• 17/01/2025 18:30

‘Reacción en cadena en Compliance’ – Ganadora Galardón “Memorial José Manuel Maza” 2024

Tiempo estimado de lectura: 34 minutos, 48 segundos
blog

ASCOM presenta uno de los dos artículos ganadores del Galardón “Memorial José Manuel Maza” de la edición 2024.

Reacción en cadena en Compliance: El impacto de la Directiva CS3D, el auge del Compliance penal medioambiental, investigaciones internas ESG y eventuales responsabilidades derivadas

Valvanera Campos Sáenz de Santa María 

1. DIRECTIVA CS3D: EL PUNTO DE INFLEXIÓN

 

El auge de las cadenas de valor globalizadas ha permitido a las empresas, entre otros aspectos, abastecerse o trasladar sus principales centros de trabajo a países menos rigurosos, por posible miedo a desalentar a inversores extranjeros, en materia de Derechos Humanos y Medioambiente, elementos que impactan negativamente en las garantías laborales y, por ende, conducen a una reducción considerable de los costes asociados, lo que genera un beneficio directo para las empresas.

 

En este sentido, la Unión Europea lleva años impulsando iniciativas legislativas que buscan impulsar un marco regulatorio que eviten este tipo de situaciones. Así, hemos visto como estamos ante un periodo de vital importancia para las organizaciones al pasar de obligaciones de reporte (derivadas de la Directiva CSRD[1], en la que 2024 ha sido un año clave) a una obligación de gestión (derivada de las obligaciones y plazos de transposición de la Directiva CS3D[2]).

 

Si bien el concepto de diligencia debida ya existía en estándares nacionales e internacionales en materia de Compliance[3], como veremos en el presente artículo, la Unión Europea busca ir más allá estableciendo obligaciones específicas y vinculantes para las organizaciones.

 

1.1. Introducción

 

Así, tras un proceso legislativo de dos años y medio, se publicó el catalizador final en materia de diligencia debida con terceros: la Directiva (UE) 2024/1760 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, sobre diligencia debida de las empresas en materia de sostenibilidad (en adelante, CSDDD o CS3D)[4], entrando en vigor de manera escalonada en los próximos años (Véase Anexo I de este documento).

 

Mediante la publicación de este texto se establece, por fin, un marco regulador que obliga a reforzar la postura empresarial en materia de diligencia debida[5] en los ámbitos de los Derechos Humanos y medio ambiente, tanto en sus operaciones propias como en aquellas en las que tienen influencia, sobre las directrices internacionales de Naciones Unidas y la OCDE[6].

 

Grandes organizaciones[7] ya venían tiempo atrás llevando a cabo este tipo de diligencia en su cadena de actividades[8], sin embargo abarcar todo el proceso requerido alineado con la Directiva (UE) – desde la recopilación de datos hasta el seguimiento y monitorización de la cadena de actividades  global, la gestión y mitigación de riesgos, la creación de declaraciones de diligencia debida, su integración en los informes existentes e instauración de planes de transición ecológica – constituye un reto importante para cualquier tipo de organización, incluso si ya estaba familiarizada con acciones de diligencia debida externa. Así, llevar a cabo estas acciones requieren una estrategia global que incluya la comprensión de los solapamientos entre las distintas normativas y la implantación de sistemas que puedan abordar todos los requisitos simultáneamente.

 

1.2. Principales obligaciones previstas en la Directiva CS3D

 

La Directiva (UE) recoge como definiciones principales en su artículo 3, algunos conceptos esenciales para entender el alcance de las obligaciones que dispone el texto europeo.

 

Por su extensión, véase algunos de los conceptos de mayor interés recogidos en el Anexo II del presente documento, así como el ámbito de aplicación (tener en cuenta que el actual ámbito de aplicación se ha modificado sustancialmente desde la propuesta inicial) y plazos de transposición.

 

Así, las entidades incluidas en el ámbito de aplicación (recogidas en el Anexo I) deben afrontar en este nuevo horizonte, a corto-medio plazo, diversas medidas para gestionar los impactos adversos reales y potenciales de sus actividades sobre los Derechos Humanos y el Medio ambiente, derivados de (i) sus propias operaciones, (ii) las operaciones de sus filiales y (iii) las operaciones de sus socios comerciales en su cadena de actividades, salvo excepciones como las entidades financieras reguladas.

 

Las obligaciones de medios, no de resultados, que establece la Directiva (UE) pueden recapitularse en las siguientes:

  • Adoptar un enfoque “basado en el riesgo” para la debida diligencia en materia de Derechos Humanos y medio ambiente (artículo 5);
  • Integrar la debida diligencia en todas las políticas y sistemas de gestión de riesgos pertinentes (artículo 7);
  • Identificar y evaluar los impactos adversos reales o potenciales y, cuando sea necesario, priorizar los impactos adversos reales y potenciales (artículos 8 y 9);
  • Prevenir y (cuando no sea posible o inmediatamente posible) mitigar los posibles impactos adversos; y poner fin a los impactos adversos reales y minimizar su alcance (artículos 10 y 11);
  • Proporcionar reparación para los impactos adversos reales (artículo 12);
  • Llevar a cabo una participación significativa de las partes interesadas (artículo 13);
  • Establecer y mantener un mecanismo de notificación y un procedimiento de reclamaciones con respecto a efectos adversos reales o potenciales en los Derechos Humanos y el medio ambiente (artículo 14);
  • Supervisar la eficacia de la política y las medidas de diligencia debida (artículo 15);
  • Comunicar públicamente sobre la debida diligencia, en su página web (artículo 16);
  • Adoptar y poner en marcha un plan de transición climática[9] (artículo 22); y Designar un representante autorizado[10] (artículo 23).

En este sentido, es de interés citar lo establecido principalmente en los Considerandos (19) y (50) donde el legislador europeo entiende que las entidades obligadas no puedan garantizar que no se producirán impactos adversos ni que siempre se evitarán, pero sí se espera que adopten “medidas apropiadas” que sean capaces de lograr los objetivos de la diligencia debida.

 

Esas medidas incluyen la elaboración y aplicación de un plan de acción de prevención; la búsqueda de garantías contractuales de los socios comerciales acompañadas de medidas para verificar el cumplimiento; la prestación de apoyo específico y proporcionado de los socios comerciales pyme[11]; entre otras.

De manera específica, la Directiva (UE) prevé un artículo propio para grupos de empresas “Apoyo a la diligencia debida a nivel de grupo” (Artículos 7 a 16).

 

1.3. Comprobación de un tercero independiente

 

Sin perjuicio de lo dispuesto en otros artículos de la Directiva (UE)[12], las entidades obligadas podrán utilizar la comprobación por un tercero independiente en sus cadenas de actividades.

 

La propia Directiva (UE) prevé que la Comisión emitirá más adelante directrices por las que se fijen unos criterios de adecuación y una metodología para evaluar la idoneidad de los terceros comprobadores, así como directrices para supervisar la exactitud, la eficacia y la integridad de la comprobación por terceros.

 

1.4. Seguimiento y evaluaciones periódicas: al menos, cada doce (12) meses

 

Igualmente, la Directiva (UE) hace hincapié en la obligatoriedad de llevar a cabo evaluaciones periódicas de sus propias operaciones y medidas, de las de sus filiales y, cuando estén relacionadas con la cadena de actividades de la empresa, de las de sus socios comerciales, con el fin de evaluar su aplicación y supervisar la adecuación y eficacia de las actividades de detección, prevención, mitigación, eliminación y minimización del alcance de los efectos adversos.

 

Esas evaluaciones se basarán, según proceda, en indicadores cualitativos y cuantitativos y se llevarán a cabo sin demora injustificada cuando tenga lugar un cambio significativo y al menos cada doce meses y siempre que existan motivos fundados para pensar que pueden surgir riesgos nuevos de que se produzcan esos efectos adversos.

 

En este sentido, la necesidad de evaluación ante circunstancias sobrevenidas o la periodicidad fijada coincide, en términos generales, con el benchmark de mercado relativo a periodo de tiempo asumido voluntariamente por las grandes organizaciones, en materia de Compliance penal.

