La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone la Directiva europea 2019/1937 (Whistleblower Directive) e impone a las empresas con 50 o más trabajadores la obligación de implantar un canal de comunicación interna para la notificación de irregularidades. El incumplimiento no es una opción: las sanciones son significativas y la ley está en vigor.
Quién está obligado y desde cuándo
La obligación de contar con un sistema interno de información afecta a:
- Empresas del sector privado con 50 o más trabajadores: plazo de adaptación vencido el 1 de diciembre de 2023 (empresas de entre 50 y 249 trabajadores) y el 1 de septiembre de 2023 (empresas de 250 o más)
- Partidos políticos, sindicatos y organizaciones empresariales que reciban financiación pública de cualquier cuantía
- Fundaciones del sector público y entidades que gestionen fondos públicos
- Empresas en sectores regulados independientemente del número de trabajadores: servicios financieros, prevención del blanqueo, seguridad de productos, protección del medio ambiente, seguridad vial
Las empresas de entre 50 y 249 trabajadores pueden compartir el canal de denuncias con otras empresas del mismo grupo, pero deben mantener la gestión independiente de cada comunicación.
Qué debe tener el canal para ser conforme
La ley establece requisitos mínimos que el sistema interno de información debe cumplir:
Accesibilidad y confidencialidad
El canal debe ser accesible a todos los empleados, directivos, socios, contratistas y proveedores. Debe garantizar la confidencialidad de la identidad del informante desde el momento de la recepción hasta la resolución, e incluir opción de comunicación anónima aunque no es obligatorio forzar el anonimato.
Responsable del sistema
Debe existir un responsable del sistema de información interna designado formalmente: puede ser una persona física (compliance officer, director legal) o una persona jurídica externa. El responsable debe tener independencia suficiente para investigar sin conflicto de intereses.
Plazos de respuesta
- 7 días hábiles para acusar recibo de la comunicación
- 3 meses para comunicar las actuaciones realizadas o previstas (ampliable a 6 meses en casos de especial complejidad)
Registro e investigación
Todas las comunicaciones deben registrarse, investigarse con diligencia y documentarse. El registro debe mantenerse durante un período máximo de 10 años, con las garantías del RGPD.
Protección del informante
La ley prohíbe cualquier forma de represalia contra quien presenta una comunicación de buena fe: despido, democión, cambio de puesto, discriminación retributiva, exclusión de licitaciones. La empresa debe documentar que no ha adoptado ninguna medida de represalia.
Pasos para la implementación
Paso 1: Designar al responsable
Puede ser interno (compliance officer, director legal, auditor interno) o externo (despacho de abogados, proveedor especializado). En empresas sin estructura de compliance previa, la externalización es la opción más eficiente.
Paso 2: Elegir la tecnología
El canal puede ser web, telefónico, por correo postal o presencial. Las plataformas digitales especializadas ofrecen garantías técnicas de confidencialidad (cifrado de extremo a extremo, comunicación bidireccional anónima) difíciles de lograr con herramientas genéricas.
Paso 3: Actualizar la política de privacidad
El tratamiento de datos personales en el canal está sujeto al RGPD y requiere una base legal clara, una política de privacidad específica y, en muchos casos, la consulta al DPO si existe.
Paso 4: Comunicación interna
Todos los sujetos obligados (empleados, contratistas, proveedores) deben ser informados de la existencia del canal, su funcionamiento y las garantías de confidencialidad. La comunicación debe quedar documentada.
Paso 5: Procedimiento de investigación
Debe existir un protocolo formal de cómo se investiga cada comunicación, quién participa, cómo se documenta y cómo se resuelve. Este protocolo forma parte del sistema de compliance de la empresa.
Cómo le ayudamos en BMC
Nuestro equipo de canal de denuncias implementa sistemas de información interna conformes a la Ley 2/2023, incluyendo la designación de responsable externo, la configuración de la plataforma tecnológica, la redacción de la política de privacidad y el protocolo de investigación, y la formación al equipo directivo.
Si su empresa aún no ha implantado el canal o quiere revisar si el sistema actual cumple los requisitos legales, contacte con nuestro equipo de compliance penal para una primera evaluación. El riesgo de no actuar ahora es significativamente superior al coste de la implementación.
Marco regulador específico
El canal de denuncias empresarial en España se articula sobre tres capas normativas que interactúan entre sí:
- Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, sobre la protección de las personas que informen sobre infracciones del Derecho de la Unión. España la transpuso con retraso, lo que generó un período de incertidumbre regulatoria.
- Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Publicada en el BOE el 21 de febrero de 2023 (BOE-A-2023-4859). Amplía el ámbito de la directiva europea al incluir también infracciones del ordenamiento jurídico español, no solo del derecho de la UE.
