{"id":38824,"date":"2026-02-04T13:00:14","date_gmt":"2026-02-04T12:00:14","guid":{"rendered":"https:\/\/www.lksnext.com\/es\/?post_type=noticias_boletin&p=38824"},"modified":"2026-02-04T13:40:21","modified_gmt":"2026-02-04T12:40:21","slug":"sistemas-internos-de-informacion-los-riesgos-juridicos-y-economicos-de-un-diseno-deficiente","status":"publish","type":"noticias_boletin","link":"https:\/\/www.lksnext.com\/eu\/noticias_boletin\/sistemas-internos-de-informacion-los-riesgos-juridicos-y-economicos-de-un-diseno-deficiente\/","title":{"rendered":"Sistemas Internos de Informaci\u00f3n: los riesgos jur\u00eddicos y econ\u00f3micos de un dise\u00f1o deficiente"},"content":{"rendered":"

La Ley 2\/2023, de 20 de febrero, reguladora de la protecci\u00f3n de las personas que informen sobre infracciones normativas y de lucha contra la corrupci\u00f3n, transpone al ordenamiento espa\u00f1ol la Directiva (UE) 2019\/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. Esta normativa impone a determinadas entidades p\u00fablicas y privadas la obligaci\u00f3n de implantar Sistemas Internos de Informaci\u00f3n (en adelante \u201cSII\u201d), com\u00fanmente conocidos como “canales de denuncias”.<\/p>\n

La experiencia de los dos primeros a\u00f1os de vigencia de la norma revela una realidad preocupante: muchas organizaciones consideran el SII como un mero tr\u00e1mite de cumplimiento formal, limit\u00e1ndose a habilitar un buz\u00f3n electr\u00f3nico sin comprender el verdadero prop\u00f3sito ni las implicaciones de un sistema mal dise\u00f1ado. Este enfoque puede acarrear consecuencias jur\u00eddicas y econ\u00f3micas muy graves.<\/p>\n

En palabras de la Autoridad Independiente de Protecci\u00f3n del Informante (en adelante, \u201cAIPI\u201d) el SII no debe ser un mero buz\u00f3n, sino el coraz\u00f3n de una estrategia integral de cumplimiento.<\/p>\n

La filosof\u00eda del SII: autocorrecci\u00f3n y detecci\u00f3n temprana<\/strong><\/p>\n

El objetivo \u00faltimo de la norma es que la organizaci\u00f3n sea la primera en conocer las irregularidades que se producen en la misma, permitiendo la autocorrecci\u00f3n antes de que las conductas il\u00edcitas se consoliden como pr\u00e1cticas habituales, da\u00f1en la reputaci\u00f3n de la organizaci\u00f3n o generen responsabilidades legales, posibilitando la adopci\u00f3n de medidas correctoras eficaces para poner fin a las conductas detectadas, reparar sus efectos y prevenir su reiteraci\u00f3n. El procedimiento de gesti\u00f3n de comunicaciones debe garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva para cumplir con dicho objetivo.<\/p>\n

Esta filosof\u00eda responde a una l\u00f3gica preventiva seg\u00fan la cual las organizaciones que facilitan la comunicaci\u00f3n interna de irregularidades reducen significativamente su exposici\u00f3n a sanciones administrativas, responsabilidades penales y da\u00f1os reputacionales.<\/p>\n

La confidencialidad y el responsable independiente como pilares de confianza<\/strong><\/p>\n

Para que este modelo funcione, resulta imprescindible que el informante conf\u00ede en el sistema. La confianza se sustenta sobre dos pilares fundamentales (1) la confidencialidad estricta de su identidad y (2) la independencia real del responsable que gestiona la informaci\u00f3n.<\/p>\n

El sistema debe estar dise\u00f1ado, establecido y gestionado de forma segura, garantizando la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicaci\u00f3n, as\u00ed como de las actuaciones que se desarrollen en la gesti\u00f3n y tramitaci\u00f3n de la misma. La confidencialidad del SII es una garant\u00eda esencial para la protecci\u00f3n efectiva de las personas informantes y para la validez y eficacia del propio sistema. El sistema deber\u00e1 operar mediante una plataforma segura que impida la identificaci\u00f3n directa o indirecta del informante, con accesos restringidos y trazabilidad controlada.<\/p>\n

Por su parte, la designaci\u00f3n de un Responsable del Sistema Interno de Informaci\u00f3n (RSII) es obligatoria. Esta figura debe tener un estatus de independencia, autonom\u00eda y autoridad dentro de la entidad para ejercer sus funciones sin recibir instrucciones del \u00f3rgano de administraci\u00f3n o de otros directivos.<\/p>\n

