El compliance y la sostenibilidad son dos disciplinas que, aunque parten de enfoques distintos, convergen inevitablemente en la gestión empresarial moderna. Este artículo analiza sus puntos de encuentro, la integración necesaria entre ambos sistemas y cómo las recientes directivas europeas están acelerando esta confluencia, convirtiendo lo que antes eran buenas prácticas en obligaciones legales que afectan a toda la cadena de valor.

El compliance y la sostenibilidad son dos conceptos distintos. Cada uno por separado constituyen disciplinas en sí mismas, cada cual con su amplio ámbito de desarrollo. Sin embargo, al implementarlos hay un momento en el que inevitablemente se encuentran. ¿Por qué se produce esta confluencia? Y ¿cómo debemos abordarla para evitar solapes y procurar un desarrollo integrado en la organización? 

Quienes participen en el desarrollo del compliance y de la sostenibilidad percibirán en poco tiempo que los profesionales de uno y otro ámbito inician su andadura desde un punto de partida distinto para terminar refiriéndose a los mismos aspectos o muy similares. Un excelente consultor e ingeniero de organización industrial de LKS Next con amplísimo expertise en sistemas integrales de gestión, me suele repetir: “¿Compliance o sostenibilidad? ¿Fue antes el huevo o la gallina?”

Más allá de si se quiere buscar la respuesta a esa pregunta, hay una conclusión de fácil consenso: entre el compliance y la sostenibilidad existe una conexión y una interdependencia. Es como si ambos conceptos hubieran emprendido un largo viaje desde diversas ubicaciones pero se hubieran encontrado en un cruce de caminos y en adelante tuvieran que caminar juntos.

Compliance y sostenibilidad, como si fueran Phileas Fogg (Willy, para los más televisivos) y Jean Passepartout en La vuelta al mundo en 80 días, de Jules Verne. Si bien Fogg era ese caballero británico impasible que planificaba y financiaba el viaje y Passepartout su sirviente francés, Fogg necesitaba de Passepartout para resolver imprevistos durante el viaje y adaptarse a situaciones fuera de su control. No cabía semejante periplo de Fogg sin Passepartout, ni viceversa.

Podría decirse que el compliance y la sostenibilidad están siendo invitados a un viaje conjunto como Fogg y Passepartout y los 80 días podrían ser figurativamente los plazos de transposición de la Directiva (UE) 2022/2464 sobre la presentación de información sobre sostenibilidad por parte de las empresas (Directiva CSRD) así como de la Directiva (UE) 2024/1760 sobre diligencia debida de las empresas en materia de sostenibilidad (Directiva CS3D). Quien haya leído la novela sabrá si los personajes de Verne fueron tan puntuales como los Estados miembros de la Unión Europea transponiendo estas normas.

¿En qué punto del viaje del compliance se encuentran las organizaciones?

Las compañías que se encuentran en sectores regulados siempre son «punto y aparte» en estos asuntos, ya que la propia regulación sectorial las lleva a implementar, por convicción o imposición, elementos de Governance, Risk, and Compliance (GRC). Nos centraremos, no obstante, en el vasto espacio que ocupan el resto de organizaciones, donde podemos encontrar un amplio espectro de empresas pequeñas y medianas con umbrales muy relevantes de plantilla y volumen de facturación. Tampoco podemos olvidarnos de las entidades sin ánimo de lucro, ni del particular contexto de las administraciones públicas, que no pueden ser ajenas al desarrollo de su compliance público. ¿En qué punto de desarrollo se encuentran todas estas entidades de tan variada naturaleza?

Para responder a esta cuestión en primer lugar debemos tener en cuenta que el compliance ha tenido un desarrollo paulatino en las empresas pequeñas y medianas en los últimos 10 años. Un primer punto de inflexión fue la llegada del «compliance penal», también conocido por los llamados modelos de prevención de delitos.

La incorporación de la responsabilidad penal de las personas jurídicas al ordenamiento español se produjo con la Ley Orgánica 5/2010, de 22 de junio, que modificó el Código Penal estableciendo, por primera vez, que las empresas podían ser penalmente responsables por determinados delitos cometidos en su beneficio por sus representantes legales o empleados.

Sin embargo, fue la Ley Orgánica 1/2015, de 30 de marzo, la que supuso un punto de inflexión decisivo para las organizaciones al reformar nuevamente el Código Penal. Esta reforma introdujo un cambio fundamental: la posibilidad de eximir o atenuar la responsabilidad penal de las personas jurídicas mediante la implementación de los sistemas de compliance, que el legislador español formalizó bajo la denominación de «modelos de organización y gestión».

