de alto risco, exigindo como pressuposto necessário ao estabelecimento da relação comercial determinados elementos sem que tenha sido feita uma análise ao risco concreto, o cumprimento dos deveres legais se encontra assim plena e corretamente verificado. Este pretensiosismo de se ser o “bastião” da prevenção e combate ao BCFT, numa lógica de alta vigilância padronizada pode trazer consequências graves para o mercado como estamos, infelizmente, a assistir.
Nem sempre o excesso de compliance é algo de positivo, que se pretende alcançar: ele pode ter um efeito perverso e nocivo, quer ao nível das condutas das entidades obrigadas e outros players do mercado, quer na forma como as autoridades setoriais exercem as suas prerrogativas. Ao contrário do que aquela conduta parece sugerir, a adoção de um modelo de medidas preventivas, abstrata e genericamente aplicável, sem o crivo da apreciação casuística é – isso sim – atuar contra o espírito da lei. Se assim é, então não estamos rigorosamente perante uma situação de overcompliance, a qual pressupõe condutas legalmente admitidas, mas numa situação de aparente excesso de compliance, que é o mesmo que dizer “situação potencialmente praeter ou contra legem”.
Vejamos: tal como acontece com a 4.ª AMLD, o regime jurídico estabelecido pela LBC quanto às exigências de cumprimento do DID e, por conseguinte, do dever de recusa, assenta nas ideias de proporcionalidade, necessidade, razoabilidade e adequação. Estes princípios encontram-se plasmados em inúmeras passagens da lei: “…quando o perfil de risco do cliente ou as características da operação o justifiquem”, “…sempre que necessário…” [artigo 27.º, alíneas b) e c), LBC]; obtenção de um “conhecimento satisfatório” sobre os beneficiários efetivos do cliente, ou adoção de “medidas necessárias” e “medidas razoáveis” para verificar a sua identidade [artigo 29.º (1) (2), LBC] Em especial, o artigo 28.º (1), LBC, consagra uma norma genérica de adequação das medidas de DID em função do risco concreto.
Note-se que o que está em verdadeiramente causa é um poder/dever e não apenas uma prerrogativa da entidade obrigada. Tal dever não só deriva dos textos legais nacionais e da UE, como também – e principalmente – dos princípios gerais de Direito que orientam o ordenamento jurídico. Tal como o instituto da equidade, o princípio da proporcionalidade, na vertente em que transcende as relações jurídicas verticais (de soberania), procura ajustar a norma ao facto. E é exatamente esse princípio (e todos os seus subprincípios como a adequação) que atribui uma natureza elástica aos graus de liberdade de atuação dos sujeitos, ligando, de forma racional, as ideias de igualdade e justiça.
Com efeito, as normas relativas aos deveres preventivos, em especial o DID e o dever de recusa, devem ser interpretadas tendo por base o princípio da proporcionalidade e da adequação: o cumprimento verifica-se com a adoção de políticas e procedimentos de análise de risco em função da situação em causa, bem como de medidas de execução reforçadas se esse risco for real ou potencial. Neste sentido, procura-se a alta vigilância sem a padronização do elemento “risco elevado”. Medidas restritivas ou reforçadas deverão ser impostas apenas nos casos definidos como tais após análise concreta de risco.
O problema surge, por exemplo, quando o cliente não consegue identificar o seu beneficiário efetivo, por facto que não lhe é imputável, não se verificando motivos factuais de práticas ou suspeitas de práticas de crimes de BCFT, ou outros indicadores de risco acrescido. Um caso comum é o das sociedades em relação de domínio ou de grupo, de vários níveis, onde o cliente é uma subsidiária e não tem conhecimento do(s) beneficiário efetivo(s) porque a holding se encontra numa jurisdição fora da UE, mas num país de risco reduzido no qual não existe uma obrigação de identificação dos sócios. O cliente pode ver assim frustradas todas as expectativas que tinha em, por exemplo, abrir uma conta bancária, ou celebrar um contrato de fornecimento, sem justificação racional para a recusa, pelo simples facto de a entidade obrigada adotar o referido modelo hiper-rígido, que corresponde ao seu modus operandi standard. Declarada a recusa, o cliente não encontra outra alternativa senão procurar uma entidade obrigada concorrente. Agora imagine-se se todas as entidades desse setor aplicassem a mesma metodologia… o impacto no mercado é, como se percebe, no mínimo, preocupante.
Claro que com esta nota não se prevê a obrigatoriedade em praticar o ato, celebrar o negócio jurídico, ou manter a relação comercial. A adoção de métodos hiper-rígidos é amplamente permitida pelo direito, nos termos tradicionais da liberdade negocial. Tem, por isso, um limite: o da boa-fé. É que aplicação dos princípios da proporcionalidade e da adequação face às condutas de (aparente) overcompliance pode resultar em casos de responsabilidade civil obrigacional, incluindo a pré-contratual, ao contrário do que pode resultar de uma leitura literal e descuidada do artigo 50.º (7) da LBC: há dever de recusa sempre que existam indícios ou suspeitas de práticas ilícitas ligadas ao BCFT ou quando não se tenham obtido os elementos identificativos mínimos ou necessários para cumprimento do DID, tendo em consideração ao grau de risco concreto do cliente e da natureza da atividade, negócio ou transação.
Esta é, salvo melhor opinião, a forma mais adequada de compatibilizar as prerrogativas atribuídas pela LBC e pela 4.ª AMLD às entidades obrigadas, com os princípios gerais que as norteiam, salvaguardando, por um lado, a finalidade da lei e protegendo, por outro, os interesses do mercado.