Canal de Denuncias: Cumpla la Ley 2/2023 sin Complicaciones

El canal de denuncias es el Sistema Interno de Información (SII) que la Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas —transposición de la Directiva europea 2019/1937 (Whistleblowing)— exige a las empresas de más de 50 trabajadores y a todas las entidades del sector público en España. El sistema debe permitir comunicaciones confidenciales e incluso anónimas, contar con un responsable designado del sistema, acusar recibo al informante en un plazo máximo de 7 días y dar respuesta en un plazo máximo de 3 meses, todo ello bajo los principios de protección frente a represalias establecidos en la ley. El incumplimiento puede dar lugar a sanciones de la Autoridad Independiente de Protección del Informante (AIPI) de hasta 1.000.000 € para personas jurídicas.

Canal de denuncias Ley 2/2023: un formulario web no es un sistema interno de información

La Ley 2/2023 obliga a las empresas de más de 50 empleados a implantar un canal interno de denuncias funcional. Muchas organizaciones han instalado un formulario web sin estructurar el sistema completo: sin responsable designado y formado, sin protocolo de investigación con plazos legales (7 días para acuse de recibo, 3 meses para respuesta), sin garantías reales de anonimato y sin coordinación con el RGPD. Un canal que no funciona correctamente puede generar mayor responsabilidad que no tener ninguno. La sanción por ausencia de canal o por represalias contra el informante alcanza el millon de euros.

Canal interno vs canal externalizado: el modelo que mejor protege su empresa

Nuestro equipo diseñamos e implementamos el Sistema Interno de Información (SII) completo: análisis organizativo, selección del modelo de canal (interno o externalizado a un tercero independiente), política corporativa de denuncias, designación y formación del responsable, protocolo de investigación con los plazos legales integrados, y coordinación con el DPO para la EIPD específica del sistema.

La externalización del canal a un tercero independiente, que ofrecemos como servicio, ofrece mayor credibilidad percibida por los informantes y descarga operativa para la empresa. La coordinación con el sistema de compliance penal es fundamental: un canal de denuncias funcional es uno de los elementos que los tribunales españoles exigen para que el programa de cumplimiento tenga efectos exoneradores de la responsabilidad penal de la persona jurídica. El tratamiento de datos personales en el sistema de denuncias exige coordinación estrecha con el DPO externalizado y una EIPD específica conforme a los criterios de la AEPD.

Contexto regulatorio en España

La Ley 2/2023, de 20 de febrero, transpone la Directiva europea 2019/1937 sobre protección de los informantes. La obligación de implantar el canal de denuncias aplica a todas las entidades del sector privado con 50 o más trabajadores desde la fecha de entrada en vigor. Las entidades con entre 50 y 249 empleados pueden compartir el canal con otras empresas del mismo grupo. La ley tipifica como infracción muy grave la falta de canal, las represalias contra informantes, los obstáculos a las investigaciones y la vulneracion de la confidencialidad, con multas de hasta 1 millon de euros para personas jurídicas. El tratamiento de datos en el sistema está sujeto a RGPD y LOPDGDD y exige EIPD específica.

Resultados que puedes esperar

• Sistema Interno de Información (SII) completo diseñado e implementado conforme a la Ley 2/2023
• Canal técnico con cifrado, opcion de comunicación anonima y trazabilidad auditada de actuaciones
• Responsable del SII designado, formado en sus obligaciones y con protocolo de investigación operativo
• Plazos legales integrados en el proceso: 7 días acuse de recibo, 3 meses respuesta al informante
• EIPD específica para el sistema de denuncias coordinada con el DPO y los plazos de conservacion de datos
• Documentación del sistema integrada en el programa de compliance penal para efectos exoneradores

La Ley 2/2023, que transpone la Directiva europea 2019/1937, establece un marco completo de protección al informante que va mucho más allá de habilitar un formulario de contacto. La norma exige un Sistema Interno de Información estructurado, con un responsable designado, plazos legales de tramitación, garantías reales de confidencialidad y protección efectiva frente a represalias. Las empresas que confunden un canal de denuncias con una dirección de correo electrónico o un buzoncillo en la intranet están técnicamente incumplidoras y potencialmente expuestas a sanciones que alcanzan el millon de euros.