 

1.5. Publicidad en la página web

 

Las entidades obligadas por la presente Directiva (UE), deberán informar de los aspectos regulados por la misma mediante la publicación en su sitio web de una declaración anual, que se publicará no más tarde de doce meses a partir de la fecha de cierre del balance del ejercicio presupuestario correspondiente a la declaración o, en el caso de empresas que proporcionen información de manera voluntaria de conformidad con la Directiva 2013/34/UE, a más tardar en la fecha de publicación de los estados financieros anuales.

 

En este sentido, el propio artículo 16 de la Directiva CS3D establece que la Comisión deberá dar pautas para el establecimiento del contenido y criterios para la presentación de este tipo de información.

 

1.6. Posibles vías de responsabilidad derivadas de la Directiva

 

Las organizaciones que no cumplan con las obligaciones impuestas por la Directiva (UE) podrán ser objeto de consecuencias (civiles) por parte de las autoridades designadas por los Estados miembros para supervisar el cumplimiento de esta normativa.

 

En este sentido, la naturaleza y alcance de este régimen de responsabilidad civil se trataba de uno de los puntos más inciertos durante el debate de aprobación del texto.

 

Mientras que el texto propuesto inicialmente por la Comisión incluía un sistema de responsabilidad objetiva, la posición tanto del Consejo como del Parlamento acabo prevaleciendo, estableciendo el concepto de responsabilidad civil culposa o negligente. Véase el definitivo artículo 29 de la Directiva (UE):

“a) la empresa haya incumplido, de forma deliberada o por negligencia, las obligaciones establecidas en los artículos 10 y 11(…)”

De hecho, el texto introduce una cláusula final a tener en cuenta:

“Una empresa no podrá ser considerada responsable cuando el daño haya sido causado únicamente por sus socios comerciales en su cadena de actividades.”

De esta forma, se introduce expresamente la exoneración de responsabilidad civil en caso de probar que el daño causado (humano o ambiental) proviene exclusivamente de un socio de negocio, sin intervención o participación alguna por la organización. Si bien esta exoneración es lógica y bien recibida, en la práctica puede plantear algunas dificultades.

 

La primera de ellas puede identificar a priori de manera concreta la clara separación entre actividades la organización y su socio de negocio, sobre todo atendiendo a i) el tipo de negocio que se trate; ii) el articulado no distingue en esta ocasión entre socios directos o indirectos, entendiéndose que se tratan tanto de socios comerciales directos como indirectos iii) el daño reputacional que pueda conllevar a la organización.

 

Seguidamente, el artículo 29, establece disposiciones específicas para los casos en los que exista responsabilidad de las filiales o socios de negocios directos o indirectos:

“La responsabilidad civil por daños de las empresas derivada de la presente disposición se entenderá sin perjuicio de la responsabilidad civil de sus filiales o de cualquier socio comercial directo o indirecto en la cadena de actividades de la empresa.

Cuando los daños hayan sido causados conjuntamente por la empresa y su filial, socio comercial directo o socio comercial indirecto, serán responsables solidariamente, sin perjuicio de las disposiciones del Derecho nacional relativas a las condiciones de la responsabilidad solidaria y a los derechos de repetición.

  1. Las normas de responsabilidad civil establecidas en la presente Directiva no limitarán la responsabilidad de las empresas en virtud de los ordenamientos jurídicos de la Unión o nacionales y se entenderán sin perjuicio de las normas de la Unión o nacionales en materia de responsabilidad civil relacionadas con los efectos adversos para los Derechos Humanos o el medio ambiente que exijan responsabilidad en situaciones no contempladas por la presente Directiva o que establezcan una responsabilidad más estricta que la presente Directiva.”

Por último, a destacar, el cumplimiento de lo dispuesto en la Directiva (UE) también podría considerarse un criterio para la adjudicación de contratos públicos y concesiones.

 

1.6.1. Responsabilidad de los administradores

 

Tal y como recordaran los seguidores del texto inicial de esta Directiva (UE), a lo largo del proceso legislativo fueron suprimidas del texto las dos disposiciones específicas que contemplaban el deber de diligencia de los administradores y su eventual responsabilidad derivada del incumplimiento de las obligaciones de diligencia debida.

 

Si bien, eso no significa que no se impongan en el texto actual obligaciones que merecen la supervisión y aprobación directa por el órgano de administración de las organizaciones afectadas.

 

1.7. Acciones reparadoras

 

Cuando cualquier entidad haya causado, por sí misma o conjuntamente, un efecto adverso real, debe repararlo[13]. Véase la definición de «reparación» que otorga la propia Directiva (UE) en el Anexo II del presente documento.

 

La responsabilidad civil por daños de las empresas se entenderá sin perjuicio de la responsabilidad civil de sus filiales o de cualquier socio comercial directo o indirecto en la cadena de actividades de la empresa. Cuando la entidad haya ocasionado los daños y perjuicios conjuntamente con una filial o un socio comercial, la responsabilidad será solidaria, sin perjuicio del derecho nacional.

 

La entidad afectada también puede recurrir a su capacidad de influir en el socio comercial que haya causado o contribuido a causar el efecto adverso para posibilitar su reparación.

 

1.8. Al margen de la Directiva (UE). El eventual papel de la tecnología en el seguimiento de las cadenas de actividades: a vueltas con la IA

 

Expuesto todo lo anterior, es conocido en el mercado las dificultades que pueden encontrar muchas organizaciones para llevar a cabo estas tareas de manera diligente, entre otras, la complejidad de seguimiento de las cadenas de valor por su difícil trazabilidad, la insuficiencia, o falta de claridad en la información que en ocasiones pueden aportar sus socios de negocio, o los propios costes del seguimiento de su cadena de valor.

 

En este sentido, las organizaciones pueden plantearse cambios en su estructura organizativa, como i) apostar por cambiar el alcance de sus cadenas de suministros (alcance más regional) y, otras muchas, ii) están apostando por la tecnología y la captación de datos en tiempo real como alternativa para monitorizar y dar una respuesta rápida ante las disrupciones.

 

En el primer supuesto, véase el Estudio Global realizado por PwC[14] y como entidades han transformado sus cadenas de suministros para protegerse contra la escasez de materiales, entre otras situaciones.

 

Por otro lado, como han optado y siguen haciendo la mayoría de las organizaciones, optar el seguimiento de la cadena de actividades de grandes organizaciones a través de recursos tecnológicos[15] – muchos de ellos nutridos por IA – facilita la supervisión, actualización continua de los controles asociados a los principales riesgos, alertas normativas que pueden tener impacto en cambios en la evaluación de riesgos a nivel local etc. pueden ayudar a las empresas a gestionar las complejidades de las obligaciones europeas de diligencia debida.

 

En este ámbito, el uso de tecnología no sólo facilitaría acometer todas las acciones requeridas, sino que también podría proporcionar a la organización información valiosa que puede impulsar la toma de decisiones estratégicas en materia de gobernanza.

 

Sin embargo, de optarse por estos recursos tecnológicos no debe olvidarse la organización de proceder a tener en cuenta los mismos a la hora de llevar a cabo el ejercicio de evaluación de riesgos, como recuerda el propio Reglamento (UE) de Inteligencia Artificial y recientemente el DoJ en su última actualización del documento Evaluation of Corporate Porgrams[16]:

(…) How does the company assess the potential impact of new technologies, such as artificial intelligence (AI), on its ability to comply with criminal laws? (..) What is the company’s approach to governance regarding the use of new technologies such as AI in its commercial business and in its Compliance program? How is the company curbing any potential negative or unintended consequences resulting from the use of technologies, both in its commercial business and in its Compliance program? (…)”

 

1.9. Déjà vu en Compliance: obligaciones CS3D y estándares de Compliance

 

En la práctica, en el ámbito del Compliance, el término de debida diligencia (interna y externa) hace referencia a todos aquellos procedimientos de análisis y verificación de los criterios de “selección y mantenimiento de las relaciones de las personas que se vinculan con la organización, de modo que su comportamiento esté alineado con los valores de aquélla, incluyendo, lógicamente, el respeto a las leyes y los estándares éticos[17].

