Confidencialidad vs anonimato en el canal de denuncias: más allá de la teoría
Para las empresas de más de 50 empleados, la obligación de contar con un Sistema Interno de Información (SII) ya es una realidad. Sin embargo, uno de los mayores retos para los departamentos de Compliance, Legal y el Delegado de Protección de Datos (DPO) es comprender y aplicar correctamente los conceptos de anonimato y confidencialidad. Aunque a menudo se usan como sinónimos, operativamente exigen medidas distintas.
El Canal de Denuncias anónimo permite que el informante envíe comunicaciones sin aportar ningún tipo de identificación. Por su parte, un canal confidencial es aquel en el que el informante sí facilita sus datos, pero el sistema debe garantizar la preservación absoluta de esa información identificativa frente a terceros, especialmente frente al denunciado.
La Ley 2/2023 establece expresamente que los canales internos de información deben permitir la presentación y posterior tramitación de comunicaciones anónimas. El reto, por tanto, ya no es solo incluir una cláusula en la política que diga "se permite el anonimato", sino implementar controles técnicos y organizativos que impidan la identificación del informante, pasando de un cumplimiento puramente formal a uno demostrable ante auditorías o inspecciones.
¿Quién puede ver la información y cómo se limita el acceso?
Una de las vulnerabilidades más comunes que rompen el anonimato o la confidencialidad es la mala gestión de los permisos internos. Según el artículo 32.1 de la Ley 2/2023, el acceso a los datos personales contenidos en el SII queda estrictamente limitado al Responsable del Sistema (RSII), al responsable de Recursos Humanos (solo si proceden medidas disciplinarias), a los servicios jurídicos (si proceden medidas legales), a los encargados del tratamiento y al Data Protection Officer (DPO).
La Agencia Española de Protección de Datos (AEPD) refuerza este punto indicando que la información obtenida no puede usarse con una finalidad distinta y que el acceso de otras personas solo será lícito cuando resulte necesario para tramitaciones judiciales o disciplinarias.
A nivel técnico, esto significa que el departamento de IT o el soporte de sistemas no debería tener acceso indiscriminado a las bases de datos o a los buzones donde residen las denuncias. Las organizaciones deben adoptar medidas técnicas necesarias para garantizar el principio de necesidad de conocer ("need to know"), asegurando que cada rol solo acceda a lo que le corresponde.
Si quieres explorar las tendencias que están definiendo el futuro del Compliance, sostenibilidad, IT security y calidad, revisar recursos prácticos y cerrar con una recomendación pop asociada a estos temas, te invitamos a que seas parte de nuestro envíos de Brújula Compliance.uí:
| ¡Súmate a nuestro newsletter! |
Cómo demostrar la confidencialidad: Evidencias y trazabilidad
Ante un requerimiento de la Autoridad Independiente de Protección del Informante (AIPI) o de la AEPD, no bastará con mostrar el código ético; se exigirán evidencias. La AIPI, en su Recomendación 1/2026, estipula que la confidencialidad debe integrarse en el diseño organizativo y funcional desde su origen.
Para demostrar esta confidencialidad, las fuentes establecen que el sistema deberá operar mediante una plataforma segura y cifrada de extremo a extremo que impida la identificación directa o indirecta del informante, contando con accesos estrictamente restringidos y una trazabilidad controlada.
Además, la ley exige contar con un libro-registro de las informaciones recibidas. Este registro no es público y debe ser seguro, pero en ningún caso puede servir como vector para filtrar identidades. Los datos en este libro-registro deben conservarse únicamente durante el período necesario y proporcionado, sin que en ningún caso supere los 10 años.
Para cumplir con esto, se recomienda que el libro-registro no contenga datos identificativos del informante y que exista una trazabilidad de los accesos (quién entra, cuándo y con qué propósito).
La comunicación bidireccional anónima: el gran desafío técnico
Uno de los grandes obstáculos de las denuncias anónimas es la capacidad de mantener el contacto con el informante. El procedimiento de gestión exige prever la posibilidad de mantener la comunicación con el informante e, incluso, solicitarle información adicional. También exige enviar un acuse de recibo en un plazo de 7 días naturales y una respuesta a las actuaciones en un plazo máximo de 3 meses.
¿Cómo hacer esto si el canal es verdaderamente anónimo y no hay un email de contacto?
En una suite integral de gobernanza, riesgo y cumplimiento, típicamente se soluciona generando automáticamente un usuario y una contraseña aleatorios en el momento en el que el denunciante decide anonimizarse. Con estas credenciales, la herramienta no necesita saber quién es la persona; el informante puede volver a entrar al sistema de forma segura para leer mensajes, aportar pruebas adicionales (archivos adjuntos) y recibir las notificaciones sobre el estado de su denuncia, quedando todo el proceso encapsulado y trazable mediante sellos de tiempo.
