Desde la entrada en vigor de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, la implantación de un canal de denuncias ha dejado de ser una buena práctica voluntaria para convertirse en una obligación legal con sanciones que pueden alcanzar el millón de euros. Si tu empresa tiene cincuenta o más trabajadores y todavía no cuenta con un sistema interno de información, estás incumpliendo la ley.
Qué es el canal de denuncias y para qué sirve
Un canal de denuncias —denominado técnicamente sistema interno de información en la Ley 2/2023— es el mecanismo a través del cual los empleados, directivos, proveedores, contratistas y cualquier persona relacionada con la organización pueden comunicar de forma confidencial posibles infracciones normativas cometidas en el seno de la empresa.
La obligación deriva de la transposición de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, conocida como Directiva Whistleblowing. Su objetivo es crear un entorno seguro para quienes detectan irregularidades, evitando que el miedo a represalias impida que afloren conductas ilícitas que perjudican a terceros, a la competencia leal o a los propios intereses de la empresa.
A diferencia de lo que muchas empresas siguen creyendo, el canal no es solo un buzón de sugerencias ni una herramienta de recursos humanos para gestionar conflictos laborales. Su ámbito material es específico y está definido en el artículo 2 de la Ley 2/2023: infracciones del Derecho de la Unión Europea, infracciones penales, infracciones administrativas graves o muy graves, y conductas contrarias al interés general.
Qué empresas están obligadas a implantar un canal de denuncias
La obligación no es universal. La Ley 2/2023 establece distintos umbrales en función del tamaño de la organización:
- Empresas con 250 o más trabajadores: obligadas desde el 13 de junio de 2023 (fecha de entrada en vigor de la ley). El plazo ya venció y el incumplimiento es actual.
- Empresas con 50 o más trabajadores y menos de 250: el plazo finalizó el 1 de diciembre de 2023. También en situación de incumplimiento si aún no tienen el sistema implantado.
- Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que reciban financiación pública, con independencia de su tamaño.
- Entidades del sector público: todas, sin umbral mínimo de empleados.
Las empresas de menos de 50 trabajadores no están obligadas por la Ley 2/2023, aunque pueden implantar el canal de forma voluntaria. No obstante, si la empresa, aunque sea pequeña, está sujeta a la normativa de prevención del blanqueo de capitales (abogados, gestores, notarios, entidades financieras), la obligación puede derivar de esa otra normativa.
La posibilidad de compartir el canal entre empresas
El artículo 10 de la Ley 2/2023 permite que las empresas de entre 50 y 249 trabajadores compartan un mismo sistema interno de información. Esta opción, que en la práctica se instrumenta a través de un proveedor externo que gestiona el canal para varias empresas, puede reducir significativamente el coste de implantación sin merma de garantías legales, siempre que se cumplan los requisitos de independencia y confidencialidad.
Requisitos que debe cumplir el sistema interno de información
No basta con habilitar una dirección de correo electrónico o un número de teléfono. La Ley 2/2023 exige que el sistema cumpla una serie de condiciones que afectan tanto a su diseño técnico como a su funcionamiento y gestión:
Canales de comunicación
El sistema debe permitir las comunicaciones por escrito, verbalmente o de ambas formas. Si se admite la comunicación verbal, debe existir la opción de ser grabada con consentimiento o de que quede constancia mediante acta levantada por el responsable del sistema (artículo 8 de la Ley 2/2023). También debe permitirse la comunicación anónima, aunque la empresa puede optar por no tramitar denuncias anónimas siempre que así lo tenga regulado en su política.
Confidencialidad e independencia
La identidad del informante debe estar protegida. El acceso a los datos identificativos está restringido al responsable del sistema y solo podrá levantarse cuando sea imprescindible para el ejercicio de la acción penal o cuando el informante haya consentido expresamente la revelación de su identidad. El sistema debe ser gestionado por una persona o departamento con autonomía funcional suficiente, sin dependencia directa del órgano de administración.
Plazos de gestión
El acuse de recibo de la denuncia debe producirse en un plazo máximo de siete días desde su recepción. El informante debe recibir una respuesta sobre las actuaciones previstas o adoptadas en un plazo máximo de tres meses desde el acuse de recibo.
Prohibición de represalias
El artículo 36 de la Ley 2/2023 establece un listado extenso de medidas prohibidas contra los informantes: despido, traslado, degradación profesional, denegación de ascenso, cambio de puesto, discriminación salarial, denegación de formación, referencias negativas, listas negras, e incluso represalias contra familiares y colaboradores. Cualquier medida perjudicial adoptada contra un informante en los dos años siguientes a la denuncia se presume vinculada a ella, invirtiendo la carga de la prueba sobre la empresa.
Acceso a canales externos
La ley crea una Autoridad Independiente de Protección del Informante (A-AAI) como canal externo de ámbito estatal. Los informantes pueden acudir a esta autoridad directamente, sin necesidad de haber utilizado previamente el canal interno. Las empresas deben informar a sus trabajadores de la existencia de ambos canales.