Así, no es extraño que algunas de las principales obligaciones[18] de diligencia debida que establece la Directiva (UE), presenten claros paralelismos con Sistemas de gestión de Compliance basados en buenas prácticas[19]:

 

a) Políticas esenciales en Compliance penal

Los artículos 5 y 7 de la Directiva (UE) establecen la necesidad de contar con una política de diligencia debida “basada en el riesgo[20], un Código de Conducta en el que se describan las normas y principios que deben seguirse en toda la empresa y sus filiales, así como los socios comerciales directos o indirectos de la organización. Es decir, herramientas imprescindibles en todo sistema de Compliance[21] como, contar con bases de integridad a la hora de realizar un seguimiento de sus eventuales socios de negocio.

 

b) Risk Assessment. Detección de los efectos adversos (reales o potenciales)

Los artículos 5 y 8 de la Directiva (UE) establecen que las organizaciones deberán detectar los efectos adversos reales o potenciales sobre los Derechos Humanos y el Medio ambiente que deriven de sus propias actividades, de sus filiales o de sus socios de negocio[22].

En este sentido, se prestan evidentes paralelismos a la exigencia del art. 31 bis 5 del CP español relativo a la identificación de “las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”. De nuevo, la Norma UNE 19601 en su apartado 6.2 “Evaluación de los riesgos penales” recoge esta premisa con mayor grado de detalle[23].

 

c) Adopción de medidas

Es decir, el establecimiento de medidas preventivas adecuadas como los propios controles que se prevén en un Sistema de gestión de Compliance penal alineado con la Norma UNE 19601[24].

Así, es una buena práctica elaborar un plan de acción para priorizar los grupos que entrañan un mayor riesgo (personal especialmente expuesto, en terminología UNE), o en palabras de la propia Directiva (UE), para referirse a la prevención de efectos adversos potenciales “planes de acción preventiva”.

 

d) Canales de denuncia y las inquietudes fundadas en diligencia debida

Además, de nuevo alineado con elementos esenciales en Compliance penal, la Directiva (UE) recoge la necesidad de las organizaciones de contar con canales de denuncias internos para, en palabras de la Directiva (UE) “exponer inquietudes fundadas a través de canales de fácil acceso[25]. De nuevo, es evidente el paralelismo tanto en España, con el artículo 31 bis 5 del Código Penal español, la Norma UNE 19601[26], como con los requisitos más básicos del estándar ISO 37002:2021 Whistleblowing management systems — Guidelines.

 

Además, la propia Directiva (UE) incluye en su artículo 30 que el contenido de la Directiva (UE) será de aplicación lo dispuesto en la Directiva (UE) Whistleblowing, aplicándose las garantías de la Ley de Protección al Informante sobre esta tipología de denuncias.

 

e) Verificación periódica

Tal y como hemos visto en epígrafe anterior de este artículo[27], la Directiva (UE) establece la necesidad de realizar evaluaciones periódicas cada doce meses de la aplicación de medidas de diligencia debida a efectos de verificar los efectos adversos.

 

Consideración similar podemos encontrar en los elementos básicos de todo Sistema de Compliance respecto a su necesidad de verificación a intervalos planificados, eso sí, sin determinar el estándar un periodo específico sugerido.

 

1.10. Otros textos de referencia

 

1.10.1. Ley francesa sobre el deber de vigilancia de las empresas (LOI n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre[28]

 

La Ley francesa sobre el deber de vigilancia de las empresas fue la primera legislación a nivel mundial que contempló, como obligación vinculante, el principio de deber de vigilancia por parte de las entidades multinacionales (incluyendo sus filiales, proveedores y subcontrataciones). Paralelamente, la Ley aborda la complejidad jurídica de las empresas multinacionales, así como las diferentes relaciones comerciales con socios de negocio.

 

Asimismo, la conocida bajo el nombre de Ley Sapin II, ya establecía la necesidad de contar con procedimientos de homologación de terceros: procesos due diligence sobre terceros (proveedores, clientes e intermediarios), adaptando las diligencias a adoptar según los distintos perfiles de riesgo de los socios de negocio.

 

1.10.2. Ley alemana de debida diligencia en la cadena de suministro (Lieferkettensorg-faltspflichtengesetz[29])

 

Al igual que la iniciativa francesa, esta iniciativa legislativa, anterior a la Directiva (UE), marcaba un paso significativo hacia la responsabilidad corporativa y la salvaguardia de los Derechos Humanos dentro de las cadenas de suministro globales.

 

El mérito de la Ley alemana, en vigor desde enero de 2023, radicaba en su enfoque exhaustivo de la diligencia debida, que exige, no solo a las empresas alemanas y sus filiales, sino también incluye un enfoque extraterritorial, detectar, prevenir y mitigar los riesgos ambientales y de Derechos Humanos en sus redes de suministro.

 

1.10.3. Más allá de la UE: US National Action Plan on Responsible Business Conduct (2024)[30]

 

Pese a ser un texto reciente, no hay nada en el U.S. National Action Plan on Responsible Business Conduct (en adelante NAP) que haga referencia a la Directiva CS3D. Sin embargo, a través del NAP, US se compromete a una serie de iniciativas clave para mejorar el nivel de respeto de Derechos Humanos y estándares mínimos de diligencia debida de las empresas estadounidenses.

 

En este sentido, el NAP establece que las empresas deben: i) implementar procesos para identificar riesgos potenciales en sus cadenas de suministro que puedan afectar los Derechos Humanos y el medio ambiente; ii) desarrollar y aplicar medidas para prevenir y mitigar estos riesgos; iii) continuamente monitorear y evaluar la efectividad de las medidas; iv) ser transparentes en sus prácticas y reportar públicamente sobre sus resultados en materia de debida diligencia; v) trabajar con proveedores y otras partes interesadas para mejorar las prácticas a lo largo de la cadena de suministro.

 

Así, la Directiva europea es más específica en cuanto a las obligaciones legales y la responsabilidad civil de las empresas, mientras que el NAP de US proporciona una guía más general.

 

Por último, óbice en el escenario de Compliance estadounidense, el ya citado documento del DoJ[31] que establece como elemento esencial, a tener en cuenta los fiscales estadounidenses a la hora de evaluar todo programa de Compliance, la diligencia debida con terceros “E. Third Party Management”.

 

2. EL AUGE DE LOS PROGRAMAS DE COMPLIANCE PENAL MEDIOAMBIENTAL

 

En la próxima década, se espera que los riesgos ambientales acaparen los principales riesgos que enfrenta el planeta[32].

Ante esta situación, las iniciativas legislativas, nacionales y supranacionales, están optando por poner en marcha regulaciones sobre sostenibilidad más estrictas.

 

No ajeno a esta realidad, el pasado 30 de abril de 2024 se publicó la Directiva (UE) 2024/1203 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, relativa a la protección del medio ambiente mediante el Derecho penal[33]. A través de este texto se busca reforzar la protección del medio ambiente mediante el Derecho penal, estableciendo una serie de delitos y penas que actualizan y reemplazan las Directivas anteriores.

 

La Directiva (UE) reforma los delitos en materia medioambiental, incluye definiciones más amplias y reconoce una extensa gama de actividades que, potencialmente, pueden causar daños sustanciales al medio ambiente o acelerar el cambio climático, la pérdida de biodiversidad y la degradación ambiental. En concreto, se amplía el número de conductas constitutivas de delito ambiental, de nueve (9) a veinte (20) tipos penales, incorporando nuevas categorías de delitos como el tráfico de madera[34] o la extracción ilegal de agua.

 

No obstante, no se recoge expresamente la categoría de “ecocidio”, como reclamaba el Parlamento Europeo, aunque sí la de “delito cualificado”, para este tipo de conductas.

 

Así, esta Directiva (UE) prevé penas específicas, más estrictas, tanto para personas físicas como para personas jurídicas. Las personas jurídicas también serán responsables por delitos ambientales cometidos por personas físicas, atendiendo mismos criterios similares descritos en nuestro Código Penal español, descritos en el artículo 6 de la Directiva (UE) de tal forma que:

 

“Las personas jurídicas puedan ser consideradas responsables por los delitos a que se refieren los artículos 3 y 4 cuando tales delitos hayan sido cometidos en beneficio de dichas personas jurídicas por cualquier persona que ocupe una posición directiva en la persona jurídica de que se trate, ya actúe a título individual o como parte de un órgano de dicha persona jurídica, basándose en:

 

a) un poder de representación de la persona jurídica,

 

b) una autoridad para tomar decisiones en nombre de la persona jurídica, o

 

c) una autoridad para ejercer un control dentro de la persona jurídica.