El primer paso de cualquier implementación es el diseño del sistema. No todas las empresas necesitan el mismo modelo: una empresa de 60 empleados en un sector de bajo riesgo tiene necesidades muy distintas a las de un grupo financiero con miles de empleados y múltiples jurisdicciones. Analizamos la estructura organizativa, el perfil de riesgo y la cultura corporativa para recomendar si el canal debe ser gestionado internamente por el responsable designado o externalizado a un tercero independiente. La externalización ofrece mayor credibilidad percibida por los informantes y descarga operativa para la empresa, y es la opcion que recomendamos en la mayoría de los casos para garantizar la imparcialidad del proceso.

La coordinación con el sistema de compliance penal es un aspecto frecuentemente descuidado. Un canal de denuncias funcional es uno de los elementos que los tribunales españoles exigen para que el programa de cumplimiento tenga efectos exoneradores de la responsabilidad penal de la persona jurídica. No basta con que el canal exista: debe haber investigaciones reales, documentación de las actuaciones y medidas correctoras cuando se detectan irregularidades.

El tratamiento de datos personales en el sistema de denuncias presenta particularidades que exigen una coordinación estrecha con el DPO. La AEPD ha publicado criterios específicos sobre la realizacion de Evaluaciones de Impacto para estos sistemas, los plazos de conservacion de datos de denunciantes y denunciados, y los límites del derecho de información del afectado cuando puede comprometer la investigación. Integramos todos estos requisitos en el diseño del sistema desde el primer día.

Investigaciones internas: el protocolo que determina si la denuncia tiene consecuencias reales

El canal de denuncias solo cumple su función si las denuncias recibidas se investigan de forma rigurosa y con consecuencias reales cuando se confirman los hechos. Una investigación interna mal ejecutada puede generar responsabilidades adicionales para la empresa: vulneración del derecho de defensa del denunciado, filtración de información, o conclusiones que no resisten el escrutinio de un tribunal si el asunto escala a la vía penal o laboral.

El protocolo de investigación interna debe regular, como mínimo, los siguientes elementos: criterios para abrir una investigación (nivel de verosimilitud de la denuncia), separación funcional entre quien investiga y quien toma la decisión final, acceso del denunciado a las pruebas en el momento adecuado del proceso (sin comprometer la investigación en su fase inicial), plazos de cada fase y escalado al órgano de administración cuando la gravedad lo justifica.

Cuando la investigación revela hechos que pueden constituir delito —fraude, corrupción, malversación, acoso sexual— la empresa tiene que decidir si presenta denuncia ante las autoridades. Esta decisión, con sus consecuencias en términos de imagen, relación laboral y estrategia procesal, requiere asesoramiento integrado del equipo de compliance penal y del área de litigios y arbitraje. Nuestro equipo gestiona esta coordinación para que la empresa tome la decisión más adecuada con toda la información disponible.

El canal de denuncias como elemento del programa de cumplimiento penal

La existencia de un canal de denuncias funcional y acreditado es uno de los requisitos que el Tribunal Supremo español ha consolidado en su jurisprudencia como elemento esencial del programa de compliance penal eficaz, a los efectos de la exoneración o atenuación de la responsabilidad penal de la persona jurídica prevista en el artículo 31 bis del Código Penal.

Sin embargo, el canal no exonera por sí mismo: debe estar integrado en un sistema de compliance real que incluya mapa de riesgos penales, controles preventivos y un órgano de cumplimiento con autonomía real. La AEPD y la Fiscalía Anticorrupción han coincidido en señalar que los canales que son meros formularios sin procesos reales detrás no cumplen el estándar exigido. Nuestro diseño del Sistema Interno de Información parte siempre de la premisa de que el canal debe funcionar — y que cada denuncia recibida es una oportunidad para que el sistema demuestre su valor real.