Por Adán Nieto Martín

 

Introducción

El término diligencia debida en derechos humanos se está abriendo hueco esforzadamente en el vocabulario jurídico tras la aprobación de los Principios rectores de Naciones Unidas en 2011 y la aparición de normas de diligencia debida en numerosos países. Entre las más cercanas debe mencionarse la Ley de vigilancia empresarial francesa de 2017 o la reciente Ley alemana de vigilancia debida en la cadena de suministro de 22 de Julio de 2021. El Parlamento europeo en Marzo de 2021 y la Comisión europea en Febrero del 2022 ha presentado un proyecto de Directiva que armonizaría y extendería las obligaciones de diligencia debida a la totalidad de los países de la UE. Por su parte, el gobierno español ha comenzado ya con la redacción de un Anteproyecto de Ley protección de derechos humanos, de la sostenibilidad y de la diligencia debida en las actividades empresariales.

El concepto de diligencia debida es uno de esos conceptos jurídicos camaleónicos, que cambian de color y contenidos dependiendo del contexto en el que se sitúe. En el caso de la diligencia debida en derechos humanos se trata claramente de cumplimiento normativo en derechos humanos. Una materia que para decirlo gráficamente se inserta dentro de la parte especial del cumplimiento normativo, al lado de la corrupción, el blanqueo de capitales etc.. Me ocuparé en primer lugar de aclarar este punto.

El cumplimiento normativo es una herramienta de gestión que trata de asegurar que directivos, empleados e incluso terceros que se relacionan con la organización, como proveedores o socios de negocio, respeten las normas legales que regulan su actividad o los compromisos éticos (autorregulación) que hayan asumido. El término respeto comprende también el compromiso de la organización, no sólo de prevenir, sino también de detectar las irregularidades y sancionarlas.  La diligencia debida, según la definición del Proyecto de Directiva de la UE (art. 1), consiste en la adopción de medidas proporcionadas para evitar que se produzcan efectos adversos para los derechos humanos y abordar adecuadamente tales efectos adversos cuando se produzcan en sus propias operaciones, de sus empresas filiales o la lo largo de la cadena de valor. Las similitudes son aún mayores cuando se desciende a los concretos contenidos de ambos conceptos: análisis de riesgos, política de empresa, códigos de conducta, revisión, canales de alerta etc…

 

Razones para no dar tratamiento diferenciado a las obligaciones de ‘due diligence’ o diligencia debida y a las de cumplimiento normativo

El que hasta ahora cumplimiento normativo y diligencia debida se perciban por algunos como cuestiones diversas – ha ocurrido lo mismo con la discusión entre integridad y cumplimiento normativo en el ámbito del public compliance –  atiende a diversos factores y al diverso origen de ambos instrumentos.

Aunque de manera equivocada, el cumplimiento normativo se entiende referido principalmente a normas de obligado cumplimiento y, muy especialmente, a normas penales. El cumplimiento normativo ha sido descubierto por la mayoría en relación a la responsabilidad penal de las personas jurídicas, como elemento que permite su defensa cuando un empleado comete un hecho delictivo. No obstante, pese a esta percepción extendida, los programas de cumplimiento sirven también para que la empresa u organización atienda a compromisos éticos que se derivan de sus propias normas de autorregulación o por ejemplo de su participación en acciones colectivas, que son frecuentes en materias como la corrupción, pero también en parcelas más desarrolladas con el respeto a los derechos humanos como la erradicación del trabajo infantil o esclavo.

Pese a esta idéntica misión, cuando descendemos a la forma en que se organizan las empresas, vemos que cumplimiento normativo y diligencia debida anidan en distintas ramas dentro de la organización de la empresa. El cumplimiento normativo suele ubicarse en los departamentos de auditoría y control interno o incluso ligado a la secretaria del consejo o a asesoría jurídica, por el contrario las cuestiones de derechos humanos, respeto al medio ambiente y sostenibilidad, se suelen vincular a  los departamentos de responsabilidad social corporativa. Ello tiene que ver seguramente con la distinción entre lo voluntario y lo obligatorio a la que antes se hacía referencia.

