Los actos delegados y de ejecución de la CSRD: donde Bruselas decide si el reporte sirve para algo o se queda en liturgia

La batalla de la CSRD no se libra ya en el titular grandilocuente de “más transparencia corporativa”. Se libra en una zona bastante menos fotogénica: los actos delegados y de ejecución que la Comisión Europea va utilizando para concretar qué se reporta, cómo se reporta y quién queda dentro o fuera del radar. Ahí está el verdadero poder regulatorio. La directiva pone el marco. La maquinaria secundaria decide si ese marco se convierte en disciplina útil o en una fábrica de PDFs solemnes que nadie lee.

La página de la Comisión Europea sobre implementing and delegated acts vinculados al paquete de reporting corporativo no parece, a primera vista, material para levantar una ceja. Pero conviene hacerlo. En el caso de la CSRD, los actos delegados son el vehículo jurídico para adoptar los European Sustainability Reporting Standards o ESRS, mientras que los actos de ejecución pueden fijar plantillas, formatos técnicos o mecanismos operativos cuando la legislación así lo prevea. Traducido a lenguaje menos bruselense: si tu empresa está intentando cerrar su mapa de datos ESG, su perímetro de consolidación o su estrategia de aseguramiento, no te basta con leer la Directiva (UE) 2022/2464. Tienes que seguir la normativa secundaria, porque ahí llega la precisión que luego usa el auditor, el supervisor y, en el peor de los casos, el litigante.

La CSRD entró en vigor el 5 de enero de 2023, tras su publicación en el Diario Oficial de la UE el 16 de diciembre de 2022. Modifica, entre otras normas, la Directiva 2013/34/UE sobre estados financieros, la Directiva 2004/109/CE de transparencia, la Directiva 2006/43/CE de auditoría legal y el Reglamento (UE) n.º 537/2014 sobre auditoría de entidades de interés público. Pero una cosa es reescribir la arquitectura legal y otra muy distinta hacerla funcionar en la práctica. Ahí aparecen los actos delegados previstos, sobre todo, en el artículo 29b, el artículo 29c y el artículo 40b de la Directiva contable, según quedaron modificados por la CSRD.

El punto esencial es este: la Comisión no está añadiendo mero ornamento técnico. Está delimitando el coste de cumplimiento, la exposición reputacional y la comparabilidad real de los datos. Una empresa puede creer que “ya tiene avanzado” su programa CSRD porque ha hecho una doble materialidad en PowerPoint y ha reunido a finanzas, legal y sostenibilidad en un par de talleres. Luego llega un estándar delegado, afina una definición, exige un dato desagregado, impone una reconciliación con estados financieros o cambia el perímetro de una divulgación, y ese programa tan maduro resulta ser un ensayo general.

No, la directiva no basta: el corazón operativo está en los actos delegados

La distinción jurídica importa. Un acto delegado, al amparo del artículo 290 del TFUE, permite a la Comisión completar o modificar elementos no esenciales de una norma legislativa. Un acto de ejecución, bajo el artículo 291 del TFUE, busca condiciones uniformes para aplicar actos jurídicamente vinculantes. No es una discusión académica. En la CSRD, esa diferencia marca qué puede concretar la Comisión y con qué grado de detalle.

El ejemplo más visible son los ESRS. El primer paquete sector-agnóstico fue adoptado por la Comisión mediante el Reglamento Delegado (UE) 2023/2772, de 31 de julio de 2023, publicado en el DOUE el 22 de diciembre de 2023. Ese reglamento incorpora los estándares ESRS 1 y ESRS 2, más los estándares temáticos ambientales, sociales y de gobernanza. Si alguien todavía habla de la CSRD como si fuese una obligación abstracta de “reportar sostenibilidad”, conviene enseñarle ese reglamento. Son decenas de páginas con requisitos de divulgación, datapoints, conceptos de materialidad, vínculos con políticas, objetivos, métricas y planes de transición. Ya no estamos en el terreno de la retórica corporativa. Estamos en el inventario verificable.