Sanciones por incumplir la obligación
El régimen sancionador de la Ley 2/2023 es severo. Las infracciones se clasifican en muy graves, graves y leves:
- Infracciones muy graves: represalias contra informantes, obstaculización del sistema, incumplimiento de la confidencialidad cuando cause perjuicio grave. Multas de hasta 1.000.000 euros para personas jurídicas.
- Infracciones graves: no implantar el sistema interno de información estando obligado, no gestionar correctamente las denuncias recibidas, no adoptar medidas correctoras. Multas de hasta 600.000 euros.
- Infracciones leves: deficiencias formales en el sistema. Multas de hasta 100.000 euros.
Las personas físicas —administradores, directivos, responsables de compliance— pueden ser sancionadas individualmente con multas de hasta 300.000 euros en caso de infracciones muy graves. Además, la ley contempla la posibilidad de publicar las sanciones firmes, lo que añade un riesgo reputacional significativo.
Cómo implementar el canal de denuncias de forma correcta
La implantación de un sistema interno de información que cumpla con todos los requisitos legales requiere seguir un proceso ordenado. Estas son las fases habituales:
Fase 1: diagnóstico y diseño del sistema
Antes de elegir cualquier herramienta tecnológica, es necesario determinar el modelo de gestión (interna o externalizada), el alcance subjetivo del sistema (qué personas pueden denunciar), las infracciones que se admitirán, y si se aceptarán o no denuncias anónimas. En esta fase se decide también quién será el responsable del sistema.
Fase 2: selección de la plataforma tecnológica
El mercado ofrece numerosas soluciones software que garantizan la confidencialidad mediante cifrado, permiten comunicaciones bidireccionales con el informante —incluso cuando este es anónimo— y conservan un registro auditable de todas las actuaciones. La elección debe tener en cuenta el cumplimiento del Reglamento General de Protección de Datos (RGPD), especialmente si el servidor se ubica fuera del Espacio Económico Europeo.
Fase 3: elaboración de la política de información
La empresa debe aprobar una política interna que regule el funcionamiento del sistema: cómo se tramitan las denuncias, qué plazos se aplican, cómo se protege la identidad del informante, qué consecuencias puede tener una denuncia de mala fe. Este documento debe ser accesible para todas las personas que puedan utilizar el canal.
Fase 4: comunicación y formación
El canal no funciona si nadie sabe que existe o si los empleados desconfían de él. La comunicación interna es crítica: la empresa debe informar de forma clara y accesible sobre la existencia del sistema, cómo acceder a él, qué garantías ofrece al informante y qué ocurre con las denuncias. La formación específica para quienes gestionan el canal es igualmente necesaria.
Fase 5: integración con el programa de compliance
El canal de denuncias no opera en el vacío. Para ser eficaz —y para que sirva como elemento de defensa en un eventual proceso penal— debe integrarse en un programa de compliance más amplio que incluya el mapa de riesgos penales de la empresa, protocolos de actuación y un sistema de supervisión continua.
El canal de denuncias y la protección de datos
La gestión del canal implica el tratamiento de datos personales de los informantes, de los investigados y de los testigos. La Agencia Española de Protección de Datos (AEPD) ha publicado una guía específica sobre sistemas de denuncias internas que resulta de consulta obligada. Los puntos clave son: base jurídica del tratamiento (cumplimiento de obligación legal, artículo 6.1.c del RGPD), minimización de datos, limitación del plazo de conservación (máximo tres meses desde la recepción si no se inicia investigación), y registro de actividades de tratamiento actualizado.
La implementación del canal debe ir acompañada de la actualización del registro de actividades de tratamiento y, en muchos casos, de la realización de una evaluación de impacto (EIPD) dado el carácter sensible de los datos que se manejan.
Preguntas frecuentes sobre el canal de denuncias
¿Puede el canal de denuncias ser gestionado por recursos humanos?
No es recomendable. El responsable del sistema debe tener independencia funcional. Asignarlo al departamento de recursos humanos crea un conflicto de interés evidente cuando las denuncias afectan a personal de la empresa. La tendencia es designar al responsable de compliance, al secretario del consejo, o contratar el servicio con un tercero externo especializado.
¿Las denuncias anónimas son obligatorias?
La Ley 2/2023 establece que el sistema debe poder recibir comunicaciones anónimas, pero la empresa puede decidir en su política interna si las tramita o no. Si decide no tramitar las denuncias anónimas, debe comunicarlo claramente. No obstante, la jurisprudencia en materia de compliance penal valora positivamente que la empresa admita y gestione denuncias anónimas.
¿Qué ocurre si la denuncia resulta ser falsa o maliciosa?
El artículo 33 de la Ley 2/2023 prevé que las comunicaciones realizadas de mala fe o con conocimiento de su falsedad puedan dar lugar a responsabilidad civil, penal o disciplinaria del informante. La empresa puede regular en su política interna las consecuencias disciplinarias de las denuncias de mala fe, siempre que esta regulación no tenga un efecto disuasorio sobre las denuncias legítimas.