Este elemento diferenciador carece también de sentido. De un lado, porque los programas de cumplimiento como acabo de indicar también pueden ocuparse de compromisos asumidos voluntariamente por la empresa, que van más allá de lo legal, pero también porque la diligencia debida está dejando de ser algo opcional, al menos para las grandes empresas. Las leyes de diligencia debida que antes se señalaban no son normas de cumplimiento voluntario. La ley alemana establece importantes sanciones administrativas para las empresas que no implementen o implementen de manera defectuosa sus obligaciones de diligencia debida (§ 24), además de otras sanciones como la exclusión de la contratación pública, que también desde 2021 se incluye también en el código de la contratación pública francesa (Ley 2021-1104 de 22 de agosto). En la misma senda camina el proyecto de Directiva europea (art. 20), que además exige la creación de una autoridades independientes, nacionales y europeas, que supervisen la eficacia de las medidas adoptadas. Estas instituciones, sin que pueda detenerme ahora en ello, debe jugar un papel similar a las agencias anticorrupción. Pertenecen a una nueva generación de agencias administrativas cuya función es supervisar las normas de autorregulación de las que deben dotarse tanto organizaciones públicas como privadas.

Más allá de estas sanciones, que en realidad vendrían a castigar un defecto o ausencia de organización,  el Proyecto de Directiva (art. 22) y la Ley francesa establecen sin género de dudas que la infracción de las obligaciones de diligencia debida permite a sus víctimas presentar demandas civiles por responsabilidad civil extracontractual ante los tribunales. Esta es una tendencia que también se observa en países como  Reino Unido (Vedanta), Holanda (Kiobel III) sin contar la amplia experiencia que existe en los EEUU a partir de la Alien Tort Claims Act, cuya eficacia aunque limitada tras los asuntos Kiobel y Jesner, debe seguir teniéndose en cuenta.

Asimismo, son cada vez más numerosos los procesos penales que se abren contra empresas europeas por violaciones de Derechos humanos. Baste aquí citar por ejemplo, el caso Lafarge en Francia donde la cementera es acusada de financiación del terrorismo por sus relaciones comerciales con empresas vinculadas al ISIS; los procesos abiertos contra Inditex y otras empresas del sector textil en Francia por utilizar algodón procedente de los uigures, donde existen prácticas de trabajo esclavo; los casos Lehemayer, Danzer o Nestlé en Alemania, donde se ha acusado por complicidad de delitos medioambientales, pero también por conductas que pueden incardinarse en la denomina complicidad empresarial. En Italia la sentencia Bonatti que pone de relevancia los riesgos jurídicos que tienen las empresas multinacionales cuando actúan en zonas de gobernanza débil, donde el estado no protege debidamente los derechos humanos

A estos riesgos legales, deben sumar también las empresas las sanciones comerciales, que siguiendo el modelo de la  Global Magnitsky Human Rights Accountability Act,  en los EEUU se han extendido también al derecho de la UE a través del
Reglamento (UE) 2020/1998 del Consejo de 7 de diciembre de 2020 relativo a medidas restrictivas contra violaciones y abusos graves de los derechos humanos
. Ambos textos prohíben a las empresas que tengan relaciones comerciales con personas físicas y jurídicas, que la UE incluye en sus listas negras por considerar que violan los derechos humanos. En cuantos estas prohibiciones afectan a la política comercial, su violación puede ser sancionada a través de la Ley 19/2003 sobre régimen jurídico de los movimientos de capitales o, si se trata de entrega de bienes, mediante el delito previsto en el art. 2.1 d) de la Ley 12/1995 de represión del contrabando.

En definitiva, y como puede verse, las violaciones de derechos humanos por parte de las empresas constituyen un riesgo jurídico dentro del cumplimiento normativo y carece de sentido plantearse que ambos asuntos son cuestiones diversas y que deben ubicarse en distintos departamentos y abordarse con diferente metodología.

Todo ello sin contar la revolución a la que estamos asistiendo en los últimos años en relación a la información no financiera o de sostenibilidad, que lleva camino de asimilarse a la información contable. Tras la Directiva de la UE 2014/95  y aún más tras su proyecto de reforma (Proyecto de Directiva por lo que respecta a la información corporativa en materia de sostenibilidad), la información en materia de diligencia debida sobre derechos humanos, conjuntamente con la referente a la lucha contra la corrupción y la protección del medio ambiente, forman parte del informe de gestión y son sometidas a auditoria. En este punto, debe advertirse un riesgo empresarial más, pues no es en absoluto descartable que la falsedad en la información sobre sostenibilidad pueda ser castigada a través del delito de falsedad societaria del art. 290 del CP.  Con independencia de lo cual, el Proyecto de Directiva sobre sostenibilidad exige que los Estados impongan sanciones administrativas en caso de falsedad en este tipo de información.