 

  1. Los Estados miembros adoptarán las medidas necesarias para garantizar que las personas jurídicas puedan ser consideradas responsables cuando la falta de supervisión o control por parte de la persona a que se refiere el apartado 1 haya hecho posible que una persona bajo su autoridad cometa en beneficio de la persona jurídica alguno de los delitos a que se refieren los artículos 3 y 4.”

Como curiosidad, el Considerando (33) de la Directiva (UE) tiene en cuenta que no todos los ordenamientos de los Estados miembros reconocen la responsabilidad penal de la persona jurídica.

 

Las sanciones y medidas aplicables a personas jurídicas responsables de delitos ambientales que se establecen en la Directiva (UE) pueden llegar a ser las siguientes:

 

  • Multas proporcionales a la gravedad del delito (artículo 7.3): la Directiva (UE) establece que la multa máxima podrá ascender hasta el 5% del volumen de negocios total de la persona jurídica en cuestión o 40 millones de euros.
  • Medidas accesorias (artículo 7.2): (i) restauración del medio ambiente o indemnización por daños; (ii) prohibición de prestaciones o ayudas públicas; (iii) prohibición de acceder a financiación pública; (iv) inhabilitación temporal o permanente para ejercer actividades empresariales; (v) retirada de permisos y autorizaciones; (vi) supervisión judicial; (vii) disolución judicial de la entidad; (viii) cierre de los establecimientos utilizados para cometer el delito; (ix) obligación de establecer programas de diligencia debida para mejorar el cumplimiento de las normas medioambientales; (x) publicación de la resolución judicial y sanciones impuestas, cuando exista interés público.

En este sentido, es importante destacar como el propio Considerando (59) de la Directiva (UE) establece que:

 

“Los Estados miembros deben adoptar las medidas adecuadas —como campañas de información y concienciación dirigidas a las partes interesadas pertinentes de los sectores público y privado, así como programas de investigación y educación— para reducir los delitos medioambientales en general y el riesgo de delincuencia medioambiental. Cuando proceda, los Estados miembros deben actuar en colaboración con dichas partes interesadas.

 

En ese contexto, las medidas destinadas a mejorar la prevención de los delitos medioambientales podrían incluir las siguientes:

promover los programas de cumplimiento normativo y diligencia debida;

alentar a los operadores a contar con responsables de cumplimiento normativo que ayuden a garantizar el cumplimiento del Derecho medioambiental de la Unión;

– y fomentar la transparencia con el fin de reforzar el cumplimiento del Derecho penal medioambiental.

 

Asimismo, las penas accesorias impuestas a las personas jurídicas en virtud de la presente Directiva podrían incluir la obligación de que las empresas en cuestión implanten programas de diligencia debida para mejorar el cumplimiento de las normas medioambientales, lo que también contribuye a prevenir nuevos delitos medioambientales.

 

Además, los Estados miembros podrían considerar la creación de un fondo para apoyar medidas de prevención relativas a los delitos medioambientales y sus consecuencias devastadoras.”

 

Como vemos, hay varios matices expresos que son de vital importancia a la hora de entender tanto el Considerando como el artículo 7 citado de la Directiva (UE), que no hacen más que confirmar el auge del Compliance penal en la esfera medioambiental.

 

En este sentido, hemos visto como la Directiva (UE) considera expresamente, como ejemplo de medidas adecuadas, la dotación por las organizaciones de programas[35](con esta denominación el texto europeo parece que adopta la denominación estadounidense a los también conocidos como modelos de Compliance) de cumplimiento normativo, así como contar con la figura del Responsable de Cumplimiento Normativo (Compliance Officer) en el seno de las organizaciones. Igualmente, el citado Considerando acusa estos matices tanto para el sector privado como para el sector público[36], siendo este último en la actualidad, en general, un sector más rezagado en materia de Compliance.

 

Por último, en el citado Considerando, se señala la eventual creación de fondos específicos para fomentar la dotación de programas[37] de Compliance a las organizaciones que deban o deseen apoyar medidas de prevención relativas a los delitos medioambientales.

 

Así, tras la publicación este 2024 del texto final de esta Directiva (UE), antes del 21 de mayo de 2026 podremos observar cambios legislativos en el marco jurídico penal de los Estados miembros en lo que respecta a incluir los nuevos, y ampliados, tipos penales previstos como delitos medioambientales, así como poner mayor énfasis en los programas o sistemas de gestión de Compliance en este tipo de casuísticas.

 

3. WHO CARES WINS vs. GREENWASHING

 

3.1. Who Cares Wins

Como sabemos, un entorno empresarial robusto en Compliance sirve por sí mismo como evidencia de una cultura basada en principios de sostenibilidad. Actualmente, estamos en un momento de puesta en valor de la función de Compliance, no solo entendido en su visión más tradicional como un mecanismo de defensa de la persona jurídica, sino por las sinergias del rol moderno de Compliance que supone a los objetivos de desarrollo sostenible, a los principios de ESG.

En este sentido, ya se puso de manifiesto tiempo atrás en el conocido informe de la Organización de Naciones Unidas bajo el título “Who Cares Wins”[38] en el cual se refleja los beneficios económicos que puede conllevar para las organizaciones la concienciación en cuestiones de ESG, y especialmente el impacto en los stakeholders en la adecuada gestión de los riesgos asociados a objetivos ESG.

 

3.2. Greenwashing

El conocido como fenómeno greenwashing no ha dejado de evolucionar a lo largo de los años[39]. Con el auge de los criterios ESG este fenómeno de fraude ecológico toma una forma cada vez más elaborada, dejando atrás simulaciones burdas que podían ser fácilmente detectadas.

Así, el modus operandi de este fraude ecológico consiste en revelar información engañosa en materia de sostenibilidad. En la versión clásica, las propias organizaciones llevarían a cabo afirmaciones ecológicas que falsearan parcialmente la verdad de su situación o simplemente fueran falsas.[40].

En variantes más sofisticadas, las entidades presionan, financian o incluso cofinancian terceras partes, aparentemente independientes, que manifiestan afirmaciones deseadas por la organización a través de un índice o una clasificación, pero las ONGs se enfrentan a fuentes de financiación volátiles y corren el riesgo de ser influenciadas.

 

3.3. Green Claims

Ante esta situación, y perfeccionamiento de estas técnicas de greenwashing, el pasado 17 de enero de 2024, el Parlamento Europeo dio luz verde a la Propuesta de Directiva del Parlamento Europeo y del Consejo de 22 de marzo de 2023, relativa a la justificación y comunicación de alegaciones medioambientales explícitas (Propuesta de Directiva sobre Green claims)[41], que pretende combatir el blanqueo ecológico o greenwashing en la Unión Europea, de forma complementaria a la Directiva anterior. Estas Directivas tienen como antecedentes la Directiva sobre prácticas comerciales desleales y la Directiva sobre publicidad engañosa y publicidad comparativa, incorporadas al Derecho español mediante la Ley 29/2009, de 30 de diciembre por la que se modifica el régimen legal de la competencia desleal y de la publicidad para la mejora de la protección de los consumidores y usuarios.

 

La Directiva sobre el Empoderamiento de los Consumidores y la Propuesta de Directiva sobre “Green Claims[42]” vienen a dar un paso más, ampliando el alcance no sólo de las anteriores Directivas, sino también de normativas nacionales, con el fin de abordar en profundidad la problemática de las afirmaciones o alegaciones medioambientales y los sistemas de etiquetado ambiental de manera directa, estableciendo normas específicas que, hasta la fecha, no existían.

 

Visto lo anterior, es cada vez más frecuente que sean las propias organizaciones las que, a través de su autorregulación interna, intenten gestionar autónomamente este tipo de incumplimientos para poder gestionar el posible impacto de los posibles incumplimientos detectados.

