Canal de Denuncias: Cumpla la Ley 2/2023 sin Complicaciones

El canal de denuncias es el Sistema Interno de Información (SII) que la Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas —transposición de la Directiva europea 2019/1937 (Whistleblowing)— exige a las empresas de más de 50 trabajadores y a todas las entidades del sector público en España. El sistema debe permitir comunicaciones confidenciales e incluso anónimas, contar con un responsable designado del sistema, acusar recibo al informante en un plazo máximo de 7 días y dar respuesta en un plazo máximo de 3 meses, todo ello bajo los principios de protección frente a represalias establecidos en la ley. El incumplimiento puede dar lugar a sanciones de la Autoridad Independiente de Protección del Informante (AIPI) de hasta 1.000.000 € para personas jurídicas.

Canal de denuncias Ley 2/2023: un formulario web no es un sistema interno de información

La Ley 2/2023 obliga a las empresas de más de 50 empleados a implantar un canal interno de denuncias funcional. Muchas organizaciones han instalado un formulario web sin estructurar el sistema completo: sin responsable designado y formado, sin protocolo de investigación con plazos legales (7 días para acuse de recibo, 3 meses para respuesta), sin garantías reales de anonimato y sin coordinación con el RGPD. Un canal que no funciona correctamente puede generar mayor responsabilidad que no tener ninguno. La sanción por ausencia de canal o por represalias contra el informante alcanza el millon de euros.

Canal interno vs canal externalizado: el modelo que mejor protege su empresa

Nuestro equipo diseñamos e implementamos el Sistema Interno de Información (SII) completo: análisis organizativo, selección del modelo de canal (interno o externalizado a un tercero independiente), política corporativa de denuncias, designación y formación del responsable, protocolo de investigación con los plazos legales integrados, y coordinación con el DPO para la EIPD específica del sistema.

La externalización del canal a un tercero independiente, que ofrecemos como servicio, ofrece mayor credibilidad percibida por los informantes y descarga operativa para la empresa. La coordinación con el sistema de compliance penal es fundamental: un canal de denuncias funcional es uno de los elementos que los tribunales españoles exigen para que el programa de cumplimiento tenga efectos exoneradores de la responsabilidad penal de la persona jurídica. El tratamiento de datos personales en el sistema de denuncias exige coordinación estrecha con el DPO externalizado y una EIPD específica conforme a los criterios de la AEPD.

Contexto regulatorio en España

La Ley 2/2023, de 20 de febrero, transpone la Directiva europea 2019/1937 sobre protección de los informantes. La obligación de implantar el canal de denuncias aplica a todas las entidades del sector privado con 50 o más trabajadores desde la fecha de entrada en vigor. Las entidades con entre 50 y 249 empleados pueden compartir el canal con otras empresas del mismo grupo. La ley tipifica como infracción muy grave la falta de canal, las represalias contra informantes, los obstáculos a las investigaciones y la vulneracion de la confidencialidad, con multas de hasta 1 millon de euros para personas jurídicas. El tratamiento de datos en el sistema está sujeto a RGPD y LOPDGDD y exige EIPD específica.

Resultados que puedes esperar

• Sistema Interno de Información (SII) completo diseñado e implementado conforme a la Ley 2/2023
• Canal técnico con cifrado, opcion de comunicación anonima y trazabilidad auditada de actuaciones
• Responsable del SII designado, formado en sus obligaciones y con protocolo de investigación operativo
• Plazos legales integrados en el proceso: 7 días acuse de recibo, 3 meses respuesta al informante
• EIPD específica para el sistema de denuncias coordinada con el DPO y los plazos de conservacion de datos
• Documentación del sistema integrada en el programa de compliance penal para efectos exoneradores

La Ley 2/2023, que transpone la Directiva europea 2019/1937, establece un marco completo de protección al informante que va mucho más allá de habilitar un formulario de contacto. La norma exige un Sistema Interno de Información estructurado, con un responsable designado, plazos legales de tramitación, garantías reales de confidencialidad y protección efectiva frente a represalias. Las empresas que confunden un canal de denuncias con una dirección de correo electrónico o un buzoncillo en la intranet están técnicamente incumplidoras y potencialmente expuestas a sanciones que alcanzan el millon de euros.

El primer paso de cualquier implementación es el diseño del sistema. No todas las empresas necesitan el mismo modelo: una empresa de 60 empleados en un sector de bajo riesgo tiene necesidades muy distintas a las de un grupo financiero con miles de empleados y múltiples jurisdicciones. Analizamos la estructura organizativa, el perfil de riesgo y la cultura corporativa para recomendar si el canal debe ser gestionado internamente por el responsable designado o externalizado a un tercero independiente. La externalización ofrece mayor credibilidad percibida por los informantes y descarga operativa para la empresa, y es la opcion que recomendamos en la mayoría de los casos para garantizar la imparcialidad del proceso.

