Directiva CSRD: optimizar la gestión y la seguridad de los datos para garantizar la fiabilidad de los informes

La Directiva sobre Informes de Sostenibilidad Corporativa (CSRD), que entró en vigor el 1 de enero de 2024, está transformando el panorama europeo de los informes no financieros. Introduce requisitos sin precedentes para la comunicación de datos medioambientales, sociales y de gobernanza (ASG). Las empresas afectadas deben gestionar ahora un volumen considerable de información sensible, como indicadores medioambientales, datos sociales e información estratégica.

Y por primera vez, estos datos estarán sujetos a la verificación obligatoria de un auditor legal (CAC) o de un organismo tercero independiente, siguiendo el modelo de la certificación de la información financiera. Para cumplir esta obligación de auditoría, las empresas deberán proteger sus datos ESG y poner en marcha procesos internos que les permitan recopilar y presentar información fiable y verificable.

Directiva CSRD: un punto de inflexión para los informes ESG

Adoptada en diciembre de 2022, la Directiva europea CSRD sustituye a la Directiva sobre información no financiera (NFRD) y amplía su ámbito de aplicación. El número de empresas sujetas a la obligación de presentar informes de sostenibilidad pasará de 11.700 a casi 50.000. Esta directiva contribuye a reforzar los objetivos de la Unión Europea en materia de transparencia de las empresas.

La CSRD impone requisitos de divulgación más estrictos y normalizados que la directiva anterior. Su objetivo es armonizar los informes de sostenibilidad de las empresas y mejorar la disponibilidad y calidad de los datos ASG publicados. Responde a las necesidades de información de los agentes financieros, que a su vez están sujetos a obligaciones de información en materia de ASG.

El CSRD introduce las Normas Europeas de Información sobre Sostenibilidad (ESRS). Elaboradas por el Grupo Consultivo Europeo en materia de Información Financiera (EFRAG), constan de 12 normas técnicas.

• ESRS 1 y 2: normas obligatorias interempresariales.
• ESRS E1 a E5: normas medioambientales (clima, contaminación, agua, biodiversidad, economía circular).
• ESRS S1 a S4: normas sociales (condiciones laborales, cadena de valor, comunidades, consumidores).
• ESRS G1: normas de gobernanza.

La aplicación de la DSRS representa un punto de inflexión para las empresas. Ahora están obligadas a integrar las cuestiones de sostenibilidad en el centro de su estrategia y a hacer de la información no financiera una herramienta de dirección estratégica.

El CSRD se está aplicando progresivamente, siguiendo un calendario escalonado basado en la plantilla de las empresas (número de empleados), el volumen de negocios y el total del balance. Las grandes empresas (más de 250 empleados, ventas superiores a 50 millones de euros o balance total superior a 25 millones de euros) ya están sujetas a la directiva. Deben publicar su primer informe de sostenibilidad en 2025, a partir de los datos recogidos para el ejercicio 2024.

Los retos de la recogida y gestión de datos ESG

Con casi 1.200 indicadores referenciados en el CSRD, la recopilación de datos es especialmente compleja debido a la tipología y el volumen de los datos que deben recogerse: datos medioambientales, datos sociales y datos de gobernanza.

El CSRD también introduce el concepto de «doble materialidad».

• Materialidad de impacto: evalúa cómo afecta la empresa al medio ambiente y a la sociedad.
• Materialidad financiera: evalúa cómo afectan las cuestiones ASG a los resultados económicos de la empresa.

Este doble análisis de la materialidad amplifica la escala de los retos de la recopilación de datos, ya que cada cuestión identificada desencadena obligaciones específicas de recopilación de datos basadas en las normas ESRS correspondientes. Cuantas más cuestiones materiales identifique una empresa, más tendrá que recopilar y gestionar un gran volumen de datos heterogéneos procedentes de múltiples fuentes.

La recogida de datos impuesta por el CSRD implica a muchas partes interesadas, tanto internas como externas: múltiples departamentos dentro de la empresa (RRHH, compras, calidad, etc.), filiales, proveedores y subcontratistas, etc. Esta recogida de datos genera distintos tipos de riesgos: errores, incoherencias entre las distintas fuentes, fugas de datos sensibles (personales, estratégicos, etc.), incumplimiento de la normativa, etc.

Asegurar los datos sensibles y hacer más fiable la recogida de datos: requisitos y buenas prácticas

La CSRD exige que los informes de sostenibilidad de las empresas estén sujetos a la verificación obligatoria de una CAC o de una organización tercera independiente (OTI). El objetivo de esta obligación de auditoría y garantía independiente es garantizar que los datos ASG publicados por las empresas sean verificados por terceros cualificados, siguiendo el modelo de la certificación de la información financiera. Esto representa un cambio importante con respecto a la NFRD, ya que la información ESG se trata ahora con el mismo nivel de rigor que la información financiera.

