RGPC Roteiro Prático

Para as autarquias locais, o cumprimento do RGPC nunca deve ser tratado como um mero exercício burocrático. O Regime Geral Anticorrupção de Portugal aplica-se às autarquias locais e a outras entidades públicas com 50 ou mais trabalhadores, mas a lei também deixa claro que os organismos públicos que não atingem esse limiar devem, ainda assim, adotar ferramentas de prevenção de riscos de corrupção proporcionais à sua dimensão e natureza. Na prática, isso significa que mesmo um município de menor dimensão não deve considerar o assunto irrelevante. Uma abordagem proporcionada, documentada e operacional continua a ser a escolha de governação mais inteligente.

Para um diretor do setor público, «conformidade total» não significa publicar um código de conduta e dar o assunto por encerrado. O RGPC exige um programa de conformidade que inclua, no mínimo, um plano de prevenção de riscos de corrupção e crimes conexos, um código de conduta, um programa de formação e um canal de denúncia, juntamente com a designação de um responsável pela conformidade. Para as entidades públicas, esse quadro também se articula com os deveres de transparência administrativa, salvaguardas contra conflitos de interesses, obrigações de controlo interno e medidas para promover a concorrência nos contratos públicos.

O erro mais comum é começar pelo documento mais visível e ignorar a arquitetura de governação subjacente. O melhor caminho é o oposto: governança em primeiro lugar, diagnóstico em segundo, controlos em terceiro e evidência em quarto. Um município só está genuinamente alinhado quando consegue demonstrar quem é responsável, como o risco foi avaliado, que medidas foram implementadas, como as pessoas foram formadas, que evidência existe e como toda a estrutura é revista ao longo do tempo. Essa lógica reflete a estrutura do próprio RGPC, que liga prevenção, controlo, comunicação, avaliação e responsabilização.

1. Comece pela liderança e por uma responsabilização interna clara

O primeiro passo prático é elevar a questão ao nível do presidente da câmara, dos vereadores, da liderança municipal e dos chefes de departamento. O RGPC atribui expressamente a responsabilidade pela adoção e implementação do programa de conformidade ao órgão de gestão ou ao gestor sénior, e exige também a designação de um responsável pela conformidade que desempenhe a função de forma independente, permanente e com autonomia de decisão, com acesso às informações e recursos necessários. Num município, isso significa evitar nomeações puramente simbólicas. O responsável pela conformidade não pode ser uma pessoa de contacto nominal sem visibilidade sobre os processos, sem autoridade para escalar questões e sem apoio administrativo real.

Em termos operacionais, vale a pena criar uma matriz de responsabilidades simples desde o primeiro dia. Quem aprova o plano de prevenção de riscos? Quem mantém o mapa de riscos atualizado? Quem recebe as declarações de conflito de interesses? Quem supervisiona o processo de denúncia? Quem valida as ações corretivas? Quem garante o alinhamento com a proteção de dados? Quem prepara os envios para o MENAC? Se essas perguntas não tiverem respostas precisas, a autoridade ainda não dispõe de um sistema funcional. Dispõe apenas de boas intenções.

2. Realizar um diagnóstico de risco real, não genérico

O segundo passo consiste em identificar onde a autoridade está efetivamente exposta. O RGPC exige que o plano de prevenção de riscos abranja toda a organização e as suas atividades, incluindo as áreas de gestão, liderança, operacionais e de apoio, e que inclua a identificação, análise e classificação dos riscos relacionados com a corrupção. A lei exige também medidas preventivas e corretivas, pontuação de probabilidade e impacto, e uma priorização mais robusta nos casos em que o risco é elevado ou máximo.