La Directiva 2013/34/UE, tras la reforma de la CSRD, facultó a la Comisión en el artículo 29b para adoptar estándares de reporting de sostenibilidad. El mismo artículo prevé que esos estándares especifiquen la información que las empresas deben divulgar sobre factores ambientales, sociales, de derechos humanos y de gobernanza, incluyendo cómo afectan esas cuestiones a la empresa y cómo impacta la empresa en las personas y el medio ambiente. Ahí está la famosa doble materialidad. Pero la novedad práctica no es solo el concepto; es su operacionalización. Y eso solo llega con el acto delegado.

Lo mismo ocurre con el artículo 29c, sobre estándares específicos para pymes cotizadas, entidades pequeñas y no complejas y aseguradoras cautivas pequeñas. Y con el artículo 40b, que abre la puerta a estándares para empresas de terceros países con actividad significativa en la UE. En otras palabras: el alcance real de la CSRD no se agota en las grandes empresas europeas. Va desplegándose por capas, y cada capa necesita su instrumento técnico.

Bruselas, por cierto, ha tenido que aprender sobre la marcha que un estándar demasiado ambicioso puede ser políticamente elegante y operativamente indigesto. El primer set de ESRS acabó simplificado frente a los borradores de EFRAG. Hubo reducción de datapoints, introducción de materialidad en varias divulgaciones y alivios transitorios. No fue altruismo regulatorio. Fue la constatación de que pedirlo todo desde el primer año era la forma más rápida de obtener datos mediocres y departamentos de compliance en llamas.

Qué ha aprobado ya la Comisión y por qué cambia la conversación

La página de la Comisión sobre actos delegados y de ejecución sirve, sobre todo, como mapa de seguimiento. Y ese mapa importa porque el calendario de aplicación de la CSRD ya está corriendo, aunque el debate político sobre simplificación no haya terminado.

Hoy hay tres hitos verificables que cualquier director de cumplimiento, secretario del consejo o responsable de reporting debería tener fijados:

Primero, la adopción del Reglamento Delegado (UE) 2023/2772, que contiene el primer paquete de ESRS aplicable a las empresas dentro del perímetro inicial de la CSRD. Ese es el texto base para los primeros reportes de las empresas ya obligadas.

Segundo, el calendario escalonado de aplicación de la propia CSRD: las empresas ya sujetas a la NFRD deben reportar en 2025 sobre el ejercicio 2024; las grandes empresas que no estaban en la NFRD, en 2026 sobre el ejercicio 2025; las pymes cotizadas, en principio, en 2027 sobre el ejercicio 2026, con opción de opt-out hasta 2028; y las empresas de terceros países con ciertos umbrales de facturación en la UE, en 2029 sobre el ejercicio 2028. Este calendario deriva de la directiva, no de un rumor de mercado.

Tercero, la propia arquitectura de futura regulación secundaria sigue abierta. Faltan piezas. Entre ellas, estándares sectoriales que inicialmente estaban previstos, estándares para pymes cotizadas y normas específicas para grupos de terceros países. Y cada retraso, recorte o rediseño altera presupuestos, soluciones tecnológicas y criterios de aseguramiento.

Esto tiene una consecuencia que muchas compañías siguen subestimando: el programa CSRD no puede tratarse como un proyecto cerrado con requisitos estables. Es más parecido a una infraestructura regulatoria viva. Quien lo gestione como una implantación puntual —“levantamos el informe este año y ya está”— se está preparando para rehacer trabajo. Bastante trabajo.

El verdadero problema: la incertidumbre regulatoria ya no está en el ‘qué’, sino en el ‘cuánto detalle’

Durante 2022 y buena parte de 2023, la gran pregunta era si la UE realmente iba a imponer un modelo de reporting tan granular como apuntaban los borradores. Esa fase, en lo esencial, ha pasado. La respuesta fue sí, aunque con poda selectiva. Ahora el problema es otro: cuánto detalle seguirá entrando por la puerta de la normativa secundaria y con qué velocidad se moverá el perímetro político.

