Quando se fala em compliance, a atenção costuma se voltar para fora: clientes, fornecedores, parceiros. Mas e os riscos que vêm de dentro? Fraudes internas, conflitos de interesse não declarados, colaboradores em listas restritivas… tudo isso pode comprometer a operação, gerar sanções regulatórias e causar danos reputacionais severos. É aqui que entra o Know Your Employee (KYE).
Neste artigo, vamos explicar o que é KYE de verdade, muito além da certidão de antecedentes criminais, por que ele é indispensável para empresas reguladas e não reguladas, quais são os limites legais no Brasil, e como uma plataforma de compliance pode transformar esse processo.
O que é KYE, afinal?
KYE ou “Conheça Seu Funcionário” é o conjunto estruturado de processos que uma organização adota para verificar, qualificar e monitorar seus colaboradores ao longo de todo o ciclo do vínculo profissional: da seleção ao desligamento.
A lógica é a mesma do KYC (Know Your Customer), mas voltada para dentro. Se a empresa realiza diligência prévia sobre clientes e fornecedores para mitigar riscos de lavagem de dinheiro, fraude e corrupção, por que não aplicaria o mesmo rigor ao público que tem acesso direto a sistemas, dados sensíveis, recursos financeiros e decisões estratégicas?
O KYE não é sinônimo de background check. O background check é apenas um dos componentes. Importante, mas insuficiente quando aplicado de forma isolada. Um programa de KYE robusto opera em três fases, cobre múltiplas dimensões de risco e se calibra conforme a sensibilidade de cada função.
Por que a due diligence de colaboradores é importante?
Há uma tendência natural de subestimar o risco interno. Mas os números e os casos reais contam outra história.
Fraude interna é mais frequente e mais custosa do que se imagina. Colaboradores com acesso privilegiado a sistemas financeiros, bases de dados de clientes ou processos de aprovação podem causar prejuízos diretos, desde desvios de recursos até a facilitação de esquemas de lavagem de dinheiro. No setor financeiro, onde a regulação exige controles robustos, a ausência de KYE pode transformar a própria instituição em instrumento de ilícitos.
Conflitos de interesse não declarados corroem decisões. Um gestor de compras com participação societária num fornecedor. Um analista de crédito com vínculos familiares com um cliente. Um diretor com atividades externas concorrentes. Sem processos formais de identificação e declaração de conflitos, esses cenários passam despercebidos até que o dano esteja feito.
Riscos reputacionais e regulatórios. A contratação ou manutenção de pessoas envolvidas em escândalos, incluídas em listas restritivas ou com histórico de condutas incompatíveis com a função pode expor a empresa a sanções, multas e perda de licenças operacionais. Reguladores esperam que as instituições conheçam seus colaboradores tão bem quanto seus clientes e a alegação de desconhecimento não é aceita como defesa.
A evolução do risco ao longo do tempo. O perfil de risco de um colaborador não é estático. Alguém que era de baixo risco na contratação pode, ao longo dos anos, adquirir vínculos societários conflitantes, ser incluído em listas restritivas, passar a responder processos judiciais relevantes ou apresentar mudanças significativas na situação econômico-financeira. Um programa que verifica apenas na admissão e nunca mais revisita essas informações opera no escuro.
As três fases do KYE
Fase 1 — Pré-contratação
O KYE começa antes da formalização do vínculo. Nesta fase, a empresa avalia se o candidato apresenta riscos compatíveis ou incompatíveis com a função pretendida. Os principais componentes são:
Verificação de identidade: validação de documentos de identificação (CPF, RG, CNH), cruzamento com bases públicas e detecção de inconsistências cadastrais.
Validação de informações curriculares: confirmação de diplomas, certificações profissionais, experiências anteriores e referências. Estudos internacionais estimam que até 1 em cada 4 perfis de candidatos pode conter informações falsas ou infladas.
Screening contra listas restritivas e sanções: consulta a listas nacionais e internacionais de sanções (OFAC, ONU/CSNU, UE), e cadastros de impedimentos.
Pessoas Expostas Politicamente (PEPs): é essencial a consulta a bases atualizadas e completas de Pessoas Expostas Politicamente e suas relações. Caso sua empresa mantenha relações com o governo, por exemplo, é essencial mapear essas relações para evitar conflitos de interesse e riscos de corrupção.
Análise de conflitos de interesse: mapeamento de vínculos societários (via QSA/Receita Federal), relações familiares ou empresariais com clientes, fornecedores ou concorrentes da empresa, e participações em outras organizações que possam comprometer a imparcialidade.
