Protocolo del Canal Interno de Información (Canal de Denuncias)
Datos clave
PROTOCOLO DEL CANAL INTERNO DE INFORMACIÓN (CANAL DE DENUNCIAS)
Protocolo del Canal de Denuncias
Conforme a la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas
1. DATOS DE LA ORGANIZACIÓN
Organización: [Organisation Name]
NIF/CIF: [Organisation NIF]
Domicilio registrado: [Organisation Address]
Representante legal: [Legal Representative]
Actividad principal / Sector: [Sector Activity]
2. OBJETO Y BASE LEGAL
El presente Protocolo establece el canal interno de información de [Organisation Name] en cumplimiento de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, que transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019.
El canal permite a empleados, exempleados, candidatos a un puesto de trabajo, contratistas, proveedores, accionistas y administradores informar, con carácter confidencial y sin temor a represalias, sobre infracciones del Derecho de la Unión Europea y del Derecho nacional español comprendidas en el ámbito definido por el artículo 2 de la Ley 2/2023 y por este Protocolo.
3. ÁMBITO DE LAS CONDUCTAS DENUNCIABLES
Podrán presentarse informaciones sobre: (a) infracciones del Derecho de la Unión Europea en las materias comprendidas en el Anexo de la Directiva 2019/1937 — servicios financieros, prevención del blanqueo de capitales, seguridad de los productos, protección del medio ambiente, seguridad alimentaria, salud pública, protección de los consumidores, protección de datos, seguridad de las redes, derecho de la competencia y fiscalidad de las sociedades; (b) delitos penales e infracciones administrativas graves o muy graves conforme al Derecho español; (c) incumplimientos de las políticas internas de [Organisation Name] previstas en el manual del empleado o código de conducta aplicable, en la medida en que constituyan asimismo infracciones normativas.
La normativa sectorial principal aplicable a [Organisation Name] en el sector de [Sector Activity] queda igualmente cubierta por este canal en la medida en que se encuadre en el ámbito de la Ley 2/2023.
4. RESPONSABLE DEL SISTEMA INTERNO DE INFORMACIÓN
El responsable del sistema designado por [Organisation Name] conforme al artículo 8 de la Ley 2/2023 es:
Nombre / Órgano: [Channel Manager]
Tipo de responsable: [Channel Manager Type]
Contacto para presentar informaciones: [Channel Manager Contact]
El responsable del sistema actúa con independencia y está facultado para llevar a cabo o encargar investigaciones sin injerencia de la dirección o del órgano de administración de la organización, salvo que dicho órgano sea el propio responsable designado.
5. CÓMO PRESENTAR UNA INFORMACIÓN
Las informaciones podrán presentarse a través de los siguientes formatos: [Reporting Formats]
Plataforma en línea (si procede): [Reporting Web Address]
Se aceptan denuncias anónimas: [Anonymous Reports]. Conforme al artículo 24 de la Ley 2/2023, las denuncias anónimas se tramitan con la misma diligencia que las identificadas.
Las informaciones verbales serán transcritas o grabadas (con el consentimiento de la persona informante) por el responsable del sistema y se le ofrecerá la posibilidad de verificarlas y corregirlas.
6. PLAZOS DE TRAMITACIÓN
Acuse de recibo: [Acknowledgement Deadline] desde la presentación — conforme exige el artículo 9.1 de la Ley 2/2023.
Respuesta sobre las medidas adoptadas: [Feedback Deadline] desde el acuse de recibo — conforme exige el artículo 9.2 de la Ley 2/2023.
Órgano de investigación: [Investigation Body]
El responsable del sistema realizará un primer análisis de cada información, llevará a cabo un examen preliminar para valorar su admisibilidad, notificará a la persona afectada cuando así lo exija la ley sin comprometer la confidencialidad de la persona informante, y elaborará una conclusión escrita con las medidas correctoras recomendadas.
7. CONFIDENCIALIDAD Y ANONIMATO
La identidad de la persona informante no será revelada a persona alguna ajena al responsable del sistema y al equipo de investigación sin su consentimiento expreso previo, salvo que dicha revelación sea exigida por una autoridad competente conforme al artículo 32 de la Ley 2/2023.
El acceso al sistema de información está restringido mediante medidas técnicas y organizativas. Todas las personas con acceso a los datos de las denuncias quedan sujetas a obligaciones de confidencialidad que subsisten tras la finalización de su relación con [Organisation Name].
8. PROHIBICIÓN DE REPRESALIAS
[Organisation Name] prohíbe estrictamente cualquier forma de represalia contra las personas informantes, los facilitadores o los terceros vinculados a la persona informante, de conformidad con los artículos 36 a 40 de la Ley 2/2023. Entre las medidas de represalia prohibidas se incluyen, sin carácter limitativo: el despido, las medidas disciplinarias, la degradación de categoría, el acoso, la discriminación, la denegación de ascenso, la resolución anticipada de contratos y la inclusión en listas negras.