Num contexto de autarquia local, isso significa analisar áreas muito concretas: contratos públicos, planeamento urbano, licenciamento, inspeções, gestão de frotas, RH, subvenções e subsídios, ativos, gestão de registos, balcões de atendimento ao cidadão, pagamentos, tesouraria, compras de rotina, concessões, eventos, parcerias e serviços externalizados. O diagnóstico tem de descer ao nível dos processos e dos pontos de decisão. Não basta escrever «risco de favoritismo nas aquisições». É necessário especificar onde esse risco surge: definição das necessidades, procedimento de seleção, convite aos fornecedores, avaliação das propostas, receção de mercadorias, validação de despesas, renovação de contratos, fraccionamento de compras, conflitos de interesses não geridos, pressão informal ou dependência excessiva de um único fornecedor.

Um exercício útil consiste em perguntar, em cada processo sensível: onde é que a discricionariedade é mais forte, onde é que existe contacto com fornecedores, onde é que as decisões são tomadas sem dupla validação, onde é que a urgência se repete, onde é que as pistas de auditoria são fracas, onde é que as funções não estão segregadas e onde é que as provas estão fragmentadas entre equipas. É esse o nível de detalhe que transforma o plano numa ferramenta de gestão, em vez de um apêndice jurídico.

3. Construir o plano de prevenção de riscos como um instrumento de gestão

Muitos municípios ainda tratam o plano de prevenção de riscos como um anexo obrigatório. Isso é um erro estratégico. O plano deve funcionar como o mapa-mestre para a prevenção. O RGPC exige que a sua implementação seja monitorizada através de um relatório de avaliação intercalar em outubro para riscos elevados ou máximos, e de um relatório de avaliação anual em abril do ano seguinte, incluindo o grau de implementação das medidas preventivas e corretivas. O plano deve ser revisto de três em três anos, ou sempre que ocorram alterações organizacionais ou estruturais relevantes, e deve ser divulgado aos trabalhadores e, quando aplicável, comunicado ao MENAC e aos órgãos de supervisão relevantes no prazo de 10 dias após a implementação, revisão ou elaboração.

Na linguagem de gestão, isso significa que cada risco necessita de um responsável, um estado, um prazo, provas e uma métrica. Cada risco deve estar ligado a um processo, a uma pessoa responsável, a controlos existentes, a lacunas identificadas, a ações de melhoria, a um prazo e a um meio de prova. Sem isso, os relatórios de outubro e abril transformam-se rapidamente em relatórios narrativos vagos, em vez de relatórios de execução verificáveis.

Um exemplo simples seria: «Risco de favoritismo em procedimentos de aquisição de baixo valor.» Controlos existentes: solicitar mais do que uma cotação sempre que viável, aprovação da gestão de linha, registo no sistema. Lacuna: ausência de revisão periódica da concentração de fornecedores. Ação: relatório trimestral sobre a concentração de fornecedores por centro de custos. Responsável: unidade de aquisições. Prazo: 60 dias. Prova: exportação do sistema. KPI: percentagem de fornecedores que excedem o limiar de concentração definido.

4. Rever o código de conduta para que funcione na vida real

O RGPC exige um código de conduta que estabeleça princípios, valores e regras de comportamento para gestores e trabalhadores, tendo em conta as regras penais sobre corrupção e crimes relacionados, bem como a exposição da organização a esses riscos. Exige também a identificação de sanções disciplinares e consequências penais, bem como um relatório interno para cada violação, indicando as regras violadas, a sanção aplicada e as medidas tomadas ou a tomar. O código deve ser revisto de três em três anos ou quando ocorrerem alterações relevantes, e deve ser divulgado e comunicado dentro dos prazos legais.

Na prática, um código de conduta municipal útil não é um texto de alto nível sobre «integridade». Responde a questões do dia-a-dia. Como devem os funcionários lidar com presentes e hospitalidade? Como devem gerir as relações com fornecedores locais? O que acontece quando existe proximidade familiar ou pessoal com um candidato ou proponente? Como devem ser tratadas as reuniões informais? O que deve acontecer quando há pressão para acelerar um processo? Como são registadas as recusas, impedimentos, divulgações e conflitos? Como são as pessoas protegidas quando levantam preocupações? Como são os desvios escalados sem receio?