Si la comunicación se realiza de forma verbal (por teléfono o mensaje de voz), se debe documentar mediante grabación o transcripción completa. Si se opta por la transcripción, la Recomendación de la AIPI y la propia Ley 2/2023 obligan a ofrecer al informante la oportunidad de comprobar, rectificar y aceptar dicha transcripción, lo cual añade otra capa de complejidad técnica si se quiere mantener el anonimato o la confidencialidad.
Diagnóstico de anonimato: Errores típicos, señales y correcciones
Para pasar de un canal "formal" a uno "demostrable", tu organización debe auditar su infraestructura. A continuación, detallamos los errores típicos que rompen el anonimato y cómo corregirlos:
1. Uso de cuentas de correo compartidas
• Señal de detección: Las denuncias llegan a un buzón tipo "denuncias@miempresa.com".
• Corrección: El email no garantiza el anonimato porque expone la IP y la dirección del remitente. Implementar una plataforma de software específica y cifrada.
2. Permisos excesivos en IT
• Señal de detección: El departamento de soporte técnico o el administrador de sistemas puede leer el contenido de las denuncias o ver la base de datos sin cifrar.
• Corrección: Aplicar cifrado de extremo a extremo y medidas de privacidad desde el diseño. IT debe mantener el sistema, pero no debe tener las claves de descifrado del contenido.
3. Trazas que identifican en el libro-registro
• Señal de detección: Se exportan hojas de cálculo (Excel) con nombres o detalles altamente específicos que circulan por la red interna.
• Corrección: El libro-registro debe contener identificadores únicos pseudonimizados y descripciones breves, sin exponer el nombre del informante.
4. Ausencia de comunicación bidireccional segura
• Señal de detección: Si el informante no deja su email, es imposible enviarle el acuse de recibo en 7 días o pedirle más pruebas.
• Corrección: Usar portales con generación de credenciales aleatorias (ID de seguimiento y contraseña).
5. Fallos en la retención de datos
• Señal de detección: Se guardan expedientes cerrados con datos personales durante años.
• Corrección: El RGPD y la Ley 2/2023 obligan a suprimir los datos a los 3 meses si no se inician investigaciones, o a anonimizarlos totalmente tras el cierre del caso, conservando solo el apunte en el libro-registro.
Preguntas clave para tu equipo de IT/Seguridad:
• ¿Tenemos un log auditable e inalterable que registre exactamente quién accede, a qué hora y a qué expediente?
• ¿Los datos en reposo y en tránsito están cifrados de extremo a extremo?
• ¿Se capturan direcciones IP o metadatos de los navegadores de los informantes al enviar el formulario web?
Preguntas y respuestas sobre el anonimato en el canal de denuncias
1. ¿Es obligatorio permitir denuncias anónimas?
Sí, la Ley 2/2023 exige expresamente que los canales internos de información permitan la presentación y tramitación de comunicaciones anónimas.
2. ¿Qué diferencia hay entre anónimo y confidencial?
En una denuncia anónima, no se recaba ningún dato identificativo del informante. En una comunicación confidencial, el informante aporta sus datos, pero el sistema y los gestores están obligados técnica y organizativamente a no revelarlos a terceros ni al denunciado.
3. ¿Quién puede acceder a los datos de una denuncia?
El acceso está estrictamente limitado al Responsable del Sistema (RSII) y a quienes lo gestionen directamente. RRHH o Legal solo accederán si se derivan medidas disciplinarias o legales.
4. ¿Cómo informo de la resolución a un denunciante anónimo?
Mediante el uso de un software especializado que genera un usuario y contraseña aleatorios al momento de la denuncia. El informante usa estas credenciales para entrar al sistema de forma segura y leer las respuestas sin revelar su identidad.
5. ¿Qué pasa si la denuncia anónima resulta ser falsa?
La protección de la ley exige que el informante tenga motivos razonables para pensar que la información es veraz. Si se acredita que la información no es veraz, los datos deben suprimirse inmediatamente, salvo que la falsedad constituya un ilícito penal. Las denuncias falsas de mala fe quedan excluidas de la protección.
6. ¿Cuánto tiempo se conservan los datos de una denuncia?
Los datos personales deben suprimirse del sistema de denuncias a los 3 meses si no se han iniciado investigaciones. Tras el cierre, la información personal del informante debe eliminarse lo antes posible, conservando solo la información anonimizada en el libro-registro por un máximo de 10 años.
Este contenido es informativo y no constituye asesoramiento legal. © iCloudCompliance.
