Proteção de denunciantes no Brasil: compliance e documentação 2026
Obrigações documentais para programas de integridade e proteção de denunciantes no Brasil: Lei 9.613/1998, Lei Anticorrupção 12.846/2013, LGPD e obrigações do COAF.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokAviso regulatório: este artigo tem carácter informativo. As obrigações descritas decorrem da legislação brasileira aplicável. Consulte um advogado para aconselhamento específico à sua situação.
O Brasil não dispõe de uma legislação única e abrangente de proteção a denunciantes equivalente à Diretiva (UE) 2019/1937. O quadro normativo brasileiro é fragmentado e combina obrigações anticorrupção da Lei n.º 12.846/2013 (Lei Anticorrupção), as obrigações de reporte ao COAF nos termos da Lei n.º 9.613/1998 e o Pacote Anticrime (Lei n.º 13.964/2019). Este guia explica o que as empresas que operam no Brasil precisam documentar.
Quadro normativo: as leis que se aplicam
Diferentemente da abordagem europeia baseada em limiares de trabalhadores, o Brasil estrutura as obrigações de reporte e proteção de denunciantes por tipo de entidade e natureza da infração:
| Legislação | Aplicação | Obrigação principal |
|---|---|---|
| Lei 12.846/2013 (Anticorrupção) | Empresas privadas que contratam com o poder público | Programa de integridade com canal de denúncias |
| Lei 9.613/1998 (Lavagem de Dinheiro) | Entidades obrigadas ao COAF | Reporte de operações suspeitas (ROS) |
| Lei 13.303/2016 (Estatuto das Estatais) | Empresas públicas e sociedades de economia mista | Programa de integridade obrigatório |
| Lei 13.964/2019 (Pacote Anticrime) | Todas as pessoas físicas e jurídicas | Proteção ao colaborador (delação premiada) |
| LGPD - Lei 13.709/2018 | Todas as empresas que tratam dados pessoais | Proteção dos dados do denunciante |
Atenção: não há obrigação federal de criar canal de denúncias para empresas privadas que não contratam com o governo. No entanto, o Decreto n.º 11.129/2022, que regulamenta a Lei Anticorrupção, incentiva fortemente a implementação de programas de integridade com canais de denúncias como fator de mitigação de sanções.
Canal de denúncias: componente do programa de integridade
A CGU (Controladoria-Geral da União) publicou o Guia de Programa de Integridade para Empresas Privadas que estabelece o canal de denúncias como elemento essencial do programa de integridade. Empresas que demonstram programa de integridade efetivo têm as penalidades da Lei 12.846/2013 reduzidas em até 2/3.
Obrigações documentais do canal de denúncias:
1. Registro de comunicações
O canal deve manter um registro seguro de cada comunicação recebida. Embora a lei brasileira não especifique um prazo mínimo de conservação para o setor privado, a CGU recomenda:
- Conservação por 5 anos após o encerramento da investigação
- Alinhamento com a prescrição penal aplicável (que pode ser de até 12 anos para crimes de corrupção)
Para entidades financeiras sujeitas à supervisão do Banco Central do Brasil (Bacen), a Circular BACEN n.º 3.978/2020 exige que os procedimentos de PLD/FT (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo) incluam canais de comunicação e reporte interno.
2. Confidencialidade e proteção do denunciante
A LGPD (Lei n.º 13.709/2018), regulamentada pela ANPD (Autoridade Nacional de Proteção de Dados), aplica-se ao tratamento dos dados pessoais dos denunciantes. Obrigações:
- Base jurídica do tratamento: cumprimento de obrigação legal ou exercício regular de direitos (art. 7.º, incisos II e VI, LGPD)
- Minimização de dados: coletar apenas os dados necessários para apuração
- Proteção de dados sensíveis: dados sobre infração penal exigem controles adicionais
- Relatório de Impacto à Proteção de Dados (RIPD): recomendado pela ANPD para canais de denúncias
O Pacote Anticrime (Lei 13.964/2019) criou proteções ao "colaborador" (delator premiado) em processos penais, mas estas são distintas das proteções a denunciantes de boa-fé em canais corporativos.
3. Prazos de resposta
A lei brasileira não impõe prazos universais equivalentes aos da Diretiva europeia (7 dias / 3 meses). No entanto, a CGU recomenda:
- Acuse de receção ao denunciante: 5 dias úteis
- Conclusão da apuração inicial: 30 dias (prorrogáveis conforme complexidade)
- Comunicação do resultado ao denunciante: ao encerramento da investigação
| Etapa | Prazo recomendado pela CGU |
|---|---|
| Acuse de receção | 5 dias úteis |
| Apuração inicial | 30 dias (prorrogável) |
| Comunicação do resultado | Ao encerramento |
4. Procedimento documentado e publicado
A CGU recomenda que o canal de denúncias seja divulgado amplamente: portal interno, comunicações com fornecedores, código de ética publicado. As empresas listadas na B3 que adotam o Nível 2 ou Novo Mercado de governança corporativa devem incluir informações sobre o canal no Formulário de Referência da CVM.
