Diretiva 2019/1937 sobre denunciantes: conformidade e documentação 2026
Obrigações documentais completas para cumprir a Lei n.º 93/2021 e a Diretiva UE 2019/1937: canais de comunicação, prazos, registos e sanções em Portugal.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokAviso regulatório: este artigo tem carácter informativo. As obrigações descritas decorrem da Diretiva (UE) 2019/1937 e da Lei n.º 93/2021. Consulte um advogado para aconselhamento específico à sua situação.
A proteção dos denunciantes passou de recomendação ética a obrigação legal vinculativa em Portugal. A Lei n.º 93/2021, de 20 de dezembro, que transpõe a Diretiva (UE) 2019/1937, entrou em vigor a 18 de junho de 2022 para entidades com 250 ou mais trabalhadores, e alargou-se às entidades com 50 a 249 trabalhadores a 17 de dezembro de 2023. Este guia detalha as obrigações documentais concretas que a sua equipa de compliance deve cumprir.
Âmbito de aplicação: quem está obrigado
A Lei n.º 93/2021 aplica-se a entidades do setor privado e público que atinjam os limiares de trabalhadores fixados. O calendário de implementação seguiu as datas estabelecidas pela Diretiva europeia:
| Limiar | Obrigação desde | Tipo de entidade |
|---|---|---|
| 250 trabalhadores ou mais | 18 de junho de 2022 | Setor privado, associações, fundações |
| 50 a 249 trabalhadores | 17 de dezembro de 2023 | Setor privado |
| Qualquer dimensão | Imediato | Setor financeiro, mercados de capitais, contratação pública |
| Municípios | 17 de dezembro de 2023 | Administração local com 10.000+ habitantes |
As entidades financeiras têm obrigações mais abrangentes independentemente da dimensão. O Banco de Portugal e a CMVM exigem que instituições de crédito, sociedades gestoras e empresas de investimento mantenham canais de denúncia conformes tanto com a Lei 93/2021 como com as orientações setoriais.
As matérias cobertas incluem infrações ao direito da UE e ao direito nacional nos domínios dos serviços financeiros, branqueamento de capitais (LBC/FT), contratação pública, proteção de dados (RGPD), ambiente, segurança alimentar, saúde pública e concorrência. Os conflitos laborais estritamente internos ficam geralmente fora do âmbito.
Quatro pilares documentais obrigatórios
Um programa de conformidade com a Lei 93/2021 assenta em quatro elementos documentais que todo o departamento de compliance deve dominar.
1. O registo de comunicações
A lei exige a manutenção de um registo seguro e confidencial de cada comunicação recebida. Cada entrada deve registar a data de receção, a natureza da infração comunicada, as medidas de acompanhamento adotadas e a data de encerramento do processo. O registo deve estar protegido por controlos de acesso e registos de auditoria.
O prazo mínimo de conservação é de três anos após o encerramento do procedimento, prorrogado se existirem processos judiciais ou disciplinares em curso. A Inspeção-Geral da Administração do Território (IGAL) — entidade competente designada pela Lei 93/2021 para o setor público — e as autoridades setoriais podem solicitar estes registos no âmbito de fiscalizações.
2. A política de confidencialidade e proteção de dados
A identidade do denunciante é absolutamente confidencial. O artigo 17.º da Lei 93/2021 proíbe a divulgação direta ou indireta da identidade do denunciante sem o seu consentimento expresso, exceto quando exigido por lei ou no contexto de investigações por autoridades competentes.
A política documental deve especificar:
- As pessoas designadas com acesso autorizado às comunicações
- Os procedimentos de pseudonimização dos dados identificativos
- Os protocolos de destruição segura dos dados após o prazo de conservação
- Os controlos técnicos: cifragem, autenticação forte, registos de acesso
Nos termos do artigo 35.º do RGPD, uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) é obrigatória antes de implementar o canal de comunicação. A CNPD publicou orientações sobre o tratamento de dados em sistemas de denúncia interna que devem ser consultadas antes da implementação.
3. Prazos de acuse de receção e acompanhamento
A Diretiva 2019/1937 (artigo 9.º) impõe prazos estritos reproduzidos na Lei 93/2021:
| Etapa | Prazo legal |
|---|---|
| Acuse de receção ao denunciante | 7 dias úteis após a receção |
| Informação sobre medidas previstas ou adotadas | 3 meses a contar do acuse de receção |
| Encerramento do processo com fundamentação | Após a conclusão das medidas ou decisão de não continuação |
Cada acuse de receção e comunicação de acompanhamento deve ser arquivado com registo de data e hora. Uma plataforma de gestão documental com rastreabilidade — como a CheckFile — gera automaticamente registos de eventos auditáveis que satisfazem este requisito.
4. O procedimento interno documentado e publicado
As organizações devem documentar e publicar os seus procedimentos internos de canal de comunicação para que trabalhadores, prestadores de serviços e terceiros os possam conhecer e utilizar. A lei exige que esta informação seja clara e facilmente acessível.
A documentação deve incluir: como apresentar uma comunicação (escrita ou oral), quem a recebe e trata, as regras de confidencialidade aplicáveis, as proteções que assistem ao denunciante, e como escalar para o canal externo. Este documento deve ser revisto pelo menos anualmente.
