La **Ley 2/2023, de 20 de febrero**, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone la Directiva Whistleblowing de la UE al ordenamiento jurídico español. Desde su entrada en vigor, empresas y administraciones públicas están obligadas a implantar un canal de denuncias interno que cumpla con los requisitos técnicos y organizativos de la ley. El incumplimiento tiene consecuencias económicas significativas. ## A quién aplica la Ley 2/2023 La obligación de implantar un canal de denuncias interno aplica a: **Sector privado**: - Empresas con 50 o más empleados (cualquier sector) - Partidos políticos, sindicatos, organizaciones empresariales y fundaciones con financiación pública (independientemente del número de empleados) - Empresas en sectores financieros (independientemente del tamaño): banca, seguros, servicios de inversión, mercados de valores, entidades de pago **Sector público**: - Todas las Administraciones Públicas (AGE, CCAA, entidades locales) - Organismos públicos y entidades de derecho público - Empresas con participación mayoritariamente pública **Importante**: las empresas con entre 50 y 249 empleados pudieron implantar el canal de forma compartida entre varias empresas hasta el 1 de diciembre de 2023. A partir de esa fecha, la obligación es individual. ## Qué debe incluir el canal de denuncias según la ley La Ley 2/2023 establece requisitos específicos que el canal de denuncias debe cumplir. No basta con un formulario de email o un buzón físico. ### Requisitos técnicos obligatorios **Confidencialidad garantizada**: el sistema debe garantizar que la identidad del informante solo sea conocida por el responsable del sistema de información interno, sin que sea accesible a ningún otro empleado o directivo de la organización. Esto implica que el canal no puede ser gestionado por RRHH, por el departamento legal interno o por cualquier persona subordinada a quien pueda ser denunciado. **Opción de denuncia anónima**: el canal debe permitir presentar comunicaciones de forma anónima. Esta es una novedad respecto a legislaciones anteriores: la empresa no puede rechazar denuncias anónimas. **Acuse de recibo en 7 días**: el sistema debe enviar al informante una confirmación de recepción en un plazo máximo de 7 días naturales desde la comunicación. **Respuesta en 3 meses**: la empresa o administración debe comunicar al informante las medidas adoptadas o previstas en un plazo máximo de 3 meses desde la recepción (ampliable a 6 meses en casos complejos). **Independencia del responsable**: la persona responsable del sistema debe tener independencia para llevar a cabo las investigaciones, con acceso directo al órgano de gobierno. En muchos casos, se externaliza este rol a un abogado externo o a un compliance officer independiente. **Registro**: todas las comunicaciones deben quedar registradas con la fecha, el contenido y las medidas adoptadas. Los registros deben conservarse al menos durante 3 años. ### Qué infracciones debe permitir denunciar El canal debe cubrir, como mínimo: - Infracciones del Derecho de la Unión Europea - Infracciones del ordenamiento jurídico español (penal, administrativo, laboral) - Vulneraciones de normas internas de la organización - Acciones u omisiones que puedan constituir corrupción La ley es amplia intencionalmente: la empresa no puede limitar el alcance del canal solo a algunas categorías de infracciones. ## Las sanciones por incumplir la Ley 2/2023 El régimen sancionador es uno de los más estrictos en materia de compliance en España: | Infracción | Calificación | Sanción máxima | |------------|-------------|----------------| | No disponer de canal de denuncias cuando es obligatorio | Muy grave | 1.000.000€ (empresas) / 500.000€ (persona física) | | Canal que no cumple los requisitos técnicos | Grave | 300.000€ (empresas) / 100.000€ (persona física) | | Represalias contra el informante | Muy grave | 1.000.000€ + indemnización al informante | | No guardar confidencialidad | Muy grave | 1.000.000€ | | No resolver en plazo | Grave | 300.000€ | La potestad sancionadora corresponde a la **Autoridad Independiente de Protección del Informante (A.A.I.)