Verificação de antecedentes criminais e judiciais: consulta a processos criminais, cíveis e trabalhistas, calibrada conforme a natureza da função e os limites da jurisprudência trabalhista.
Pesquisa de mídia adversa: análise de notícias, portais de informação e fontes públicas em busca de menções que indiquem envolvimento em atividades ilícitas, escândalos ou condutas incompatíveis, tomando o cuidado de não confundir o candidato com homônimos.
Classificação por nível de risco: a profundidade da verificação deve ser proporcional à sensibilidade da função. Um estagiário administrativo não precisa do mesmo nível de diligência que um diretor financeiro ou um analista de compliance com acesso a sistemas de monitoramento transacional.
Fase 2 — Durante o vínculo (monitoramento contínuo)
Esta é a fase mais negligenciada e mais crítica. O monitoramento contínuo transforma o KYE de um evento pontual em um programa vivo. Os componentes incluem:
Revalidação periódica contra listas restritivas e mídia adversa: monitoramento automatizado que detecta quando um colaborador passa a figurar em listas de sanções, é mencionado em notícias negativas ou sofre alterações relevantes em seu perfil de risco.
Declaração periódica de conflitos de interesse: formulários anuais (ou com periodicidade definida pela política interna) em que o colaborador declara vínculos societários, atividades externas, relações com stakeholders e quaisquer situações que possam comprometer sua imparcialidade.
Monitoramento de vínculos societários e relações: cruzamento contínuo de dados do colaborador com bases de fornecedores, clientes e parceiros da empresa, para identificar conflitos que surjam durante o vínculo. Um colaborador que se case com o dono de uma empresa fornecedora não poderá ser o responsável pela gestão deste contrato, para evitar conflitos de interesse e falta de objetividade na relação comercial.
Acompanhamento da situação econômico-financeira: em setores regulados, especialmente no financeiro, o monitoramento de sinais de alerta relacionados à evolução patrimonial incompatível com a renda é uma prática prevista nas normas de PLD-FT.
Gestão de presentes, hospitalidades e atividades externas: registro e aprovação de presentes recebidos ou oferecidos, convites, viagens patrocinadas e atividades comerciais paralelas.
Monitoramento de acessos e comportamento digital: controles de acesso baseados em função (joiner-mover-leaver), segregação de funções, detecção de acessos anômalos e revisão periódica de privilégios.
Treinamento e capacitação: programas periódicos sobre PLD-FT, código de ética, políticas anticorrupção e procedimentos internos, com registro de participação e avaliação de absorção.
Fase 3 — Desligamento (offboarding)
O KYE não termina com a rescisão contratual. A fase de offboarding inclui a revogação imediata de acessos a sistemas e informações, a atualização dos registros internos, a retenção de dados conforme prazos regulatórios (10 anos para instituições reguladas pelo BCB) e a análise de risco residual, especialmente para colaboradores que detinham acesso a informações estratégicas ou sensíveis.
Em quais casos o KYE é obrigatório no Brasil?
Setor financeiro — Circular BCB 3.978/2020
Este é o marco regulatório mais relevante. A Circular, nos artigos 56 a 58, estabelece de forma expressa a obrigatoriedade de procedimentos para conhecer funcionários, parceiros e prestadores de serviços terceirizados. As instituições devem: formalizar esses procedimentos em documento específico aprovado pela diretoria; classificar as atividades exercidas por funcionários nas categorias de risco definidas na avaliação interna; compatibilizar os procedimentos com a política de PLD-FT e a avaliação interna de risco; e manter os registros por no mínimo 10 anos após o encerramento do vínculo.
A Circular não prescreve um checklist fechado; ela adota a abordagem baseada em risco (ABR), o que significa que cada instituição deve calibrar a profundidade da diligência conforme seus próprios riscos. Isso se aplica a bancos, fintechs autorizadas, instituições de pagamento, corretoras e demais entidades autorizadas pelo BCB.
Mercado de capitais — Resolução CVM 50/2021
No âmbito da CVM, a regulação exige a seleção e o monitoramento de administradores, funcionários e prestadores de serviços relevantes, dentro da mesma lógica de abordagem baseada em risco. A diligência deve incluir o conhecimento contínuo desses profissionais como parte da política de PLD-FT.
Setor educacional — Lei 14.811/2024
Caso único de obrigação explícita de background check fora do setor financeiro. A lei determina que instituições de ensino que desenvolvam atividades com crianças e adolescentes exijam e mantenham certidões de antecedentes criminais de todos os colaboradores, com atualização semestral.