Dificultades en el cumplimiento normativo<\/strong><\/p>\n

No todas las organizaciones se encuentran en la misma posici\u00f3n para afrontar esta obligaci\u00f3n. Las grandes empresas cuentan habitualmente con departamentos de cumplimiento normativo, compliance officers<\/em> y recursos econ\u00f3micos, t\u00e9cnicos y humanos suficientes para dise\u00f1ar e implementar sistemas robustos.<\/p>\n

En cambio, las peque\u00f1as y medianas empresas \u2014que est\u00e1n obligadas igualmente cuando superan los 50 trabajadores o desarrollan determinadas actividades reguladas\u2014 carecen frecuentemente de estos recursos. No disponen de perfiles internos especializados, desconocen las exigencias t\u00e9cnicas y procedimentales de la norma y, en muchos casos, perciben el SII como una carga administrativa.<\/p>\n

La realidad es que la Ley obliga a todas por igual, pero no todas est\u00e1n igualmente preparadas para cumplirla correctamente. Adem\u00e1s, las entidades obligadas deben realizar investigaciones internas cumpliendo garant\u00edas procesales esenciales, como el derecho a la presunci\u00f3n de inocencia, tarea que no resulta sencilla de asumir y para la que la mayor\u00eda no est\u00e1 preparada. Por ello, muchas veces resulta esencial recurrir a asesoramiento externo especializado que permita dise\u00f1ar y gestionar sistemas y comunicaciones recibidas, sin renunciar a las garant\u00edas exigidas por la normativa.<\/p>\n

Debido a esta problem\u00e1tica, la AIPI desde su puesta en funcionamiento ha recibido numerosas consultas y ha constatado la existencia de dudas interpretativas sobre c\u00f3mo poner en marcha el dise\u00f1o e implementaci\u00f3n del SII. Como respuesta, ha aprobado la Recomendaci\u00f3n 1\/2026 para el dise\u00f1o e implementaci\u00f3n de un Sistema Interno de Informaci\u00f3n<\/strong>, proporcionando los est\u00e1ndares para que el SII pase de ser una obligaci\u00f3n reactiva a una herramienta preventiva proactiva para todas las organizaciones obligadas por la Ley.<\/p>\n

Esta Recomendaci\u00f3n constituye una gu\u00eda t\u00e9cnica esencial que aborda aspectos cr\u00edticos como los principios y elementos esenciales del sistema, estableciendo criterios interpretativos claros para evitar errores de dise\u00f1o, pero no tiene car\u00e1cter normativo ni vinculante.<\/p>\n

A la luz de la normativa y de las Recomendaciones de la AIPI, podemos identificar una serie de deficiencias recurrentes que convierten el SII en una fuente de riesgos jur\u00eddicos:<\/p>\n

    \n
  1. Falta de confidencialidad.<\/strong> El sistema debe operar mediante una plataforma segura que garantice el anonimato e impida la identificaci\u00f3n del informante, con accesos restringidos y trazabilidad controlada. Un sistema mal dise\u00f1ado permitir\u00e1 que personal no autorizado acceda a las comunicaciones o que la identidad del informante sea conocida sin las debidas garant\u00edas.<\/li>\n
  2. Designaci\u00f3n incorrecta del RSII.<\/strong> Se debe contar con el acuerdo de nombramiento o cese adoptado por el \u00f3rgano de administraci\u00f3n. Cuando se compatibilice con otras funciones, debe garantizarse la ausencia de conflictos de inter\u00e9s y la independencia en el ejercicio de su labor. Designar como responsable a un miembro de Recursos Humanos sin independencia funcional o a un directivo con inter\u00e9s en ocultar irregularidades invalida la credibilidad del sistema.<\/li>\n
  3. Procedimiento sin garant\u00edas.<\/strong> Debe existir un procedimiento de gesti\u00f3n de comunicaciones que regule cada fase, desde el acuse de recibo hasta la tramitaci\u00f3n y respuesta al informante, cumpliendo los plazos legales y garantizando confidencialidad, trazabilidad de las actuaciones y una gesti\u00f3n diligente.<\/li>\n
  4. Formaci\u00f3n insuficiente y falta de medios.<\/strong> La falta de formaci\u00f3n puede provocar decisiones precipitadas o medidas que, aunque no sean represalias, se perciban como tales por su conexi\u00f3n temporal con la denuncia.<\/li>\n
  5. Formularios de denuncia incorrectos.<\/strong> El formulario debe permitir la presentaci\u00f3n an\u00f3nima de denuncias con posibilidad de seguimiento posterior.<\/li>\n
  6. Incumplimiento de garant\u00edas de protecci\u00f3n de datos<\/strong>. El SII debe cumplir las exigencias espec\u00edficas de protecci\u00f3n de datos establecidas en la propia Ley 2\/2023, incluyendo limitaci\u00f3n de acceso, plazos de conservaci\u00f3n y derechos de los afectados.<\/li>\n<\/ol>\n