La Comisión, el Parlamento y el Consejo llevan meses bajo presión empresarial para simplificar el marco de sostenibilidad corporativa. No solo por la CSRD, sino por la combinación CSRD, CSDDD, Taxonomía y otras obligaciones de divulgación y diligencia debida. Cuando en Bruselas se habla de “racionalización”, rara vez significa desregulación pura. Suele significar algo más sofisticado y algo más incómodo: menos requisitos en unos puntos, más precisión en otros y más dependencia de actos secundarios, Q&A, guías interpretativas y prioridades supervisoras.

Aquí conviene separar tres planos.

Uno, el plano legislativo primario: cambiar la directiva lleva tiempo, negociación política y coste reputacional. No es imposible, pero tampoco inmediato.

Dos, el plano delegado: permite ajustar contenido técnico con una rapidez relativa muy superior. Ahí es donde la Comisión puede modular la carga informativa real sin reabrir toda la batalla legislativa.

Tres, el plano interpretativo y de aseguramiento: incluso con el mismo texto, la práctica puede endurecerse o suavizarse según cómo lo lean auditores, autoridades nacionales y, más adelante, ESMA cuando supervise el ecosistema de información corporativa bajo el formato digital y la consistencia con otras obligaciones del mercado.

Resultado: el riesgo para las empresas no es solo incumplir una obligación clara. Es diseñar un sistema de reporte demasiado estrecho para absorber el siguiente ajuste técnico. El coste de no dejar margen arquitectónico se paga en el segundo año, no en el primero.

Por qué los actos delegados afectan también a finanzas, auditoría y gobierno corporativo, no solo a sostenibilidad

Uno de los errores más caros del mercado ha sido tratar la CSRD como una norma “del equipo ESG”. Ese planteamiento funcionó cuando el reporting de sostenibilidad era, siendo generosos, un anexo reputacional. Con la CSRD y sus actos delegados deja de funcionar.

El artículo 19a de la Directiva 2013/34/UE, reformado por la CSRD, exige que determinada información de sostenibilidad se incluya en el informe de gestión. No en un folleto aparte ni en un micrositio corporativo lleno de fotos de árboles. En el informe de gestión. Y el artículo 34 introduce el requisito de aseguramiento. Primero, en principio, con un nivel de aseguramiento limitado. Más adelante, la Comisión debía valorar la transición a un aseguramiento razonable, con arreglo a criterios y análisis adicionales.

Eso mete a varias funciones en la misma sala, aunque no siempre quieran estar ahí:

Finanzas, porque muchas métricas requieren reconciliación con datos consolidados, CAPEX, OPEX, provisiones, deterioros, activos físicos expuestos a riesgo climático o estructuras de control interno sobre datos no financieros.

Auditoría interna y externa, porque la trazabilidad documental deja de ser optativa. Si una empresa afirma que tiene una política climática, un plan de transición, controles sobre incidentes laborales o procesos de debida diligencia en cadena de valor, alguien pedirá evidencia. No poesía.

Secretaría del consejo y compliance, porque la gobernanza declarada —roles, supervisión del órgano de administración, incentivos vinculados a objetivos, integración del riesgo ESG en el marco global— empieza a tener valor legal y probatorio.

IT y datos, porque los ESRS exigen granularidad, historicidad, consistencia y, en algunos casos, información que no estaba estructurada para cierre periódico. El cuello de botella no es solo regulatorio. Es técnico.

La ironía del asunto es conocida por cualquiera que haya vivido SOX, GDPR o DORA: las empresas intentan resolver un problema de control con una presentación bonita y acaban descubriendo, un trimestre más tarde, que necesitan arquitectura de datos, gobierno de procesos y responsables nombrados con nombre y apellidos. El regulador no siempre lo dice de entrada. Lo insinúa en el artículo y lo remata en el acto delegado.

La zona más delicada: materialidad, cadena de valor y alivios transitorios

Si hay tres conceptos en los que los actos delegados pueden disparar el riesgo operativo, son estos: materialidad, cadena de valor y disposiciones transitorias.

La materialidad en los ESRS no equivale a “publico lo que considero interesante”. ESRS 1 exige un proceso de evaluación de doble materialidad que cubra materialidad de impacto y materialidad financiera. Eso obliga a documentar por qué un tema es material o no lo es. No basta con decir que “no se identificaron impactos relevantes” si no existe metodología, trazabilidad y evidencia de fuentes. Además, ESRS 2 contiene divulgaciones generales obligatorias que no dependen del resultado de materialidad del mismo modo que los estándares temáticos. Ese matiz ha pasado desapercibido en más de un proyecto interno.

