Compliance efetivo como causa excludente da responsabilidade penal do dirigente: entre a teoria do domínio do fato e os limites da imputação objetiva

O Direito Penal Econômico brasileiro vive uma contradição que a prática forense conhece bem, mas ainda não resolveu com a clareza que o problema exige. As grandes corporações contemporâneas têm estruturas organizacionais que dificilmente cabem nas categorias penais disponíveis. Cadeias de comando fragmentadas, múltiplos níveis hierárquicos e delegação sistemática de funções são a arquitetura normal de qualquer empresa de porte médio para cima e não uma excepcionalidade que o direito penal possa continuar ignorando.

A teoria oferece instrumentos sofisticados para lidar com essa realidade. A omissão imprópria, a posição de garante, a imputação objetiva — todas foram desenvolvidas, em alguma medida, pensando em estruturas complexas de atuação. Todavia, o problema está na aplicação. Responsabilizar penalmente um diretor-presidente pela conduta de um gerente operacional três níveis abaixo exige a demonstração de que aquele sabia, podia agir e deliberadamente se omitiu.

O que se observa na prática é bem diferente. Diretores são processados pelo simples fato de serem diretores. Presidentes de conselho figuram em denúncias porque ocupam o topo do organograma. A investigação sobre o que cada um efetivamente sabia, decidiu ou poderia ter impedido fica em segundo plano, quando fica. O elemento subjetivo — aquele que o Direito Penal coloca no centro da imputação — acaba sendo preenchido pela posição que o réu ocupa na hierarquia da empresa, e não por aquilo que a prova dos autos revela sobre sua conduta concreta. É uma forma de responsabilização que o ordenamento brasileiro rejeita expressamente no plano teórico e tolera com frequência inquietante no plano prático.

As consequências dessa distorção são sérias e simétricas nos dois lados da relação processual. Para o réu, a imputação genérica compromete o exercício efetivo da defesa, pois é difícil refutar o que não foi especificado. Para o próprio sistema penal, a condenação de quem não tinha domínio real sobre o fato não produz efeito preventivo algum. O problema estrutural que gerou o ilícito permanece intacto. A empresa segue funcionando como antes, com outros nomes nos mesmos cargos.

A expansão dos programas de compliance no ambiente corporativo brasileiro — impulsionada, entre outros fatores, pela Lei Anticorrupção de 2013 (Brasil, 2013) e pelo conjunto de incentivos que ela criou — trouxe à superfície uma pergunta que o ordenamento ainda não soube responder com precisão. O que acontece, no plano penal individual, quando o dirigente construiu e manteve um sistema genuíno de controle e prevenção, e o ilícito ocorreu mesmo assim? A lei administrativa reconhece o compliance como fator de atenuação das sanções aplicadas à pessoa jurídica. Para o dirigente individualmente, a questão permanece em aberto. A doutrina já identifica o problema e a jurisprudência começa a ensaiá-lo, mas o ordenamento não oferece resposta expressa para quem investiu em compliance genuíno e, ainda assim, viu o ilícito se consumar.

Este artigo parte dessa lacuna. O argumento central é que o compliance materialmente efetivo — aquele que existe na prática e não apenas nos documentos — tem aptidão para romper o nexo de imputação que sustentaria a responsabilização penal do dirigente. Essa ruptura pode se dar por mais de uma via, e elas não se excluem. Em alguns casos, o compliance afasta o próprio dolo atribuído ao gestor; em outros, evidencia que ele cumpriu o dever de garante que a lei lhe impõe, tornando ilegítima a imputação por omissão. A construção é possível dentro do ordenamento vigente, sem necessidade de inovação legislativa. A inovação traria previsibilidade e uniformidade a esse reconhecimento, mas não é o que falta para que o argumento se sustente. Falta, isso sim, disposição para aplicar com consistência os institutos que o ordenamento já oferece.

A responsabilidade penal do dirigente nas estruturas empresariais complexas

Se a imputação penal não pode se apoiar na posição formal ocupada pelo agente, é preciso compreender como se forma — ou deixa de se formar — a ligação juridicamente relevante entre o dirigente e o fato ilícito nas estruturas empresariais contemporâneas.

Diretores e conselheiros raramente estão presentes no momento em que irregularidades ocorrem. Sua conexão com o fato é mediada por camadas de delegação, estruturas de reporte e sistemas de controle interno que funcionam — ou deveriam funcionar — como filtros entre a decisão estratégica e a execução operacional. Esse arranjo não decorre de falha organizacional, mas da própria lógica das empresas de maior porte, em que a dispersão de funções é condição para o funcionamento da atividade. A imputação penal, por isso, precisa preservar seu caráter pessoal e não pode ser construída sobre o que o organograma indica, mas sobre o que a prova dos autos revela.

