La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone la Directiva europea 2019/1937 (Whistleblower Directive) e impone a las empresas con 50 o más trabajadores la obligación de implantar un canal de comunicación interna para la notificación de irregularidades. El incumplimiento no es una opción: las sanciones son significativas y la ley está en vigor.
Quién está obligado y desde cuándo
La obligación de contar con un sistema interno de información afecta a:
- Empresas del sector privado con 50 o más trabajadores: plazo de adaptación vencido el 1 de diciembre de 2023 (empresas de entre 50 y 249 trabajadores) y el 1 de septiembre de 2023 (empresas de 250 o más)
- Partidos políticos, sindicatos y organizaciones empresariales que reciban financiación pública de cualquier cuantía
- Fundaciones del sector público y entidades que gestionen fondos públicos
- Empresas en sectores regulados independientemente del número de trabajadores: servicios financieros, prevención del blanqueo, seguridad de productos, protección del medio ambiente, seguridad vial
Las empresas de entre 50 y 249 trabajadores pueden compartir el canal de denuncias con otras empresas del mismo grupo, pero deben mantener la gestión independiente de cada comunicación.
Qué debe tener el canal para ser conforme
La ley establece requisitos mínimos que el sistema interno de información debe cumplir:
Accesibilidad y confidencialidad
El canal debe ser accesible a todos los empleados, directivos, socios, contratistas y proveedores. Debe garantizar la confidencialidad de la identidad del informante desde el momento de la recepción hasta la resolución, e incluir opción de comunicación anónima aunque no es obligatorio forzar el anonimato.
Responsable del sistema
Debe existir un responsable del sistema de información interna designado formalmente: puede ser una persona física (compliance officer, director legal) o una persona jurídica externa. El responsable debe tener independencia suficiente para investigar sin conflicto de intereses.
Plazos de respuesta
- 7 días hábiles para acusar recibo de la comunicación
- 3 meses para comunicar las actuaciones realizadas o previstas (ampliable a 6 meses en casos de especial complejidad)
Registro e investigación
Todas las comunicaciones deben registrarse, investigarse con diligencia y documentarse. El registro debe mantenerse durante un período máximo de 10 años, con las garantías del RGPD.
Protección del informante
La ley prohíbe cualquier forma de represalia contra quien presenta una comunicación de buena fe: despido, democión, cambio de puesto, discriminación retributiva, exclusión de licitaciones. La empresa debe documentar que no ha adoptado ninguna medida de represalia.
Pasos para la implementación
Paso 1: Designar al responsable
Puede ser interno (compliance officer, director legal, auditor interno) o externo (despacho de abogados, proveedor especializado). En empresas sin estructura de compliance previa, la externalización es la opción más eficiente.
Paso 2: Elegir la tecnología
El canal puede ser web, telefónico, por correo postal o presencial. Las plataformas digitales especializadas ofrecen garantías técnicas de confidencialidad (cifrado de extremo a extremo, comunicación bidireccional anónima) difíciles de lograr con herramientas genéricas.
Paso 3: Actualizar la política de privacidad
El tratamiento de datos personales en el canal está sujeto al RGPD y requiere una base legal clara, una política de privacidad específica y, en muchos casos, la consulta al DPO si existe.
Paso 4: Comunicación interna
Todos los sujetos obligados (empleados, contratistas, proveedores) deben ser informados de la existencia del canal, su funcionamiento y las garantías de confidencialidad. La comunicación debe quedar documentada.
Paso 5: Procedimiento de investigación
Debe existir un protocolo formal de cómo se investiga cada comunicación, quién participa, cómo se documenta y cómo se resuelve. Este protocolo forma parte del sistema de compliance de la empresa.
Cómo le ayudamos en BMC
Nuestro equipo de canal de denuncias implementa sistemas de información interna conformes a la Ley 2/2023, incluyendo la designación de responsable externo, la configuración de la plataforma tecnológica, la redacción de la política de privacidad y el protocolo de investigación, y la formación al equipo directivo.
Si su empresa aún no ha implantado el canal o quiere revisar si el sistema actual cumple los requisitos legales, contacte con nuestro equipo de compliance penal para una primera evaluación. El riesgo de no actuar ahora es significativamente superior al coste de la implementación.