La coordinación con el sistema de compliance penal es un aspecto frecuentemente descuidado. Un canal de denuncias funcional es uno de los elementos que los tribunales españoles exigen para que el programa de cumplimiento tenga efectos exoneradores de la responsabilidad penal de la persona jurídica. No basta con que el canal exista: debe haber investigaciones reales, documentación de las actuaciones y medidas correctoras cuando se detectan irregularidades.

El tratamiento de datos personales en el sistema de denuncias presenta particularidades que exigen una coordinación estrecha con el DPO. La AEPD ha publicado criterios específicos sobre la realizacion de Evaluaciones de Impacto para estos sistemas, los plazos de conservacion de datos de denunciantes y denunciados, y los límites del derecho de información del afectado cuando puede comprometer la investigación. Integramos todos estos requisitos en el diseño del sistema desde el primer día.

Investigaciones internas: el protocolo que determina si la denuncia tiene consecuencias reales

El canal de denuncias solo cumple su función si las denuncias recibidas se investigan de forma rigurosa y con consecuencias reales cuando se confirman los hechos. Una investigación interna mal ejecutada puede generar responsabilidades adicionales para la empresa: vulneración del derecho de defensa del denunciado, filtración de información, o conclusiones que no resisten el escrutinio de un tribunal si el asunto escala a la vía penal o laboral.

El protocolo de investigación interna debe regular, como mínimo, los siguientes elementos: criterios para abrir una investigación (nivel de verosimilitud de la denuncia), separación funcional entre quien investiga y quien toma la decisión final, acceso del denunciado a las pruebas en el momento adecuado del proceso (sin comprometer la investigación en su fase inicial), plazos de cada fase y escalado al órgano de administración cuando la gravedad lo justifica.

Cuando la investigación revela hechos que pueden constituir delito —fraude, corrupción, malversación, acoso sexual— la empresa tiene que decidir si presenta denuncia ante las autoridades. Esta decisión, con sus consecuencias en términos de imagen, relación laboral y estrategia procesal, requiere asesoramiento integrado del equipo de compliance penal y del área de litigios y arbitraje. Nuestro equipo gestiona esta coordinación para que la empresa tome la decisión más adecuada con toda la información disponible.

El canal de denuncias como elemento del programa de cumplimiento penal

La existencia de un canal de denuncias funcional y acreditado es uno de los requisitos que el Tribunal Supremo español ha consolidado en su jurisprudencia como elemento esencial del programa de compliance penal eficaz, a los efectos de la exoneración o atenuación de la responsabilidad penal de la persona jurídica prevista en el artículo 31 bis del Código Penal.

Sin embargo, el canal no exonera por sí mismo: debe estar integrado en un sistema de compliance real que incluya mapa de riesgos penales, controles preventivos y un órgano de cumplimiento con autonomía real. La AEPD y la Fiscalía Anticorrupción han coincidido en señalar que los canales que son meros formularios sin procesos reales detrás no cumplen el estándar exigido. Nuestro diseño del Sistema Interno de Información parte siempre de la premisa de que el canal debe funcionar — y que cada denuncia recibida es una oportunidad para que el sistema demuestre su valor real.

El canal de denuncias alcanza su máximo potencial cuando se integra en el marco más amplio del gobierno corporativo de la organización. Los comités de auditoría, los consejos de administración y los órganos de supervisión necesitan recibir información agregada sobre las denuncias tramitadas — tipología, volumen, medidas correctoras adoptadas — para ejercer su función de vigilancia. Un sistema que reporta al consejo de forma periódica y estructurada, y que conecta con las políticas de integridad y los códigos de conducta corporativos, refuerza la cultura de cumplimiento desde arriba y da al canal la legitimidad interna que necesita para ser utilizado con confianza por toda la organización.

El régimen sancionador de la Ley 2/2023: infracciones y cuantías específicas

La Ley 2/2023 establece un régimen sancionador administrativo que distingue entre infracciones leves, graves y muy graves. Conocer las cuantías exactas permite dimensionar el riesgo real al que está expuesta la empresa sin canal o con un canal deficiente:

Infracciones muy graves (multa de 300.001 a 1.000.000 euros para personas jurídicas):

• Ausencia de canal de denuncias en entidades obligadas con 50 o más trabajadores
• Represalias contra el informante (despido, degradación, cambio perjudicial de condiciones)
• Obstaculización activa de las investigaciones o revelación de la identidad del informante
• Incumplimiento reiterado de las obligaciones de la Ley por parte del responsable del sistema

Infracciones graves (multa de 100.001 a 300.000 euros para personas jurídicas):

• Incumplimiento de los plazos de acuse de recibo (7 días) o de respuesta (3 meses) de forma sistemática
• Tratamiento de la documentación de las denuncias sin las medidas de seguridad exigidas por el RGPD
• Falta de designación del responsable del Sistema Interno de Información

Infracciones leves (multa de hasta 100.000 euros para personas jurídicas):

• Incumplimientos formales aislados del procedimiento establecido en la ley
• Deficiencias en la información facilitada a los empleados sobre el canal

Estas sanciones son acumulables con las que pudieran corresponder bajo el RGPD por el tratamiento indebido de los datos personales de denunciantes y denunciados, lo que eleva significativamente la exposición total por un canal mal gestionado.

