A Autoridade de Segurança Alimentar e Económica (ASAE) publicou recentemente um novo regulamento sobre as condições para o exercício dos deveres impostos às entidades obrigadas não financeiras, ao abrigo da Lei n.º 83/2017, de 18 de agosto, que estabelece medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo (BC/FT) – o Regulamento n.º 1191/2022, de 26 de dezembro.

A ASAE é a autoridade setorial competente para a verificação do cumprimento dos deveres que impendem sobre as entidades obrigadas não financeiras, ao abrigo da Lei n.º 83/2017, que não estejam sujeitas à supervisão de uma outra autoridade setorial específica.

1. Entidades sujeitas ao Regulamento da ASAEFicam sujeitas ao cumprimento do Regulamento da ASAE, o qual deve ser interpretado e aplicado em conjugação com a Lei n.º 83/2017, as seguintes entidades obrigadas:

a)  Segundo o tipo de atividade que exercem, independentemente dos valores de transação:

• Auditores, contabilistas certificados e consultores fiscais;

• Prestadores de serviços a sociedades, a outras pessoas coletivas ou a centros de interesses coletivos sem personalidade jurídica;

• Outros profissionais que intervenham em operações de alienação e aquisição de direitos sobre praticantes de atividades desportivas profissionais;

• Operadores económicos que exerçam a atividade leiloeira ou a atividade prestamista;

• Operadores económicos que exerçam as atividades de importação e exportação de diamantes em bruto; 

• Entidades autorizadas a exercer a atividade de transporte, guarda, tratamento e distribuição de fundos e valores.

b) Segundo o tipo de atividade que exercem, em conjugação com valores mínimos de transação e com o meio de pagamento:

2. Deveres a cumprir pelas entidades não financeiras

De entre os deveres previstos na lei e concretizados no Regulamento da ASAE contam-se: (i) o dever de controlo; (ii) o dever de identificação e diligência; (iii) o dever de comunicação; (iv) o dever de abstenção; (v) o dever de recusa; (vi) o dever de conservação; (vii) o dever de exame; (viii) o dever de colaboração; (ix) o dever de não divulgação; e (x) o dever de formação.

2.1. Dever de controlo: adoção de um manual de prevenção, de ferramentas ou sistemas de informação, designação de um Responsável pelo Cumprimento Normativo e avaliação periódica

O dever de controlo traduz-se na definição e adoção de políticas e procedimentos pela entidade obrigada (através do seu órgão de administração) que permitam controlos que se mostrem adequados à gestão eficaz dos riscos de BC/FT. Isto implica a adoção de políticas e procedimentos proporcionais à natureza, dimensão e complexidade da entidade, da atividade desenvolvida e do seu grau de exposição ao risco, em matéria de aceitação de clientes e de cumprimento do quadro normativo aplicável.

Para o efeito, o Regulamento impõe a adoção de um manual de prevenção de BC/FT, que materialize, por escrito e em língua portuguesa, as políticas e os procedimentos adotados, bem como as medidas de controlo interno.

O manual de prevenção fica sujeito a um conteúdo mínimo obrigatório, a saber: (i) identificação e avaliação dos riscos concretos de BC/FT associados à atividade da entidade obrigada; (ii) identificação nominal e funcional dos trabalhadores relevantes, ou seja, dos trabalhadores que exerçam funções em áreas como atendimento ao público, promoção de negócios, vendas, contabilidade e financeira, bem como os respetivos dirigentes; (iii) procedimentos internos de controlo para mitigação dos riscos identificados; e (iv) procedimentos de conservação e tratamento dos dados pessoais.

No âmbito do dever de controlo, as entidades obrigadas devem ainda designar um responsável pelo cumprimento normativo (RCN), encarregue da implementação das políticas internas e do controlo do cumprimento do quadro normativo em matéria de prevenção do BC/FT.