En este contexto, las organizaciones empezaron a implementar sistemas de compliance penal. Debe subrayarse, como hecho relevante que, en numerosos casos, esta adopción no respondió a una profunda preocupación por evitar incurrir en responsabilidad penal, sino más bien a la necesidad de alinearse con los estándares exigidos en determinados sectores del mercado.

Sea como fuere, una de las máximas que deben aplicarse en el ámbito del compliance es que la prevención de delitos no puede entenderse como un proceso independiente y ajeno al sistema de gestión de la empresa. Quienes implementaron un compliance penal sin un enfoque global de la organización tarde o temprano encontraron dificultades y límites para continuar con el desarrollo del sistema. El compliance debe ser entendido como un sistema de gestión de riesgos y control interno normativo general, como una especie de capa corporativa que se superpone al sistema de gestión ya existente en la empresa, integrándose con sus procesos.

En esta misma línea se pronunció en su momento la Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015, que fue dictada por Dª Consuelo Madrigal Martínez-Pereda. La Circular 1/2016 incide en este aspecto en numerosos apartados, al indicar que: “Los programas [compliance] comportan exigencias de naturaleza societaria, propia estructura orgánica corporativa, requieren un alto grado de desarrollo y tienen una evidente finalidad preventiva, razones que deberían haber llevado esta regulación a la correspondiente legislación mercantil (…)»; y también que: “En puridad, los modelos de organización y gestión o corporate compliance programs no tienen por objeto evitar la sanción penal de la empresa sino promover una verdadera cultura ética empresarial.”

Desarrollar el compliance no es, por tanto, un viaje corto ni sencillo. Para responder a la pregunta de en qué punto del recorrido se encuentran actualmente las organizaciones medianas y pequeñas, y siguiendo el símil del viaje de los entrañables Fogg y Passepartout, podríamos decir que algunas empresas todavía no han salido de Londres, mientras otras aún no han alcanzado el Canal de Suez. Incluso hay organizaciones que tienen su buque varado sin perspectivas de volver a zarpar y continuar con su itinerario.

En cualquier caso, la tendencia legislativa se ha ocupado de escenificar la amplitud con la que el compliance debe ser abordado en las organizaciones. Más allá del Código Penal, hay distintos ámbitos normativos que lo ponen de relieve, pero sin ninguna duda un marco legal de impacto directo y que abarca prácticamente a todas las organizaciones, tanto privadas como públicas, es el que establece la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (Ley de Protección del Informante).

En transposición de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 (Directiva Whistleblowing) la Ley de Protección del Informante exige implantar sistemas internos de información en las organizaciones, que cumplan con estrictos requisitos de acceso, confidencialidad, anonimato y garantías a los derechos constitucionales a la intimidad, honor y presunción de inocencia de las personas informantes, personas afectadas por las denuncias y las personas en su caso perjudicadas por una posible infracción.

El alcance del sistema interno de información exigido por la Ley de Protección del Informante es un claro exponente de que el compliance constituye un sistema de cumplimiento normativo que excede del ámbito penal. Ello es así ya que estos sistemas no se limitan a canalizar infracciones penales, sino que incluyen también infracciones administrativas graves y muy graves.

Por lo tanto, ya sea bajo la rúbrica del compliance o sin ella, toda empresa que cuente con más de 50 trabajadores y toda administración pública, sin excepción, debe gestionar las comunicaciones sobre posibles infracciones penales, así como sobre infracciones administrativas graves y muy graves. Esto supone que el cumplimiento de la Ley de Protección del Informante establece una base inequívoca para que cualquier organización construya los cimientos de su propio sistema de cumplimiento normativo y no solo un modelo acotado de prevención de delitos.

¿Cómo afecta la sostenibilidad al desarrollo del compliance?

En este contexto, mientras recorremos tenazmente el camino del desarrollo del compliance como un sistema de cumplimiento normativo general, nos encontramos ante la encrucijada de la sostenibilidad. Este cruce de caminos se materializa en las Directivas Europeas CSRD y CS3D, que obligan a las grandes empresas que alcanzan determinados umbrales a establecer mecanismos de supervisión continua y recabar información sistemática de sus partes interesadas (stakeholders) a lo largo de toda su cadena de valor. Es muy relevante esta referencia a la cadena de valor, ya que estas normativas no solo afectan a las grandes empresas a las que aplican directamente las reglas de las Directivas CSRD y CS3D, sino que implican a un enorme número de pequeñas y medianas empresas que operan como proveedoras y subcontratistas de aquéllas.

Estas normativas exigen que las empresas identifiquen y gestionen los impactos negativos sobre los derechos humanos y el medioambiente, así como que informen públicamente sobre sus políticas y resultados en materia de sostenibilidad, siguiendo criterios estandarizados y verificables. Por stakeholders nos referimos, entre otros, a los proveedores, clientes, socios de negocio, intermediarios y subcontratas de la organización, incluso a las instituciones con las que se relaciona la compañía y la sociedad en general.