Canal interno versus canal externo
A Lei 93/2021 estabelece uma hierarquia de canais. O denunciante deve, em princípio, utilizar primeiro o canal interno, exceto se tiver motivos razoáveis para crer que seria ineficaz, que os responsáveis estão implicados na infração, ou que a sua utilização o exporia a represálias.
Canal interno: gerido pelo responsável de compliance designado ou por terceiro mandatado. Devem estar disponíveis opções escritas e orais. A pessoa designada deve ser funcionalmente independente da linha de gestão nas matérias objeto de comunicação.
Canal externo: o Ministério Público e as autoridades setoriais são os canais externos em Portugal. Para infrações financeiras, a CMVM e o Banco de Portugal recebem participações. O Portal Denunciar Corrupção e o MECANISMO de denúncia do IGAL são canais alternativos.
Divulgação pública: reservada para casos extremos em que os canais internos e externos falharam, ou existe perigo iminente para o interesse público.
A documentação interna deve articular claramente esta hierarquia e especificar as autoridades externas pertinentes para o seu setor.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoVerificação de identidade e gestão documental
As empresas questionam frequentemente: podemos exigir que o denunciante se identifique? A resposta é matizada.
A Lei 93/2021 protege também as comunicações anónimas: o artigo 12.º dispõe que as entidades obrigadas devem adoptar as medidas necessárias para tratar comunicações anónimas e verificar a sua procedência. Na prática, oferecer canais identificados e anónimos maximiza o volume de comunicações recebidas.
Quando o denunciante fornece identidade, a verificação deve ser proporcional: confirmar a relação com a organização (e-mail profissional, identificador de colaborador) sem solicitar documentação adicional que possa dissuadir o uso do canal. Para terceiros — fornecedores, subcontratantes — a verificação da relação contratual pode exigir um controlo documental padronizado.
CheckFile suporta mais de 3.200 tipos de documentos em 32 jurisdições, permitindo verificação proporcional de credenciais profissionais sem criar barreiras ao processo de denúncia.
Sanções: regime de contraordenações
A Lei 93/2021 estabelece um regime sancionatório para o setor privado e para o setor público:
Contraordenações muito graves (coimas de €2.500 a €250.000 para pessoas coletivas): represálias graves contra denunciante, revelação da sua identidade, obstrução das comunicações.
Contraordenações graves (coimas de €1.500 a €125.000): ausência de canal de comunicação interna, incumprimento dos prazos legais, falta de acuse de receção.
Contraordenações leves (coimas de €500 a €50.000): incumprimentos procedimentais menores.
As sanções são cumuláveis com as que resultem de outras legislações (RGPD, direito laboral). Para grupos com operações em vários países da UE, manter uma avaliação de riscos de conformidade que mapeie as sanções de cada Estado-membro é uma boa prática de governação.
Interação com a legislação de branqueamento de capitais (LBC/FT)
O canal de comunicação interna é distinto das declarações de operações suspeitas ao Departamento Central de Investigação e Ação Penal (DCIAP) ou ao Banco de Portugal no âmbito da prevenção do branqueamento de capitais. Estas obrigações documentais devem ser mantidas separadas nos procedimentos internos para evitar confusão entre colaboradores.
Da mesma forma, as notificações de violação de dados pessoais à CNPD (72 horas nos termos do artigo 33.º do RGPD) operam sob um enquadramento regulatório distinto. O nosso guia de conformidade documental fornece um quadro integrado para articular estas obrigações.
Para uma gestão eficaz, integre a revisão anual do sistema de denúncias interna na sua checklist de auditoria de conformidade.
Perguntas frequentes
Uma empresa com 60 trabalhadores é mesmo obrigada a ter um canal de denúncias?
Sim. Desde 17 de dezembro de 2023, qualquer empresa ou entidade privada com 50 ou mais trabalhadores deve dispor de um canal interno de comunicação conforme à Lei n.º 93/2021. A ausência do canal constitui contraordenação grave com coimas de até €125.000 para pessoas coletivas.
Podem os prestadores de serviços externos utilizar o canal interno da empresa?
Sim. A Lei 93/2021 estende a proteção a denunciantes que não sejam trabalhadores por conta de outrem: trabalhadores independentes, prestadores de serviços, fornecedores, acionistas e pessoas que trabalhem sob supervisão da entidade. A documentação do canal deve indicar explicitamente que está aberto a estes grupos.
Durante quanto tempo devem ser conservados os processos de denúncia?
O prazo mínimo é de três anos após o encerramento do procedimento. Se existirem processos judiciais ou disciplinares em curso na data de encerramento, a conservação prolonga-se até à sua resolução definitiva. Este prazo deve constar do Registo de Atividades de Tratamento (RAT) da empresa.
O que acontece se a denúncia se revelar infundada?
O responsável pelo canal deve notificar o denunciante da decisão de não continuação dentro do prazo de 3 meses, indicando os motivos sem revelar informações confidenciais sobre terceiros envolvidos. O processo é arquivado pelo prazo legal mesmo em caso de arquivamento. O denunciante de boa-fé está protegido mesmo que a informação se revele incorreta.
A CNPD pode inspecionar o nosso sistema de canal de denúncias?
Sim, no que respeita à conformidade com o RGPD. A CNPD tem competências de fiscalização e pode requerer documentação sobre o sistema, os tratamentos de dados realizados e as medidas de segurança implementadas. Manter o registo atualizado e os procedimentos documentados é a melhor preparação para uma fiscalização.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.