La recogida de datos ESG implica el tratamiento de información especialmente sensible: datos sociales, datos sobre las condiciones de trabajo, salud y seguridad en el trabajo, formación de los empleados, información estratégica, etc. Todos estos datos requieren una protección reforzada. Todos estos datos requieren una protección reforzada.

Para cumplir los requisitos de seguridad de los datos, las empresas deben implantar sólidas medidas técnicas y organizativas para proteger sus flujos de información. Esto incluye una gestión estricta de los controles de acceso a los datos, la trazabilidad de los accesos y modificaciones, y la protección de los datos sensibles (clasificación de los datos según su sensibilidad, cifrado, procedimientos de copia de seguridad y recuperación, etc.). Unas herramientas de gestión adecuadas facilitan esta labor.

Los procedimientos de control de calidad y auditabilidad de los datos ESG garantizan la calidad y fiabilidad de los datos, en particular documentando las distintas etapas de recogida y tratamiento de la información sobre sostenibilidad.

Optimizar la gestión de los datos sensibles, clave para una información fiable y eficaz

Determinar qué datos son esenciales para la organización en términos de sus objetivos de RSE es un requisito previo para una recopilación de datos ESG precisa y pertinente. Este proceso de mapeo, que incluye tanto la identificación como la clasificación de los datos, debe diferenciar entre :

• Datos existentes, disponibles en los sistemas actuales,
• Datos por completar, que están parcialmente disponibles y necesitan ser enriquecidos,
• Datos nuevos, que deben recopilarse específicamente para el CSRD.

El CSRD fomenta la digitalización de los procesos de recopilación y notificación de datos. Los datos pertinentes son más fáciles de recopilar, organizar y difundir. Las soluciones de automatización permiten conectarse a los sistemas y herramientas de información existentes, recopilar datos en tiempo real y generar informes en distintos formatos.

Las plataformas ESG o las soluciones de gestión de datos permiten recopilar, almacenar, medir, estructurar, formatear, gobernar y publicar datos, al tiempo que garantizan el cumplimiento y la calidad de los mismos. La labor de recopilación de datos que exige la DSG es exigente y delicada.

Por último, la recopilación y gestión de datos ESG es un ejercicio iterativo. Las empresas tendrán que publicar informes de sostenibilidad todos los años. Por lo tanto, será necesario que realicen un análisis en profundidad una vez, y que después supervisen y actualicen los datos periódicamente. Estos pasos son esenciales para garantizar que los datos sean actuales y pertinentes.

Checklist: Acciones para implementar con el fin de asegurar y optimizar la gestión de los datos ESG en el marco de la Directiva CSRD Fase de preparación – Realizar una auditoría de los datos ESG existentes – Mapear los flujos de datos e identificar las fuentes – Definir los roles y responsabilidades de cada parte interesada – Establecer una gobernanza de los datos ESG Seguridad técnica – Implementar controles de acceso granulares – Cifrar los datos sensibles en tránsito y en reposo – Hacer copias de seguridad y probar la recuperación de los datos Calidad de los datos – Definir reglas de validación automáticas – Establecer procedimientos de conciliación – Formar a los equipos en las metodologías de recolección – Planificar controles periódicos Cumplimiento y auditoría – Documentar los procesos de recolección y tratamiento – Establecer una pista de auditoría – Preparar la documentación justificativa para la auditoría externa – Probar las exportaciones en los formatos requeridos – Planificar la revisión por parte del auditor legal

Las ventajas de una gestión optimizada y segura de los datos ESG

Uno de los principales objetivos del CSRD es mejorar la fiabilidad de la información publicada. Las organizaciones que consigan optimizar la gestión de sus datos sensibles y reforzar la seguridad de los datos respetarán las metodologías oficiales y garantizarán su cumplimiento. Sus datos estarán documentados y serán trazables y seguros.

Poder confiar en datos ESG de calidad mejora la toma de decisiones estratégicas. La dirección puede basarse en indicadores fiables para supervisar el rendimiento. Esto mejora la identificación de riesgos y la optimización de recursos.

Unos datos ESG fiables y transparentes también tienden a reforzar la confianza de las partes interesadas: mejor respuesta a los criterios de los inversores, mejores calificaciones y diferenciación competitiva.

Por último, desde el punto de vista de la imagen de marca, las empresas que publican sus indicadores ASG suelen gozar de una mejor reputación ante clientes, inversores y talentos. Es incluso una ventaja competitiva.