La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone al ordenamiento español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. Esta normativa impone a determinadas entidades públicas y privadas la obligación de implantar Sistemas Internos de Información (en adelante “SII”), comúnmente conocidos como «canales de denuncias».
La experiencia de los dos primeros años de vigencia de la norma revela una realidad preocupante: muchas organizaciones consideran el SII como un mero trámite de cumplimiento formal, limitándose a habilitar un buzón electrónico sin comprender el verdadero propósito ni las implicaciones de un sistema mal diseñado. Este enfoque puede acarrear consecuencias jurídicas y económicas muy graves.
En palabras de la Autoridad Independiente de Protección del Informante (en adelante, “AIPI”) el SII no debe ser un mero buzón, sino el corazón de una estrategia integral de cumplimiento.
La filosofía del SII: autocorrección y detección temprana
El objetivo último de la norma es que la organización sea la primera en conocer las irregularidades que se producen en la misma, permitiendo la autocorrección antes de que las conductas ilícitas se consoliden como prácticas habituales, dañen la reputación de la organización o generen responsabilidades legales, posibilitando la adopción de medidas correctoras eficaces para poner fin a las conductas detectadas, reparar sus efectos y prevenir su reiteración. El procedimiento de gestión de comunicaciones debe garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva para cumplir con dicho objetivo.
Esta filosofía responde a una lógica preventiva según la cual las organizaciones que facilitan la comunicación interna de irregularidades reducen significativamente su exposición a sanciones administrativas, responsabilidades penales y daños reputacionales.
La confidencialidad y el responsable independiente como pilares de confianza
Para que este modelo funcione, resulta imprescindible que el informante confíe en el sistema. La confianza se sustenta sobre dos pilares fundamentales (1) la confidencialidad estricta de su identidad y (2) la independencia real del responsable que gestiona la información.
El sistema debe estar diseñado, establecido y gestionado de forma segura, garantizando la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, así como de las actuaciones que se desarrollen en la gestión y tramitación de la misma. La confidencialidad del SII es una garantía esencial para la protección efectiva de las personas informantes y para la validez y eficacia del propio sistema. El sistema deberá operar mediante una plataforma segura que impida la identificación directa o indirecta del informante, con accesos restringidos y trazabilidad controlada.
Por su parte, la designación de un Responsable del Sistema Interno de Información (RSII) es obligatoria. Esta figura debe tener un estatus de independencia, autonomía y autoridad dentro de la entidad para ejercer sus funciones sin recibir instrucciones del órgano de administración o de otros directivos.
Dificultades en el cumplimiento normativo
No todas las organizaciones se encuentran en la misma posición para afrontar esta obligación. Las grandes empresas cuentan habitualmente con departamentos de cumplimiento normativo, compliance officers y recursos económicos, técnicos y humanos suficientes para diseñar e implementar sistemas robustos.
En cambio, las pequeñas y medianas empresas —que están obligadas igualmente cuando superan los 50 trabajadores o desarrollan determinadas actividades reguladas— carecen frecuentemente de estos recursos. No disponen de perfiles internos especializados, desconocen las exigencias técnicas y procedimentales de la norma y, en muchos casos, perciben el SII como una carga administrativa.
La realidad es que la Ley obliga a todas por igual, pero no todas están igualmente preparadas para cumplirla correctamente. Además, las entidades obligadas deben realizar investigaciones internas cumpliendo garantías procesales esenciales, como el derecho a la presunción de inocencia, tarea que no resulta sencilla de asumir y para la que la mayoría no está preparada. Por ello, muchas veces resulta esencial recurrir a asesoramiento externo especializado que permita diseñar y gestionar sistemas y comunicaciones recibidas, sin renunciar a las garantías exigidas por la normativa.
Debido a esta problemática, la AIPI desde su puesta en funcionamiento ha recibido numerosas consultas y ha constatado la existencia de dudas interpretativas sobre cómo poner en marcha el diseño e implementación del SII. Como respuesta, ha aprobado la Recomendación 1/2026 para el diseño e implementación de un Sistema Interno de Información, proporcionando los estándares para que el SII pase de ser una obligación reactiva a una herramienta preventiva proactiva para todas las organizaciones obligadas por la Ley.
Esta Recomendación constituye una guía técnica esencial que aborda aspectos críticos como los principios y elementos esenciales del sistema, estableciendo criterios interpretativos claros para evitar errores de diseño, pero no tiene carácter normativo ni vinculante.
