Las nuevas obligaciones de la Directiva de Sostenibilidad y Diligencia Debida, un reto para los ‘compliance officer’

El Posgrado en Compliance de la Universidad Carlos III de Madrid (UC3M) cumple diez años y la Universidad y la compañía KPMG llevan ya varios meses celebrándolo. Se trata de un posgrado pionero en la materia, organizado entre esta prestigiosa Universidad y una de las big four: KPMG Abogados.

Para celebrar esta efeméride, se organizó el pasado viernes —por parte de los codirectores del Posgrado, Alain Casanovas y Jacobo Dopico, y en colaboración con la Cátedra de Liderazgo y Diversidad de la UC3M, que dirige Carmen Paz-Aparicio— un evento dedicado a la nueva Directiva de Sostenibilidad y Diligencia Debida, aprobada tras muchas tensiones el año pasado. La inauguración corrió a cargo de Eva Blázquez, vicerrectora de Relaciones Institucionales, Cultura e Igualdad.

En este debate, ponentes como Mayrata Conesa, gerente de compliance y buen gobierno en Aenor; Paula García-Arango, chief compliance and corporate governance officer del Grupo ACS; José Manuel Honorato Vallejo, chief compliance officer de Técnicas Reunidas; y Eva Díez-Ordás Berciano, socia de Garrigues y miembro del Comité ESG (Garrigues Sostenible), moderados por Dopico y Casanova, explicaron cuáles son las nuevas obligaciones que las empresas deberán afrontar, así como la experiencia particular de cada una de sus empresas.

En esta interesante jornada, además de un nutrido público de distintas empresas, asistieron decenas de sus egresados, que hoy son profesionales del compliance y que trabajan en las principales empresas españolas de todos los sectores: desde la obra civil (FCC, Acciona, Engie, Globalvia, Técnicas Reunidas, etc.) a las entidades de crédito (Santander, BBVA, Caixabank, Sabadell, BNP), pasando por energéticas (Endesa, Red Eléctrica, Repsol), automoción (Volvo, Seat), salud (Sanitas, Asisa, HM Hospitales, Quironsalud) y, por supuesto, los más grandes despachos y las auditoras big four.

Jacobo Dopico, uno de los codirectores del curso, explica a Economist & Jurist cómo implica esta nueva Directiva, pensada para grandes empresas a las propias pymes: «En efecto, es así. Aunque la Directiva se aplica en sentido estricto a grandes empresas (más de 500 empleados y más de 150 millones de facturación neta, o más de 250 empleados y 40 millones en sectores de especial riesgo), lo cierto es que también afecta de un modo indirecto a las pymes que se encuentran en las cadenas de valor de estas grandes empresas».

Jacobo Dopico y Alain Casanovas, dos expertos en compliance que han formado a muchas generaciones de compliance officers. (Imagen: Universidad Carlos III)

Obliga también a las pymes

“Como las grandes empresas deben asegurarse de que sus proveedores y subcontratistas cumplan con los requisitos de la directiva en términos de derechos humanos y sostenibilidad, esto implica que, aunque las pymes no sean formalmente destinatarias de las obligaciones de la Directiva, deberán cumplir con ciertos estándares para seguir siendo parte de estas cadenas de suministro. El riesgo, pues, no es ‘cumple porque si no te sancionan’, sino ‘cumple porque, si no, pierdes a tus grandes clientes’, señala Dopico.

Sobre los principales cambios que van a afectar a las pymes, tras implementar esta Directiva de Diligencia Debida y Sostenibilidad, Dopico resalta que «las pymes son las grandes discriminadas en este proceso, porque resultan obligadas ‘indirectamente’ pero no se les proporcionan pautas que les den seguridad jurídica. En primer lugar, deberán poder ofrecer información detallada sobre sus prácticas de sostenibilidad: no ya a las autoridades, sino a las grandes empresas que sean sus clientes, que serán los que quieren poder acreditar que las cadenas de valor cumplen con los principios de la Directiva».

“Lógicamente, a una escala menor que las grandes empresas, tendrán que adoptar procedimientos y políticas que les permitan identificar, prevenir, mitigar y —en su caso— remediar los riesgos relacionados con derechos humanos y medioambiente, no sólo en sus operaciones, sino también en relación con sus cadenas de suministro. Y entre las obligaciones de diligencia debida estará requerir que sus propios suministradores acrediten su compromiso de cumplimiento de estos estándares”, prosigue.

Respecto a la trasposición en nuestro país, sabiendo que no somos especialmente diligentes en este tipo de actividades, este jurista señala que “nunca hay que perder la esperanza, pero lo cierto es que entre las muchas virtudes que nos adornan como Estado miembro, no está nuestra celeridad a la hora de cumplir con los plazos de trasposición de las Directivas”.

Al mismo tiempo, indica que “hay que tener en cuenta que está en marcha una nueva norma ómnibus de la Unión Europea que, entre otras cosas, pretende simplificar y unificar el régimen de obligaciones de la Directiva de Sostenibilidad y Diligencia Debida (CSDDD) con el de otras normas, como la Directiva de Información en materia de Sensibilidad (CSRD). Ello no apunta a que en estos momentos esté en las agendas de los Estados miembros iniciar una inminente trasposición”.

