La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, supuso la transposición al ordenamiento jurídico español de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, conocida como Directiva Whistleblowing. Su entrada en vigor en marzo de 2023 impone obligaciones concretas y sancionables a las empresas privadas con cincuenta o más trabajadores, en un marco regulatorio que tiene como objetivo transformar la cultura de denuncia interna en las organizaciones.
Ámbito subjetivo de aplicación: quién está obligado
El umbral principal de la ley es el de cincuenta trabajadores. El cómputo incluye trabajadores con contrato indefinido, trabajadores temporales y trabajadores a tiempo parcial, estos últimos ponderados por su jornada efectiva. Los grupos de empresas pueden implantar un canal centralizado siempre que sea accesible desde cada entidad del grupo.
Están obligadas con independencia del número de empleados las entidades del sector financiero, las que operan en el ámbito tributario —obligados tributarios de gran empresa—, las sometidas a normas de prevención del blanqueo de capitales, las contratistas y concesionarias públicas, y los partidos políticos, sindicatos y organizaciones empresariales que reciban financiación pública.
También están sujetas las entidades del sector público: administraciones territoriales con más de diez mil habitantes, entidades del sector público institucional estatal y las Cámaras de Cuentas y órganos equivalentes de las Comunidades Autónomas.
El Sistema Interno de Información (SII): requisitos de diseño
El SII es el término técnico que la ley utiliza para referirse al canal de denuncias interno. Su diseño debe garantizar:
Accesibilidad multicanal: el informante debe poder presentar la denuncia por escrito —formulario físico o electrónico— y oralmente, incluyendo la posibilidad de reunión presencial. No es admisible un canal exclusivamente escrito.
Confidencialidad robusta: la identidad del informante y cualquier información que pueda revelarla indirectamente deben ser accesibles únicamente al responsable del sistema. La información no puede compartirse con terceros salvo cuando sea necesario para la investigación o lo exija una autoridad competente, y en ese caso siempre con comunicación previa al informante.
Independencia funcional del gestor: el responsable del SII —ya sea interno o externo— debe tener plena autonomía para gestionar las denuncias sin injerencia de la dirección de la empresa. Cuando se opta por un órgano colegiado de compliance, debe incluir al menos un miembro con formación jurídica y garantías estatutarias de independencia.
Plazos estrictos: acuse de recibo en siete días hábiles; comunicación al informante de las acciones previstas o adoptadas en un máximo de tres meses desde el acuse de recibo.
Información sobre el canal externo: el SII debe informar al informante de su derecho a acudir al canal externo de la Autoridad Independiente de Protección del Informante (AAPI), al margen del canal interno.
Canal interno vs. canal externo: la doble vía
La Ley 2/2023 articula un sistema de doble canal. El canal interno —el SII de la empresa— es la vía preferente, pero el informante puede acudir directamente al canal externo de la AAPI sin necesidad de haber utilizado antes el interno, y sin obligación de justificar esa elección.
La AAPI —organismo independiente adscrito a las Cortes Generales— puede recibir denuncias anónimas, investigar, tramitar expedientes sancionadores contra las empresas infractoras y adoptar medidas cautelares de protección frente a represalias. Su puesta en marcha efectiva ha sido gradual, pero ya está operativa para la recepción de denuncias.
Régimen sancionador: sanciones de hasta 1 millón de euros
La ley establece un régimen sancionador con tres niveles de infracción, significativamente más severo que el de la normativa laboral estándar:
| Tipo de infracción | Ejemplos | Sanción personas jurídicas |
|---|---|---|
| Muy grave | Represalias, obstaculizar denuncias, vulnerar confidencialidad | 300.001 – 1.000.000 € |
| Grave | No implantar SII, incumplir plazos, no garantizar independencia | 100.001 – 300.000 € |
| Leve | Irregularidades menores de procedimiento | Hasta 100.000 € o amonestación |
La AAPI puede publicar las resoluciones sancionadoras en su sitio web, añadiendo un riesgo reputacional relevante al económico. En los casos más graves, también puede proponer la inhabilitación temporal de directivos responsables.
Protección frente a represalias: inversión de la carga de la prueba
El mecanismo de protección más innovador de la ley es la inversión de la carga de la prueba: ante cualquier medida perjudicial adoptada después de una denuncia, se presume que existe vinculación entre ambas, y es la empresa la que debe acreditar que la medida obedece a causas objetivas y ajenas a la denuncia.