O RCN deve ser um elemento da direção de topo ou equiparado, mas não tem de ser necessariamente um membro do órgão da administração ou gerência. O Regulamento vem esclarecer que esta função pode ser assumida por qualquer outro dirigente ou colaborador com conhecimentos suficientes da exposição da entidade obrigada ao risco de BC/FT, desde que detenha um nível hierárquico suficientemente elevado para tomar decisões que afetem a exposição ao risco.

A entidade obrigada deve também ter ao seu dispor ferramentas ou sistemas de informação, de forma a permitir, entre outros: (i) o registo dos dados identificativos e demais elementos dos clientes e respetivas atualizações; (ii) a deteção de circunstâncias suscetíveis de parametrização que devam fundamentar a atualização daqueles dados identificativos e elementos; (iii) a definição e atualização do perfil de risco associado aos clientes, relações de negócio, transações ocasionais e operações em geral; (iv) a deteção da aquisição da qualidade de pessoa politicamente exposta (PEP) ou de titular de outro cargo político ou público; (v) a deteção de pessoas ou entidades identificadas no contexto das medidas reforçadas e de medidas restritivas, designadamente as que decorram de resolução do Conselho de Segurança das Nações Unidas ou de regulamento da União Europeia.

A eficácia das medidas adotadas deve ficar sujeita a avaliação periódica:

(i) Para entidades obrigadas que empreguem até 249 trabalhadores, uma avaliação a cada dois anos civis;

(ii) Para entidades obrigadas que empreguem 250 ou mais trabalhadores, uma avaliação a cada ano civil; e

(iii) Sempre que a entidade obrigada detete a existência de deficiências na qualidade, adequação e eficácia do sistema de controlo interno.2.2. Dever de identificação dos clientes e diligênciaQuanto ao dever de identificação dos clientes e diligência, o Regulamento concretiza as situações em que o dever de identificação do cliente é exigível, a saber:

(i)  Estabelecimento de relações de negócio (ou seja, relações com caráter duradouro);

(ii) Realização de transações ocasionais de montante igual ou superior a € 15.000 (quer a transação se realize através de uma única operação ou de várias operações aparentemente relacionadas entre si);

(iii) Existência de suspeitas de que as operações (independentemente do seu valor e de qualquer exceção ou limiar) possam estar relacionadas com BC/FT; ou

(iv) Existência de dúvidas sobre a veracidade ou a adequação dos dados de identificação dos clientes previamente obtidos.

A identificação de clientes deve ser efetuada através dos modelos aprovados pela ASAE, os quais tem de ser digitalmente preenchidos e submetidos no sítio de Internet da ASAE, disponível em www.asae.gov.pt, impressos para recolha da assinatura do cliente e do seu representante, anexando-se os documentos que os complementem, incluindo cópia do documento de identificação do cliente. A este respeito, a ASAE vem esclarecer que não constitui infração ao disposto no n.º 2 do artigo 5.º da Lei n.º 7/2007, de 5 de fevereiro, conservar uma cópia em formato digital ou papel do documento de identificação do cliente, a qual deve inclusive ser colocada à disposição da ASAE, no momento de uma inspeção ou sempre que por esta seja solicitado.

No caso de transações ocasionais, a identificação do cliente deve ocorrer em momento anterior à sua conclusão e, no âmbito das relações de negócio, a identificação deverá ser feita no prazo máximo de trinta dias após o seu estabelecimento.