 

4. INVESTIGACIONES INTERNAS ESG

 

4.1. Concepto y naturaleza moderna de las investigaciones internas.

En la actualidad, el concepto de investigación interna engloba muchos tipos de investigaciones dentro de las organizaciones. De hecho, en la práctica podemos ver como el término “investigación interna” puede llevar a equívoco, dado que en ocasiones las investigaciones no son ni si quiera de asuntos internos de la organización, sino determinados hechos que pueden acreditar una mala praxis de un miembro de la organización o un problema derivado de actuaciones fuera de la organización.

 

Así las cosas, es habitual encontrarnos con investigaciones que i) ni tienen porque ser internas; ii) ni tienen porque servir al propósito de un eventual proceso penal. En este último matiz nos encontramos con investigaciones internas relacionadas con diversas casuísticas, como, laboral, ciberseguridad, fiscal o relacionadas con cuestiones de sostenibilidad.

 

Esta variedad de investigaciones es una de las expresiones más evidentes de una robusta cultura corporativa de cumplimiento (como se refleja en la Circular 1/2016[43]) al demostrar que las organizaciones voluntariamente se convierten en un buen ciudadano corporativo[44] que asume voluntariamente la diligencia de investigar sin necesidad de estar sometidos a un proceso judicializado.

 

En el presente artículo, es intención de la autora aunar la atención del lector en el auge de investigaciones internas relacionadas con los conceptos de sostenibilidad.

 

Como se ha intentado introducir en apartados anteriores, la importancia de la demanda de sostenibilidad empresarial es cada vez más crítica, ya que, por un lado, cada año se incrementan las obligaciones legales en esta materia y, por otro lado, las partes interesadas exigen mayor transparencia y responsabilidad a las organizaciones.

 

Antes de adentrarnos en los elementos diferenciales de una investigación interna ESG, la dificultad de este tipo de investigaciones radica en conocer el concepto y la ejecución de las investigaciones transfronterizas (cross-border) y best practices establecidas en el ámbito internacional.

 

4.2. Investigaciones cross-border y mejores prácticas internacionales generalmente aceptadas.

En comportamientos, y especialmente derivados de cadenas de actividades globalizadas, puede ser habitual adentrarse en investigaciones que van más allá de las fronteras de un solo legislador o autoridad judicial.

 

Así, debemos comenzar por entender qué se entiende por investigaciones cross-border. Se entiende que podemos hablar de investigaciones internas cross-border en aquellos casos en los que nos podemos encontrar con que los hechos objeto de la investigación hayan acaecido en varios países o bien han tenido implicaciones transfronterizas[45].

 

La coordinación de las investigaciones transfronterizas puede depender de la propia organización, mediante su sede central y sus filiales locales, o incluso de varias entidades con poderes de control y ejecución que cooperen entre sí para realizar actuaciones en el marco de la investigación.

 

Los principales retos que pueden plantear este tipo de investigaciones transfronterizas parecen obvios. Distintos países, distintas regulaciones, pudiendo estos factores convertirse en verdaderos obstáculos para preservar la legalidad de la investigación interna transfronteriza que sea llevada a cabo.

 

Como es frecuente en Compliance, en el ámbito de las investigaciones internas también se toma como referencia la experiencia norteamericana para encontrar las primeras pautas en la materia. En este sentido, desde la publicación del documento “Best Practices for Corporate Internal Investigations by Criminal Division” publicado por el DoJ en 2015[46], ha existido una preocupación creciente por las organizaciones a nivel global a la hora de identificar cómo afrontar sus investigaciones internas en materia de Compliance con mayor rigor.

 

En España, además del análisis del Código Penal y la Circular de la Fiscalía, la Ley de Protección al Informante, por desgracia aunque si bien no era el objeto del texto legislativo, únicamente regula aspectos formales en el sector privado como el nombramiento del Responsable del Sistema Interno de Información, la confidencialidad, el plazo máximo para llevar a cabo la investigación, la necesidad de documentar las denuncias en el libro-registro, sus limitaciones en lo relativo a protección de datos y posibles medidas de protección con motivo de la denuncia ante la Autoridad Independiente de Protección al Informante.

 

Desde un punto de vista de soft law, en España la Norma UNE 19601 de Sistemas de gestión de Compliance penal sí refleja de manera expresa en su apartado 8.8 “Investigación de incumplimientos e irregularidades”.

 

4.2.1 Norma ISO 37008:2023, Internal investigations of organizations – Guidance

 

Como hemos visto, ante la ausencia de referentes normativos específicos en materia de investigaciones internas a nivel global, la Organización Internacional de Normalización (ISO) se hizo eco de esta necesidad existente, concluyendo el pasado mes de julio de 2023 con la publicación de la Norma ISO 37008:2023, Internal investigations of organizations – Guidance (en adelante, ISO 37008), complementándose perfectamente con el estándar anterior ISO 37002:2021,Whistleblowing management systems – Guidelines, (en adelante, ISO 37002)ambos estándares no certificables.

 

Como en cualquier investigación, las cuestiones ESG pueden resultar difíciles de investigar debido a varios factores, uno de ellos, como acabamos de ver, es los desafíos para los equipos de Compliance de las organizaciones en acometer investigaciones a nivel internacional.

 

Dependiendo de los hechos que se investiguen, el proceso de investigación puede tener que abordarse en cualquier parte del mundo donde la organización tenga presencia, pudiendo presentar complicaciones a la hora no solo de la recopilación de datos sino en la observancia de la normativa local en el país de referencia. De tal forma, la eventual falta de acceso o de seguimiento sistemático de los datos pertinentes a la acusación ESG (por ejemplo, pertinentes emisiones de restos combustibles), puede obligar a los investigadores a buscar fuentes de información alternativas y reunir los datos necesarios.

 

Así las cosas, el estándar ISO 37008 se presenta como una guía para la conducción de investigaciones internas en cualquier tipo de organización – en este sentido, como no podía ser de otra manera, la Norma ISO 37008 mantiene el principio de proporcionalidad de cada organización –. Si bien, esta guía es un primer paso muy esperado, se puede observar cómo su contenido tiene vocación de reflejar un marco muy general, al tratarse de una guidance, estableciendo unos principios esenciales que deben estar presentes en toda investigación a escala global, sin llegar a detallar cuestiones jurídicas fundamentales intrínsecas a todas las investigaciones que requiere de un conocimiento profesional y adaptado al marco de cada investigación.

 

En cuanto a los principios básicos que la Norma ISO 37008 se enumeran los siguientes:

 

  • Independencia. Entendido como ausencia de presiones a los investigadores (tanto externas, por ejemplo, autoridades, como internas, por ejemplo, la alta dirección de la organización);
  • Confidencialidad. Entendida en todos sus sentidos, incluyendo a cualquier persona que interviene en la investigación, por ejemplo, testigos o cualquier tipo de participación. En este sentido, es interesante destacar el principio need to know definido en la Norma ISO 37002[47].
  • Competencia y profesionalidad. El estándar pone el foco en las skills del equipo investigador y el expertise que debe estar presente en toda investigación.
  • Objetividad e imparcialidad. La ISO 37008 recalca la ausencia de conflictos de interés por el equipo investigador.
  • Legalidad y licitud. Si bien las investigaciones se circunscriben al entorno de la organización, es óbice investigar con la legalidad vigente en cada país, así como las distintas ramas del derecho existentes como derecho laboral, protección de datos etc., pensando en todo caso en su eventual aportación de las mismas a un proceso judicial y su posible tratamiento como evidencia alineada con el derecho procesal vigente de cada país.

Asimismo, el estándar global de investigaciones internas refleja la idoneidad de contar con una Política o Procedimiento relativo a las investigaciones internas que se lleven a cabo en la organización. En este sentido, es esencial destacar la presencia de esta normativa interna para que exista un marco previo y coherente presente en todas las investigaciones que se lleven a cabo, procurando así un orden y estructura uniforme, evitándose la discrecionalidad del investigador, la definición de las responsabilidades y competencias del equipo investigador y el deber de colaboración de todos los miembros de la organización.

 

Asimismo, el estándar ISO 37008 establece las fases típicas dentro de un proceso de investigación interna. Véase: (i) designar un equipo investigador; (ii) realizar una evaluación preliminar de los hechos (triaje); (iii) determinar el alcance de la investigación; (iv) diseñar un plan de investigación; (v) obtención y custodia de evidencias; (vi) entrevistas; (vii) informe final de la investigación; (viii) propuesta de medidas correctivas o de mejora; (ix) evaluación de un self discloure (tanto a las autoridades como a los stakeholders); y (x) adopción de medidas correctoras y mejoras.