La cadena de valor es el segundo gran dolor de cabeza. La CSRD y los ESRS no se quedan en la entidad jurídica que firma el informe. Exigen mirar aguas arriba y aguas abajo cuando sea material. Eso significa proveedores, distribuidores, uso de producto y, en determinados sectores, exposiciones indirectas complejas. Aquí el regulador tuvo que reconocer la realidad: no todos los datos estarán disponibles de inmediato. De ahí los alivios transitorios y ciertas flexibilidades iniciales. Pero nadie debería confundir flexibilidad temporal con exención estructural. La dirección del viaje sigue siendo la misma: más visibilidad, más datos externos y más presión contractual sobre terceros.

El tercer punto son los alivios transitorios del primer paquete ESRS. La Comisión introdujo, por ejemplo, fases graduales para algunas divulgaciones y opciones de omisión temporal en áreas concretas, en especial para empresas de menor tamaño dentro del perímetro aplicable. Esto da aire, sí. También genera una tentación bastante humana: usar el alivio como excusa para no construir la capacidad subyacente. Mala idea. Si un dato será exigible dentro de uno o dos ejercicios, retrasar hoy el diseño de proceso solo traslada el coste y suele multiplicarlo.

Lo que debería preocupar de verdad a una entidad financiera española

Para una entidad financiera española, la CSRD no opera en vacío. Choca y se coordina con varias capas regulatorias ya conocidas: Pilar 3 en materia prudencial, divulgaciones de Taxonomía de la UE, SFDR en productos e inversiones, directrices de la EBA sobre gestión de riesgos ESG y, en el horizonte operativo, marcos de resiliencia como DORA. La cuestión no es si estas normas “se relacionan”. La cuestión es dónde se contradicen, dónde duplican peticiones de datos y dónde obligan a usar las mismas fuentes con fines distintos.

Un banco que reporte bajo CSRD tendrá que explicar gobernanza, estrategia, riesgos y métricas de sostenibilidad en el informe de gestión. A la vez, puede estar publicando ratios GAR o BTAR bajo la Taxonomía, divulgaciones de riesgos climáticos o de transición en documentación prudencial y afirmaciones comerciales o precontractuales bajo SFDR para determinados productos. Si los conceptos y definiciones no están alineados internamente, el problema no es solo de estilo editorial. Es de consistencia legal.

Pongamos un ejemplo práctico. Si una entidad comunica en su informe CSRD que integra riesgos climáticos en la concesión de crédito, pero sus políticas internas, su documentación para supervisores o sus métricas de seguimiento muestran un grado mucho menor de integración, la brecha queda expuesta. Y no hace falta imaginar teorías agresivas de enforcement: basta un auditor minucioso, un supervisor curioso o un inversor activista con tiempo libre.

En España, además, las entidades tienen una sensibilidad creciente al riesgo de que sostenibilidad se convierta en una nueva versión del viejo problema de “prometer más de lo que el control interno puede demostrar”. El sector financiero conoce bien cómo acaban estas historias. Empiezan con narrativas optimistas y acaban con remediaciones, revisiones de gobierno y alguna que otra conversación incómoda con el consejo.

La dimensión tecnológica también es relevante. Los bancos y aseguradoras ya están invirtiendo en capacidades de agregación de datos por exigencias prudenciales, AML, DORA o reporting financiero. Integrar CSRD en esa arquitectura tiene más sentido que levantar un silo ESG paralelo. La razón no es solo eficiencia. Es defensabilidad. Un sistema que reutiliza controles, diccionarios de datos, ownership claro y trazas de auditoría reduce el riesgo de inconsistencias entre reportes.

El ángulo que muchos están ignorando: la CSRD también es litigación preventiva

Se habla mucho del coste de cumplir. Menos del coste de declarar mal. Y menos aún del valor probatorio que puede adquirir la información reportada bajo CSRD.