Luís Greco (2012), ao examinar o princípio da autorresponsabilidade, sustenta que cada pessoa responde pelo seu próprio comportamento, jamais pelo comportamento livre e responsável de terceiros. A afirmação pode parecer óbvia, mas suas implicações para o direito penal empresarial são profundas e frequentemente esquecidas. Aceitar que a posição de chefia basta para fundamentar a responsabilidade penal equivale a ressuscitar uma forma de imputação que o ordenamento brasileiro rejeita expressamente e que reaparece com outras roupagens quando a pressão por condenação é suficientemente grande.

É nesse debate que a teoria do domínio do fato, desenvolvida por Claus Roxin (2003), ocupa lugar central. No contexto empresarial, a modalidade mais invocada é o domínio da organização — forma específica de autoria mediata pensada originalmente para aparatos organizados de poder. O que se discute menos, e deveria se discutir mais, é que Roxin estabeleceu um pressuposto que costuma ser silenciado quando a teoria migra para o ambiente privado. A dissociação normativa — a efetiva desvinculação do aparato em relação à ordem jurídica, denominada pelo autor Rechtsgelöstheit — precisa estar presente para que a figura se aplique, e sua verificação exige análise concreta do caso, não presunção derivada da posição hierárquica do acusado. Transpor o domínio da organização para o ambiente empresarial ordinário sem esse cuidado tende a representar uma expansão indevida da teoria, especialmente quando esse requisito não se verifica de forma inequívoca.

Nos crimes omissivos, o percurso argumentativo é distinto. O art. 13, § 2º, do Código Penal equipara a omissão à ação quando o agente tinha o dever jurídico de agir e podia fazê-lo, e é nesse terreno que a posição de garante do dirigente ganha relevância. Heloisa Estellita (2017) sustenta que os dirigentes são os receptores originários dos deveres de vigilância no contexto empresarial, mas que essa posição não decorre da nomeação formal para o cargo — ela exige uma relação juridicamente fundada de controle sobre a empresa, confirmada pela efetiva assunção fática dessa função. O dever de garante, assim compreendido, não transforma o dirigente em responsável por tudo que ocorre sob seu comando. Ele responde pelos ilícitos em relação aos quais tinha dever específico de agir e capacidade real de intervir, e não por qualquer irregularidade praticada em algum nível da organização que formalmente lidera.

Compliance penal: a distinção que decide tudo

Há uma diferença que o direito brasileiro ainda não sabe nomear com precisão, mas que é decisiva para qualquer análise séria sobre o tema. Um programa de compliance pode existir nos documentos e não existir na prática. Pode haver código de ética assinado pela diretoria, canal de denúncias descrito no site institucional e política anticorrupção encadernada na sala de reuniões — e nenhum desses elementos mudar em absolutamente nada a forma como a empresa opera. Esse compliance de fachada não serve para nenhuma finalidade jurídica relevante. Pior: pode funcionar como instrumento deliberado de encobrimento, criando a aparência de conformidade para consumo externo enquanto a organização funciona por outras regras nos bastidores.

O compliance materialmente efetivo pressupõe, antes de qualquer estrutura formal, uma cultura organizacional genuinamente orientada ao cumprimento das normas. Essa cultura não se instala por decreto nem se comprova com documento. Ela se manifesta na forma como a liderança reage quando alguém reporta uma irregularidade, na seriedade com que os canais de denúncia são mantidos e na consistência das sanções internas aplicadas a quem desvia.

A literatura especializada denomina esse fenômeno tone at the top — o engajamento visível e ativo da cúpula da empresa com os valores que o programa proclama. Um programa cujos responsáveis participam de seu desenho, acompanham os relatórios de controle interno e respondem às situações suspeitas com a devida diligência demonstra, concretamente, que os dirigentes estavam comprometidos em não se envolver com atividades ilícitas. A ausência desse comprometimento, por sua vez, pode ser interpretada exatamente como a tendência que a teoria da cegueira deliberada descreve (Dassan, 2018).

Um programa efetivo se sustenta sobre três pilares indissociáveis: prevenção, detecção e informação. A prevenção passa pela correta avaliação e mapeamento dos riscos próprios da atividade da empresa, pela criação de códigos de conduta e pela capacitação contínua dos colaboradores em todos os níveis hierárquicos. A detecção depende de canais de denúncia que efetivamente funcionem, que garantam confidencialidade ao denunciante e que gerem resposta institucional consistente. A informação exige que os riscos identificados cheguem à cúpula da empresa de forma estruturada, permitindo que quem tem poder decisório tome decisões com base em dados reais e não em suposições. A documentação de todo esse fluxo tem valor que vai além da gestão interna. Em termos processuais, ela constitui o registro material de que a empresa e seus dirigentes atuaram dentro dos limites do risco permitido.

