Sabe os riscos que corre ao partilhar o Código de Acesso ao Regime Central do Beneficiário Efetivo?

• Registo Central do Beneficiário Efetivo

A legislação portuguesa relativa ao beneficiário efetivo teve a sua origem na Diretiva UE 2015/849. A Quarta Diretiva Europeia relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais ou de financiamento a terrorismo, foi transposta para a legislação portuguesa pelas Leis n.º 83/2017, de 18 de agosto, e n.º 89/2017, de 21 de agosto, regulamentadas posteriormente por portarias pelas Portarias n.º 233/2018, de 21 de agosto, e n.º 200/2019, de 28 de junho.

Foi então criado o Registo Central do Beneficiário Efetivo (“RCBE”), constando este de um portal online onde as entidades que a lei sujeita a registo junto do RCBE devem cumprir as suas obrigações declarativas, designadamente a declaração de beneficiário efetivo. Esta consiste na identificação de dados referentes aos sócios/acionistas, aos membros dos órgãos de administração e também quanto aos beneficiários efetivos. Submetida validamente esta informação, é gerado um comprovativo da mesma e um código de acesso ao RCBE, único para cada declaração submetida.

De acordo com o artigo 6.º da Portaria n.º 233/2018, “a declaração submetida e validada dá origem à emissão de um comprovativo, o qual contém a identificação do declarante, bem como a informação do RCBE”, sendo que “o comprovativo (…) pode ser consultado através de um código de acesso gerado para o efeito”. A isto acresce ainda que “a entrega do código de acesso (…) substitui, para todos os efeitos, a emissão de qualquer comprovativo em papel, equivalendo a sua consulta ao acesso à informação contida na base de dados prevista no artigo 34.º da Lei n.º 83/2017, de 18 de agosto”.

É indiscutível que, no seguimento destas disposições, é hoje prática comum que as entidades partilhem o código de acesso ao RCBE com bancos, notários, advogados, revisores oficiais de contas, entre outros. Mas será que existe uma obrigação legal para que o façam? Afinal para que serve o código de acesso ao RCBE?

• Finalidade do Código de Acesso ao RCBE

Em termos práticos, o código de acesso ao RCBE permite alterar a declaração já submetida, seja para atualizar elementos ou corrigir erros que tenham sido detetados. A principal utilização do código de acesso ao RCBE é a consulta no portal RCBE, da informação publicamente disponível sobre qualquer entidade que tenha já validamente submetido a sua declaração.

Nos termos do art. 19.º da Lei n.º 90/2017, e também do art. 7.º da Portaria n.º 233/2018, apenas é disponibilizada publicamente uma pequena parcela das informações e dados pessoais submetidos com a declaração de beneficiário efetivo, a saber:

1. Informação referente à própria entidade, como o seu número de identificação de pessoa coletiva (“NIPC”) (ou número de identificação fiscal correspondente no país de origem), firma, natureza jurídica, sede, CAE e o endereço de email indicado;
2. Informação parcial referente aos beneficiários efetivos identificados, abrangendo o seu nome completo, mês e ano de nascimento, nacionalidade, país de residência e o interesse económico detido – o motivo pelo qual foi identificado enquanto beneficiário efetivo.

Para efetuar esta consulta basta indicar o NIPC – apesar de existir também um campo para introdução do código de acesso ao RCBE -, e a prática comum ser a de o fazer com recurso a ambos os elementos. Na verdade, a necessidade do preenchimento de ambos os campos não é evidente, pois é possível efetuar uma consulta introduzindo apenas o NIPC, mas o mesmo já não é verdade se apenas for introduzido o código de acesso ao RCBE. Por outro lado, nos termos do art. 3.º da Portaria n.º 200/2019, “as entidades obrigadas (…) devem efetuar consultas ao RCBE após 31 de janeiro de 2020, exceto se às mesmas for disponibilizado, em momento anterior, o respetivo código de acesso”.

Significa isto que, contrariamente ao que ocorre hoje de forma comum, as entidades não têm de facultar o código de acesso ao RCBE. De facto, uma sociedade pode facultar o seu código de acesso ao RCBE – o que dispensa a consulta ao mesmo por parte de outras entidades -, ou não facultar o código de acesso, caso em que as entidades obrigadas terão de efetuar a consulta no portal através do respetivo NIPC.

O código de acesso ao RCBE pode ainda ser utilizado para proceder à confirmação anual da informação submetida. Nos termos do art. 15.º da Lei n.º 89/2017, “a confirmação da exatidão, suficiência e atualidade da informação sobre o beneficiário efetivo é feita através de declaração anual, até ao dia 15 do mês de Julho”, podendo a confirmação em causa ser efetuada em conjunto com a apresentação da informação empresarial simplificada (“IES”).