A la luz de la normativa y de las Recomendaciones de la AIPI, podemos identificar una serie de deficiencias recurrentes que convierten el SII en una fuente de riesgos jurídicos:
- Falta de confidencialidad. El sistema debe operar mediante una plataforma segura que garantice el anonimato e impida la identificación del informante, con accesos restringidos y trazabilidad controlada. Un sistema mal diseñado permitirá que personal no autorizado acceda a las comunicaciones o que la identidad del informante sea conocida sin las debidas garantías.
- Designación incorrecta del RSII. Se debe contar con el acuerdo de nombramiento o cese adoptado por el órgano de administración. Cuando se compatibilice con otras funciones, debe garantizarse la ausencia de conflictos de interés y la independencia en el ejercicio de su labor. Designar como responsable a un miembro de Recursos Humanos sin independencia funcional o a un directivo con interés en ocultar irregularidades invalida la credibilidad del sistema.
- Procedimiento sin garantías. Debe existir un procedimiento de gestión de comunicaciones que regule cada fase, desde el acuse de recibo hasta la tramitación y respuesta al informante, cumpliendo los plazos legales y garantizando confidencialidad, trazabilidad de las actuaciones y una gestión diligente.
- Formación insuficiente y falta de medios. La falta de formación puede provocar decisiones precipitadas o medidas que, aunque no sean represalias, se perciban como tales por su conexión temporal con la denuncia.
- Formularios de denuncia incorrectos. El formulario debe permitir la presentación anónima de denuncias con posibilidad de seguimiento posterior.
- Incumplimiento de garantías de protección de datos. El SII debe cumplir las exigencias específicas de protección de datos establecidas en la propia Ley 2/2023, incluyendo limitación de acceso, plazos de conservación y derechos de los afectados.
El riesgo de un sistema mal diseñado: utilización del canal externo de la AIPI
Cuando el SII no ofrece garantías suficientes —bien por falta de confidencialidad, por ausencia de independencia del responsable o por desconfianza generalizada— los potenciales informantes pueden optar por acudir directamente al canal externo gestionado por la AIPI o por las autoridades autonómicas competentes.
Esto tiene consecuencias inmediatas para la organización dado que pierde la oportunidad de conocer y corregir internamente la irregularidad, y se expone a que la Administración Pública inicie investigaciones e, incluso, procedimientos sancionadores sin haber tenido ocasión de reaccionar.
Consecuencias reales: la primera sanción de 600.000 euros
La Oficina Antifrau de Catalunya (OAC) ha dictado, por primera vez, una resolución sancionadora contra una entidad por adoptar represalias frente a una persona informante al denunciar posibles irregularidades internas. La multa impuesta asciende a 600.000 euros y recae sobre una empresa pública.
La relevancia jurídica del caso no se agota en la cuantía de la multa, sino en su valor de precedente. La OAC actúa como autoridad de protección del informante en Cataluña, con competencias que incluyen la tramitación de expedientes y la potestad sancionadora en materia de represalias. Este caso demuestra que las autoridades autonómicas y estatales no solo tienen capacidad de supervisión, sino también una efectiva potestad sancionadora.
Conclusión y recomendación
La implantación de un SII no puede reducirse a un mero trámite de cumplimiento formal. Las organizaciones que opten por esta vía superficial se exponen a riesgos jurídicos, económicos y reputacionales importantes: sanciones administrativas que pueden alcanzar cifras muy elevadas, pérdida de confianza interna que provoca que las denuncias se canalicen directamente hacia las autoridades externas, responsabilidades legales derivadas de represalias y daños irreparables a la reputación corporativa.
El SII no es un simple buzón de denuncias. Constituye una infraestructura de integridad que debe ser aprobada por el órgano de administración de la entidad. Por ello, resulta imprescindible contar con un procedimiento de gestión de comunicaciones que incluya un protocolo de actuación escrito y formal que regule cada fase del proceso.
En definitiva, no basta con tener el canal, el procedimiento debe ofrecer garantías reales. Para lograrlo, en muchos casos será necesario recurrir a asesoramiento externo especializado que garantice un diseño sólido del sistema, adaptado a la realidad concreta de cada entidad, y una tramitación de las comunicaciones conforme a la normativa vigente.
