CSDDD, gli obblighi di due diligence per le imprese e il sistema di gestione del rischio

Nel gennaio 2020, la Commissione europea - Direzione Generale della Giustizia e dei Consumatori (DG JUST) - ha licenziato un interessante studio intitolato “Study on due diligence requirements through the supply chain ”, condotto dalla London School of Economics and Political Science, British Institute of International and Comparative Law e Civic Consulting.

Questo studio si concentra sui requisiti di due diligence per identificare, prevenire, mitigare e rendere conto delle violazioni sui diritti umani, compresi i diritti dei bambini e le libertà fondamentali, le lesioni personali gravi, i rischi per la salute e la sicurezza, nonché i danni ambientali (anche in relazione al clima). A seguito delle interviste condotte nei confronti di imprenditori operanti nel mercato unionale in diversi settori economici, è emerso che un terzo degli intervistati ha dichiarato che le proprie imprese, nelle loro scelte strategiche e operative, tengono conto dei diritti umani e dell’ambiente. Tuttavia, la ricerca ha evidenziato che quando le imprese avviano un’azione volontaria a tutela dei diritti umani e dell’ambiente, spesso si concentrano sul primo livello della catena di fornitura, mentre i danni ai diritti umani e all’ambiente si verificano in genere a livelli più lontani nella catena del valore. La ricerca ha sottolineato, altresì, che solo poche aziende coprono tutte le questioni relative ai diritti umani e all’ambiente nei loro processi di due diligence.

La proposta di Corporate Sustainability Due Diligence Directive (CSDDD) sostenuta dal legislatore europeo si è basata proprio sulla constatazione del fallimento delle tradizionali misure volontarie, che non sono riuscite a cambiare significativamente il modo in cui le imprese gestiscono il loro impatto sociale, ambientale e non sono state in grado di fornire alcun adeguato rimedio all’impatto negativo sui diritti umani derivante dalle loro attività di business.

Gli obblighi in tema di due diligence introdotti dalla CSDDD si basano sostanzialmente su una serie di strumenti internazionali, in particolare i Principi guida ONU su imprese e diritti umani del 2011 e le linee guida dell’OCSE su due diligence e condotta d’impresa responsabile del 2018.  

Non v’è dubbio che, nell’ambito del Green Deal europeo, una delle aree del diritto eurounitario che si è sviluppata più rapidamente e profondamente è quella relativa alla governance della sostenibilità aziendale. In conformità alle disposizioni contenute nella CSDDD, le imprese dovranno adottare e attuare misure di due diligence efficaci per identificare , prevenire , mitigare e porre fine ai danni reali e potenziali in tema di diritti umani e ambiente nelle proprie operazioni di business, in quelle delle filiali e dei partner commerciali relativi alla loro “ catena di attività” .

Il concetto di “ impatto negativo ” è fondamentale per comprendere la portata degli obblighi di due diligence previsti dalla CSDDD, in quanto si tratta degli impatti che gli obblighi richiedono alle imprese di identificare, prevenire, mitigare e far cessare. In generale, gli impatti negativi saranno impatti e conseguenze negative derivanti dall’abuso dei diritti umani di una persona o dalla violazione di una misura di protezione ambientale.

In particolare, gli “impatti negativi” per i diritti umani e per l’ambiente sono definiti in riferimento a un elenco specifico di diritti e divieti che sono riportati nell’Allegato I della CSDDD e che fanno riferimento a trattati internazionali esistenti sui diritti umani e sull’ambiente. In tema di diritti umani vengono incluse le questioni afferenti al lavoro minorile, all’inadeguatezza della salute e della sicurezza sul posto di lavoro e allo sfruttamento dei lavoratori, nonché ai diritti di utilizzo del territorio da parte di gruppi vulnerabili; in tema ambientale , vengono incluse tematiche come la gestione e il trasporto illegali di rifiuti, il rilascio di sostanze controllate e dannose per l’ozono, l’inquinamento, la perdita di biodiversità e il degrado dell’ecosistema.

Questi impatti negativi sull’uomo e sull’ambiente possono verificarsi non solo nelle attività aziendali (in tal caso possono essere relativamente semplici da identificare), ma anche nelle attività delle filiali di un’azienda, nella catena di fornitura dei prodotti e nella più ampia “catena di attività”. Molti impatti negativi si verificano a livello di approvvigionamento delle materie prime, di produzione o di smaltimento dei prodotti e dei rifiuti, e quindi spesso sono lontani dalle attività dirette di un’impresa.

Il concetto di “ catena di attività ” sebbene venga utilizzato nella CSDDD in modo piuttosto ampio, corrisponde essenzialmente alla definizione di “ catena di fornitura ” ai sensi della Legge tedesca sulla due diligence della catena di fornitura (LkSG). Tale definizione è, ad esempio, più ampia rispetto alla Legge sull’obbligo di vigilanza francese, in quanto per la catena di fornitura vengono presi in considerazione solo i rapporti commerciali consolidati dell’impresa e delle sue filiali nel mondo.

