A Lei 12.846/2013 (Lei Anticorrupção) responsabiliza objetivamente a empresa por atos de corrupção praticados por terceiros em seu nome — mesmo que a empresa não soubesse e não tenha dado ordens. O processo de due diligence de terceiros é o que transforma essa responsabilidade em risco gerenciável.
1. O parceiro que comprometeu a empresa
Uma empresa de infraestrutura civil participou de um processo licitatório para obras em uma prefeitura do interior. Para ampliar a presença regional, contratou um representante comercial local — pessoa física com CNPJ de consultoria — com autonomia para negociar contratos e relacionar-se com gestores públicos municipais.
O representante ofereceu vantagem indevida a um servidor da comissão de licitação. A conduta foi descoberta em investigação que começou por outra empresa do processo. A empresa de infraestrutura não sabia. Não havia autorizado. Não tinha registro de que qualquer instrução havia sido dada nesse sentido.
Ainda assim, respondeu administrativamente com base no art. 2º da Lei 12.846/2013, que estabelece responsabilidade objetiva da pessoa jurídica pelos atos de seus representantes, dirigentes, administradores ou terceiros que atuem em seu nome ou interesse. O resultado foi multa administrativa e impossibilidade de contratar com o poder público pelo prazo estabelecido na sanção.
A ausência de um processo estruturado de avaliação do representante antes da contratação — e a ausência de cláusula anticorrupção no contrato com ele — foram fatores que agravaram a posição da empresa perante a autoridade sancionadora.
2. A responsabilidade objetiva da Lei Anticorrupção — e o que ela diz sobre terceiros
A Lei 12.846/2013 introduziu no Brasil um modelo de responsabilização de pessoas jurídicas por atos contra a administração pública que não existia até então de forma sistematizada.
O ponto central para o tema de terceiros está em dois dispositivos:
Art. 2º: “As pessoas jurídicas serão responsabilizadas objetivamente, nos âmbitos administrativo e civil, pelos atos lesivos previstos nesta Lei praticados em seu interesse ou benefício, exclusivo ou não.”
Art. 3º, § 2º: a responsabilidade se aplica aos atos praticados por funcionários, representantes, dirigentes e administradores. A interpretação extensiva consolidada inclui terceiros que atuem em nome ou no interesse da empresa — mesmo sem vínculo empregatício formal.
Responsabilidade objetiva significa que não é necessário provar dolo ou culpa da empresa para que ela seja sancionada. O ato praticado pelo terceiro em seu nome é suficiente. A única mitigação relevante no âmbito da Lei 12.846/2013 é a existência de um programa de integridade efetivo, que pode reduzir — mas não eliminar — as sanções (art. 7º, VIII).
O Decreto 11.129/2022, que regulamenta o processo de responsabilização administrativa da Lei 12.846/2013, lista os elementos que um programa de integridade deve ter para ser reconhecido como efetivo. Entre eles, está expressamente o processo de due diligence de terceiros — fornecedores, prestadores, representantes comerciais e parceiros.
Legislação internacional relevante:
Empresas brasileiras com operações no exterior ou com sócios/investidores internacionais podem estar sujeitas também ao FCPA (Foreign Corrupt Practices Act, EUA) e ao UK Bribery Act (Reino Unido), ambos com disposições sobre responsabilidade por atos de terceiros (agentes, distribuidores, representantes). A due diligence de terceiros que atende os parâmetros do Decreto 11.129/2022 é, em geral, compatível com os padrões exigidos por essas legislações — mas o alinhamento específico deve ser avaliado caso a caso.
3. O que é third-party due diligence e por que não é opcional
Third-party due diligence (diligência prévia de terceiros) é o processo de avaliação estruturada de fornecedores, parceiros, representantes, agentes, consultores e qualquer outro terceiro que atue em nome ou no interesse da empresa — especialmente em relações que envolvam interação com o setor público.
Não é opcional porque:
- A Lei 12.846/2013 responsabiliza a empresa pelos atos do terceiro, independentemente de ciência ou autorização.
- O Decreto 11.129/2022 inclui a due diligence de terceiros como elemento de um programa de integridade efetivo — que é o principal fator de mitigação de sanções previsto na lei.
- A ausência de processo documentado, em caso de investigação, reforça a tese de que a empresa não adotou medidas razoáveis para prevenir o ilícito.
O que torna a due diligence de terceiros distinta de uma simples consulta cadastral é o foco no risco de integridade: não apenas quem é o fornecedor e se está regularmente constituído, mas se há histórico de envolvimento em práticas corruptas, conexões com PEPs (Pessoas Expostas Politicamente) relevantes, processos judiciais de natureza anticorrupção e relações com agentes públicos que possam criar conflito de interesses.
4. O processo em 4 etapas: screening, avaliação, contratação e monitoramento
Um processo estruturado de due diligence de terceiros tem quatro fases. A profundidade de cada fase varia conforme o nível de risco do terceiro — que é determinado por fatores como tipo de relação (representante comercial perante o poder público tem risco maior que fornecedor de material de escritório), valor e natureza do contrato, e jurisdição de atuação.