Quando um código aborda o contexto real do governo local, as pessoas utilizam-no. Quando permanece genérico e cerimonial, ignoram-no.

5. Tratar o canal de denúncia como um mecanismo operacional, não apenas como um requisito legal

O RGPC associa os canais de denúncia internos ao regime de proteção de denunciantes de Portugal, e a Lei n.º 93/2021 estabelece requisitos específicos. As entidades obrigadas devem dispor de canais internos; esses canais devem garantir a exaustividade, a integridade, a preservação, a confidencialidade da identidade ou o anonimato, e impedir o acesso por pessoas não autorizadas; podem ser operados interna ou externamente, desde que sejam asseguradas a independência, a imparcialidade, a confidencialidade, a proteção de dados, o sigilo e a ausência de conflitos de interesses. A lei exige também o aviso de receção no prazo de sete dias e um feedback fundamentado sobre as medidas planeadas ou adotadas no prazo máximo de três meses. As denúncias devem, em geral, ser conservadas durante pelo menos cinco anos.

Existe uma nuance importante para as autoridades locais. A Lei n.º 93/2021 estabelece que as autoridades locais com 50 ou mais trabalhadores, mas menos de 10 000 habitantes, não têm de manter canais internos de denúncia, e as autoridades locais podem também partilhar canais relativos à receção e ao acompanhamento. No entanto, mesmo quando existe uma isenção formal, a decisão de não estruturar um mecanismo de denúncia claro deve ser abordada com cautela. A ausência de um canal formal não elimina o risco operacional, o risco de governação ou o risco reputacional.

O regime de proteção é também robusto. A identidade do denunciante é confidencial e o acesso é restrito; a retaliação é proibida; vários atos lesivos ocorridos no prazo de dois anos após uma denúncia são presumidos como motivados por essa denúncia; e uma sanção disciplinar imposta ao denunciante durante esse período é presumida abusiva.

6. Integrar o RGPD no canal desde o início

O tratamento de dados pessoais ao abrigo do regime de proteção de denunciantes está expressamente sujeito ao RGPD e à legislação portuguesa relevante. Separadamente, a CNPD afirma que uma violação de dados pessoais deve ser notificada no prazo de 72 horas, caso seja suscetível de representar um risco para os direitos e liberdades, e que as organizações devem dispor de políticas internas que lhes permitam detetar e gerir incidentes de segurança que afetem dados pessoais.

Isso significa que um município não deve lançar um mecanismo de denúncia sem resolver primeiro questões básicas de privacidade: quem pode aceder às denúncias, sob que perfil, onde os registos são armazenados, que lógica de retenção se aplica, como é gerida a comunicação com os denunciantes, como é protegida a identidade de terceiros mencionados nas denúncias, que informações de privacidade são fornecidas e que salvaguardas técnicas e organizacionais existem contra o acesso não autorizado. É aqui que o alinhamento com a iPrivacy faz sentido na prática: não como um extra opcional, mas como uma camada essencial que torna o canal juridicamente sólido e operacionalmente seguro.

7. Reforçar a transparência, os conflitos de interesses e os controlos internos

Para as entidades públicas, o RGPC vai muito além do pacote documental mínimo. Exige a publicação, na intranet e no sítio web oficial, de informações importantes, incluindo a estrutura organizacional, documentos estratégicos e operacionais, orçamento e contas, relatórios, serviços públicos, benefícios e subsídios concedidos, doações recebidas, avisos de contratos públicos de maior dimensão e canais de contacto para cidadãos e empresas, garantindo simultaneamente a acessibilidade, a qualidade, a integridade e, quando relevante, formatos abertos.

