La puesta en marcha ha cambiado el paradigma.
Para empresas del sector tecnológico y de servicios en España, el debate ya no es si “tienen o no” un canal de denuncias. La pregunta ahora es si funciona de forma proactiva y si es demostrable ante una inspección.
Si formas parte de un equipo de Legal o Compliance en una empresa con trabajo remoto o híbrido, estas consideraciones que vamos a desglosar a continuación te explican las obligaciones clave de la Ley 2/2023 y las expectativas prácticas de la Recomendación 1/2026 de la AIPI.
AIPI es la autoridad administrativa independiente responsable de la protección del informante y la sanción de infracciones en el sector privado a nivel nacional.
Según la Ley 2/2023, toda empresa privada con 50 o más trabajadores está obligada a contar con un Sistema Interno de Información (SII). En empresas con alta rotación o equipos distribuidos, calcular este umbral puede generar dudas.
La Recomendación 1/2026 aclara que el cómputo incluye a toda la plantilla, independientemente del centro de trabajo o modalidad contractual. Debes incluir:
El recuento debe realizarse, como mínimo, el último día de junio y de diciembre de cada año.
Un formulario web genérico o una dirección de correo sin control de acceso no es suficiente. La ley marca hitos procedimentales estrictos que tu infraestructura tecnológica debe soportar y registrar.
1. Acuse de recibo: En un plazo máximo de 7 días naturales desde la recepción, salvo que esto ponga en riesgo la confidencialidad.
2. Plazo de resolución: Máximo 3 meses desde la recepción, ampliable a otros 3 meses en casos de especial complejidad.
3. Anonimato total: El canal debe permitir obligatoriamente la presentación y tramitación de denuncias anónimas.
4. Libro-registro: Es obligatorio mantener un registro confidencial de las informaciones recibidas y las investigaciones internas.
La Recomendación 1/2026 establece criterios interpretativos que funcionan como guía estructural para la implementación técnica y organizativa del SII. La AIPI espera que el sistema sea el corazón de tu estrategia de integridad, no una herramienta reactiva.
La confidencialidad debe integrarse en el diseño del sistema. La AIPI exige operar mediante una plataforma cifrada de extremo a extremo, que impida la identificación del informante y controle estrictamente la trazabilidad de accesos.
Si tu empresa dispone de múltiples canales (buzones de acoso, RRHH, etc.), todos deben converger bajo la supervisión del Responsable del Sistema (RSII). ¡No pueden operar de forma independiente!
Debes habilitar comunicaciones por escrito (formulario seguro) y verbales (teléfono o mensajería de voz). Las comunicaciones verbales deben documentarse mediante grabación o transcripción exacta, ofreciendo al informante la oportunidad de revisarla y firmarla.
El Responsable del Sistema Interno de Información (RSII) debe ser un directivo que ejerza sus funciones con independencia, sin recibir instrucciones del órgano de administración.
Basado en la lista de verificación de la AIPI y ampliado con los requisitos operativos de la normativa vigente, te dejamos un Checklist sencillo que te permitirá revisar cada requisito y respectiva base legal.
| ¡Recibe tu guía de diagnóstico! |
Gestionar denuncias con bandejas de correo compartidas o archivos Excel es un riesgo operativo crítico. Si un empleado borra un email, si IT tiene acceso irrestricto al servidor, o si se incumple el plazo de los 3 meses por falta de alertas, tu empresa se expone a sanciones de hasta 1.000.000 de euros.
En una plataforma GRC, estos flujos se automatizan sin necesidad de desarrollar infraestructura interna. Las tres claves de un sistema defendible son:
Libro-registro exportable e inmutable: Registra quién accede al expediente, cuándo y por qué, bloqueando accesos no autorizados.
Control de retención (Privacy by Design): Los datos personales no pertinentes se eliminan de inmediato. Sin investigación en 3 meses, los datos se suprimen; el expediente anonimizado se mantiene hasta 10 años.
Trazabilidad tem poral (Timestamps): Evidencia verificable de que el acuse de recibo se emitió el día 3 y la resolución el día 85.
No. La Ley 2/2023 permite externalizar la recepción a un tercero para garantizar independencia y confidencialidad, pero no es un requisito. Además, las empresas de entre 50 y 249 trabajadores pueden compartir recursos del sistema entre sí.
La Recomendación 1/2026 establece que se suma toda la plantilla sin importar la modalidad contractual: personal a tiempo parcial, teletrabajadores, empleados desplazados y contratos temporales extinguidos en los últimos 6 meses.
Sí. La AIPI insta a que el SII actúe como “ventana única” bajo la supervisión del RSII. Todos los canales deben ofrecer las mismas medidas de protección y confidencialidad.
El libro-registro puede conservarse hasta 10 años. Sin embargo, si no se inicia investigación en 3 meses, los datos personales deben suprimirse y solo puede quedar constancia anonimizada del caso.
Sí. La ley permite que el RSII sea un órgano colegiado. La AIPI recomienda que no tenga más de 5 miembros y que delegue obligatoriamente las funciones de gestión y tramitación en uno de ellos.
La AIPI (o la autoridad autonómica competente) puede imponer multas de:
Si quieres explorar las tendencias que están definiendo el futuro del Compliance, sostenibilidad, IT security y calidad, revisar recursos prácticos y cerrar con una recomendación pop asociada a estos temas, te invitamos a que seas parte de nuestro envíos de Brújula Compliance.
| ¡Súmate a nuestro newsletter! |
Este contenido es informativo y no constituye asesoramiento legal. © iCloudCompliance.