 

4.3. Investigaciones internas ESG: nuevo apellido, ¿mismo concepto?

 

Retomando la introducción inicial, lo que podemos denominar “investigaciones internas ESG” pueden surgir especialmente en organizaciones con cadenas de suministro diversificadas y globales.

 

Por lo general en la práctica empresarial se observa un aumento en las investigaciones de ESG centradas en las preocupaciones relacionadas con incumplimientos o cuestiones medioambientales, vinculadas con Derechos Humanos como la esclavitud moderna, incluido el trabajo infantil, el trabajo forzoso y/o cualquier cuestión relacionada con los Derechos Humanos de aquellos intervinientes a lo largo de toda la cadena de actividades.

 

A su vez, estas cuestiones ESG están intrínsecamente vinculadas a preocupaciones ya conocidas como prácticas corruptas y otros fraudes relacionados con estos incumplimientos. Por ello, podemos afirmar que, aunque estos pueden ser la “nueva” tendencia donde las empresas están poniendo el foco, generalmente están vinculados a fraudes más tradicionales como la falta de divulgación de temas ESG relevantes, el encubrimiento de métricas relacionadas con ESG o ilícitos de mayor gravedad relacionado con vulneraciones de Derechos Humanos.

 

Pese a la aparente especialización de este tipo de investigaciones, las investigaciones internas en materia ESG responden a un denominador común como cualquier investigación interna: evitar y/o controlar internamente las posibles consecuencias en caso de probar el incumplimiento reportado.

 

Así, las posibles consecuencias de no cumplir con las obligaciones ESG pueden ser extensas, debido a las numerosas regulaciones que obligan a las empresas a rendir cuentas. Por ejemplo, las infracciones de la norma anti-greenwashing de la FCA del Reino Unido podrían dar lugar a sanciones regulatorias, y a la hora de prevenir el delito de fraude en la ECCTA podría dar lugar a sanciones penales para los directores y las empresas, incluido el fraude ESG. También se esperan sanciones de hasta el 10% de la facturación global y multas para las personas físicas a quienes incumplan el UK Competition and Markets Authority Green Claims Code.

 

Por ende, las organizaciones que no disponen de capacidad de reacción interna ante incumplimientos ESG, pueden sentir la sombra que se cierne sobre ellas relativa al daño reputacional que podría llevar a problemas de continuidad de negocio de calado ante la pérdida de confianza de las partes interesadas que sostienen sus cimientos.

 

En esencia, las investigaciones relacionadas con ESG, al igual que toda investigación interna, deben seguir la misma metodología y ser coherentes con las directrices generales de investigación de la organización – preferiblemente, alineadas con mejores prácticas internacionales, como hemos visto en el apartado anterior–.

 

Las investigaciones relacionadas con ESG también tienen elementos adicionales que considerar, incluido el uso de expertos en la materia cuando se trata, por ejemplo, con entrevistados que podrían ser menores de edad, un equipo de investigación multifuncional versado en el idioma local y las normas culturales, especialistas ambientales, así como contar con un equipo de investigadores con la experiencia necesaria trabajando en otros países, es decir, elementos la mayoría coincidentes con investigaciones cross-border abordadas ad supra en el presente artículo[48].

 

Las investigaciones relacionadas con ESG también deben realizarse poniendo el foco en un fin principal, la remediación o reparación del daño.

 

Los elementos esenciales de una investigación interna son la planificación de la investigación, la recopilación y el análisis de la información y la presentación de informe final de las conclusiones obtenidas al órgano de gobierno para la eventual adopción de medidas y responsabilidades derivadas.

 

En investigaciones ESG, en la fase de planificación de la investigación, será fundamental asegurarse de que participe un experto en la materia de ESG para ayudar a identificar posibles fuentes de información relevantes para las acusaciones. Al recopilar información, las empresas deben tener en cuenta que los custodios de la información relevante para una investigación de ESG pueden ser más amplios que los de una investigación de fraude financiero típica y que los controles sobre la información relacionada con ESG pueden no ser tan rigurosos como los controles sobre la información financiera. En la etapa de presentación de informes, puede ser esencial ser consciente de que las acusaciones de ESG a menudo tienen un componente de interés público y pueden requerir una respuesta pública de la organización. Por lo tanto, es importante asegurarse de que cualquier informe pueda resistir el escrutinio de varias partes interesadas.

 

Dicho lo anterior, se pueden recapitular algunos aspectos esenciales en este tipo de investigaciones:

 

  • Estas investigaciones tienen por objeto garantizar que las empresas están alineadas con las normas (nacionales, europeas y/o textos internacionales) pero también con aquellos compromisos voluntarios (commitment). Así, el fin último de estas investigaciones no será muy distinto a otros, procurar mitigar los riesgos asociados, actuales y futuros, presentar una cierta diligencia debida en materia de sostenibilidad.
  • Los factores medioambientales examinados en las investigaciones ligadas a criterios ESG incluyen la defensa de los Derechos Humanos en toda su cadena de actividades, la huella de carbono de las organizaciones, la gestión de residuos, el uso de recursos y cualquier tipo de impacto medioambiental de sus actividades en general. De esta forma, las organizaciones procurarán investigar cualquier conducta contraria sus principios medioambientales.
  • La realidad empresarial es consciente que la sociedad actual, y posibles inversores, examina cómo gestionan las empresas sus relaciones con sus Las investigaciones internas ayudan a no perder de vista y continuar evaluando las condiciones existentes en las prácticas laborales, la salud y seguridad de los empleados, y la adhesión de los Derechos Humanos de todos los trabajadores que forman parte de su cadena de actividades.
  • La gobernanza examina el liderazgo corporativo, los controles internos y los derechos de los accionistas. Por ello, las investigaciones que se realizan en este ámbito también se centran en la composición y las prácticas de los consejos de administración, la remuneración de los ejecutivos, la paridad en cargos directivos, las medidas y controles en materia anticorrupción y el cumplimiento de las normas legales y éticas autoimpuestas por la organización. Una investigación interna de este tipo confirmara la existencia (o no) de una gobernanza eficaz en el seno de la misma.
  • Estas investigaciones deberían estar encomendadas a personal con expertise en la materia para que las conclusiones de las actuaciones llevadas a cabo puedan aportar un grado elevado de fiabilidad y profesionalidad que ayuden a las empresas a identificar gaps esenciales en la cultura corporativa, descubrir riesgos potenciales y aplicar medidas correctoras. En este sentido, cada organización deberá reflexionar internamente entre la necesaria colaboración en el equipo investigador con el departamento de Compliance y departamento de Sostenibilidad (Health, Safety and EnvironmentHSE– o similares).
  • Más allá de estar alineados con la normativa obligatoria (requirements), unas prácticas ESG sólidas pueden llegar a aumentar el valor de mercado de una organización y su atractivo para los inversores[49]. Contar así con procedimientos internos establecidos previamente en los que se incluyan la posibilidad de realizar investigaciones internas en materia de ESG, con sus oportunas peculiaridades, no hará más que reforzar la buena imagen corporativa y delimitar las eventuales responsabilidades (tone at the top) del órgano de gobierno de la organización.

 

 5. CONCLUSIÓN

 

Las regulaciones en el ámbito ESG están aumentando y volviéndose más estrictas en todo el mundo. Es probable que muchas empresas se vean atrapadas a corto-medio plazo por requisitos específicos de debida diligencia. Así las cosas, incluso las pequeñas (o medianas) organizaciones que no están dentro del alcance de tales regulaciones probablemente verán sus cadenas de actividades u operaciones impactadas por requisitos regulatorios en los próximos años, a medida que entren en vigor regulaciones como la CS3D que puedan afectar a entidades de mayor tamaño que opera en efecto cascada con todos sus socios de negocio upstream and downstream.