Esta obrigação foi dispensada durante o ano de 2020, pelo que apenas começará a ser exigível a partir de 2021. No entanto, existindo já esta função no portal RCBE, facilmente se verificam os seus moldes: bastará inserir o NIPC da entidade e o código de acesso ao RCBE, e é automaticamente gerada uma página que contém a totalidade das informações e dados pessoais submetidos na declaração de beneficiário efetivo – incluindo moradas e documentos de identificação, assim como qualquer documento que o declarante tenha anexo à declaração.

• Riscos da disponibilização do código de acesso ao RCBE

Atendendo ao que acima se expôs sobre os meios de utilização do código de acesso ao RCBE, há uma primeira e inevitável conclusão: nenhuma entidade está legalmente obrigada a disponibilizar o código de acesso ao RCBE. Até mesmo perante entidades que se encontram obrigadas a confirmar que as obrigações declarativas foram cumpridas, essa confirmação pode ser efetuada mediante recurso apenas ao NIPC.

Por outro lado, a disponibilização do código de acesso ao RCBE – que hoje se tornou já perfeitamente corrente – permite a terceiros consultar a totalidade da informação submetida, guardar e arquivar a mesma, e mesmo afetar o conteúdo da declaração inicial. Contudo, julgamos que a possibilidade de afetar a declaração é um problema diminuto, já que a pessoa que o fizer ficará registada como declarante, e como tal, será responsável pela validade das informações que introduziu.

O principal problema, a nosso ver, é que os elementos que permitem uma consulta (NIPC e código de acesso) são exatamente os elementos necessários para se proceder à confirmação anual da informação submetida. De facto, inserindo o NIPC e código de acesso ao RCBE na “confirmação anual”, qualquer pessoa com um certificado digital pode visualizar a totalidade da informação submetida – e não a versão restrita das informações que fica disponível pelo meio legalmente previsto para consultar a informação.

Ou seja, os elementos que permitem efetuar a consulta são exatamente os mesmos elementos que permitem ultrapassar qualquer restrição aplicável quanto à informação submetida – sendo possível visualizar a informação completa quanto aos membros dos órgãos de administração, quanto aos sócios/acionistas, bem como quanto aos beneficiários efetivos, incluindo dados pessoais referentes aos documentos de identificação ou mesmo as suas moradas.

A isto acresce (e agrava) o facto de este mecanismo permitir superar as restrições decorrentes de pedidos de restrições de acesso. Estes pedidos, previstos no art. 22.º da Lei n.º 89/2017, permitem uma limitação do acesso à informação introduzida quanto a um ou mais beneficiários efetivos. Para tal, pode ser feita uma exposição a explicar os motivos que levam à necessidade de restringir o acesso, que se limitam a casos de risco de fraude, rapto, extorsão, violência, intimidação, ou no caso de o beneficiário efetivo ser menor ou incapaz. Apesar de este pedido de restrição de acesso ter de ser aprovado, durante a pendência dessa aprovação e após a sua aprovação, a informação sobre os beneficiários efetivos está ocultada das consultas no portal RCBE – sendo apenas possível aceder à informação referente à própria entidade.

Ora, o que se verifica é que a consulta permite apenas a verificação de alguma informação sobre os beneficiários efetivos de determinada entidade. Verifica-se também que, em certos casos de risco, a lei permite que seja omissa toda a informação submetida sobre os beneficiários efetivos. Contudo, com recurso aos mesmos elementos – NIPC e código de acesso – estas restrições podem ser ultrapassadas e a totalidade das informações submetidas quanto aos beneficiários efetivos pode ser visualizada (bem como a das restantes pessoas singulares identificadas como sócios ou membros de órgãos de administração).

Em suma, a partilha do código de acesso ao RCBE com terceiros é perigosa e é mais perigosa do que parece à primeira vista. É certo que tendo o código de acesso ao RCBE, qualquer pessoa poderia alterar o mesmo para informações incorretas. Parece-nos, porém, que o risco mais importante decorre da possibilidade de aceder à totalidade das informações e documentos anexos, ultrapassando até as proteções legais previstas para casos absolutamente excecionais.

Face à possibilidade de consulta apenas com recurso ao NIPC da entidade e aos riscos que acima se descreveram, julgamos que a disponibilização do código de acesso ao RCBE apenas deve ocorrer em último caso, quando indispensável e face a eventuais circunstâncias de bloqueio que se verifiquem na situação concreta. De outra forma, as informações e dados pessoais para as quais a Lei prevê meios de defesa, ficam totalmente vulneráveis a quem pretenda aceder às mesmas.