Con riferimento all’attuazione delle politiche e del sistema di gestione del rischio, al fine dell’individuazione degli impatti negativi, le imprese rientranti nell’ambito di applicazione della CSDDD dovranno integrare la due diligence ambientale e dei diritti umani nelle loro politiche e nei loro sistemi di gestione del rischio.

Al riguardo, la direttiva stabilisce requisiti specifici per questa integrazione; ad esempio, le politiche di due diligence devono contenere una descrizione dell’approccio aziendale alla due diligence di sostenibilità, nonché un codice di condotta che delinei le regole e i principi da seguire nell’impresa e nelle sue controllate, nonché presso i partner commerciali diretti o indiretti dell’impresa.

Una volta redatto, il codice di condotta dovrebbe essere applicato a tutte le funzioni e operazioni aziendali rilevanti come, ad esempio, le decisioni di assunzione del personale o di fornitura. Allo stesso tempo, la politica di due diligence non può mai considerarsi definitiva, in quanto per affrontare adeguatamente la situazione di rischio dell’impresa, la stessa deve essere sottoposta a una revisione continua; di conseguenza, la CSDDD richiede alle imprese di aggiornare le loro politiche di due diligence se si verifica un cambiamento significativo o, in mancanza di tale cambiamento, almeno ogni 2 anni.

Nella stesura e nell’adattamento delle politiche e del sistema di gestione del rischio, è fondamentale implementare un approccio basato sul rischio ( risk based approach ), ovvero la comprensione e la prioritizzazione dei rischi a cui è esposta la “catena di attività” dell’impresa. Se un’impresa dispone già di una strategia di sostenibilità, di un sistema di gestione del rischio o di un sistema di corporate compliance, è consigliabile che tale esistente impianto venga integrato con la compliance agli obblighi di due diligence previsti dalla CSDDD. In questo modo, si garantisce un approccio di corporate compliance integrata in tutta l’impresa.

Con riferimento alla valutazione e alla definizione delle priorità degli impatti negativi effettivi o potenziali sull’ambiente e sui diritti umani, una volta che le imprese, rientranti nel campo di applicazione della CSDDD, hanno individuato tali impatti, le stesse sono tenute ad adottare misure appropriate per valutarli e classificarli in base alle priorità.

Nell’ambito della valutazione dei rischi della CSDDD, le imprese devono adottare misure appropriate, considerando tutti i fattori di rischio rilevanti: mappare le proprie operazioni, quelle delle proprie controllate e, quando il rischio riguarda le loro catene di attività, quelle dei loro partner commerciali, per identificare le aree generali in cui è più probabile che si verifichino e siano più gravi gli impatti negativi sull’ambiente e sui diritti umani; sulla base dei risultati di tale mappatura, le imprese dovrebbero effettuare una valutazione ambientale e dei diritti umani approfondita e basata sul rischio delle proprie attività, delle proprie filiali e dei propri partner commerciali.

Nei casi in cui non sia possibile prevenire, mitigare, porre rimedio o ridurre al minimo tutti gli impatti negativi identificati sull’ambiente e sui diritti umani, le imprese sono tenute a dare priorità agli impatti negativi identificati sulla base di un approccio basato sul rischio, al fine di prevenirli e porvi fine. La definizione delle priorità deve basarsi sulla gravità e sulla probabilità degli impatti negativi. Una volta affrontati gli impatti negativi più gravi e più probabili, l’impresa deve affrontare in una seconda fase gli impatti negativi meno gravi e meno probabili.

Nel caso di catene di approvvigionamento aziendali strutturate a livello globale, che comprendono vari livelli fino all’estrazione delle materie prime richieste, le imprese devono monitorare innumerevoli fornitori indiretti e diretti oltre alla propria impresa. Di conseguenza, le relative attività di monitoraggio dei fornitori (diretti e indiretti) non possono essere svolte manualmente dal personale aziendale, ma necessitano di uno strumento di un software gestionale capace di implementare la valutazione astratta e concreta del rischio, al fine di semplificare notevolmente questa valutazione approfondita e la successiva definizione delle priorità. Una volta conclusa la valutazione del rischio, le aziende sono in grado di stabilire le proprie priorità; in particolare, tenendo conto dei rischi concreti nelle loro catene di fornitura, il processo di prioritizzazione consente alle imprese di implementare misure di compliance su misura, non potendo adottare uguali misure per tutti i fornitori.

Le imprese che rientrano nell’ambito di applicazione della CSDDD devono adottare misure appropriate di due diligence, al fine di prevenire l’impatto negativo in base alle circostanze del caso specifico. Si dovrà tenere conto della value chain aziendale , del settore e dell’area geografica in cui operano i partner della catena del valore.

