No has añadido ningún producto al carrito

Novedades de la ley del canal de denuncias en España
Las novedades de la ley del canal de denuncias en España no deben analizarse como una obligación nueva que puede seguir esperando. La Ley 2/2023 ya está plenamente aplicable y el foco se ha desplazado: no basta con habilitar un correo electrónico o contratar una plataforma. Las empresas y entidades obligadas deben demostrar que su Sistema Interno de Información funciona, protege a quien informa y permite investigar los hechos con garantías.
Para una pyme, una asociación o una comunidad de propietarios, el riesgo no está solo en no disponer de canal. También existe cuando el canal se ha implantado de forma improvisada, nadie lo gestiona, no hay procedimiento aprobado o se tratan datos personales sin las medidas exigibles. Cumplir bien evita sanciones, conflictos laborales y daños reputacionales que pueden resultar mucho más costosos que una implantación correcta.
Novedades de la ley del canal de denuncias en España
La principal realidad normativa es clara: los plazos de adaptación ya vencieron. Las entidades privadas con 250 o más trabajadores debían disponer de sistema desde el 13 de junio de 2023. Las empresas de 50 a 249 trabajadores, así como determinados municipios, tuvieron como fecha límite el 1 de diciembre de 2023.
Por tanto, en 2026 ya no cabe hablar de periodo de transición. Ante una inspección, una comunicación o un conflicto, la pregunta será si la organización cumple o no cumple. La falta de actividad denunciable tampoco justifica la ausencia del sistema cuando existe obligación legal.
También están obligadas, aunque no alcancen 50 trabajadores, determinadas entidades de sectores sujetos a normativa financiera, prevención de blanqueo de capitales, seguridad del transporte, protección ambiental u otras materias incluidas en la Ley 2/2023. Deben revisar su caso específico los partidos políticos, sindicatos, organizaciones empresariales y fundaciones que reciban o gestionen fondos públicos, cuando concurran los requisitos legales.
Otra novedad práctica relevante es la consolidación de la Autoridad Independiente de Protección del Informante, A.A.I., como pieza estatal de supervisión del sistema. Junto con las autoridades autonómicas competentes, refuerza un mensaje que muchas organizaciones han infravalorado: el canal interno es una obligación de cumplimiento con consecuencias sancionadoras propias, no un simple apartado de recursos humanos.
Qué debe tener un Sistema Interno de Información válido
Un canal de denuncias conforme a la Ley 2/2023 forma parte de un Sistema Interno de Información más amplio. La plataforma es solo una herramienta. El sistema debe contar con normas, responsables, trazabilidad y garantías de confidencialidad.
La entidad debe aprobar una política o procedimiento que explique quién puede informar, qué materias se admiten, cómo se presentan las comunicaciones y cómo se tramitan. Esta política debe ser accesible, comprensible y estar correctamente difundida. Si existen representantes legales de las personas trabajadoras, deben ser consultados con carácter previo a su implantación.
Además, debe designarse formalmente a una persona física u órgano colegiado como Responsable del Sistema. No es un nombramiento decorativo. Esta figura debe actuar con independencia, recibir las comunicaciones o supervisar su recepción y garantizar que cada expediente se gestione sin interferencias. Su designación y cese deben comunicarse a la autoridad competente dentro del plazo legal.
El sistema debe admitir comunicaciones escritas y verbales. Debe permitir, además, las denuncias anónimas. Obligar al informante a identificarse contradice la finalidad protectora de la norma y puede disuadir la comunicación de infracciones graves.
Plazos que la empresa debe respetar
Una vez recibida una comunicación, la organización debe acusar recibo en un máximo de siete días naturales, salvo que hacerlo pueda comprometer la confidencialidad. Después debe analizar la admisibilidad, investigar con objetividad y ofrecer respuesta en un plazo máximo de tres meses desde el acuse de recibo. En situaciones de especial complejidad, el plazo puede ampliarse hasta otros tres meses.
No todo aviso debe convertirse en una investigación extensa. Las comunicaciones manifiestamente infundadas, ajenas al ámbito de la ley o sin indicios mínimos pueden inadmitirse, pero esa decisión debe estar motivada y documentada. La clave es que exista criterio, no que la empresa ignore lo que recibe.
El canal no puede ser un buzón sin gestión
Uno de los errores más frecuentes es implantar una dirección de correo y considerar resuelta la obligación. Un buzón compartido por varios empleados, sin control de accesos ni protocolo de investigación, expone información sensible y dificulta acreditar que se ha actuado correctamente.
Tampoco es recomendable dejar la gestión en manos de una persona que pueda tener conflicto de interés. Por ejemplo, si se recibe una comunicación contra un directivo y ese directivo puede acceder al expediente, la confidencialidad queda comprometida. El sistema debe prever sustituciones, restricciones de acceso y una vía de escalado para los asuntos que afecten a la dirección o al propio responsable.
