Canal de Denuncias: Cumpla la Ley 2/2023 sin Complicaciones

El canal de denuncias es el Sistema Interno de Información (SII) que la Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas —transposición de la Directiva europea 2019/1937 (Whistleblowing)— exige a las empresas de más de 50 trabajadores y a todas las entidades del sector público en España. El sistema debe permitir comunicaciones confidenciales e incluso anónimas, contar con un responsable designado del sistema, acusar recibo al informante en un plazo máximo de 7 días y dar respuesta en un plazo máximo de 3 meses, todo ello bajo los principios de protección frente a represalias establecidos en la ley. El incumplimiento puede dar lugar a sanciones de la Autoridad Independiente de Protección del Informante (AIPI) de hasta 1.000.000 € para personas jurídicas.

Canal de denuncias Ley 2/2023: un formulario web no es un sistema interno de información

La Ley 2/2023 obliga a las empresas de más de 50 empleados a implantar un canal interno de denuncias funcional. Muchas organizaciones han instalado un formulario web sin estructurar el sistema completo: sin responsable designado y formado, sin protocolo de investigación con plazos legales (7 días para acuse de recibo, 3 meses para respuesta), sin garantías reales de anonimato y sin coordinación con el RGPD. Un canal que no funciona correctamente puede generar mayor responsabilidad que no tener ninguno. La sanción por ausencia de canal o por represalias contra el informante alcanza el millon de euros.

Canal interno vs canal externalizado: el modelo que mejor protege su empresa

Nuestro equipo diseñamos e implementamos el Sistema Interno de Información (SII) completo: análisis organizativo, selección del modelo de canal (interno o externalizado a un tercero independiente), política corporativa de denuncias, designación y formación del responsable, protocolo de investigación con los plazos legales integrados, y coordinación con el DPO para la EIPD específica del sistema.

La externalización del canal a un tercero independiente, que ofrecemos como servicio, ofrece mayor credibilidad percibida por los informantes y descarga operativa para la empresa. La coordinación con el sistema de compliance penal es fundamental: un canal de denuncias funcional es uno de los elementos que los tribunales españoles exigen para que el programa de cumplimiento tenga efectos exoneradores de la responsabilidad penal de la persona jurídica. El tratamiento de datos personales en el sistema de denuncias exige coordinación estrecha con el DPO externalizado y una EIPD específica conforme a los criterios de la AEPD.

Contexto regulatorio en España

La Ley 2/2023, de 20 de febrero, transpone la Directiva europea 2019/1937 sobre protección de los informantes. La obligación de implantar el canal de denuncias aplica a todas las entidades del sector privado con 50 o más trabajadores desde la fecha de entrada en vigor. Las entidades con entre 50 y 249 empleados pueden compartir el canal con otras empresas del mismo grupo. La ley tipifica como infracción muy grave la falta de canal, las represalias contra informantes, los obstáculos a las investigaciones y la vulneracion de la confidencialidad, con multas de hasta 1 millon de euros para personas jurídicas. El tratamiento de datos en el sistema está sujeto a RGPD y LOPDGDD y exige EIPD específica.

Resultados que puedes esperar

• Sistema Interno de Información (SII) completo diseñado e implementado conforme a la Ley 2/2023
• Canal técnico con cifrado, opcion de comunicación anonima y trazabilidad auditada de actuaciones
• Responsable del SII designado, formado en sus obligaciones y con protocolo de investigación operativo
• Plazos legales integrados en el proceso: 7 días acuse de recibo, 3 meses respuesta al informante
• EIPD específica para el sistema de denuncias coordinada con el DPO y los plazos de conservacion de datos
• Documentación del sistema integrada en el programa de compliance penal para efectos exoneradores

La Ley 2/2023, que transpone la Directiva europea 2019/1937, establece un marco completo de protección al informante que va mucho más allá de habilitar un formulario de contacto. La norma exige un Sistema Interno de Información estructurado, con un responsable designado, plazos legales de tramitación, garantías reales de confidencialidad y protección efectiva frente a represalias. Las empresas que confunden un canal de denuncias con una dirección de correo electrónico o un buzoncillo en la intranet están técnicamente incumplidoras y potencialmente expuestas a sanciones que alcanzan el millon de euros.

El primer paso de cualquier implementación es el diseño del sistema. No todas las empresas necesitan el mismo modelo: una empresa de 60 empleados en un sector de bajo riesgo tiene necesidades muy distintas a las de un grupo financiero con miles de empleados y múltiples jurisdicciones. Analizamos la estructura organizativa, el perfil de riesgo y la cultura corporativa para recomendar si el canal debe ser gestionado internamente por el responsable designado o externalizado a un tercero independiente. La externalización ofrece mayor credibilidad percibida por los informantes y descarga operativa para la empresa, y es la opcion que recomendamos en la mayoría de los casos para garantizar la imparcialidad del proceso.

La coordinación con el sistema de compliance penal es un aspecto frecuentemente descuidado. Un canal de denuncias funcional es uno de los elementos que los tribunales españoles exigen para que el programa de cumplimiento tenga efectos exoneradores de la responsabilidad penal de la persona jurídica. No basta con que el canal exista: debe haber investigaciones reales, documentación de las actuaciones y medidas correctoras cuando se detectan irregularidades.

El tratamiento de datos personales en el sistema de denuncias presenta particularidades que exigen una coordinación estrecha con el DPO. La AEPD ha publicado criterios específicos sobre la realizacion de Evaluaciones de Impacto para estos sistemas, los plazos de conservacion de datos de denunciantes y denunciados, y los límites del derecho de información del afectado cuando puede comprometer la investigación. Integramos todos estos requisitos en el diseño del sistema desde el primer día.