Dopo aver valutato i rischi e i potenziali impatti negativi, aver identificato le aree vulnerabili e aver compreso i potenziali impatti delle operazioni di business, le imprese sono tenute ad adottare adeguate misure volte a prevenire adeguatamente gli impatti negativi sui diritti umani e sull’ambiente e a effettuare i necessari investimenti per prevenire gli impatti negativi e a fornire sostegno alle piccole e medie imprese (PMI) con cui intrattengono rapporti commerciali.

A causa della complessità di alcune di queste misure di prevenzione, le imprese sono chiamate a sviluppare e attuare un piano di prevenzione, che dovrebbe essere adattato alle operazioni e alla catena di attività aziendale. Le imprese devono poi cercare di ottenere garanzie contrattuali dai loro partner commerciali diretti e indiretti, per assicurare che questi siano parimenti conformi al piano di prevenzione.

Queste garanzie contrattuali dovrebbero essere accompagnate dalle misure necessarie per verificarne la conformità. Laddove la prevenzione non sia possibile o non lo sia immediatamente, o laddove sia stato identificato un impatto effettivo, le imprese devono porre fine o mitigare adeguatamente gli impatti negativi che sono stati identificati all’interno delle proprie operazioni di business, nonché delle operazioni dell’intera catena di fornitura e di valore. A questo proposito, la CSDDD fornisce una serie di misure appropriate che un’impresa può adottare e che dovrebbero essere proporzionate all’importanza e alla portata dell’impatto. Queste possono richiedere, ad esempio, l’elaborazione di un piano d’azione correttivo, con tempistiche ragionevoli e chiaramente definite, o l’ottenimento di adeguate garanzie contrattuali da parte del partner commerciale diretto dell’impresa, con corrispondenti garanzie da parte dei suoi partner. La CSDDD chiarisce che la cessazione del rapporto commerciale con il soggetto economico inadempiente dovrebbe rappresentare un caso limite, dopo che altre soluzioni hanno fallito.

Le imprese che rientrano nel campo di applicazione della CSDDD devono monitorare e valutare periodicamente l’attuazione, l’efficacia e l’adeguatezza delle misure adottate per identificare, prevenire, attenuare, far cessare o ridurre al minimo gli impatti negativi delle loro attività, di quelle delle loro filiali e di quelle dei loro partner commerciali. Come per la valutazione degli impatti negativi, le imprese possono soddisfare questo requisito di monitoraggio affidandosi a strumenti digitali (come satelliti, radar o soluzioni basate su piattaforme, che potrebbero supportare e ridurre i costi delle attività di monitoraggio) o sfruttando altre iniziative dell’industria o di più parti interessate.

La valutazione periodica dell’efficacia e dell’adeguatezza di tutte le misure implementate si baserà su “ indicatori quantitativi e qualitativi ”, che saranno sviluppati dalle imprese in base alle loro esigenze e risorse e previa consultazione, “se opportuno”, delle parti interessate.

In termini di tempistica, la valutazione periodica deve essere effettuata “ senza indebiti ritardi dopo che si è verificato un cambiamento significativo ” che può identificarsi quando, ad esempio, l’impresa inizia a operare in un nuovo settore economico o in una nuova area geografica; produce nuovi prodotti o cambia il modo di produrre i prodotti esistenti, utilizzando tecnologie con impatti negativi potenzialmente più elevati; modifica la sua struttura aziendale attraverso operazioni societarie straordinarie.

In ogni caso, la valutazione dell’efficacia e dell’adeguatezza deve essere effettuata almeno ogni 12 mesi e “ogniqualvolta vi siano ragionevoli motivi per ritenere che possano sorgere nuovi rischi di insorgenza di tali impatti negativi”, compresi - secondo la CSDDD - i casi in cui l’impresa venga a conoscenza dell’impatto negativo da informazioni disponibili al pubblico, attraverso il coinvolgimento delle parti interessate o attraverso notifiche.

Se il monitoraggio evidenzia qualche aspetto di cricità, le imprese sono tenute ad aggiornare la loro politica di due diligence e le altre misure appropriate derivate (in termini di valutazione del rischio e di definizione delle priorità degli impatti) in base ai risultati di queste valutazioni e “tenendo in debita considerazione le informazioni pertinenti fornite dalle parti interessate”. 

L’effettiva adeguatezza ed efficacia della politica di due diligence e delle misure di valutazione e gestione del rischio sviluppate e implementate dalle imprese sarà fondamentale per valutare l’effettiva conformità ai requisiti della CSDDD.

Infatti, le società non saranno ritenute responsabili, ai sensi della CSDDD, se dimostreranno di aver adottato tali politiche e misure e di averne garantito il continuo sviluppo e implementazione, in modo da assicurarne l’efficacia e il relativo aggiornamento.

_______
*A cura di Marco Letizi, PhD, Avvocato, Dottore Commercialista e Revisore Legale, Consulente Internazionale delle Nazioni Unite, Commissione Europea e Consiglio d’Europa