Todo empleado o directivo que ejerza represalias contra una persona informante quedará sujeto a medidas disciplinarias y podrá incurrir en responsabilidad penal o civil. Las personas informantes que sufran represalias podrán presentar una reclamación ante la Autoridad Independiente de Protección del Informante (A.A.I.) y ejercitar acciones ante el Juzgado de lo Social o los tribunales ordinarios.
9. PROTECCIÓN DE DATOS
Los datos personales tratados a través de este canal se gestionan conforme al siguiente marco:
Base jurídica: artículo 6.1.c) RGPD — cumplimiento de una obligación legal (Ley 2/2023) — y, cuando concurran categorías especiales de datos, artículo 9.2.b) RGPD.
Conservación de datos: [Retention Period] desde el cierre de la investigación, conforme al artículo 33 de la Ley 2/2023 y a los principios de minimización de datos del RGPD.
Contacto del Delegado de Protección de Datos: [DPO Contact]
Las personas informantes y las personas afectadas podrán ejercer sus derechos (acceso, rectificación, supresión, limitación, oposición) a través del contacto del DPD indicado y, en caso de no obtener respuesta satisfactoria, ante la Agencia Española de Protección de Datos (AEPD) en aepd.es, conforme a la Ley Orgánica 3/2018 (LOPDGDD).
10. CANALES EXTERNOS DE INFORMACIÓN
Las personas informantes podrán, en cualquier momento y sin obligación previa de utilizar este canal interno, informar directamente a la Autoridad Independiente de Protección del Informante (A.A.I.) a nivel estatal, a la autoridad autonómica correspondiente, o a las instituciones competentes de la Unión Europea, conforme al artículo 7 de la Ley 2/2023.
11. APROBACIÓN Y ENTRADA EN VIGOR
Este Protocolo fue aprobado en [Approval City] el [Approval Date] y entra en vigor el [Effective Date].
Representado por: [Legal Representative]
Firma: _________________________ Fecha: _________________________
Representante legal
________________
Signature
Qué es Protocolo del Canal Interno de Información (Canal de Denuncias)
El Protocolo del Canal Interno de Información es, en España, el documento interno de obligado cumplimiento regulado por Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, que fija los procedimientos y obligaciones aplicables dentro de la organización.
El Canal de Denuncias no es un mero buzón de sugerencias — la Ley 2/2023 impone obligaciones vinculantes sobre cómo se reciben, acusan recibo, investigan y resuelven las comunicaciones. El Artículo 9 de la Ley 2/2023 exige que el responsable del sistema interno de información acuse recibo de las comunicaciones en el plazo de siete días naturales, realice un seguimiento diligente e informe al informante de las actuaciones adoptadas en el plazo de tres meses. Las comunicaciones pueden presentarse de forma anónima — el Artículo 24 de la Ley 2/2023 obliga expresamente a tramitar las comunicaciones anónimas, y el protocolo debe prever su recepción aunque la organización no pueda identificar al comunicante.
La Autoridad Independiente de Protección del Informante (A.A.I.) fue creada por la Ley 2/2023 como autoridad supervisora independiente a nivel estatal, junto con los equivalentes autonómicos de aquellas Comunidades Autónomas que han aprobado legislación propia de transposición. La A.A.I. recibe comunicaciones externas, investiga las vulneraciones de la protección de los informantes y puede imponer sanciones por el incumplimiento de la obligación de implantar canales internos conformes o por conductas represivas contra los informantes, conforme a los artículos 62 a 64 de la Ley 2/2023.
La protección frente a represalias es el eje central de la Ley 2/2023. El Artículo 36 prohíbe cualquier medida adversa — despido, sanción disciplinaria, degradación profesional, acoso, discriminación, trato desfavorable — contra el informante, las personas que le asistan (facilitadores) y los terceros vinculados al informante (familiares, compañeros de trabajo). La inversión de la carga de la prueba del Artículo 39 de la Ley 2/2023 implica que, si el informante sufre una consecuencia adversa, el empleador debe demostrar que la medida adoptada fue adoptada por razones totalmente ajenas a la comunicación realizada, lo que supone una diferencia significativa respecto a los principios generales del Estatuto de los Trabajadores (RDL 2/2015).
El ámbito de aplicación de la Ley 2/2023 comprende las infracciones del derecho de la Unión en las materias del Anexo de la Directiva 2019/1937 — servicios financieros, prevención del blanqueo de capitales, seguridad de los productos, protección del medio ambiente, seguridad alimentaria, salud pública, protección de los consumidores, protección de datos, seguridad de las redes, competencia y fiscalidad de las empresas — así como las infracciones del derecho nacional español, incluyendo delitos penales e infracciones administrativas graves. El protocolo debe definir con claridad el ámbito de las conductas que pueden comunicarse, para que los trabajadores comprendan qué comunicaciones quedan protegidas.