    El riesgo de un sistema mal dise\u00f1ado: utilizaci\u00f3n del canal externo de la AIPI<\/strong><\/p>\n

    Cuando el SII no ofrece garant\u00edas suficientes \u2014bien por falta de confidencialidad, por ausencia de independencia del responsable o por desconfianza generalizada\u2014 los potenciales informantes pueden optar por acudir directamente al canal externo gestionado por la AIPI o por las autoridades auton\u00f3micas competentes.<\/p>\n

    Esto tiene consecuencias inmediatas para la organizaci\u00f3n dado que pierde la oportunidad de conocer y corregir internamente la irregularidad, y se expone a que la Administraci\u00f3n P\u00fablica inicie investigaciones e, incluso, procedimientos sancionadores sin haber tenido ocasi\u00f3n de reaccionar.<\/p>\n

    Consecuencias reales: la primera sanci\u00f3n de 600.000 euros<\/strong><\/p>\n

    La Oficina Antifrau de Catalunya (OAC) ha dictado, por primera vez, una resoluci\u00f3n sancionadora contra una entidad por adoptar represalias frente a una persona informante al denunciar posibles irregularidades internas. La multa impuesta asciende a 600.000 euros y recae sobre una empresa p\u00fablica.<\/p>\n

    La relevancia jur\u00eddica del caso no se agota en la cuant\u00eda de la multa, sino en su valor de precedente. La OAC act\u00faa como autoridad de protecci\u00f3n del informante en Catalu\u00f1a, con competencias que incluyen la tramitaci\u00f3n de expedientes y la potestad sancionadora en materia de represalias. Este caso demuestra que las autoridades auton\u00f3micas y estatales no solo tienen capacidad de supervisi\u00f3n, sino tambi\u00e9n una efectiva potestad sancionadora.<\/p>\n

    Conclusi\u00f3n y recomendaci\u00f3n<\/strong><\/p>\n

    La implantaci\u00f3n de un SII no puede reducirse a un mero tr\u00e1mite de cumplimiento formal. Las organizaciones que opten por esta v\u00eda superficial se exponen a riesgos jur\u00eddicos, econ\u00f3micos y reputacionales importantes: sanciones administrativas que pueden alcanzar cifras muy elevadas, p\u00e9rdida de confianza interna que provoca que las denuncias se canalicen directamente hacia las autoridades externas, responsabilidades legales derivadas de represalias y da\u00f1os irreparables a la reputaci\u00f3n corporativa.<\/p>\n

    El SII no es un simple buz\u00f3n de denuncias. Constituye una infraestructura de integridad que debe ser aprobada por el \u00f3rgano de administraci\u00f3n de la entidad. Por ello, resulta imprescindible contar con un procedimiento de gesti\u00f3n de comunicaciones que incluya un protocolo de actuaci\u00f3n escrito y formal que regule cada fase del proceso.<\/p>\n

    En definitiva, no basta con tener el canal, el procedimiento debe ofrecer garant\u00edas reales. Para lograrlo, en muchos casos ser\u00e1 necesario recurrir a asesoramiento externo especializado que garantice un dise\u00f1o s\u00f3lido del sistema, adaptado a la realidad concreta de cada entidad, y una tramitaci\u00f3n de las comunicaciones conforme a la normativa vigente.<\/p>\n","protected":false},"excerpt":{"rendered":"

    La Ley 2\/2023, de 20 de febrero, reguladora de la protecci\u00f3n de las personas que informen sobre infracciones normativas y de lucha contra la corrupci\u00f3n, transpone al ordenamiento espa\u00f1ol la Directiva (UE) 2019\/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. Esta normativa impone a determinadas entidades p\u00fablicas y privadas la obligaci\u00f3n de implantar Sistemas Internos de Informaci\u00f3n (en adelante \u201cSII\u201d), com\u00fanmente conocidos como “canales de denuncias”.<\/p>\n","protected":false},"featured_media":38825,"template":"","tipo_articulo":[3181],"ambito_geografico":[],"boletin":[4461],"class_list":["post-38824","noticias_boletin","type-noticias_boletin","status-publish","has-post-thumbnail","hentry","tipo_articulo-articulo-de-opinion","boletin-enero-2026"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/noticias_boletin\/38824","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/noticias_boletin"}],"about":[{"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/types\/noticias_boletin"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/media\/38825"}],"wp:attachment":[{"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/media?parent=38824"}],"wp:term":[{"taxonomy":"tipo_articulo","embeddable":true,"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/tipo_articulo?post=38824"},{"taxonomy":"ambito_geografico","embeddable":true,"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/ambito_geografico?post=38824"},{"taxonomy":"boletin","embeddable":true,"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/boletin?post=38824"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}