‘Reacción en cadena en Compliance’ – Ganadora Galardón “Memorial José Manuel Maza” 2024
ASCOM presenta el segundo de los dos artículos ganadores del Galardón "Memorial José Manuel Maza" 2024, redactado por Valvanera Campos
Reacción en cadena en Compliance: El impacto de la Directiva CS3D, el auge del Compliance penal medioambiental, investigaciones internas ESG y eventuales responsabilidades derivadas
Valvanera Campos Sáenz de Santa María
1. DIRECTIVA CS3D: EL PUNTO DE INFLEXIÓN
El auge de las cadenas de valor globalizadas ha permitido a las empresas, entre otros aspectos, abastecerse o trasladar sus principales centros de trabajo a países menos rigurosos, por posible miedo a desalentar a inversores extranjeros, en materia de Derechos Humanos y Medioambiente, elementos que impactan negativamente en las garantías laborales y, por ende, conducen a una reducción considerable de los costes asociados, lo que genera un beneficio directo para las empresas.
En este sentido, la Unión Europea lleva años impulsando iniciativas legislativas que buscan impulsar un marco regulatorio que eviten este tipo de situaciones. Así, hemos visto como estamos ante un periodo de vital importancia para las organizaciones al pasar de obligaciones de reporte (derivadas de la Directiva CSRD[1], en la que 2024 ha sido un año clave) a una obligación de gestión (derivada de las obligaciones y plazos de transposición de la Directiva CS3D[2]).
Si bien el concepto de diligencia debida ya existía en estándares nacionales e internacionales en materia de Compliance[3], como veremos en el presente artículo, la Unión Europea busca ir más allá estableciendo obligaciones específicas y vinculantes para las organizaciones.
1.1. Introducción
Así, tras un proceso legislativo de dos años y medio, se publicó el catalizador final en materia de diligencia debida con terceros: la Directiva (UE) 2024/1760 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, sobre diligencia debida de las empresas en materia de sostenibilidad (en adelante, CSDDD o CS3D)[4], entrando en vigor de manera escalonada en los próximos años (Véase Anexo I de este documento).
Mediante la publicación de este texto se establece, por fin, un marco regulador que obliga a reforzar la postura empresarial en materia de diligencia debida[5] en los ámbitos de los Derechos Humanos y medio ambiente, tanto en sus operaciones propias como en aquellas en las que tienen influencia, sobre las directrices internacionales de Naciones Unidas y la OCDE[6].
Grandes organizaciones[7] ya venían tiempo atrás llevando a cabo este tipo de diligencia en su cadena de actividades[8], sin embargo abarcar todo el proceso requerido alineado con la Directiva (UE) – desde la recopilación de datos hasta el seguimiento y monitorización de la cadena de actividades global, la gestión y mitigación de riesgos, la creación de declaraciones de diligencia debida, su integración en los informes existentes e instauración de planes de transición ecológica – constituye un reto importante para cualquier tipo de organización, incluso si ya estaba familiarizada con acciones de diligencia debida externa. Así, llevar a cabo estas acciones requieren una estrategia global que incluya la comprensión de los solapamientos entre las distintas normativas y la implantación de sistemas que puedan abordar todos los requisitos simultáneamente.
1.2. Principales obligaciones previstas en la Directiva CS3D
La Directiva (UE) recoge como definiciones principales en su artículo 3, algunos conceptos esenciales para entender el alcance de las obligaciones que dispone el texto europeo.
Por su extensión, véase algunos de los conceptos de mayor interés recogidos en el Anexo II del presente documento, así como el ámbito de aplicación (tener en cuenta que el actual ámbito de aplicación se ha modificado sustancialmente desde la propuesta inicial) y plazos de transposición.
Así, las entidades incluidas en el ámbito de aplicación (recogidas en el Anexo I) deben afrontar en este nuevo horizonte, a corto-medio plazo, diversas medidas para gestionar los impactos adversos reales y potenciales de sus actividades sobre los Derechos Humanos y el Medio ambiente, derivados de (i) sus propias operaciones, (ii) las operaciones de sus filiales y (iii) las operaciones de sus socios comerciales en su cadena de actividades, salvo excepciones como las entidades financieras reguladas.