**, organismo creado por la propia ley. ## Requisitos técnicos de seguridad: por qué el ENS importa aquí El canal de denuncias maneja información especialmente sensible: identidades de informantes, detalles de supuestas infracciones, datos sobre personas investigadas. La Ley 2/2023 no menciona explícitamente el ENS, pero sí exige que el sistema garantice la confidencialidad y la integridad de la información. Para las **Administraciones Públicas**, el ENS es obligatorio también para el canal de denuncias, dado que es un sistema de información que maneja datos personales de ciudadanos o empleados públicos. La categoría del sistema suele ser **media**, lo que requiere certificación por tercero. Para las **empresas privadas**, el ENS no es obligatorio por ley, pero el uso de un proveedor certificado en ENS y/o ISO 27001 es la forma más robusta de demostrar que se han adoptado medidas técnicas apropiadas para garantizar la confidencialidad exigida por la ley. En caso de litigio o investigación de la A.A.I., esta acreditación es un argumento defensivo importante. ## Cómo implantar el canal de denuncias: pasos prácticos ### Paso 1: Determinar si la obligación aplica Verifica: número de empleados, sector de actividad, participación pública. Si tienes dudas, consulta con un abogado especializado en compliance o con el proveedor de software antes de iniciar el proyecto. ### Paso 2: Decidir entre gestión interna o externalizada **Gestión interna**: el responsable del canal es un empleado o directivo de la empresa, generalmente el Compliance Officer o el Director Legal. Válido si la persona designada tiene independencia real y acceso al consejo de administración. Riesgo: conflicto de interés si hay que investigar a la propia dirección. **Gestión externalizada**: el responsable del canal es un despacho de abogados externo u otra empresa especializada. Elimina el conflicto de interés y aporta credibilidad ante los informantes. Recomendado para empresas sin compliance officer propio. ### Paso 3: Seleccionar e implantar la plataforma tecnológica La plataforma debe cubrir: - Formulario de denuncia anónima accesible 24/7 - Cifrado de las comunicaciones en tránsito y en reposo - Canal de comunicación bidireccional anonimizado (para preguntar al informante sin revelar su identidad) - Workflow de gestión: registro, asignación, seguimiento de plazos, resolución - Registro inmutable de todas las acciones (para auditoría) - Control de acceso por roles con segregación de funciones ### Paso 4: Comunicar la existencia del canal La ley obliga a informar a todos los empleados de la existencia del canal, su alcance y las protecciones que ofrece al informante. Esta comunicación debe quedar documentada. ### Paso 5: Formar al responsable del canal El responsable del canal debe recibir formación específica sobre el procedimiento de investigación, los plazos legales, el tratamiento de los datos personales y las garantías del informante. ## Preguntas frecuentes sobre el canal de denuncias **¿Una empresa con 30 empleados tiene que implantar el canal de denuncias?** No, si no está en un sector financiero regulado ni tiene participación pública. La obligación para el sector privado general empieza en 50 empleados. Por debajo de ese umbral, tener un canal es una buena práctica de compliance pero no una obligación legal. **¿Puede usarse el canal de RRHH o el email del director como canal de denuncias?** No cumple con los requisitos de la ley. El canal debe garantizar la independencia del responsable y la confidencialidad de la identidad del informante. Un email corporativo gestionado por RRHH no cumple ninguno de los dos requisitos. **¿El RGPD afecta al canal de denuncias?** Sí. El canal procesa datos personales (del informante, de la persona investigada, de testigos) y debe cumplir con el RGPD. Esto implica: base jurídica para el tratamiento, información al afectado (en la medida en que no comprometa la investigación), plazos de conservación y medidas de seguridad apropiadas. El Responsable del Tratamiento es la empresa, no el proveedor del software. **¿Puede exigirse que el informante se identifique para procesar su denuncia?** No. La ley prohíbe rechazar denuncias anónimas. La empresa puede asignar menos recursos a la investigación de denuncias anónimas que a las identificadas, pero no puede ignorarlas ni archivarlas sin investigación previa. **¿Qué plazo tiene la empresa para implantar el canal si aún no lo tiene?** La obligación ya está en vigor. Si tu empresa supera los 50 empleados y no tiene canal de denuncias, está en incumplimiento desde el 1 de junio de 2023 (empresas de más de 249 empleados) o desde el 1 de diciembre de 2023 (empresas de 50 a 249 empleados). La implantación urgente es posible: con un proveedor especializado, el canal puede estar operativo en 2-4 semanas.