La externalización de la recepción y gestión puede ser una solución especialmente eficaz para pequeñas y medianas empresas. Reduce la carga administrativa, aporta neutralidad y permite contar con un procedimiento preparado desde el primer día. Sin embargo, externalizar no elimina la responsabilidad de la entidad obligada: la empresa sigue debiendo aprobar su sistema, designar responsable y asegurar que el proveedor cumple las exigencias legales y de protección de datos.
Las empresas de 50 a 249 trabajadores pueden compartir recursos para la recepción de comunicaciones y la investigación, siempre que se preserven las garantías legales. Los grupos empresariales también pueden articular sistemas comunes en determinados supuestos. No obstante, la fórmula debe estudiarse con cuidado: compartir una herramienta no autoriza a mezclar expedientes, accesos o decisiones sin límites.
Protección de datos: el punto que más se descuida
El canal de denuncias trata información especialmente delicada: identidad de informantes, personas afectadas, testigos, hechos presuntamente ilícitos y, en ocasiones, datos de categoría especial. Por eso, el cumplimiento de la Ley 2/2023 debe coordinarse con el RGPD y la LOPDGDD.
Solo deben acceder a los datos las personas estrictamente autorizadas. La identidad del informante debe mantenerse confidencial y no puede revelarse a la persona afectada ni a terceros, salvo obligación legal o requerimiento de autoridad competente. La confidencialidad no significa impunidad: la persona denunciada conserva sus derechos de defensa, pero debe ser informada en el momento adecuado, sin frustrar la investigación.
La organización debe informar sobre el tratamiento de datos, definir los perfiles de acceso, firmar los contratos de encargo cuando intervengan proveedores y mantener un registro de actividades de tratamiento adaptado al canal. También debe evaluar si el tratamiento exige una evaluación de impacto, algo que dependerá del volumen, la naturaleza de los datos y la forma de gestión.
Los datos personales deben eliminarse del sistema cuando no sean necesarios. Con carácter general, si no se inicia una investigación, deben suprimirse en un máximo de tres meses desde su introducción. Si los hechos requieren conservación como prueba, la información podrá mantenerse fuera del canal durante el tiempo imprescindible. La entidad debe conservar un libro-registro de las comunicaciones recibidas y de las investigaciones internas durante el plazo legal, aplicando siempre medidas de seguridad.
Sanciones: el coste de llegar tarde
La Ley 2/2023 contempla infracciones leves, graves y muy graves. Entre las conductas de mayor riesgo se encuentran impedir o dificultar la presentación de comunicaciones, vulnerar la confidencialidad, adoptar represalias contra el informante o incumplir la obligación de disponer de un sistema interno cuando sea exigible.
Las multas para personas físicas pueden alcanzar 1.000.000 de euros. Para personas jurídicas, las sanciones pueden situarse entre 100.000 y 1.000.000 de euros en los supuestos más graves. A ello se añaden posibles medidas accesorias, como la prohibición de obtener subvenciones o contratar con el sector público durante un periodo determinado.
La sanción no siempre empieza con una inspección. Puede originarse tras una denuncia de un trabajador, un ex empleado, un proveedor, un candidato o cualquier persona que haya conocido una infracción en un contexto laboral o profesional. Si la entidad no ofrece una vía interna segura y creíble, aumenta la probabilidad de que la información llegue directamente a una autoridad externa o se convierta en un conflicto público.
Qué conviene revisar ahora en su empresa
La revisión debe comenzar por una pregunta sencilla: ¿su entidad está obligada por número de trabajadores, sector o naturaleza jurídica? Si la respuesta es sí, el siguiente paso es comprobar si existe un verdadero Sistema Interno de Información, no solo una herramienta tecnológica.
Conviene revisar la política aprobada, el nombramiento del responsable, el procedimiento de recepción e investigación, la posibilidad de presentar denuncias anónimas, los plazos de respuesta, los avisos de privacidad y los accesos a la información. También es necesario formar a las personas que intervienen en la gestión. Un procedimiento excelente en papel pierde valor si quien recibe una comunicación no sabe cómo actuar durante las primeras 24 horas.
Consultoría Rosario Polo puede ayudar a implantar o revisar el canal de denuncias con un enfoque práctico: documentación adaptada, gestión ordenada y coordinación con las obligaciones de protección de datos. La prioridad no es añadir burocracia, sino dejar a la empresa preparada para responder con seguridad cuando aparezca una comunicación.
Un canal bien diseñado no invita a los problemas. Permite conocerlos a tiempo, investigarlos con rigor y corregirlos antes de que se traduzcan en una sanción, una reclamación o una crisis de confianza.