La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, supuso la transposición al ordenamiento jurídico español de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, conocida como Directiva Whistleblowing. Su entrada en vigor en marzo de 2023 impone obligaciones concretas y sancionables a las empresas privadas con cincuenta o más trabajadores, en un marco regulatorio que tiene como objetivo transformar la cultura de denuncia interna en las organizaciones.
Ámbito subjetivo de aplicación: quién está obligado
El umbral principal de la ley es el de cincuenta trabajadores. El cómputo incluye trabajadores con contrato indefinido, trabajadores temporales y trabajadores a tiempo parcial, estos últimos ponderados por su jornada efectiva. Los grupos de empresas pueden implantar un canal centralizado siempre que sea accesible desde cada entidad del grupo.
Están obligadas con independencia del número de empleados las entidades del sector financiero, las que operan en el ámbito tributario —obligados tributarios de gran empresa—, las sometidas a normas de prevención del blanqueo de capitales, las contratistas y concesionarias públicas, y los partidos políticos, sindicatos y organizaciones empresariales que reciban financiación pública.
También están sujetas las entidades del sector público: administraciones territoriales con más de diez mil habitantes, entidades del sector público institucional estatal y las Cámaras de Cuentas y órganos equivalentes de las Comunidades Autónomas.
El Sistema Interno de Información (SII): requisitos de diseño
El SII es el término técnico que la ley utiliza para referirse al canal de denuncias interno. Su diseño debe garantizar:
Accesibilidad multicanal: el informante debe poder presentar la denuncia por escrito —formulario físico o electrónico— y oralmente, incluyendo la posibilidad de reunión presencial. No es admisible un canal exclusivamente escrito.
Confidencialidad robusta: la identidad del informante y cualquier información que pueda revelarla indirectamente deben ser accesibles únicamente al responsable del sistema. La información no puede compartirse con terceros salvo cuando sea necesario para la investigación o lo exija una autoridad competente, y en ese caso siempre con comunicación previa al informante.
Independencia funcional del gestor: el responsable del SII —ya sea interno o externo— debe tener plena autonomía para gestionar las denuncias sin injerencia de la dirección de la empresa. Cuando se opta por un órgano colegiado de compliance, debe incluir al menos un miembro con formación jurídica y garantías estatutarias de independencia.
Plazos estrictos: acuse de recibo en siete días hábiles; comunicación al informante de las acciones previstas o adoptadas en un máximo de tres meses desde el acuse de recibo.
Información sobre el canal externo: el SII debe informar al informante de su derecho a acudir al canal externo de la Autoridad Independiente de Protección del Informante (AAPI), al margen del canal interno.
Canal interno vs. canal externo: la doble vía
La Ley 2/2023 articula un sistema de doble canal. El canal interno —el SII de la empresa— es la vía preferente, pero el informante puede acudir directamente al canal externo de la AAPI sin necesidad de haber utilizado antes el interno, y sin obligación de justificar esa elección.
La AAPI —organismo independiente adscrito a las Cortes Generales— puede recibir denuncias anónimas, investigar, tramitar expedientes sancionadores contra las empresas infractoras y adoptar medidas cautelares de protección frente a represalias. Su puesta en marcha efectiva ha sido gradual, pero ya está operativa para la recepción de denuncias.
Régimen sancionador: sanciones de hasta 1 millón de euros
La ley establece un régimen sancionador con tres niveles de infracción, significativamente más severo que el de la normativa laboral estándar:
| Tipo de infracción | Ejemplos | Sanción personas jurídicas |
|---|---|---|
| Muy grave | Represalias, obstaculizar denuncias, vulnerar confidencialidad | 300.001 – 1.000.000 € |
| Grave | No implantar SII, incumplir plazos, no garantizar independencia | 100.001 – 300.000 € |
| Leve | Irregularidades menores de procedimiento | Hasta 100.000 € o amonestación |
La AAPI puede publicar las resoluciones sancionadoras en su sitio web, añadiendo un riesgo reputacional relevante al económico. En los casos más graves, también puede proponer la inhabilitación temporal de directivos responsables.
Protección frente a represalias: inversión de la carga de la prueba
El mecanismo de protección más innovador de la ley es la inversión de la carga de la prueba: ante cualquier medida perjudicial adoptada después de una denuncia, se presume que existe vinculación entre ambas, y es la empresa la que debe acreditar que la medida obedece a causas objetivas y ajenas a la denuncia.
Las represalias abarcan el despido, la degradación profesional, el cambio de turno, la suspensión del contrato, la intimidación, el acoso, la exclusión de ascensos o formación, las referencias negativas y cualquier trato desfavorable. El informante tiene derecho a asistencia jurídica gratuita en procedimientos relacionados con la represalia.
Canales externalizados: ventajas y requisitos
La externalización del canal a un tercero especializado —bufete de abogados, proveedor tecnológico certificado— es una opción válida y crecientemente adoptada, especialmente por PYMES que no tienen recursos internos para gestionar el canal con las garantías exigidas.
Las ventajas principales son la independencia perceptible frente al informante —mayor confianza en el canal—, la disponibilidad técnica 24/7, la gestión por profesionales con formación específica y la reducción del riesgo de filtración interna. El contrato con el proveedor debe incluir cláusulas RGPD (art. 28 y siguientes), acuerdos de confidencialidad reforzados y protocolos de escalado hacia la dirección para los casos que requieran medidas urgentes.
Integración con el programa de compliance penal
El canal de denuncias es un elemento necesario —pero no suficiente— para que el programa de criminal compliance de la empresa exima o atenúe la responsabilidad penal de la persona jurídica conforme al art. 31 bis del Código Penal. El Tribunal Supremo (STS 154/2016; STS 221/2022) ha precisado que el programa debe ser genuino y eficaz, no meramente formal: el canal debe ser conocido, accesible y efectivamente usado, con registro de las denuncias recibidas y de las investigaciones realizadas.
La integración funcional entre el canal de denuncias, el mapa de riesgos penales, los protocolos de actuación ante delitos y el órgano de compliance autónomo es el núcleo del modelo de gestión del riesgo penal corporativo conforme al estándar UNE 19601.
Hoja de ruta para la implantación
Una implantación correcta del SII sigue estas fases: (1) diagnóstico del cumplimiento actual y análisis de riesgos específicos del sector; (2) diseño del canal —interno o externalizado— y del procedimiento de gestión de denuncias; (3) designación y formación del responsable del sistema; (4) aprobación de la política interna por el órgano de administración; (5) comunicación a la plantilla y publicación en la intranet; (6) registro de denuncias recibidas y seguimiento; y (7) auditoría anual del funcionamiento del sistema.
La implantación no es un proyecto puntual sino un sistema vivo que requiere mantenimiento, formación continua y actualización ante cambios normativos.