Una razón ulterior que podría justificar una diferenciación entre diligencia debida y cumplimiento normativo sería su diferente perímetro. El cumplimiento normativo se centra fundamentalmente en los directivos y empleados de la empresa, mientras que la diligencia debida se entiende sobre todo referida al respeto a los derechos humanos a lo largo de la cadena de valor de la empresa, y de manera muy especial en relación a las filiales y los proveedores. Ello no quiere decir, obviamente, que la propia persona jurídica o matriz quede al margen del mismo, pero la diligencia debida se encamina a establecer controles básicos en las grandes cadenas de valor, que son fruto de la globalización económica y la deslocalización.

Esta diferencia es también más aparente que real. En el cumplimiento normativo la vigilancia de los terceros es el corazón de normativas como la del blanqueo de capitales pero estaba ya ampliamente extendida en materia de corrupción con la finalidad de evitar que socios de la empresa en terceros países realizaran pagos ilícitos en negocios comunes. De hecho, este cumplimiento normativo de terceros es el eje del cumplimiento normativo en la prevención de la corrupción internacional y a él se han dirigido los esfuerzos de la OCDE, quien por cierto ha confeccionado también las guías de diligencia debida más importantes para sectores como el trabajo infantil y esclavo en la agricultura, los minerales procedentes de zonas de conflicto etc..

El diferente perímetro del cumplimiento normativo en derechos humanos tiene que ver con la capacidad de control de las grandes empresas sobre el comportamiento económico de las filiales y determinados proveedores. Las obligaciones de diligencia debida se modulan y se incrementan a medida que la empresa tiene un mayor poder sobre estructuras empresariales ajenas y que sólo formalmente son independientes (vid. § 3 (3) 2 de la Ley alemana sobre diligencia debida en cadenas de suministro). Dejando de lado el caso de las filiales, donde ello es evidente (de hecho el cumplimiento normativo de grupo o corporativo es una práctica muy usual), piensen en el caso de proveedores, por ejemplo en el sector textil, cuyos productos se destinan casi exclusivamente a una sola empresa multinacional.

 

La capacidad de control

Esta capacidad de control se transforma en poder contractual que obliga a las grandes empresas a fijar cláusulas contractuales y exigir que sus proveedores respeten los derechos humanos y el medio ambiente en su producción o prestación de servicios pero también que les permitan supervisar, por ejemplo, a través de auditorías independientes y sin preaviso, que cumplen efectivamente con estas obligaciones; exigir que sus empleados puedan utilizar el canal de alertas de la empresa matriz; impartir formación… (vid. art. 7 del Proyecto de Directiva sobre diligencia debida). Como puede verse, en buena medida la diligencia debida en derechos humanos se articula contractualmente utilizando el poder de control que una gran empresa tiene sobre determinados elementos de su cadena de valor. La Directiva europea exige incluso que este poder contractual se extienda a los proveedores indirectos, exigiendo que el proveedor directo les imponga también cláusulas similares de respeto a los derechos humanos (contractual cascading, art. 7.2 b, Proyecto de Directiva).

Aunque de lo dicho, da la impresión de que este poder de control sólo es posible aguas arriba, en relación a los proveedores, también en muchas ocasiones está presente aguas abajo, en relación a clientes. Piensen por ejemplo en la capacidad que tiene una entidad que financia una gran obra pública, en imponer determinadas medidas de respeto a los derechos humanos, el medio ambiente o la corrupción a todos aquellos que participen en su construcción. De hecho, este poder contractual “aguas arribas” es la esencia de un sistema generador de cumplimiento normativo tan conocido como el de las listas negras del Banco Mundial.

El diferente perímetro del cumplimiento normativo en derechos humanos y la forma en que se lleva a cabo refleja la aparición de una nueva tipología de empresa. Si hasta ahora, todas nuestras construcciones legales y dogmáticas (delegación, deber de garantía…) se desarrollaban en el marco del modelo fordista, es decir, la industria que concentraba la producción es sus locales, bajo una estructura jerárquica, en el capitalismo actual, fruto de la globalización, con la globalización ha aparecido una nueva forma de organización empresarial, que externaliza en la medida de lo posible la producción con el fin de ahorrar costes, pero cuyas unidades productivas se encuentran también bajo el poder de dirección del empresario.

Las obligaciones de diligencia debida son una respuesta a este nuevo modelo de empresa globalizada (del modelo Ford al modelo Nike), con el fin de extender el respeto a los derechos humanos. El distinto perímetro del cumplimiento normativo en esta materia pone de manifiesto la extensión de la ‘jurisdicción’ de los países occidentales a unidades de producción que están fuera de sus fronteras pero que están conectados significativamente con personas jurídicas que tienen su sede social o cotizan en mercados de valores de los países occidentales.