2.3. Outros deveres

As entidades obrigadas ficam ainda sujeitas ao cumprimento dos seguintes deveres:

(i)  Dever de comunicação de operações suspeitas: as entidades obrigadas devem informar de imediato o Departamento Central de Investigação e Ação Penal da Procuradoria-Geral da República (DCIAP) e a Unidade de Informação Financeira da Polícia Judiciária sempre que tenham conhecimento, suspeitem ou tenham razões suficientes para suspeitar que certos fundos ou outros bens provêm de atividades criminosas ou estão relacionados com o financiamento do terrorismo. Esta comunicação deve contemplar todas as operações propostas, incluindo na forma tentada, ainda em curso ou já executadas. As comunicações efetuadas devem ser conservadas pelo período de sete anos e colocadas à disposição da ASAE no momento da inspeção, ou sempre que solicitado;

(ii)  Dever de abstenção: as entidades obrigadas devem abster-se de executar qualquer operação ou conjunto de operações que saibam ou que suspeitem poder estar associadas a fundos ou outros bens provenientes ou relacionados com a prática de atividades criminosas ou com o financiamento de terrorismo;

(iii) Dever de recusa: as entidades obrigadas devem recusar iniciar negócios, realizar transações ou efetuar outras operações quando não obtenham a informação sobre a natureza, o objeto e a finalidade da relação do negócio e os elementos identificativos e respetivos meios comprovativos previstos para a identificação e verificação da identidade do cliente, do seu representante e beneficiário efetivo;

(iv) Dever de não divulgação: as entidades obrigadas, incluindo os membros dos respetivos órgãos sociais, os que nela exerçam funções de direção, de gerência ou de chefia, os seus trabalhadores, os mandatários e outras pessoas que lhes prestem serviço a qualquer título, não podem revelar ao cliente ou a terceiros que foram ou estão a ser transmitidas as comunicações legalmente devidas, bem como quaisquer informações relacionadas com aquelas comunicações ou que se encontra ou pode vir estar em curso uma investigação ou inquérito criminal;

(v) Dever de formação: as entidades obrigadas devem assegurar aos seus trabalhadores ações específicas de formação em matéria de prevenção do BC/FT adequadas ao seu setor de atividade no âmbito do sistema não financeiro. O Regulamento determina a frequência das ações de formação para o universo dos trabalhadores relevantes identificados no manual de prevenção: as entidades obrigadas que empreguem até 249 trabalhadores devem ter uma ação de formação a cada dois anos civis e as entidades obrigadas que empreguem 250 ou mais trabalhadores devem ter uma ação de formação a cada ano civil.

3. Consequências da violação do Regulamento

As entidades obrigadas não financeiras que não cumpram as referidas obrigações devem adotar as medidas necessárias a sanar ou prevenir tal incumprimento até 24 de fevereiro de 2023 (data de entrada em vigor do Regulamento), sob pena de responsabilidade contraordenacional aplicação de uma coima de € 5.000 a € 1.000.000 ou de € 5.000 a € 500.000, consoante a contraordenação for grave ou muito grave, respetivamente.

A ASAE poderá ainda aplicar as seguintes sanções acessórias: (i) perda, a favor do Estado, do objeto da infração e do benefício económico obtido pelo agente através da sua prática; (ii) encerramento, por um período até dois anos, de estabelecimento onde o agente exerça a profissão ou a atividade a que a contraordenação respeita; (iii) interdição, por um período até três anos, do exercício da profissão ou da atividade a que a contraordenação respeita; (iv) inibição, por um período até três anos, do exercício de funções de administração, direção, chefia, titularidade de órgãos sociais, representação, mandato e fiscalização nas entidades sujeitas à supervisão ou fiscalização da autoridade setorial competente e nas entidades que com estas se encontrem em relação de domínio ou de grupo; (v) publicação da decisão definitiva ou transitada em julgado.

4. Entrada em vigor

O Regulamento da ASAE entra em vigor 60 dias após a publicação, ou seja, no dia 24 de fevereiro de 2023. Até essa data, mantém-se em vigor o Regulamento n.º 314/2018, de 25 de maio.

Resta, assim, pouco menos de 60 dias para as entidades obrigadas não financeiras adotarem as medidas anteriormente referidas, algumas delas, novas medidas como seja a adoção de um manual de prevenção e de ferramentas ou sistemas de informação e de formação periódica obrigatória.