A Lei Anticorrupção, em seu art. 7º, VIII, reconhece que a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia são fatores a considerar na dosimetria das sanções administrativas. O Decreto 11.129/2022 detalha os parâmetros para essa avaliação. Embora o foco dessas normas seja a responsabilidade da pessoa jurídica, a lógica subjacente é a mesma que deve orientar a análise da responsabilidade individual (Brasil, 2022). O que importa, para qualquer um dos dois planos, não é a existência formal do programa, mas a sua efetividade real. Sendo neste ponto a relevante distinção entre o compliance de papel e o compliance de prática se torna juridicamente decisiva.

Dentro dessa estrutura, o compliance officer ocupa posição singular. Sua responsabilidade é derivada. Ele assume, por delegação dos órgãos de direção da empresa, a função de investigar e de transmitir informações sobre atos de risco ou irregularidades a quem tem o poder de agir. Não é, portanto, garante primário da evitação dos delitos que possam ocorrer na empresa — essa posição pertence à própria cúpula diretiva. Sua função é garantir que o fluxo de informações necessário à prevenção funcione e que os órgãos competentes recebam o que precisam saber para intervir (Robles Planas, 2022). Quando o compliance officer ciente de práticas irregulares deixa de informar os órgãos superiores, pode incorrer em responsabilidade omissiva pelo descumprimento do dever que assumiu. Quando o dirigente, dispondo de sistema efetivo e de canais funcionais de informação, ainda assim não intervém, sua responsabilidade não pode mais se amparar na alegação de desconhecimento — porque o sistema foi construído exatamente para que ele soubesse.

Compliance efetivo como causa excludente: fundamentos dogmáticos

Três vias dogmáticas distintas sustentam a proposta de reconhecer o compliance efetivo como causa excludente da responsabilidade penal do dirigente, e cada uma delas parte de premissas que se reforçam mutuamente.

A primeira é a da ausência de dolo. A existência de um programa efetivo cria uma presunção relativa de que o dirigente não sabia — e que não deveria saber — do ilícito praticado por subordinados. Afastar essa presunção requer evidências concretas de que o conhecimento existia, não a mera invocação do cargo. Vale acrescentar que a documentação das atividades do setor de compliance e dos fluxos de informação internos cumpre, nesse plano, uma função probatória relevante. Ela permite reconstruir, com objetividade, o que o dirigente sabia ou tinha condições de saber no momento em que o fato se consumou.

A segunda via é a da ruptura do nexo de imputação objetiva. O dirigente que implementou um programa genuíno de compliance criou mecanismos destinados a impedir que riscos se materializem em resultados danosos. Quando o ilícito ocorre a despeito desses mecanismos — burlado por terceiros ou contornado por uma cadeia de eventos imprevisível — é sustentável que o dirigente não criou o risco juridicamente desaprovado que se realizou no resultado. A devida diligência prévia nas relações com terceiros, devidamente registrada, fortalece esse argumento, demonstrando que o risco foi avaliado e que as precauções razoavelmente exigíveis foram adotadas, afastando desde logo a imputação objetiva.

A terceira via — e a dogmaticamente mais precisa para os crimes omissivos — é a do cumprimento do dever de garante. O dever de vigilância não exige que o gestor previna todos os resultados danosos possíveis; exige que adote as medidas razoavelmente disponíveis e proporcionais para reduzir o risco. O compliance efetivo é precisamente a materialização dessas medidas. Quem cumpre o dever de garante não responde pela omissão, porque omissão não houve. Houve a ação de estruturar, manter e fazer funcionar um sistema genuíno de controle — e essa ação é, juridicamente, o cumprimento do dever.

Para que esse reconhecimento não fique ao arbítrio judicial, identificam-se ao menos cinco requisitos cumulativos. O primeiro é a existência de uma estrutura formal e materialmente implementada, com código de ética, política anticorrupção e canais de denúncia acessíveis e operacionais. O segundo é a demonstração de uma cultura organizacional genuinamente orientada à conformidade — o tone at the top que sinaliza que o cumprimento das normas não é negociável. O terceiro é a efetiva investigação e resposta a irregularidades detectadas, com sanções internas consistentes e, quando exigido, comunicação às autoridades. O quarto é a independência do setor de compliance em relação às áreas de negócio. O quinto é a atualização periódica do programa em função dos riscos identificados, evidenciando que se trata de processo contínuo e não de produto estático.