 

Esta proliferación tanto de delitos medioambientales como de obligaciones sostenibles, junto con el creciente escrutinio por parte de consumidores, inversores y miembros de la organización, propulsa la puesta en valor de procesos de investigación interna en materia ESG, destapando y gestionándose internamente posibles incidentes relacionados con nuevos delitos medioambientales o prácticas de greenwashing. A través de esta gestión interna y especializada se pone en valor, tanto de cara a los stakeholders como en eventuales due diligence en materia de Compliance sobre la organización, la cultura de integridad sostenible, sin duda, un imperativo empresarial en los años venideros.

ANEXOS

 

ANEXO I.

 

Ámbito de aplicación de la Directiva CS3D.

 La entrada en vigor de la CD3D tuvo lugar el pasado 25 de julio de 2024, marcando el inicio del período de transposición para que los Estados miembros adopten leyes nacionales que transpongan las obligaciones de la Directivas (UE). Las organizaciones deberán estar tener conocimiento del presente calendario en que la aplicación de las obligaciones dispuestas en la Directiva (UE) les pueda ser de aplicación:

Sin embargo, las obligaciones de la Directiva CS3D sólo se aplicará a aquellas empresas de la UE y de fuera de la UE que cumplan los criterios pertinentes anteriores durante dos ejercicios financieros consecutivos (artículo 2.5 de la Directiva).

 

La Directiva (UE) también se aplica a las «empresas matrices últimas» de grupos de empresas de la UE y/o de fuera de la UE que, sean consideradas en conjunto como grupo, y cumplan los umbrales anteriores. Sin embargo, una empresa matriz última puede estar exenta si «tiene como actividad principal la tenencia de acciones en filiales operativas y no participa en la toma de decisiones de gestión, operativas o financieras que afecten al grupo o a una o más de sus filiales» y con la condición de que una de sus filiales de la UE esté designada para cumplir las obligaciones de la matriz en virtud de la Directiva (UE), y la matriz obtenga una exención de la autoridad supervisora ​​competente (artículo 2.3 y otro tipo de entidades también están exentas se prevén en el artículo 2.8. los fondos de inversión alternativos y los organismos de inversión colectiva en valores mobiliarios).

 

 

ANEXO II.

 

Definiciones.

 

«socio comercial»: una entidad

i) con la que la empresa tenga un acuerdo comercial relacionado con las operaciones, productos o servicios de la empresa o a la que la empresa preste servicios con arreglo a la letra g) («socio comercial directo»), o

ii) que no sea un socio comercial directo, pero que realice operaciones comerciales relacionadas con las operaciones, productos o servicios de la empresa («socio comercial indirecto»)

 

«cadena de actividades»:

i) las actividades de los socios comerciales que intervienen en los eslabones anteriores de la cadena de una empresa relacionadas con la producción de bienes o la prestación de servicios por parte de la empresa, incluidos el diseño, la extracción, el abastecimiento, la fabricación, el transporte, el almacenamiento y el suministro de materias primas, productos o partes de productos y el desarrollo del producto o del servicio, y

ii) las actividades de los socios comerciales que intervienen en los eslabones posteriores de la cadena de una empresa relacionadas con la distribución, el transporte y el almacenamiento de un producto de dicha empresa, cuando los socios comerciales lleven a cabo esas actividades para la empresa o en su nombre, excluyendo la distribución, el transporte y el almacenamiento de un producto que esté sujeto a controles de las exportaciones con arreglo al Reglamento (UE) 2021/821 o a controles de las exportaciones relacionadas con armas, municiones o materiales de guerra, tras la autorización de la exportación del producto;

 

«partes interesadas»:

 los empleados de la empresa, los empleados de sus filiales, los sindicatos y representantes de los trabajadores, los consumidores y otras personas, colectivos, comunidades o entidades cuyos derechos o intereses se vean afectados, o puedan verse afectados, por los productos, servicios y operaciones de dicha empresa, sus filiales y sus socios comerciales, incluidos los empleados, sindicatos y representantes de los trabajadores de los socios comerciales de la empresa, las instituciones nacionales medioambientales y de derechos humanos, las organizaciones de la sociedad civil entre cuyos fines se incluya la protección del medio ambiente, y los representantes legítimos de dichas personas, colectivos, comunidades o entidades;

 

«medidas adecuadas»:

las medidas que sean capaces de alcanzar los objetivos de diligencia debida abordando de forma efectiva los efectos adversos de un modo proporcionado en relación con el nivel de gravedad y la probabilidad del efecto adverso, y razonablemente a disposición de la empresa, teniendo en cuenta las circunstancias del caso concreto, incluidos la naturaleza y el alcance del efecto adverso y los factores de riesgo pertinentes;

 

«relación comercial»:

la relación de una empresa con un socio comercial;

 

«empresa matriz»:

 una empresa que controla una o más filiales;

 

«reparación»:

devolver a la persona o personas, las comunidades o el medio ambiente afectados a una situación equivalente o lo más similar posible a la que habrían tenido de no haberse producido el efecto adverso real, que guarde proporción con la implicación de la empresa en el efecto adverso, incluso mediante una compensación financiera o no financiera proporcionada por la empresa a la persona o personas afectadas por el efecto adverso real y, en su caso, el reembolso de los costes soportados por las autoridades públicas por cualquier medida reparadora necesaria;

 

«factores de riesgo»:

 los hechos, las situaciones o las circunstancias relacionados con la gravedad y la probabilidad de un efecto adverso, incluidos los hechos, las situaciones y las circunstancias a escala de empresa, ligados a las operaciones comerciales, geográficos y contextuales, relativos a los productos y servicios, y sectoriales;

Notas pie de página

[1] Directiva (UE) 2022/2464 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022por la que se modifican el Reglamento (UE) n. 537/2014, la Directiva 2004/109/CE, la Directiva 2006/43/CE y la Directiva 2013/34/UE, por lo que respecta a la presentación de información sobre sostenibilidad por parte de las empresas

[2] Directiva (UE) 2024/1760 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, sobre diligencia debida de las empresas en materia de sostenibilidad

[3] Apartado 8.2 de la Norma UNE 19601:2017, sobre Sistemas de gestión de Compliance penal y la Norma ISO 37001:2016, sobre Sistemas de gestión antisoborno, entre otros.

[4] Directive – EU – 2024/1760 – EN – EUR-Lex (europa.eu)

[5] Las obligaciones en virtud de la CSDDD se aplicarán además de otras obligaciones de diligencia debida más específicas o potencialmente más estrictas en virtud de otras leyes de la UE, como el Reglamento sobre minerales en conflicto, el Reglamento (UE) 2023/1542 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, relativo a las pilas y baterías y sus residuos y por el que se modifican la Directiva 2008/98/CE y el Reglamento (UE) 2019/1020 y se deroga la Directiva 2006/66/CE (Texto pertinente a efectos del EEE) Reglamento (UE)  del Parlamento Europeo y del Consejo relativo a la comercialización en el mercado de la Unión y a la exportación desde la Unión de determinadas materias primas y productos derivados asociados a la deforestación y la degradación forestal y el próximo Reglamento (UE) sobre trabajo forzoso.

[6] Directiva CS3D: 6 pasos para adoptar la diligencia debida – KPMG Tendencias

[7]  Homepage | UN Global Compact

[8] Sobre el debate la sustitución de la definición de “cadena de valor” por “cadena de actividades” adoptada en la Directiva (UE) Véase el Comunicado de prensa de 14 de diciembre de 2023: Directiva sobre diligencia debida de las empresas en materia de sostenibilidad: el Consejo y el Parlamento alcanzan un acuerdo para proteger el medio ambiente y los derechos humanos – Consilium (europa.eu)

[9] Las entidades que cumplan con la Directiva CSRD se considerarán que han cumplido con esta obligación según la CS3D. Si bien, el Considerando (73) recuerda que, aunque “se considere cumplida la obligación de adopción no impide que las empresas tengan aun así que cumplir su obligación de poner en práctica dicho plan de transición y de actualizarlo cada doce meses para evaluar los avances hacia sus objetivos”.

 

[10] Pudiendo ser persona física o jurídica establecida o domiciliada en uno de los Estados miembros en los que la entidad desarrolle su actividad.