Eva Blázquez, vicerrectora de la Universidad señala el compromiso de la institución por la excelencia docente. (Imagen: Universidad Carlos III)

En cuanto a cómo va a influir esta diligencia debida en la gestión empresarial de las empresas, Dopico indica que “ la Directiva que tendrán que trasponer los Estados miembros establece una serie de obligaciones de prevención, mitigación y reparación que deberán ser introducidas en los modelos de gestión de las empresas. En principio, uno puede imaginar que esto no es nada nuevo, ya que los mapas de riesgos con los que ya cuentan las grandes empresas y buena parte de las medianas ya prevén supuestos como los que menciona la Directiva. Sin embargo, aquí hay factores nuevos muy específicos”.

Así, este jurista menciona, “en primer lugar, la necesidad de coordinación con los integrantes de las cadenas de valor de las empresas. Como hemos visto, para las empresas que suministran a las grandes empresas, supone una obligación de acompasarse a sus estándares si quieren seguir trabajando con ellas”.

Como segundo elemento, este experto señala “un aspecto transnacional muy importante: muchas veces, los riesgos para la sostenibilidad y los derechos humanos se dan en nuestro tráfico con empresas que están en otras jurisdicciones (o con nuestro tráfico en esas jurisdicciones): este aspecto añade complejidad al cumplimiento de estas obligaciones”.

En su opinión, «esa normativa va a exigir un esfuerzo a quienes trabajen en la función de cumplimiento. El mapeo de estos nuevos riesgos (no sólo en lo que se refiere a la acción de la propia empresa, sino a su aparición en la cadena de valor en filiales, o al interactuar con socios comerciales directos o indirectos, como dice el artículo 10 de la Directiva) tendrá que contar con los profesionales de compliance«.

Desde su punto de vista, la adopción de medidas preventivas debe integrarse en los mecanismos de compliance de la empresa. No obstante, si hablamos de empresas de un cierto tamaño, estas son tareas que no pueden recaer únicamente sobre los hombros del compliance. Como hemos oído en estas jornadas, las empresas grandes (y añadiré: particularmente las que operen en sectores de riesgo) están incorporando direcciones de sostenibilidad a sus estructuras de gobernanza”.

Después de la jornada, el consabido networking para hablar de compliance y hacer contactos entre los asistentes. (Imagen: Universidad Carlos III)

Respecto a la protección de la cadena de valor de la empresa, uno de los elementos que señala de esta directiva es que, “como sabemos, la Directiva únicamente obliga en sentido estricto a las grandes empresas. Son estas las que, para poder cumplir, deberán adoptar medidas de prevención y mitigación que implican a sus socios comerciales”.

A su juicio, “esto supone un modo de regulación especialísimo, que aprovecha la potencia comercial de las grandes empresas. Ahora, quienes quieran integrarse en su cadena de valor, deberán acompasarse al ritmo normativo que se marca para aquellas. Se trata de un modelo regulatorio que, hasta ahora, podíamos contemplar en determinados sectores muy concretos, pero que ahora se aplicará de modo general”.

Cuidar de la cadena de valor

Así, la Directiva obliga a las grandes empresas a “recabar de los socios comerciales directos garantías contractuales que avalen su cumplimiento del código de conducta de la empresa y, en su caso, con el plan de acción correctiva”, a “prestar un apoyo específico y proporcionado a las pymes que son socios comerciales de la empresa” cuando sea necesario para que éstas se adapten a los estándares preventivos; a verificar si un eventual efecto dañino se ha producido con intervención de un socio comercial, recuerda este jurista.

Otra de las misiones de esta directiva es la verificación de las obligaciones. Sobre cómo hacerlo, este experto advierte que “nos encontramos ante un ámbito de obligaciones nuevo para la mayoría de las empresas. Por ello, no es prudente confiar únicamente en nuestro criterio ni en el criterio de nuestros partners para determinar si en efecto se está cumpliendo con los requerimientos de la futura ley que trasponga la directiva”. “En este sentido, acudir a una third party opinion, como es la de una auditora externa, proporciona seguridad a los administradores”, comenta.

En cuanto la gestión de la responsabilidad civil que señala esta norma, indica que «los Estados velarán por que una empresa pueda ser considerada responsable de los daños causados a una persona física o jurídica cuando incumpla lo determinado en la norma. Según la directiva, si una empresa incumple dolosa o negligentemente sus deberes de prevención (art. 10) o eliminación (art. 11) de efectos dañinos a terceros, y por ello esos terceros sufren daños, entonces estará obligada a una indemnización íntegra. No obstante, esto sólo le afecta si es ella misma la incumplidora: no si quien incumple son otros socios comerciales que se integran en su cadena de valor».

En este sentido, concluye que “la Directiva ha sentado unos mínimos hacia un lado y hacia otro. Por una parte, los Estados no podrán imponer plazos de prescripción exiguos, que limitarían el acceso a la justicia de los perjudicados (el plazo mínimo es de 5 años: compárese con los brevísimos plazos de nuestra responsabilidad extracontractual). Por otra, no se podrá condenar a daños punitivos ni a compensaciones exageradas con intención ejemplarizante”.