Esto está relacionado con el debate acerca de la extensión a las empresas de las obligaciones impuestas a los Estados en los Tratados internacionales que tiene lugar bajo el concepto de ‘instrumento vinculante’ que impone no solo obligaciones de respeto sino también obligaciones positivas de protección e intervención ante comportamientos lesivos de derechos humanos por parte de terceros.

 

Cumplimiento normativo 2.0

De la fusión entre diligencia debida y cumplimiento normativo cabe esperar algo así como el nacimiento de un cumplimiento normativo 2.0.  Las leyes de diligencia debida como la alemana o el proyecto de Directiva europea, pero también los estándares y documentos de soft law existentes en esta materia, contienen innovaciones que no deben quedarse en la parte especial de la diligencia debida en derechos humanos, sino que conviene incorporar de manera generalizada al cumplimiento normativo.

La mayor parte de estos avances, sino todos, proceden del marco de la Responsabilidad Social Corporativa, por lo que en realidad lo que se puede – y debe producir – en el futuro es un proceso de fusión entre técnicas y contenidos que proceden de este ámbito con otros provenientes del control y auditoría interna, que hasta ahora han sido predominantes en la elaboración de los programas de cumplimiento. La ética de empresa, presente en ambas ramas, bien puede servir de elemento de enlace.

La primera de las innovaciones  es la participación obligatoria de los stakeholders, de los portadores de interés. Las normas de diligencia debida recogen este elemento medular de la responsabilidad social corporativa y exigen que los afectados por la marcha de la empresa participen en el análisis de riesgos, sean consultados a la hora de diseñar y revisar los controles en que se plasma la diligencia debida (vid. por ejemplo art. 6.4 ó 7.2 (a) del Proyecto de Directiva de la Comisión Europea).

De hecho, y acertadamente, algunas corporaciones como por ejemplo Inditex en nuestro país, han creado comisiones de sostenibilidad, como comisiones del consejo de administración, conformadas por consejeros independientes, en sintonía con las últimas recomendaciones en materia de gobierno corporativo.  La misma entidad cuenta también con un consejo social en el que participan los stakeholders de la empresa. Un avance sería, por ejemplo, que los consejeros independientes que integran las comisiones de sostenibilidad se transformaran en verdaderos representantes de  intereses públicos (medio ambiente, gobernanza etc..).

La diligencia debida en derechos humanos, que junto con el medio ambiente y el cambio climático generan el pack de lo que se ha denominado Environmnent, Social, Governance, en realidad viene a sumarse al debate de la redefinición del concepto de interés social. El interés de todo este  movimiento de política jurídica reside en la institucionalización de estos intereses dentro del gobierno corporativo de la entidad. La representación de los stakeholders, con independencia de su significado para el interés social, debe entenderse como una herramienta más de check and balances dentro de la gran empresa multinacional, cuya función es incrementar el control sobre los administradores, introduciendo los intereses públicos dentro del “cerebro” de la propia corporación a la hora de adoptar decisiones. Es una estrategia que hace ya años propuso Christopher D. Stone (Where the Law Ends: The Social Control of Corporate Behavior).

 

El órgano de vigilancia del art. 31 bis Código Penal

Aunque el argumento no puede desarrollarse aquí con detenimiento, esta seria en realidad la futura e ideal conformación del órgano de vigilancia a que se refiere el art. 31bis 2.2º del Código penal, que incomprendido anda deambulando sin pena ni gloria en el organigrama de la mayoría de los empresas. En puridad un órgano de vigilancia, integrado por consejeros independientes nombrados, de un lado, entre los representantes de los grupos de stakeholders que más pueden verse afectados por la actividad de la empresa,  y de otro, entre  expertos en la evaluación, prevención de ese tipo de riesgos, sería un órgano que personificaría en el gobierno de la entidad los objetivos públicos a los que su gestión debe atender. En este esquema el cumplimiento normativo, de ser una herramienta de gestión de riesgos legales, se convertiría en el instrumento imprescindible para que este conjunto de intereses tuviera un verdadero peso en la gestión de la entidad.