Proceso paso a paso: cómo implementamos el Sistema Interno de Información

La implementación de un canal de denuncias conforme a la Ley 2/2023 sigue un proceso estructurado que garantiza que cada empresa disponga de un sistema adaptado a su realidad:

Fase 1 — Diagnóstico organizativo (primera semana). Analizamos la estructura de la empresa, el número de empleados, la estructura de grupo societario (si hay más empresas que puedan compartir el canal dentro de los límites legales) y el perfil de riesgo sectorial. Determinamos si el modelo más adecuado es el canal interno gestionado por el responsable designado o el canal externalizado a un tercero independiente.

Fase 2 — Diseño del sistema (semanas 2-3). Redactamos la política corporativa de denuncias, el reglamento de funcionamiento del canal, el formulario de acuse de recibo y el protocolo de investigación con todos los plazos legales integrados. Diseñamos también el sistema de comunicaciones al denunciante (acuse en 7 días, seguimiento, respuesta en 3 meses).

Fase 3 — Implementación técnica (semanas 3-4). Configuramos la plataforma técnica de recepción de denuncias con cifrado, opción de comunicación anónima y trazabilidad auditada. Cuando la empresa opta por canal externalizado, BMC actúa como receptor e investigador preliminar de las denuncias.

Fase 4 — Coordinación RGPD y EIPD (semanas 4-5). Realizamos la Evaluación de Impacto en la Protección de Datos (EIPD) específica para el sistema de denuncias, coordinamos con el DPO y establecemos los plazos de conservación: máximo 3 meses si no hay seguimiento de la denuncia, o durante todo el proceso investigador si lo hay, con un máximo de 10 años.

Fase 5 — Formación, designación del responsable y comunicación interna (semanas 5-6). Asesoramos en la designación del Responsable del Sistema Interno de Información, le formamos en sus obligaciones y en los protocolos de investigación, y comunicamos a toda la plantilla la existencia y funcionamiento del canal.

Fase 6 — Mantenimiento y actualización continua. Revisamos el sistema anualmente, actualizamos los procedimientos ante cambios normativos y gestionamos cualquier incidencia que se produzca en el funcionamiento del canal.

Beneficios cuantificables del canal de denuncias correctamente implementado

Más allá del cumplimiento normativo, un canal de denuncias eficaz genera beneficios tangibles para la empresa que con frecuencia superan el coste de su implementación:

Detección temprana de irregularidades. Los estudios de la Association of Certified Fraud Examiners (ACFE) documentan consistentemente que los canales de denuncia son el mecanismo de detección de fraude más efectivo en las organizaciones, superando a las auditorías internas y a los controles contables. Un fraude detectado en sus fases iniciales genera pérdidas muy inferiores a uno descubierto cuando ya ha causado daño significativo.

Reducción del riesgo penal corporativo. Como se ha señalado, el artículo 31 bis del Código Penal requiere un canal de denuncias funcional para que el programa de compliance tenga efectos exoneradores. Sin el canal, el programa es jurídicamente incompleto y no puede desplegar su efecto de exoneración o atenuación de la responsabilidad penal de la persona jurídica.

Protección de la imagen corporativa. Las empresas con sistemas de denuncia creíbles son percibidas como más transparentes por clientes, proveedores, inversores y autoridades regulatorias. El canal externalizado, gestionado por BMC como tercero independiente, aporta mayor credibilidad al sistema que el canal gestionado por la propia empresa.

Reducción del coste de litigación. Los conflictos laborales o las reclamaciones civiles que se detectan y gestionan internamente a través del canal de denuncias se resuelven con menor coste y en menor tiempo que los que escalan directamente a la jurisdicción laboral o civil. Un protocolo de investigación bien ejecutado genera evidencia documental que reduce la exposición en eventuales litigios.

Honorarios y modalidades de contratación

El servicio de canal de denuncias se ofrece en dos modalidades:

Implementación más gestión externalizada. BMC diseña e implementa el Sistema Interno de Información completo y actúa como canal externalizado receptor de denuncias, investigador preliminar y gestor del proceso. Este modelo es el recomendado para empresas que quieren máxima credibilidad del sistema y mínima carga operativa interna. El coste incluye la implementación inicial y un fee mensual por la gestión del canal.

Implementación con gestión interna. BMC diseña e implementa el sistema completo y forma al responsable interno. El mantenimiento y la gestión del canal las realiza el responsable designado por la empresa. BMC proporciona soporte ante incidencias complejas y realiza revisiones anuales del sistema. Este modelo es adecuado para empresas con capacidad interna suficiente para gestionar el canal de forma independiente.

En ambos casos, facilitamos presupuesto cerrado antes de iniciar el proyecto, con desglose de honorarios por fase de implementación y coste recurrente anual de mantenimiento.