[11] En este sentido, de interés citar lo dispuesto en el Considerando (55) para el caso de las pymes: “Las empresas también deben prestar un apoyo específico y proporcionado a las pymes que sean socios comerciales de la empresa cuando ello sea necesario en vista de los recursos, los conocimientos y las limitaciones de la pyme, en particular proporcionando o permitiendo el acceso al desarrollo de capacidades, la formación o la mejora de los sistemas de gestión y, cuando el cumplimiento del código de conducta o del plan de acción correctiva pudiera comprometer la viabilidad de la pyme, facilitando apoyo financiero específico y proporcionado, como financiación directa, préstamos a bajo interés, garantías de continuidad del aprovisionamiento o asistencia para obtener financiación”.

[12] Principalmente, 25 (“Competencias de las autoridades de control”), 26 (“Inquietudes fundadas”) y 29 (“Responsabilidad civil de las empresas y derecho a una indemnización íntegra”)

[13] Directamente vinculado con el conocido principio “quien contamina paga”.

[14] Reinventing Supply Chains 2030: PwC Survey: Reinventing supply chains to manage disruption

[15] International Institute for Sustainable Development (iisd.org)

[16]Evaluation Of Corporate Compliance Programs (Septiembre 2024) : https://www.justice.gov/criminal/criminalfraud/page/file/937501/dl?inline&trk=public_post_comment-text

[17] CASANOVAS, A. (2016) “Kit 4. Terminando de documentar el modelo y los procesos de diligencia debida”.

[18] El artículo 5 de la Directiva CS3D incluye una lista a priori de medidas concretas que deberán adoptar las empresas en el marco de este deber de diligencia.

[19] En este sentido, se ha de recordar como la Norma UNE 19601:2017 sobre Sistemas de gestión de Compliance penal, y de forma más amplia, la norma UNE ISO 37301 sobre Sistemas de gestión de Compliance ya preveían procedimientos específicos de diligencia debida a aplicar en las relaciones con clientes o proveedores.

[20] En este sentido, es conveniente citar la teoría del “Risk Based Approach”, teoría introducida por primera vez por la Financial Action Task Force (FATF) en 2007 a través de documento Guidance on the Risk-Based Approach, matizando y definiendo de forma más concreta la estrategia “risk –based” de la UK’s Financial Services Authority (FSA) recogida en el su documento A New Regulator for the New Millennium en la década de los noventa.

[21] Apartado 8.2. “Diligencia Debida” de la Norma UNE 19601 sobre Sistemas de gestión de Compliance penal, así como en mayor detalle en su Anexo B “Diligencia Debida” en especial, apartado B1 “Diligencia debida sobre socios de negocio”; Aparta.do 8.1 “Planificación y control operativo”.

[22] Entre otras cuestiones, se obliga a las empresas a: determinar la magnitud de los efectos adversos y daños que las actividades del grupo, o de sus socios comerciales, pueden causar.

[23] Igualmente merece mención el apartado B1 “Diligencia debida sobre el personal en posiciones especialmente expuestas”.

[24] Anexo D “Implementación del modelo de prevención penal en las filiales de la organización y en socios de negocio”, párrafo final.

[25] Artículo 26.1 de la Directiva (UE) “Inquietudes fundadas”.

[26] Apartado 8.7 “Comunicación de incumplimientos e irregularidades”.

[27] Vid. Apartado 1.4. del presente documento.

[28] LOI n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre (1) – Légifrance (legifrance.gouv.fr)

[29] Lieferkettensorg-faltspflichtengesetz

[30] 2024 United States Government National Action Plan on Responsible Business Conduct

[31]https://www.justice.gov/criminal/criminalfraud/page/file/937501/dl?inline&trk=public_post_comment-text

[32] Según el informe Riesgos Globales 2024 del Foro Económico Mundial: WEF_The_Global_Risks_Report_2024.pdf (weforum.org)

[33] BOE.es – DOUE-L-2024-80609 Directiva (UE) 2024/1203 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, relativa a la protección del medio ambiente mediante el Derecho penal y por la que se sustituyen las Directivas 2008/99/CE y 2009/123/CE.

[34] Como ya se recoge en otras legislaciones de Latino América, como es el caso de Chile.

[35] En este sentido, merece mención la diferenciación entre el concepto programas de Compliance y sistemas de gestión que realiza CASANOVAS A. (2021) en su libro Guía práctica de Compliance según la Norma ISO 37301:2021, p.33-34. “El transcurso de la última década muestra la evolución de los modelos de Compliance: primero, en forma de programas y recientemente, articulados como sistemas de gestión (…) Un programa de Compliance aglutina una serie de componentes considerados idóneos para alcanzar determinada finalidad. Un “sistema de gestión”, además de fijar estos elementos clave, pone énfasis en la interrelación que debe existir entre ellos y en la lógica que inviste al conjunto. En bastantes ocasiones, el sentido de estas relaciones radica principalmente en un enfoque basado en el riesgo”

[36] Considerando (12) de la Directiva (UE) “Dado que la presente Directiva establece normas mínimas, los Estados miembros pueden adoptar normas más estrictas, incluidas normas en materia de responsabilidad penal de los organismos públicos.”

[37] En este sentido, merece mención la diferenciación entre el concepto programas de Compliance y sistemas de gestión que realiza CASANOVAS A. (2021) en su libro Guía práctica de Compliance según la Norma ISO 37301:2021, p.33-34. “El transcurso de la última década muestra la evolución de los modelos de Compliance: primero, en forma de programas y recientemente, articulados como sistemas de gestión (…) Un programa de Compliance aglutina una serie de componentes considerados idóneos para alcanzar determinada finalidad. Un “sistema de gestión”, además de fijar estos elementos clave, pone énfasis en la interrelación que debe existir entre ellos y en la lógica que inviste al conjunto. En bastantes ocasiones, el sentido de estas relaciones radica principalmente en un enfoque basado en el riesgo”

[38] United Nations (2004) “Who Cares Wins.

[39] Ejemplos de noticias recientes de interés: California accuses Exxon of misleading public on plastic recycling (ft.com); Del ecopostureo al ‘greenhushing’: por qué las marcas prefieren ahora callar sus estrategias verdes (abc.es); Sostenibilidad: ¿por dónde va el escenario regulatorio actual? | Economía sostenible (expansion.com)

[40] Too good to be true: the greenwashers’ box of tricks

[41] EUR-Lex – 52022PC0143 – EN – EUR-Lex (europa.eu)

[42] Green claims – European Commission (europa.eu)

[43]Del mismo modo, la restitución, la reparación inmediata del daño, la colaboración activa con la investigación o la aportación al procedimiento de una investigación interna, sin perjuicio de su consideración como atenuantes, revelan indiciariamente el nivel de compromiso ético de la sociedad y pueden permitir llegar a la exención de la pena. Operarán en sentido contrario el retraso en la denuncia de la conducta delictiva o su ocultación y la actitud obstructiva o no colaboradora con la justicia.” Párrafo final del apartado “5.6. Criterios para valorar la eficacia de los modelos de organización y gestión”, Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015 (abrir_fiscalia.php (boe.es).

[44] Concepto anglosajón, referido en multitud de textos internacionales, entre ellos se cita a STRINE JR, L. E. (2023). «Good Corporate Citizenship We Can All Get Behind? Toward a Principled, Non-Ideological Approach to Making Money the Right Way.».

[45] ZABALA, CARLOS; y TRENDAFILOVA, SONIA, «Manual de investigaciones internas», Editorial

Thompson Reuters Aranzadi, 2021, pp.22-25

[46] DOJ Provides “Best Practices” for Corporate Internal Investigations (harvard.edu)

[47] CASANOVAS, A. (2023) Protección al informante: 7 errores a evitar – KPMG Tendencias.

[48] Vid. apartado 4.2. del presente documento

[49]  CHATTERJI A. K AND TOFFEL M.W, (2024): It’s Time to Unbundle ESG (hbr.org)

Si te ha interesado este contenido puedes acceder a más artículos ganadores del Galardón ‘Memorial José Manuel Maza’ en su biblioteca

La entrada ‘Reacción en cadena en Compliance’ – Ganadora Galardón “Memorial José Manuel Maza” 2024 se publicó primero en ASCOM.


Artículo de Sharon Arispe publicado en https://asociacioncompliance.com/reaccion-cadena-galardon-maza/