- RGPD (Reglamento UE 2016/679) y LOPDGDD (Ley Orgánica 3/2018): El canal de denuncias implica tratamiento de datos personales de potencial carácter sensible. El artículo 24 de la LOPDGDD regula específicamente los sistemas de información de denuncias internos.
Plazos de obligatoriedad (art. 10 Ley 2/2023)
| Categoría | Plazo de implantación |
|---|---|
| Empresas ≥ 250 trabajadores | 13 de junio de 2023 |
| Empresas 50-249 trabajadores | 1 de diciembre de 2023 |
| Sector público (cualquier tamaño) | 13 de junio de 2023 |
| Municipios < 10.000 hab. (opción de sistema compartido) | 1 de diciembre de 2023 |
Sanciones (arts. 63-66 Ley 2/2023)
Las infracciones en materia de canal de denuncias se clasifican en graves y muy graves:
- Infracciones graves (art. 64): falta de implantación del sistema, obstaculización del proceso de investigación, incumplimiento de los plazos de respuesta. Multa: hasta 300.000 EUR para personas jurídicas; hasta 30.000 EUR para personas físicas.
- Infracciones muy graves (art. 63): vulneración de la confidencialidad del informante, represalias contra el denunciante. Multa: hasta 1.000.000 EUR para personas jurídicas; hasta 120.000 EUR para personas físicas.
La Autoridad Independiente de Protección del Informante (AAI), creada por la misma ley, es el organismo competente para la supervisión y la imposición de sanciones.
Ejemplo práctico: implantación en empresa de 80 empleados
Supuesto: Empresa de servicios tecnológicos con 80 empleados, sin estructura de compliance previa, que necesita implantar el canal antes de que la AAI inicie su actividad inspectora.
| Fase | Acción | Plazo | Coste estimado |
|---|---|---|---|
| 1. Designación de responsable | Proveedor externo (BMC) como responsable del sistema | Semana 1 | Incluido en servicio |
| 2. Configuración de plataforma | Canal web cifrado con comunicación bidireccional anónima | Semanas 1-2 | 500-1.500 EUR/año (SaaS) |
| 3. Política de privacidad RGPD | Redacción e integración en web interna | Semana 2 | Incluido en servicio |
| 4. Comunicación a plantilla | Email + sesión informativa + firma de recepción | Semana 3 | Incluido |
| 5. Protocolo de investigación | Documento formal con fases, plazos y escalado | Semana 3 | Incluido en servicio |
| 6. Primer simulacro de denuncia anónima | Test de recepción, acuse de recibo y protocolo | Semana 4 | Incluido |
Coste total de implantación externalizada (empresa 80 empleados): 2.400 – 4.800 EUR/año frente a una multa por incumplimiento de hasta 300.000 EUR.
Errores comunes que BMC corrige
- Confundir el buzón de sugerencias con el canal de denuncias. El canal de denuncias requiere un responsable designado, plazos de respuesta formales (7 días para acuse de recibo) y un protocolo de investigación documentado. Un buzón de RRHH genérico no cumple.
- No garantizar el anonimato técnico. La confidencialidad del informante exige que ni siquiera el responsable del sistema pueda identificar al denunciante si este opta por el anonimato. Muchas herramientas de uso general (Google Forms, correo electrónico) no ofrecen esta garantía técnica.
- No comunicar el canal a contratistas y proveedores. La Ley 2/2023 exige que el sistema sea accesible no solo a los empleados sino también a cualquier persona en el ámbito organizativo o funcional de la empresa, incluidos proveedores y contratistas habituales.
- Omitir el registro de comunicaciones. Todas las denuncias recibidas deben registrarse y conservarse durante un máximo de 10 años (art. 33 Ley 2/2023). La ausencia de registro dificulta la demostración de cumplimiento ante la AAI.
- No actualizar la base legal del tratamiento de datos en el registro de actividades de tratamiento (RAT). El canal de denuncias es un tratamiento que debe incluirse en el RAT conforme al artículo 30 del RGPD, con referencia específica a la Ley 2/2023 como base legal.
Próximos pasos
- Verificar si la empresa supera el umbral de 50 trabajadores (computar plantilla media del ejercicio, incluyendo temporales y parciales en proporción)
- Designar formalmente al responsable del sistema de información interna (interno o externo)
- Elegir la plataforma tecnológica que garantice confidencialidad y comunicación bidireccional anónima
- Redactar la política de privacidad específica del canal conforme al RGPD y notificar al DPO si existe
- Comunicar la existencia del canal a todos los sujetos obligados (empleados, proveedores, contratistas) con documentación de la comunicación
- Establecer el protocolo de investigación con plazos, responsables y criterios de escalado antes de recibir la primera denuncia