Con ello se acabaría proclamando su independencia tanto respecto del control interno, como de las comisiones de auditoría que, en puridad, atienden a otros intereses. La propuesta puede parecer un tanto radical, pero en realidad el debate es muy similar al que dio lugar al Aufsichtrat en el modelo dual de sociedades cotizadas. Estándares tan importantes a la hora de confeccionar los informes de sostenibilidad como los GRI (Global Reporting Initiative), cuando hacen referencia al sistema de gobernanza llevan años preguntado si en el máximo órgano de gobierno o en sus comités se encuentran representados los grupos de interés (GRI 102-22).

Una transformación ulterior que la diligencia debida debe propiciar en el cumplimiento normativo tiene que ver con la transparencia. A diferencia del cumplimiento normativo, que es algo interno y celosamente resguardado por la entidad de la mirada de terceros, la RSC ha sido siempre publica y transparente, en buena medida porque algunos la entendían como una forma de publicidad (Good Will).

Ya he señalado, anteriormente, como los informes de sostenibilidad y la información no financiera tiene cada vez más un carácter obligatorio en el Derecho contable de la Unión europea. Estándares como los GRI determinan desde hace años con mayor precisión cómo han elaborarse estos informes y cuáles han de ser sus contenidos básicos. Mucho de sus apartados de hecho, como el relativo a los principios éticos (102-17), corrupción (GRI  205), la salud laboral (GRI 403) o el medio ambiente (GRI 307) pertenecen al núcleo duro y tradicional del cumplimiento normativo. Existen pues sectores del cumplimiento normativo que ya son transparentes y que además, como en el caso de los derechos humanos (GRI 206), el trabajo infantil (GRI 408), esclavo (GRI 409) o las medidas anticorrupción deben formar parte del Informe de gestión según la Directiva 2014/95 sobre información no financiera.

No existe razón alguna, por la que el sistema de cumplimiento normativo en su conjunto o al menos sus aspectos esenciales no deban formar parte de la información sobre sostenibilidad. Hasta ahora su publicidad puede aparecer ocasionalmente en los informes de gestión de las sociedades cotizadas al de la gestión de riesgo (art. 262 LSC). Con ello se ofrece una imagen imparcial. La gestión de riesgos legales atiende exclusivamente a la realización de un riesgo para los intereses de la empresa, mientras que la información sobre sostenibilidad claramente se orienta al principio de doble significatividad, lo que significa dar hacer transparente al impacto que las actividades de la empresa tienen también para terceros, es decir las personas y el medio ambiente. Por esta razón, la novedad que tendría trasladar la información sobre cumplimiento normativo a los informes de sostenibilidad es que la empresa debería hacer público los aspectos esenciales de su análisis de riesgos.

 

El carácter reparador de la diligencia debida

Una tercera y última aportación, y no de menor importancia,  de la diligencia debida al cumplimiento normativo es su carácter reparador y mitigador. Las medidas de diligencia debida no sólo pretenden prevenir, sino también caso de que el riesgo tenga lugar, la empresa debe elaborar planes de contingencia con el fin de minimizar el riesgo y reparar. Esto supone que el cumplimiento normativo debe también preocuparse de las víctimas. No sólo reparándolas patrimonialmente, que desde luego ha de hacer (art. 8 3 (a) Proyecto de Directiva), sino tomando medidas para evitar la repetición del daño o (art. 8 3 (c) remediar cualquier otro tipo de adversidad a través del diálogo con los afectados (art. 8.3 (b).

Aunque el cumplimiento normativo tradicional olvida o al menos relega este contenido reparador, no le es totalmente indiferente. De hecho, una regla de oro del cumplimiento normativo es que tras la producción de una infracción, la organización debe analizar y reformar, si lo considera necesario, los controles, con el fin de que no vuelva a producirse. Igualmente, la colaboración con la administración de justicia o la reparación del daño son parte del cumplimiento, y en el caso del cumplimiento penal se incentivan a través de la previsión de circunstancias atenuantes en el Código penal (art. 31 quarter CP). La fusión entre complimiento y diligencia debida debe llevar a dar mucha más visibilidad dentro del programa de cumplimiento a la reparación, que debiera producirse cuando ocurre un evento como un desarrollo normal de un círculo virtuoso que comienza con la prevención, continúa con la investigación y sanción y acaba con la reparación.

Finalizo: cumplimiento normativo y debida diligencia son conceptos que aunque provienen de lugares bien distintos, deben acabar fundiéndose y enriqueciéndose mutuamente. Por ello, como en la escena final de Casablanca, “Louis, presiento que este es el comienzo de una hermosa amistad”.


Foto: Julio Miguel Soto