A jurisprudência recente e o Direito comparado

A responsabilidade penal da pessoa jurídica encontra assento constitucional nos artigos 173, § 5º, e 225, § 3º, da Constituição Federal. Durante anos, o STJ construiu sua jurisprudência sobre o tema a partir da chamada teoria da dupla imputação, segundo a qual a responsabilização penal da pessoa jurídica dependia da imputação concomitante da pessoa física que atuava em seu nome. Após o STF julgar o RE 548.181 e recusar esse requisito, o STJ alinhou sua posição e passou a admitir a responsabilização da pessoa jurídica por crimes ambientais independentemente da responsabilização da pessoa física que a represente. Essa evolução tem consequência direta para o argumento aqui desenvolvido vez que, se a responsabilidade da pessoa jurídica caminha por trilha própria, a da pessoa física precisa igualmente ser avaliada com fundamento autônomo, rigoroso e alinhado aos pressupostos que a teoria do delito exige.

Merece registro também a orientação firmada no REsp 1.977.172, em que a Terceira Seção decidiu que a responsabilização penal de empresa incorporada não pode ser transferida à sociedade incorporadora, por força do princípio da intranscendência da pena previsto no art. 5º, XLV, da Constituição Federal. A responsabilidade penal — seja da pessoa jurídica, seja do dirigente — não pode ser transmitida por vias indiretas, devendo sempre recair sobre o sujeito que concretamente contribuiu para o resultado criminoso. Não por acaso, é exatamente esse pressuposto que a imputação automática pelo cargo viola.

O direito comparado, por sua vez, já percorreu parte do caminho que o Brasil ainda não trilhou. O modelo italiano do Decreto Legislativo 231/2001 estabeleceu que a existência de um modelo de organização e gestão efetivo constitui causa de exclusão da responsabilidade da empresa (Itália, 2001). O Bribery Act britânico, de 2010, prevê expressamente a adequate procedures defense, pela qual a empresa e seus gestores podem afastar a responsabilidade penal demonstrando que adotaram procedimentos adequados para prevenir o suborno (Reino Unido, 2010). Nos Estados Unidos, as Federal Sentencing Guidelines há décadas reconhecem o compliance como fator de mitigação da pena, com critérios objetivos e verificáveis (Estados Unidos, 2023). O Brasil produz incentivos administrativos ao compliance sem extrair deles as consequências penais que essa mesma lógica exigiria — e essa assimetria é, ela própria, um problema que a doutrina não pode continuar ignorando.

As ações neutras da assessoria jurídica e os limites do advogado interno

A análise da responsabilidade penal do dirigente seria incompleta sem abordar a situação dos profissionais jurídicos que atuam internamente nas organizações. Advogados corporativos e compliance officers com formação jurídica ocupam posição peculiar, pois integram a estrutura de prevenção da empresa e, ao mesmo tempo, podem ser chamados a responder penalmente caso sua contribuição profissional seja interpretada como participação no fato criminoso praticado pelo empregador ou pelo cliente.

Ricardo Robles Planas (2022), ao examinar os riscos penais da assessoria jurídica, sustenta que condutas profissionais estereotipadas ou executadas conforme um papel social ou profissional reconhecido não constituem, por si sós, participação punível no fato do assessorado. O advogado que informa o cliente sobre a realidade jurídica de determinadas operações, sobre a aplicação do direito em casos concretos ou sobre as possibilidades legítimas de atuação atua dentro do risco permitido — e a eventual utilização delituosa que o cliente faça dessas informações é responsabilidade que recai sobre ele, não sobre o assessor.

No entanto, a proteção da neutralidade tem limite. O assessor o ultrapassa quando sua conduta deixa de se esgotar no standard normativo que define o contexto profissional em que atua e passa a configurar uma adaptação específica ao fato que será cometido. O advogado que elabora documentos falsos, recomenda condutas de encobrimento ou assessora sobre como remover rastros de ilícitos já consumados não pratica assessoria jurídica e sim participação. A linha divisória não é sempre nítida, mas o critério é claro, quanto mais a conduta do profissional se volta especificamente para o projeto delitivo do cliente, mais ela perde o caráter neutro que o exercício regular da profissão lhe conferiria.