O regime exige também salvaguardas em matéria de conflitos de interesses e, em áreas como a contratação pública, os subsídios, o licenciamento urbano, ambiental, comercial e industrial, e os procedimentos sancionatórios, prevê declarações de ausência de conflitos e a comunicação de situações que possam afetar a imparcialidade. Ao mesmo tempo, exige um sistema de controlo interno proporcional à dimensão, natureza e complexidade da entidade, concebido para garantir a legalidade, a mitigação de riscos, a prevenção e deteção de ilegalidades, fraudes e erros, a proteção de ativos, a fiabilidade da informação, a prevenção do favoritismo e a transparência operacional global.

Traduzido para as operações municipais, isto significa ir além da cultura de «cada departamento faz à sua maneira». Os procedimentos críticos requerem manuais, aprovações, separação de funções, trilhos de decisão, critérios documentados, relatórios regulares e auditorias internas ou revisões por amostragem. É aí que o iComply pode desempenhar um papel importante como camada técnica para a captura de evidências, aprovações, tarefas, lembretes, histórico de auditorias e acompanhamento contínuo da conformidade.

8. Um roteiro realista de 180 dias

Um roteiro prático de implementação pode ser dividido em quatro fases.

Dias 1 a 30: nomear o responsável pela conformidade, aprovar a governação, identificar processos críticos, recolher documentos existentes, mapear os requisitos do RGPC, do sistema de denúncias e do RGPD, e decidir se o canal será interno, externo ou partilhado.

Dias 31 a 75: elaborar ou rever o plano de prevenção de riscos, atualizar o código de conduta, definir regras de conflito de interesses, mapear as evidências de controlo interno, selecionar a tecnologia de suporte e conceber os fluxos de trabalho de receção, triagem, investigação e resposta.

Dias 76 a 120: ministrar formação baseada em funções, publicar a documentação necessária, ativar o canal de denúncias, testar os tempos de resposta, aprovar modelos de registo e de relatório e alinhar a comunicação da liderança, da intranet e do site.

Dias 121 a 180: realizar testes, medir a adoção, recolher não conformidades, rever permissões, criar painéis de controlo, preparar o ciclo de relatórios intercalares e anuais e institucionalizar a rotina de revisão.

O ponto crucial é não confundir «publicado» com «implementado». Os documentos, por si só, não reduzem o risco. O comportamento, o controlo, as provas e a revisão é que o fazem.

Mini-cenário

Imagine um município de média dimensão a lançar um procedimento de contratação pública para serviços de manutenção urbana. Um funcionário utiliza o canal interno de denúncia para comunicar que um dos decisores integrou anteriormente a direção de uma associação local ligada a um potencial fornecedor e que existe pressão informal para acelerar a adjudicação.

Num município com fraca maturidade em matéria de RGPC, a denúncia torna-se um e-mail inconveniente, não é criado qualquer processo formal, ninguém sabe quem deve tratar do assunto e o processo continua com correções mínimas.

Num município que implementou o roteiro de forma adequada, acontece o contrário: a denúncia entra num canal controlado; o recebimento é confirmado dentro do prazo legal; uma pessoa independente realiza a triagem; a questão do conflito de interesses é avaliada; o decisor relevante é afastado da fase crítica; a rastreabilidade do procedimento é reforçada; e são criadas provas documentais para a análise, decisão e ação corretiva. O resultado não é apenas jurídico. É de gestão, cultural e reputacional.

Modelo para download: estrutura

Separador 1 – Diagnóstico inicial

  • Número de trabalhadores
  • População do município
  • Áreas críticas
  • Plano de risco existente
  • Código existente
  • Canal existente
  • Responsável pela conformidade nomeado
  • Formação concluída
  • Maturidade do controlo interno
  • Estado de alinhamento com o RGPD

Separador 2 – Mapa de riscos

  • Processo
  • Evento de risco
  • Causa
  • Probabilidade
  • Impacto
  • Nível de risco
  • Controlo existente
  • Lacuna
  • Ação corretiva
  • Responsável
  • Prazo
  • Provas
  • KPI