Las divulgaciones de sostenibilidad ya no son solo marketing con supervisión ligera. Van entrando en el perímetro de afirmaciones formalizadas, sujetas a procedimientos internos, revisión, aseguramiento y, potencialmente, contraste con otras obligaciones públicas de la empresa. Eso abre tres frentes.

Uno, el frente del greenwashing o social washing. Si una compañía presenta objetivos, políticas o resultados que no resisten contraste con los datos subyacentes, el problema puede saltar desde reputación a supervisión, litigio civil o reclamación de inversores, dependiendo del mercado y la jurisdicción.

Dos, el frente de coherencia interna. La información CSRD convivirá con el informe anual, la documentación para financiación sostenible, emisiones de deuda, presentaciones a analistas, folletería comercial y declaraciones en juntas. A mayor densidad narrativa, mayor probabilidad de contradicción. Y las contradicciones gustan mucho a abogados, periodistas y ONG. No necesariamente por ese orden.

Tres, el frente del consejo de administración. La CSRD sube el nivel de implicación del órgano de administración en la información de sostenibilidad. Si el consejo supervisa, aprueba o asume responsabilidad sobre una narrativa que luego no se sostiene, el problema deja de ser periférico. Se convierte en asunto de gobierno.

Los actos delegados empeoran —o mejoran, según se mire— este panorama porque convierten declaraciones amplias en campos concretos, definiciones cerradas y exigencias verificables. Y cuanto más verificable es algo, más fácil resulta detectar omisiones, sesgos o inconsistencias.

La simplificación regulatoria que viene no significa barra libre

La conversación europea sobre simplificación ha llevado a algunas empresas a caer en una esperanza casi infantil: que Bruselas acabe desinflando la CSRD antes de que duela de verdad. Sería imprudente planificar sobre esa base.

Puede haber ajustes, aplazamientos parciales, reducción de datapoints o secuenciación más amable. No sería raro. La UE ya ha demostrado que sabe retroceder medio paso cuando el despliegue amenaza con bloquear el sistema. Pero una cosa es podar y otra arrancar de raíz. La lógica estructural de la CSRD sigue en pie por varias razones.

Primera, porque la demanda de comparabilidad de datos de sostenibilidad no ha desaparecido. Inversores, financiadores, supervisores y grandes compradores siguen queriendo información más estandarizada y menos voluntarista.

Segunda, porque la interoperabilidad internacional importa. La UE no opera sola. El ISSB ha desplegado IFRS S1 e IFRS S2, y aunque el enfoque europeo es más amplio por su doble materialidad, existe presión para evitar una fragmentación absurda de marcos. Eso empuja a afinar, no a abandonar.

Tercera, porque políticamente la Comisión puede vender simplificación sin renunciar al objetivo central. Y eso suele traducirse en lo siguiente: menos exuberancia conceptual, más foco en datos que realmente puedan usarse, y más dependencia de actos delegados para modular el detalle. O sea, justo lo que debería hacer que esta página de “implementing and delegated acts” te importe más, no menos.

Qué deberían hacer ahora las empresas sin caer en el teatro del cumplimiento

La respuesta seria no es “esperar a ver qué pasa”. Esperar sale barato durante un trimestre y carísimo cuando hay que cerrar el informe. Tampoco sirve construir un monstruo burocrático que intente capturar todos los datapoints imaginables desde el primer día. La jugada inteligente está en el medio: diseñar un sistema capaz de absorber cambios regulatorios sin rehacerse entero cada vez.

Eso exige, como mínimo, cinco decisiones operativas bastante menos glamourosas que una estrategia ESG con eslogan.

La primera es fijar un inventario de obligaciones vivas, no un PDF estático. Directiva base, reglamento delegado ESRS aplicable, guías interpretativas relevantes, interacción con Taxonomía y, si aplica, con normas sectoriales financieras. Si tu empresa no sabe hoy qué texto es legalmente vinculante y cuál es un borrador, ya tiene un problema de gobernanza regulatoria.

La segunda es mapear cada divulgación relevante a un propietario interno, una fuente de dato y una evidencia. Sin ese triple vínculo, el reporte es literatura. Con él, empieza a parecerse a un sistema de control.