En este punto convergen claramente la sostenibilidad y el compliance. Los conceptos de stakeholder y diligencia debida son inherentes al compliance, pues la gestión de riesgos normativos debe abarcar tanto al personal interno como a todas las partes interesadas con las que la compañía interactúa. La propia norma ISO 37301 establece esta necesidad al exigir que las organizaciones identifiquen los grupos de interés relevantes para su Sistema de Gestión de Compliance.

Las Directivas CSRD y CS3D, al convertir en obligación legal lo que antes era una buena práctica, acelerarán significativamente la madurez de los sistemas compliance, forzando la implementación de procesos de diligencia debida con stakeholders que, sin esta exigencia regulatoria concreta, se desarrollarían a un ritmo más lento y con menor profundidad. Esta transformación representa un salto cualitativo en la evolución de los sistemas de cumplimiento hacia modelos más holísticos e integrados.

Compliance y sostenibilidad: protección de administradores y directivos

En este punto de convergencia entre el compliance y la sostenibilidad, donde ambos caminos se encuentran tras recorrer trayectorias distintas, se descubre un hallazgo muy valioso: la protección jurídica de administradores y directivos. La implementación efectiva de estos sistemas integrados representa una manifestación inequívoca del deber de diligencia exigido por el artículo 225 de la Ley de Sociedades de Capital.

El compliance y la sostenibilidad no solo permiten acreditar que se han adoptado medidas razonables para prevenir infracciones normativas, sino que además pueden permitir un sólido escudo protector de que los administradores y directivos han actuado con la diligencia de un ordenado empresario. La documentación sistemática de procesos, controles y medidas preventivas que proporcionan constituye una evidencia de que la gestión empresarial se ha desarrollado conforme a los estándares de diligencia exigibles, resultando crucial para exonerar o atenuar la responsabilidad frente a terceros, socios o la propia sociedad.

Como apunte adicional, merece atención la cuestión relativa a los datos que se publiciten a través de los informes de sostenibilidad, todavía denominados como Estados de Información No Financiera (EINF). Este informe exigido por la Directiva CSRD y la vigente Ley 11/2018, de 28 de diciembre, en materia de información no financiera y diversidad, puede tener una gran incidencia en la responsabilidad de administradores y directivos, ya que las obligaciones de veracidad, integridad, exactitud y no omisión de datos relevantes en la información publicada afectan de manera determinante al deber de legalidad de los administradores del artículo 225 de la Ley de Sociedades de Capital. Se trata de una cuestión clave que enlaza el compliance y la sostenibilidad con la responsabilidad de administradores. Es un ámbito que plantea serias problemáticas jurídicas que deberán dilucidarse a futuro.

A modo de conclusión, observamos que apenas estamos ante los primeros compases de una travesía corporativa donde el compliance y la sostenibilidad deben navegar como inseparables compañeros de viaje.

Como en La vuelta al mundo en 80 días, este recorrido requiere la planificación meticulosa de Phileas Fogg y, a la vez, el ingenio y la versatilidad de Passepartout. El equipaje para esta expedición debe incluir elementos fundamentales: un compromiso inquebrantable desde la dirección, una cultura organizativa comprometida y herramientas eficaces para la gestión.

Puede parecer complejo todo este asunto. Pero así como viajar alrededor del mundo pasó de ser una proeza extraordinaria a una realidad cotidiana, también el desarrollo conjunto del compliance y la sostenibilidad se volverá más accesible si disponemos de los vehículos adecuados para transitar este camino con paso firme y horizonte claro. No debe abrumarnos este cometido. Es momento de ponerse en marcha y trazar este camino que une el compliance y la sostenibilidad, y qué mejor lugar para ello que plasmarlo en los planes estratégicos y gestión de la organización como auténtica carta de navegación.

Cuadro legislativo

• Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
• Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
• Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
• Ley 11/2018, de 28 de diciembre, por la que se modifica el Código de Comercio, el texto refundido de la Ley de Sociedades de Capital aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, y la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, en materia de información no financiera y diversidad.
• Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital.
• Directiva (UE) 2022/2464 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, por la que se modifican el Reglamento (UE) n.º 537/2014, la Directiva 2004/109/CE, la Directiva 2006/43/CE y la Directiva 2013/34/UE, por lo que respecta a la presentación de información sobre sostenibilidad por parte de las empresas (Directiva CSRD).
• Directiva (UE) 2024/1760 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, sobre diligencia debida de las empresas en materia de sostenibilidad y por la que se modifican la Directiva (UE) 2019/1937 y el Reglamento (UE) 2023/2859 (Directiva CS3D).
• Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Directiva Whistleblowing).