Para o compliance officer, essa análise tem desdobramento direto. Enquanto investiga, reporta irregularidades e recomenda medidas de adequação dentro dos limites de sua função delegada, ele opera no campo da neutralidade penalmente irrelevante. Quando é pressionado a silenciar sobre irregularidades ou a formatar suas manifestações para proteger interesses dos dirigentes, deixa de exercer compliance e começa a assumir riscos que a função não comporta. A independência funcional do setor não é exigência de governança corporativa sem consequências jurídicas. É a condição para que o profissional possa invocar, com legitimidade, o argumento da conduta conforme o dever.

Conclusão

O Direito Penal Econômico brasileiro enfrenta, no campo da responsabilização de dirigentes, uma contradição que precisa ser enfrentada com honestidade intelectual. De um lado, há a pressão — compreensível e legítima — por responsabilizar os verdadeiros tomadores de decisão nas grandes corporações que praticam crimes. De outro, há a exigência — igualmente legítima e constitucionalmente fundada — de que a responsabilização seja pessoal, demonstrada e compatível com os princípios do Estado de Direito. Resolver essa contradição pela via da imputação automática fundada na posição hierárquica não é resposta jurídica, mas sim um atalho que o ordenamento não autoriza e que a dogmática penal não sustenta.

A saída coerente passa pelo reconhecimento de que o compliance efetivo não é um privilégio de corporações ricas com departamentos jurídicos sofisticados. É a materialização de um dever que o ordenamento já impõe aos dirigentes: o dever de garante de vigilância sobre a empresa que controlam. Cumprir esse dever significa estruturar, manter e fazer funcionar mecanismos reais de controle e prevenção. Quando isso é feito de forma genuína, a responsabilidade penal pelo ilícito praticado por subordinados não pode ser automaticamente transferida ao dirigente como se ele fosse o autor.

A tese aqui sustentada não é de impunidade. É de responsabilidade fundada em demonstração concreta, não em presunção de cargo. O dirigente que implementou compliance efetivo e em face de quem o ilícito ocorreu a despeito dessa estrutura — ou mesmo contra ela — tem direito a que sua responsabilidade seja avaliada com o mesmo rigor dogmático exigido de qualquer outro réu. Nem mais, nem menos. O que falta, no plano legislativo, é positivar critérios claros para esse reconhecimento — tarefa que o ordenamento brasileiro não pode continuar adiando sem custo para a segurança jurídica de quem investe, de boa-fé, em conformidade.

Referências

BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira. Brasília: Presidência da República, 2013. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm. Acesso em: 29 maio 2026.

BRASIL. Decreto nº 11.129, de 11 de julho de 2022. Regulamenta a Lei nº 12.846, de 1º de agosto de 2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira. Brasília: Presidência da República, 2022. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2022/decreto/d11129.htm. Acesso em: 29 maio 2026.

BRASIL. Decreto-Lei nº 2.848, de 7 de dezembro de 1940. Código Penal. Rio de Janeiro: Presidência da República, 1940. Disponível em: https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848.htm. Acesso em: 29 maio 2026.

DASSAN, Pedro Augusto Amaral. O papel dos programas de compliance na cegueira deliberada dos dirigentes empresariais. CONGRESSO DE PESQUISA EM CIÊNCIAS CRIMINAIS. Anais […]. São Paulo: IBCCRIM, 2018, p. 228-249.

ESTADOS UNIDOS. Sentencing Commission. Federal Sentencing Guidelines Manual. Washington, DC: USSC, 2023.

ESTELLITA, Heloisa. Responsabilidade penal de dirigentes de empresas por omissão. São Paulo: Marcial Pons, 2017.

GRECO, Luís. Domínio da organização e o chamado princípio da autorresponsabilidade. In: SCHÜNEMANN, Bernd; GRECO, Luís (coord.). Estudos de direito penal, direito processual penal e filosofia do direito. Madrid; São Paulo: Marcial Pons, 2013.

ITÁLIA. Decreto Legislativo nº 231, de 8 de junho de 2001. Roma, 2001.

REINO UNIDO. Bribery Act 2010. London: Her Majesty’s Stationery Office, 2010.

ROBLES PLANAS, Ricardo. Estudos de dogmática jurídico-penal: fundamentos, teoria do delito e direito penal econômico. Belo Horizonte: D’Plácido, 2022. (Coleção Ciência Criminal Contemporânea, v. 6).

ROXIN, Claus. Täterschaft und Tatherrschaft. 8. ed. Berlin: De Gruyter, 2006.

SUPERIOR TRIBUNAL DE JUSTIÇA. A responsabilidade penal das pessoas jurídicas segundo o STJ. Portal STJ, 5 maio 2024. Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2024/05052024-A-responsabilidade-penal-das-pessoas-juridicas-segundo-o-STJ.aspx. Acesso em: 28 maio 2026.