Lei 9.613/1998 — Lei de Lavagem de Dinheiro
Embora focada na relação com clientes, a lei pressupõe estruturas internas de governança e controle que, na prática, fundamentam a adoção de programas de KYE em todas as entidades obrigadas listadas no artigo 9º.
Quais são os limites legais? O que pode e o que não pode?
O KYE no Brasil opera numa zona de tensão entre três forças: a obrigação regulatória de conhecer seus colaboradores, o direito à privacidade e não discriminação (CF, CLT, Lei 9.029/1995), e a proteção de dados pessoais (LGPD). Entender esses limites é essencial para estruturar um programa que seja ao mesmo tempo robusto e juridicamente seguro.
O que é permitido (com justificativa proporcional)
Verificação de identidade e informações curriculares: amplamente aceita, desde que limitada ao necessário para a função.
Consulta a processos judiciais em bases públicas: processos criminais, cíveis e trabalhistas disponíveis em tribunais podem ser consultados. Atenção: não se pode usar a existência de reclamações trabalhistas anteriores como critério de exclusão pois isso configura “lista negra”, prática discriminatória. O mais relevante neste ponto é verificar processos nos quais o funcionário conste como parte passiva, ou seja, a parte que responde aos processos.
Screening contra listas de sanções, PEP e mídia adversa: não há vedação legal à consulta de listas públicas de sanções e bases de PEP. Para setores regulados, é obrigatório. Para os demais, o legítimo interesse (art. 7º, IX, LGPD) sustenta a prática, desde que documentado o critério de proporcionalidade.
Análise de conflitos de interesse e vínculos societários: consulta a bases públicas da Receita Federal (QSA), juntas comerciais e registros empresariais é plenamente viável. Declarações periódicas de conflitos são uma boa prática consolidada. Neste ponto, é importante contar com um sistema que faça o monitoramento de movimentações societárias e cruze bases internas para acompanhar mudanças e evitar conflitos ocultos ou não declarados.
Certidão de antecedentes criminais: permitida quando justificada pela natureza da função. O TST, em tese vinculante (IRR-243000-58.2013.5.13.0023), estabeleceu que a exigência é legítima quando amparada em previsão legal ou justificada pela natureza do ofício ou grau especial de fidúcia, como no caso de bancários e afins, cuidadores de vulneráveis, trabalhadores que lidam com armas, substâncias tóxicas ou informações sigilosas. Neste ponto, é altamente recomendável a participação do Jurídico ou de advogados externos para apoio no desenho da política e das réguas de risco, determinando limites de verificação e casos/cargos onde será realizada.
Pesquisa de mídia adversa em fontes públicas: aceita quando proporcional e com critérios claros. A análise de redes sociais deve se limitar a perfis públicos e informações profissionalmente relevantes.
O que é proibido ou de alto risco
Consulta a SPC/Serasa como critério de contratação — a jurisprudência dominante, especialmente após a LGPD, é restritiva. O TST já proibiu empresas de utilizar dados de proteção ao crédito para fins de contratação, sob o fundamento de que o uso dessas bases para finalidade diversa da proteção ao crédito é ilegal após a vigência da LGPD. A exceção: funções que envolvam diretamente manuseio de valores ou concessão de crédito, e mesmo assim com cautela.
Exigência de antecedentes criminais sem vínculo com a função: pode configurar dano moral presumido (in re ipsa), com indenização devida independentemente de o candidato ter sido ou não contratado.
Coleta de dados sensíveis sem base legal: informações sobre raça, opinião política, filiação sindical, convicção religiosa, orientação sexual, saúde, dados genéticos ou biométricos têm tratamento restrito pela LGPD (art. 11) e não podem ser coletadas em processos de KYE sem base legal específica.
Consentimento como base legal principal — nas relações de trabalho, o consentimento tende a ser considerado inválido pela assimetria de poder entre empregador e empregado. As bases legais mais adequadas para o KYE são o cumprimento de obrigação legal/regulatória (art. 7º, II, LGPD), a execução de contrato (art. 7º, V), e o legítimo interesse (art. 7º, IX), com a respectiva documentação.
Monitoramento invasivo de redes sociais: monitorar conteúdos privados ou usar informações de redes sociais para discriminação são práticas de alto risco jurídico.
Uso de informações como filtro discriminatório : qualquer dado obtido no KYE que seja usado para excluir candidatos com base em condição pessoal protegida (raça, gênero, religião, orientação sexual, deficiência, idade, situação familiar) viola a Constituição Federal, a CLT e a Lei 9.029/1995.
O papel da abordagem de risco
Um erro comum é tratar o KYE como um checklist padronizado. A legislação brasileira — tanto a Circular BCB 3.978 quanto a Resolução CVM 50 — exige justamente o contrário: uma abordagem baseada em risco, em que a profundidade da diligência varia conforme o nível de exposição de cada função.