La tercera es documentar la evaluación de materialidad como si fueras a defenderla ante un tercero escéptico. Porque probablemente tendrás que hacerlo. Metodología, participantes, criterios, fuentes, umbrales y conclusiones. Todo trazable.

La cuarta es revisar contradicciones con reportes regulatorios y de mercado ya existentes. En entidades financieras esto incluye, entre otros, Taxonomía, SFDR, documentación prudencial y comunicaciones a inversores. El mejor momento para detectar incoherencias es antes de publicarlas.

La quinta es preparar el aseguramiento desde el diseño, no al final. El artículo 34 de la Directiva contable no apareció para decorar el texto. Si el auditor o prestador de aseguramiento entra en diciembre y descubre que no existe rastro documental suficiente, el cierre se convierte en deporte de riesgo.

Hay una tentación recurrente en todas las grandes olas regulatorias: delegar el problema a una herramienta. Software de ESG, plataforma de reporting, solución de workflow, llámalo como quieras. La tecnología ayuda, claro. Pero una mala taxonomía de datos, una gobernanza difusa y un perímetro mal definido no se curan con un panel bonito. Solo se visualizan mejor.

Qué vigilar en los próximos movimientos de la Comisión

La pista útil no está en las declaraciones genéricas sobre competitividad o reducción de carga administrativa. Está en cuatro frentes muy concretos.

El primero es la evolución de los estándares pendientes, en particular para pymes cotizadas y para grupos de terceros países. Ahí se juega buena parte del equilibrio entre proporcionalidad y consistencia del sistema.

El segundo es si la Comisión mantiene, retrasa o rediseña el calendario de estándares sectoriales. Los sectores quieren especificidad cuando les conviene y la temen cuando implica más datos. Normal. Pero sin cierto nivel de especificidad, la comparabilidad entre pares se resiente.

El tercero es la relación entre CSRD y el paquete europeo de simplificación en sostenibilidad corporativa. Si se reducen obligaciones, habrá que ver cuáles caen y cuáles se endurecen por otra vía. Bruselas rara vez regala simplificación sin pedir algo a cambio.

El cuarto es el formato y la digitalización del reporting. La CSRD exige etiquetado digital de la información de sostenibilidad, conectado con el formato electrónico único europeo. Cuando esa capa técnica madure, la explotación automatizada de datos y el escrutinio cruzado serán mucho más agresivos. Dicho sin rodeos: ahora todavía hay cierto margen para esconder desorden en la complejidad. Ese margen no durará siempre.

La conclusión incómoda: el cumplimiento de la CSRD se decide en la normativa secundaria

Quien siga leyendo la CSRD como una directiva con noble propósito y detalles manejables va tarde. Lo sustantivo ya está migrando a los actos delegados y de ejecución, porque ahí se define el nivel de granularidad, la secuencia de aplicación y la fricción real con procesos internos, auditoría y supervisión.

La página de la Comisión sobre estos actos puede parecer anodina. No lo es. Es el tablero donde se va moviendo la pieza que de verdad importa: la traducción del ideal europeo de transparencia sostenible en obligaciones concretas, auditables y comparables. Y en regulación, como sabe cualquiera que haya sobrevivido a GDPR, DORA o SOX, el diablo no siempre está en la ley. A menudo está en el acto delegado que llega después y te obliga a rehacer medio programa.

La buena noticia es que esta vez hay una lección aprendida de otras olas regulatorias: las organizaciones que montan capacidades reutilizables —gobierno de dato, ownership claro, trazabilidad, revisión jurídica y aseguramiento integrado— sufren menos cuando cambia la letra pequeña. Las que improvisan alrededor de un informe anual suelen descubrir que la sostenibilidad, cuando entra en el perímetro financiero y de auditoría, pierde rápido su encanto narrativo.

Si tu empresa está dentro del perímetro CSRD, la pregunta ya no es si reportará. La pregunta es si ha entendido que el texto principal era solo el principio y que el cumplimiento serio empieza cuando Bruselas publica la letra pequeña. Que, para variar, es la que acaba importando.