Etapa 1 — Screening (triagem de risco)
Antes de aprofundar a avaliação, classifica-se o terceiro por nível de risco:
- Alto risco: representantes comerciais, agentes, consultores e distribuidores com interação regular com o setor público; parceiros em jurisdições com alto índice de percepção de corrupção; contratos de grande porte com órgãos públicos.
- Médio risco: fornecedores de serviços com alguma interface pública; parceiros em setores regulados.
- Baixo risco: fornecedores de insumos padronizados sem interação pública; prestadores de serviços de apoio administrativo.
A triagem deve ser documentada e revisada periodicamente — o nível de risco de um terceiro pode mudar ao longo do tempo.
Etapa 2 — Avaliação (due diligence propriamente dita)
Para terceiros de médio e alto risco, a avaliação inclui:
- Verificação de regularidade societária e fiscal (CNPJ, situação cadastral, sócios e controladores)
- Pesquisa de PEPs: verificar se sócios, administradores ou beneficiários finais são Pessoas Expostas Politicamente (conforme Resolução CVM (Comissão de Valores Mobiliários) 50/2021 e Resolução COAF (Conselho de Controle de Atividades Financeiras) 36/2021, para os setores obrigados)
- Pesquisa em listas restritivas nacionais e internacionais: OFAC (Office of Foreign Assets Control), listas de sancionados da ONU, cadastro de inidôneos do TCU (Tribunal de Contas da União) e CEIS (Cadastro de Empresas Inidôneas e Suspensas)
- Pesquisa de processos judiciais com foco em natureza anticorrupção, lavagem de dinheiro e improbidade administrativa
- Pesquisa de mídia negativa estruturada (notícias sobre envolvimento em corrupção, investigações, operações policiais)
- Declaração de integridade assinada pelo terceiro
Para terceiros de alto risco com contratos relevantes, pode ser necessário aprofundar a pesquisa com visita in loco ou entrevista estruturada.
Etapa 3 — Contratação (formalização com salvaguardas)
A contratação de terceiros que passaram pela due diligence deve incluir cláusulas contratuais de integridade (detalhadas na seção 5 abaixo) e a documentação de que a due diligence foi realizada e aprovada antes da assinatura.
Etapa 4 — Monitoramento contínuo
A due diligence não termina na assinatura. Para terceiros de médio e alto risco, é recomendável:
- Reavaliação periódica (mínimo anual) das informações coletadas
- Atualização da pesquisa de PEPs e listas restritivas
- Canal aberto para reporte de irregularidades envolvendo o terceiro
- Revisão quando houver mudança relevante: troca de sócios, notícia relevante, novo contrato público
5. A cláusula anticorrupção no contrato: o que deve ter
A cláusula anticorrupção no contrato com o terceiro serve a dois propósitos: (a) formalizar o comprometimento do terceiro com os padrões de integridade exigidos pela empresa e (b) criar base contratual para rescisão e responsabilização em caso de violação.
Uma cláusula anticorrupção efetiva deve conter:
- Declaração de conformidade: o terceiro declara que conhece e cumpre a Lei 12.846/2013 e demais normas anticorrupção aplicáveis ao contrato.
- Proibições expressas: vedação a oferecer, prometer, pagar ou autorizar qualquer vantagem indevida a agente público ou privado em conexão com o contrato ou com os serviços prestados em nome da empresa contratante.
- Obrigação de reportar: o terceiro deve comunicar à empresa qualquer solicitação de vantagem indevida que receber no exercício das atividades contratadas.
- Obrigação de manter registros: o terceiro deve manter registros adequados das transações relacionadas ao contrato, acessíveis à empresa para fins de auditoria.
- Direito de auditoria: a empresa contratante se reserva o direito de auditar os registros do terceiro relacionados ao contrato, com aviso prévio razoável.
- Rescisão por violação: a violação de qualquer obrigação anticorrupção é causa de rescisão imediata do contrato, sem prejuízo de perdas e danos.
- Indemnização: o terceiro se obriga a indenizar a empresa contratante por qualquer sanção, multa ou dano decorrente de atos anticorrupção praticados no âmbito do contrato.
- Subconstratação: se o terceiro subcontratar serviços, deve impor as mesmas obrigações anticorrupção aos subcontratados.
A cláusula deve ser proporcional ao nível de risco. Um contrato de representação comercial perante órgãos públicos exige cláusula mais detalhada do que um contrato de fornecimento de serviços de limpeza. A proporcionalidade é reconhecida nos guias de interpretação do Decreto 11.129/2022.
6. Quando o programa de integridade cobre e quando não cobre
O programa de integridade efetivo, nos termos do Decreto 11.129/2022, é o principal instrumento de mitigação de sanções previsto na Lei 12.846/2013. Mas há limites claros sobre o que ele faz e o que não faz.