Las obligaciones de medios, no de resultados, que establece la Directiva (UE) pueden recapitularse en las siguientes:
- Adoptar un enfoque “basado en el riesgo” para la debida diligencia en materia de Derechos Humanos y medio ambiente (artículo 5);
- Integrar la debida diligencia en todas las políticas y sistemas de gestión de riesgos pertinentes (artículo 7);
- Identificar y evaluar los impactos adversos reales o potenciales y, cuando sea necesario, priorizar los impactos adversos reales y potenciales (artículos 8 y 9);
- Prevenir y (cuando no sea posible o inmediatamente posible) mitigar los posibles impactos adversos; y poner fin a los impactos adversos reales y minimizar su alcance (artículos 10 y 11);
- Proporcionar reparación para los impactos adversos reales (artículo 12);
- Llevar a cabo una participación significativa de las partes interesadas (artículo 13);
- Establecer y mantener un mecanismo de notificación y un procedimiento de reclamaciones con respecto a efectos adversos reales o potenciales en los Derechos Humanos y el medio ambiente (artículo 14);
- Supervisar la eficacia de la política y las medidas de diligencia debida (artículo 15);
- Comunicar públicamente sobre la debida diligencia, en su página web (artículo 16);
- Adoptar y poner en marcha un plan de transición climática[9] (artículo 22); y Designar un representante autorizado[10] (artículo 23).
En este sentido, es de interés citar lo establecido principalmente en los Considerandos (19) y (50) donde el legislador europeo entiende que las entidades obligadas no puedan garantizar que no se producirán impactos adversos ni que siempre se evitarán, pero sí se espera que adopten “medidas apropiadas” que sean capaces de lograr los objetivos de la diligencia debida.
Esas medidas incluyen la elaboración y aplicación de un plan de acción de prevención; la búsqueda de garantías contractuales de los socios comerciales acompañadas de medidas para verificar el cumplimiento; la prestación de apoyo específico y proporcionado de los socios comerciales pyme[11]; entre otras.
De manera específica, la Directiva (UE) prevé un artículo propio para grupos de empresas “Apoyo a la diligencia debida a nivel de grupo” (Artículos 7 a 16).
1.3. Comprobación de un tercero independiente
Sin perjuicio de lo dispuesto en otros artículos de la Directiva (UE)[12], las entidades obligadas podrán utilizar la comprobación por un tercero independiente en sus cadenas de actividades.
La propia Directiva (UE) prevé que la Comisión emitirá más adelante directrices por las que se fijen unos criterios de adecuación y una metodología para evaluar la idoneidad de los terceros comprobadores, así como directrices para supervisar la exactitud, la eficacia y la integridad de la comprobación por terceros.
1.4. Seguimiento y evaluaciones periódicas: al menos, cada doce (12) meses
Igualmente, la Directiva (UE) hace hincapié en la obligatoriedad de llevar a cabo evaluaciones periódicas de sus propias operaciones y medidas, de las de sus filiales y, cuando estén relacionadas con la cadena de actividades de la empresa, de las de sus socios comerciales, con el fin de evaluar su aplicación y supervisar la adecuación y eficacia de las actividades de detección, prevención, mitigación, eliminación y minimización del alcance de los efectos adversos.
Esas evaluaciones se basarán, según proceda, en indicadores cualitativos y cuantitativos y se llevarán a cabo sin demora injustificada cuando tenga lugar un cambio significativo y al menos cada doce meses y siempre que existan motivos fundados para pensar que pueden surgir riesgos nuevos de que se produzcan esos efectos adversos.
En este sentido, la necesidad de evaluación ante circunstancias sobrevenidas o la periodicidad fijada coincide, en términos generales, con el benchmark de mercado relativo a periodo de tiempo asumido voluntariamente por las grandes organizaciones, en materia de Compliance penal.
1.5. Publicidad en la página web
Las entidades obligadas por la presente Directiva (UE), deberán informar de los aspectos regulados por la misma mediante la publicación en su sitio web de una declaración anual, que se publicará no más tarde de doce meses a partir de la fecha de cierre del balance del ejercicio presupuestario correspondiente a la declaración o, en el caso de empresas que proporcionen información de manera voluntaria de conformidad con la Directiva 2013/34/UE, a más tardar en la fecha de publicación de los estados financieros anuales.
En este sentido, el propio artículo 16 de la Directiva CS3D establece que la Comisión deberá dar pautas para el establecimiento del contenido y criterios para la presentación de este tipo de información.
1.6. Posibles vías de responsabilidad derivadas de la Directiva
Las organizaciones que no cumplan con las obligaciones impuestas por la Directiva (UE) podrán ser objeto de consecuencias (civiles) por parte de las autoridades designadas por los Estados miembros para supervisar el cumplimiento de esta normativa.
En este sentido, la naturaleza y alcance de este régimen de responsabilidad civil se trataba de uno de los puntos más inciertos durante el debate de aprobación del texto.
Mientras que el texto propuesto inicialmente por la Comisión incluía un sistema de responsabilidad objetiva, la posición tanto del Consejo como del Parlamento acabo prevaleciendo, estableciendo el concepto de responsabilidad civil culposa o negligente. Véase el definitivo artículo 29 de la Directiva (UE):
“a) la empresa haya incumplido,