Obrigações de reporte ao COAF e ao Bacen
As entidades obrigadas nos termos da Lei 9.613/1998 — bancos, seguradoras, imobiliárias, advogados, contadores, joalheiros — devem comunicar operações suspeitas ao COAF (Conselho de Controle de Atividades Financeiras).
Prazos e documentação para ROS (Relatório de Operação Suspeita):
- Comunicação ao COAF deve ser feita imediatamente ou, no máximo, em 24 horas para operações que indiquem financiamento do terrorismo
- Para demais operações suspeitas: prazo definido por regulamentação setorial do Bacen, CVM ou SUSEP
- O sigilo das comunicações é protegido pelo art. 11.º da Lei 9.613/1998 — vedada a ciência ao comunicado
A plataforma CheckFile suporta mais de 3.200 tipos de documentos em 32 jurisdições. Para entidades financeiras brasileiras, o módulo de verificação KYC suporta validação de CPF, CNPJ e documentos RG/CNH conforme os padrões do Bacen.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoVerificação de identidade no contexto brasileiro
No Brasil, os documentos de identidade relevantes para programas de denúncias e KYC são:
| Documento | Uso |
|---|---|
| CPF (Cadastro de Pessoas Físicas) | Identificação de pessoas físicas (obrigatório) |
| RG + CPF ou CNH | Identificação completa de pessoas físicas |
| CNPJ (Cadastro Nacional da Pessoa Jurídica) | Identificação de empresas |
| e-CPF / Certificado ICP-Brasil | Assinatura digital e autenticação |
A verificação da identidade do denunciante deve ser proporcional: confirmar a relação com a organização (e-mail corporativo, número de colaborador) sem solicitar documentação adicional que possa desincentivar o uso do canal. Para terceiros (fornecedores, prestadores), a verificação do CNPJ e da relação contratual pode ser automatizada com soluções de verificação documental.
Programa de integridade: documentação para fins de defesa
Em caso de processo administrativo por infração à Lei 12.846/2013, a existência de um programa de integridade efetivo é fator de redução de multa. O Decreto 11.129/2022 exige que o programa seja documentado com:
- Política de integridade e código de ética
- Canal de denúncias com evidências de funcionamento (registros de comunicações tratadas)
- Treinamentos documentados (listas de presença, conteúdos, datas)
- Investigações concluídas com relatórios de resultado
- Relatórios de avaliação periódica do programa
Para uma gestão integrada, consulte nosso guia de conformidade documental e nossa checklist de auditoria de conformidade.
Perguntas frequentes
Toda empresa privada no Brasil é obrigada a ter um canal de denúncias?
Não existe obrigação universal para o setor privado. A obrigação mais próxima aplica-se às empresas que contratam com a Administração Pública Federal (Lei 14.133/2021 exige programa de integridade para contratos acima de certos valores) e às empresas públicas e estatais (Lei 13.303/2016). Empresas listadas em bolsa seguem as recomendações de governança corporativa do IBGC e da CVM.
Como o Pacote Anticrime (Lei 13.964/2019) impacta os programas de denúncias corporativos?
O Pacote Anticrime fortaleceu os mecanismos de colaboração premiada em processos penais, mas não criou um regime de proteção de denunciantes corporativos equivalente à Diretiva europeia. A proteção ao colaborador premiado é distinta e restrita ao processo penal. Para denunciantes corporativos, a proteção vem da política interna da empresa e, indiretamente, das normas anticorrupção da Lei 12.846/2013.
Qual é o papel do MPF (Ministério Público Federal) na proteção de denunciantes?
O MPF atua na proteção de denunciantes em casos penais, especialmente nos de corrupção investigados pela Lava Jato e sucessores. Em 2026, a PGR (Procuradoria-Geral da República) mantém acordos de leniência e colaboração premiada como instrumentos de política anticorrupção. Empresas que cooperam voluntariamente com investigações do MPF podem obter redução de penas e extinção de punibilidade.
A LGPD aplica-se aos dados de denunciantes?
Sim. Todo dado pessoal de denunciante — nome, CPF, e-mail, relatos — é dado pessoal protegido pela LGPD. Dados sobre infrações penais ou medidas penais são dados sensíveis com obrigações reforçadas. A ANPD considera que o tratamento desses dados exige Relatório de Impacto e controles rigorosos de acesso e minimização.
Qual é a diferença entre o canal de denúncias e o reporte ao COAF?
São obrigações distintas. O canal de denúncias corporativo recebe relatos internos sobre condutas irregulares na empresa. O reporte ao COAF é uma obrigação LPD/FT das entidades obrigadas pela Lei 9.613/1998 e deve ser feito de forma sigilosa, sem ciência do comunicado. Os dois sistemas não devem ser confundidos em procedimentos internos.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.