O que o programa cobre (pode reduzir sanções):
- Atos de terceiros praticados contra a vontade da empresa, em que a empresa adotou medidas razoáveis de prevenção documentadas
- Situações em que a empresa detectou a irregularidade internamente e colaborou com as autoridades
- Casos em que a empresa tem canal de denúncia ativo, treinamentos regulares, due diligence de terceiros documentada e cláusulas anticorrupção nos contratos
O que o programa não cobre (não elimina a responsabilidade):
- Atos praticados por ordem ou com ciência de dirigentes da própria empresa — a responsabilidade objetiva se mantém e os dirigentes respondem pessoalmente na esfera penal
- Programas existentes apenas no papel, sem aplicação efetiva: o Decreto 11.129/2022 exige avaliação da implementação real, não só da existência de documentos
- Atos praticados por terceiros sobre os quais a empresa não realizou due diligence adequada ao nível de risco da relação
A distinção entre “programa efetivo” e “programa de papel” é feita com base em evidências concretas de implementação: atas de treinamento, registros de due diligence, registros de investigações internas de denúncias recebidas, políticas aprovadas e comunicadas, e comprometimento documentado da alta direção.
Empresas que implementam programas de integridade como resposta a uma investigação em curso têm benefício reduzido em comparação com empresas que comprovam programa preexistente e funcional.
7. Perguntas frequentes
Quais terceiros precisam passar por due diligence anticorrupção?
A resposta depende do nível de risco de cada relação, mas o ponto de partida é: qualquer terceiro que atue em nome ou no interesse da empresa em relações que envolvam interação com o poder público ou com decisores de alto impacto. Isso inclui representantes comerciais, agentes de negócios, consultores de relacionamento governamental, distribuidores que negociam com órgãos públicos, e parceiros em joint ventures em setores regulados ou com contratos públicos. Para fornecedores sem interface pública — insumos padronizados, serviços de apoio administrativo — a due diligence pode ser simplificada. A classificação de risco deve ser feita antes da contratação, não depois de uma ocorrência. Empresas que estão estruturando seu programa de integridade pela primeira vez costumam começar pelo mapeamento dos terceiros existentes por nível de risco, e priorizar a due diligence retroativa para os de alto risco que ainda estão ativos.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
A empresa pode ser responsabilizada se o terceiro agiu por conta própria e sem instrução alguma?
Sim. Esse é exatamente o modelo da responsabilidade objetiva do art. 2º da Lei 12.846/2013. A ausência de instrução e de ciência não elimina a responsabilidade administrativa da pessoa jurídica — desde que o ato tenha sido praticado em nome ou no interesse da empresa. O que a lei oferece como contrapeso é a possibilidade de redução de sanções quando a empresa demonstra que adotou medidas efetivas de prevenção — programa de integridade, due diligence de terceiros, treinamento, canal de denúncia. Não é uma excludente de responsabilidade: é um fator de dosimetria da sanção. Por isso, a estruturação prévia do programa e da due diligence de terceiros tem valor direto: ela é o que a empresa apresenta à autoridade sancionadora para demonstrar que fez o que estava ao seu alcance para prevenir o ilícito.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
O que é uma Pessoa Exposta Politicamente (PEP) e por que isso importa na due diligence de fornecedores?
PEP (Pessoa Exposta Politicamente) é o termo técnico para pessoas que exercem ou exerceram, nos últimos 5 anos, cargo ou função pública relevante — como cargos de direção em órgãos públicos, legislativos, judiciário, forças armadas, partidos políticos e empresas estatais. O conceito é regulado no Brasil pela Resolução do Banco Central do Brasil (BCB) 4.753/2019 e por normativas do COAF. A relevância na due diligence de fornecedores e parceiros é dupla: primeiro, quando o próprio fornecedor ou seus sócios são PEPs, há risco elevado de conflito de interesses em contratos com o setor público. Segundo, quando o representante comercial contratado tem relações próximas com PEPs relevantes para o setor de atuação da empresa, o risco de intermediação imprópria aumenta. Identificar PEPs no quadro de terceiros não significa automaticamente rejeitar a contratação — significa aplicar diligência aprofundada e, quando a contratação avança, monitoramento mais frequente.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
Conclusão
A responsabilidade objetiva da Lei 12.846/2013 sobre atos de terceiros não é uma ameaça abstrata. Ela é acionada quando um representante, agente ou parceiro pratica um ato de corrupção em nome da empresa — independentemente de autorização ou conhecimento.
O processo de due diligence de terceiros é o mecanismo que transforma o risco legal em risco gerenciável. Não porque elimina a possibilidade do ilícito — nenhum processo faz isso — mas porque documenta que a empresa adotou medidas razoáveis e proporcionais ao nível de risco de cada relação.
Para empresas que crescem rapidamente e constroem rede de parceiros e fornecedores com agilidade, estruturar esse processo desde o início — e não de forma retroativa — permite que a due diligence acompanhe o ritmo das contratações, especialmente quando contratos públicos ou expansão para novos mercados estão no horizonte.
As informações deste artigo são de caráter geral e educativo. Não constituem assessoria jurídica para nenhuma situação específica e não substituem a análise de um advogado sobre o seu caso concreto.
Alessandra De Paula Souza — OAB/PR 31.133
Advocacia Empresarial | Compliance e Programas de Integridade
Está nessa situação?
Um advogado especialista pode analisar o seu caso com agilidade.
Está nessa situação?
Fale com um advogado especialista.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