Separador 3 – Canal de denúncia

  • Denúncia por escrito disponível
  • Denúncia verbal disponível
  • Denúncia anónima disponível
  • SLA de confirmação em 7 dias
  • SLA de feedback em 3 meses
  • Retenção de registos
  • Controlo de acesso
  • Informações de privacidade
  • Operação interna/externa/partilhada
  • Responsável pelo acompanhamento

Separador 4 – Formação e comunicação

  • Função
  • Tópico
  • Frequência
  • Data
  • Provas
  • Necessidade de reciclagem

Separador 5 – Monitorização

  • Indicador
  • Valor atual
  • Meta
  • Frequência
  • Responsável
  • Ação de melhoria
Download gratuito

Descarregue a checklist e o template Excel RGPC para autarquias

Dê um passo prático para reforçar a conformidade com o RGPC na sua autarquia com um ficheiro pronto a usar para diagnóstico inicial, mapa de riscos, canal de denúncias, formação e monitorização.

Este recurso foi criado para dirigentes do setor público, responsáveis de compliance, equipas jurídicas, funções de controlo interno, proteção de dados e serviços municipais que precisam de implementar com mais clareza, estrutura e evidência.

  • Diagnóstico inicial da maturidade RGPC da autarquia
  • Mapa de riscos com responsáveis, ações e campos de evidência
  • Checklist do canal de denúncias e requisitos de seguimento
  • Folhas para formação, comunicação e monitorização contínua
Workbook prático para apoiar projetos de conformidade RGPC, canais de denúncia e governação no setor público local.
 Checklist RGPC para autarquias e template Excel da iBlow.eu

 

O custo de fazê-lo mal é superior ao custo de estruturá-lo corretamente

Nos termos do RGPC, a não adoção ou implementação do plano de prevenção de riscos, do código de conduta ou do sistema de controlo interno, bem como várias falhas relacionadas com a revisão, divulgação e comunicação, podem constituir infrações administrativas, com multas que podem atingir 44 891,81 € para pessoas coletivas em alguns casos.

Nos termos da Lei n.º 93/2021, as infrações graves e muito graves relacionadas com canais, confidencialidade, retaliação e manutenção de registos podem atingir 250 000 € para pessoas coletivas.

Para uma autarquia, porém, o maior risco não é apenas a multa. É a perda de confiança dos cidadãos, a fraqueza das provas nas inspeções, a erosão da cultura interna, falhas repetidas nos processos de contratação pública, a exposição da reputação e a incapacidade de demonstrar uma boa governação pública.

Conclusão

O melhor roteiro de RGPC para o governo local é aquele que converte as obrigações legais em rotinas de gestão. Começa com a liderança, prossegue com um diagnóstico real, transforma-se num plano de risco exequível, torna-se operacional através do código, do canal de denúncia, da formação e dos controlos internos, e fecha o ciclo com provas, medição e melhoria contínua. O objetivo não é «ter documentos». É reduzir o risco, aumentar a confiança e proteger a tomada de decisões públicas.

Leituras sugeridas

  1. Análise comparativa da proteção aos denunciantes na UE.
  2. Desafios da denúncia nas PME.
  3. O papel da tecnologia na salvaguarda do anonimato.

Precisa de apoio para implementar este roteiro na sua autarquia?

Conheça a iBlow.eu para canais de denúncia, a iComply.pt para operacionalização tecnológica, a iPrivacy.eu para alinhamento com o RGPD e a iCompliance.eu para mais serviços de implementação e auditorias de compliance legal e normativo.

Faça parte da conversa que está a moldar o futuro do trabalho! Marque uma reunião!

Veja outros artigos que possam ser do seu interesse.

Esperamos que tenha gostado deste artigo.

Obrigado!

Constantino Ferreira

iBlow.eu

Desenho de um avião de papel verde, para pedir para fazer parte da comunidade iBlow.eu Gostou? Subscrever para receber futuros artigos