Na prática, isso significa criar camadas de verificação, como nos exemplos fictícios abaixo:
Para funções de baixo risco (sem acesso a sistemas financeiros, dados sensíveis ou poder de decisão relevante): verificação de identidade, validação curricular básica e screening inicial contra listas restritivas.
Para funções de risco moderado (acesso a informações sensíveis, participação em processos de aprovação): inclui-se análise de conflitos de interesse, verificação de antecedentes judiciais e monitoramento periódico.
Para funções de alto risco (diretoria, compliance, tesouraria, administradores de sistemas, gestores de carteira): diligência aprofundada com verificação de evolução patrimonial, monitoramento contínuo contra listas e mídia, análise de negociações pessoais e vínculos societários.
Esse escalonamento não é apenas uma boa prática, é o que os reguladores esperam encontrar numa supervisão.
Como uma plataforma como a VAAS pode ajudar
A complexidade do KYE (múltiplas fontes de dados, periodicidades diferentes, classificação por risco, obrigação de documentação e audit trail) torna o processo manual inviável para qualquer operação que pretenda ser consistente e escalável.
Uma plataforma de compliance e due diligence como a VAAS permite centralizar e automatizar os componentes críticos do programa: consultas automatizadas a bases públicas e listas restritivas durante o onboarding e de forma recorrente; monitoramento contínuo com alertas configuráveis por nível de criticidade; cruzamento de dados de colaboradores com bases de fornecedores, clientes e parceiros para identificação de conflitos de interesse; classificação automatizada de risco por função, com regras customizáveis; geração de dossiês e relatórios auditáveis, prontos para supervisão regulatória; e integração com os fluxos de RH e compliance da organização.
Para instituições reguladas como fintechs, instituições de pagamento, PSAVs, corretoras, a plataforma garante que os procedimentos exigidos pela Circular BCB 3.978 e pela Resolução CVM 50 sejam cumpridos de forma documentada e rastreável. Para empresas não reguladas que desejam fortalecer sua governança, a VAAS oferece uma estrutura pronta para implementar um programa de KYE proporcional e em conformidade com a LGPD.
O resultado é um programa de KYE que não depende de planilhas, memória institucional ou esforço manual repetitivo — e que transforma a gestão de risco interno de reativa em preditiva.
Perguntas frequentes sobre PLD/FT
O KYE é obrigatório para todas as empresas no Brasil?
Não existe uma lei de aplicação geral que obrigue todas as empresas a adotar programas de KYE. A obrigatoriedade é setorial: instituições autorizadas pelo Banco Central devem cumprir os requisitos da Circular BCB 3.978/2020; participantes do mercado de capitais estão sujeitos à Resolução CVM 50/2021; e instituições de ensino que atuam com crianças e adolescentes devem atender à Lei 14.811/2024. Para os demais setores, o KYE é uma prática recomendada de governança e compliance, especialmente relevante para empresas que lidam com informações sensíveis, recursos financeiros ou atuam junto ao poder público.
Posso exigir certidão de antecedentes criminais de qualquer candidato?
Depende do componente e do setor. Para instituições reguladas, a base mais robusta é o cumprimento de obrigação legal ou regulatória (art. 7º, II). Para empresas não reguladas, o legítimo interesse (art. 7º, IX) é a principal base, mas exige documentação do teste de proporcionalidade. A execução de contrato (art. 7º, V) sustenta verificações inerentes à relação de trabalho. O consentimento não é recomendado como base principal, pois a assimetria de poder na relação empregatícia tende a invalidá-lo. Para dados sensíveis, as hipóteses do artigo 11 da LGPD devem ser observadas com rigor.
Qual base legal da LGPD devo usar para o programa de KYE?
O teste mais direto é a trilha de auditoria. Para qualquer decisão de risco, você consegue responder quem classificou, com base em quais dados e em qual data? Se a resposta depende de localizar uma planilha ou perguntar a um analista específico, a ABR está documentada mas não está operando na prática.
KYE se resume a background check na contratação?
De forma alguma. O background check é apenas um dos componentes da fase de pré-contratação. Um programa completo de KYE inclui monitoramento contínuo durante todo o vínculo, revalidação periódica contra listas restritivas e mídia adversa, declaração de conflitos de interesse, acompanhamento de vínculos societários, gestão de presentes e atividades externas, e controles de acesso. O risco associado a um colaborador não é estático: ele evolui ao longo do tempo, e o programa precisa acompanhar essa evolução.