Las represalias abarcan el despido, la degradación profesional, el cambio de turno, la suspensión del contrato, la intimidación, el acoso, la exclusión de ascensos o formación, las referencias negativas y cualquier trato desfavorable. El informante tiene derecho a asistencia jurídica gratuita en procedimientos relacionados con la represalia.
Canales externalizados: ventajas y requisitos
La externalización del canal a un tercero especializado —bufete de abogados, proveedor tecnológico certificado— es una opción válida y crecientemente adoptada, especialmente por PYMES que no tienen recursos internos para gestionar el canal con las garantías exigidas.
Las ventajas principales son la independencia perceptible frente al informante —mayor confianza en el canal—, la disponibilidad técnica 24/7, la gestión por profesionales con formación específica y la reducción del riesgo de filtración interna. El contrato con el proveedor debe incluir cláusulas RGPD (art. 28 y siguientes), acuerdos de confidencialidad reforzados y protocolos de escalado hacia la dirección para los casos que requieran medidas urgentes.
Integración con el programa de compliance penal
El canal de denuncias es un elemento necesario —pero no suficiente— para que el programa de criminal compliance de la empresa exima o atenúe la responsabilidad penal de la persona jurídica conforme al art. 31 bis del Código Penal. El Tribunal Supremo (STS 154/2016; STS 221/2022) ha precisado que el programa debe ser genuino y eficaz, no meramente formal: el canal debe ser conocido, accesible y efectivamente usado, con registro de las denuncias recibidas y de las investigaciones realizadas.
La integración funcional entre el canal de denuncias, el mapa de riesgos penales, los protocolos de actuación ante delitos y el órgano de compliance autónomo es el núcleo del modelo de gestión del riesgo penal corporativo conforme al estándar UNE 19601.
Hoja de ruta para la implantación
Una implantación correcta del SII sigue estas fases: (1) diagnóstico del cumplimiento actual y análisis de riesgos específicos del sector; (2) diseño del canal —interno o externalizado— y del procedimiento de gestión de denuncias; (3) designación y formación del responsable del sistema; (4) aprobación de la política interna por el órgano de administración; (5) comunicación a la plantilla y publicación en la intranet; (6) registro de denuncias recibidas y seguimiento; y (7) auditoría anual del funcionamiento del sistema.
La implantación no es un proyecto puntual sino un sistema vivo que requiere mantenimiento, formación continua y actualización ante cambios normativos.
Marco normativo original: Ley 2/2023 y su contexto de transposición
Directiva Whistleblower y transposición tardía de España
La Directiva 2019/1937/UE (Whistleblower Directive), aprobada el 23 de octubre de 2019, fijó un plazo de transposición hasta el 17 de diciembre de 2021. España incumplió ese plazo: la Ley 2/2023, de 20 de febrero, se publicó en el BOE con más de un año de retraso. Aunque el retraso en la transposición no eximió de responsabilidad a las empresas —la Directiva podía invocarse directamente frente a organismos públicos durante el período de vacatio—, supuso que muchas organizaciones del sector privado debieron anticipar la implantación sin un marco legal nacional claro.
Textos normativos de referencia originales
Las referencias normativas exactas que soportan las obligaciones del canal de denuncias son:
- Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (BOE de 20 de febrero de 2023)
- Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo (DOUE L 305, 26.11.2019)
- Artículo 31 bis del Código Penal (responsabilidad penal de personas jurídicas): el canal de denuncias es un elemento del modelo de prevención de delitos que, si es genuino y eficaz, puede eximir o atenuar la responsabilidad penal corporativa
- Norma UNE 19601 de sistemas de gestión de compliance penal: estándar de referencia para la integración del canal con el programa de compliance
Plazos originales de cumplimiento (ya vencidos)
| Tipo de entidad | Plazo original |
|---|---|
| Entidades privadas con >249 trabajadores | 13 junio 2023 |
| Entidades privadas con 50-249 trabajadores | 1 diciembre 2023 |
| Entidades del sector público (cualquier tamaño) | 13 junio 2023 |
| Partidos políticos, sindicatos, OOEE con financiación pública >100.000 EUR | 13 junio 2023 |
Todos los plazos están vencidos. La Autoridad Independiente de Protección del Informante (A.A.I.) prevista en la propia Ley 2/2023 estaba en proceso de constitución a finales de 2023; su operatividad plena incrementa el riesgo de procedimientos sancionadores activos.