Las obligaciones en materia de protección de datos derivadas del Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679 — y de la Ley Orgánica 3/2018 (LOPDGDD) se aplican a todos los datos personales tratados a través del canal de denuncias. El Artículo 32 de la Ley 2/2023 exige que la identidad del informante, la identidad de cualquier persona mencionada en la comunicación y todos los datos personales relacionados se traten con estricta confidencialidad, siendo accesibles únicamente al responsable del sistema y a las personas directamente implicadas en la investigación. Los datos deben eliminarse una vez cerrada la investigación y transcurrido el plazo de conservación aplicable — en general, no más de 10 años conforme al Artículo 33 de la Ley 2/2023 y al principio de minimización de datos del RGPD.
El Protocolo del Canal de Denuncias España debe comunicarse a todos los trabajadores, proveedores, contratistas y demás terceros relevantes que interactúen con la organización. El Artículo 5.3 de la Ley 2/2023 exige que la existencia y los procedimientos del canal interno sean publicados de forma clara y accesible. La Inspección de Trabajo y Seguridad Social (ITSS) puede verificar el cumplimiento en el curso de sus actuaciones inspectoras, y la A.A.I. puede investigar las denuncias sobre canales internos inadecuados o inexistentes.
Cuándo necesitas Protocolo del Canal Interno de Información (Canal de Denuncias)
El Protocolo del Canal de Denuncias España es obligatorio conforme a la Ley 2/2023, de 20 de febrero, para cualquier empresa del sector privado con 50 o más trabajadores. La obligación nace desde el momento en que se alcanza el umbral de 50 empleados — las organizaciones que superen este umbral durante el año natural deben implantar su canal interno sin demora. Las entidades del sector de los servicios financieros, incluidas las entidades de crédito, las empresas de inversión y las entidades aseguradoras supervisadas por el Banco de España y la Comisión Nacional del Mercado de Valores (CNMV), deben implantar un canal conforme con independencia del número de empleados, conforme al Artículo 10 de la Ley 2/2023.
El protocolo es obligatorio para todas las entidades del sector público en España con independencia de su tamaño — ayuntamientos, diputaciones provinciales, administraciones autonómicas, organismos públicos estatales, universidades públicas y empresas públicas deben implantar canales internos de información conformes según el Artículo 10.1 de la Ley 2/2023.
El Protocolo del Canal de Denuncias es necesario cuando una organización realiza una auditoría interna o una revisión de cumplimiento normativo y detecta la ausencia de un mecanismo formal de comunicación de infracciones. Los equipos jurídicos y de cumplimiento deben asesorar a los consejos de administración y a la alta dirección de que la falta de implantación de un canal conforme expone a la organización a sanciones administrativas de hasta 1.000.000 € por infracciones graves conforme al Artículo 63 de la Ley 2/2023.
El protocolo es también necesario cuando una organización dispone de un mecanismo existente de sugerencias anónimas o de reclamaciones, pero necesita actualizarlo para cumplir los requisitos procedimentales de la Ley 2/2023 — en particular, la obligación de acuse de recibo en siete días, el requisito de retroalimentación en tres meses, el procedimiento de gestión de comunicaciones anónimas y el nombramiento de un responsable del sistema.
Las pequeñas empresas del sector privado de entre 50 y 249 empleados pueden compartir un canal de denuncias común con otras empresas del mismo grupo conforme al Artículo 5.2 de la Ley 2/2023, siempre que el canal compartido cumpla todos los requisitos procedimentales — el protocolo documenta este acuerdo y define las responsabilidades de cada entidad participante.
El protocolo es necesario siempre que un grupo multinacional establezca operaciones en España — la filial española con 50 o más empleados necesita su propio canal conforme en español, aunque el grupo matriz opere un canal de grupo, salvo que dicho canal cumpla todos los requisitos de la Ley 2/2023 y sea accesible para los trabajadores españoles.
Qué incluir en tu Protocolo del Canal Interno de Información (Canal de Denuncias)
Un Protocolo del Canal de Denuncias válido en España conforme a la Ley 2/2023, de 20 de febrero, debe contener los siguientes elementos esenciales para cumplir los requisitos legales y proteger a la organización frente a sanciones de la Autoridad Independiente de Protección del Informante (A.A.I.).
Ámbito de las conductas comunicables: Una definición clara de los tipos de infracciones que pueden comunicarse a través del canal — infracciones del derecho de la UE en las materias del Anexo de la Directiva 2019/1937, infracciones del derecho penal español, infracciones administrativas graves y muy graves, e incumplimientos de las políticas internas de la organización. El protocolo debe especificar que las comunicaciones sobre incumplimientos menores de políticas internas que no alcancen el nivel de aplicación de la Ley 2/2023 se tramitarán a través de los cauces disciplinarios ordinarios de recursos humanos, y no a través del procedimiento protegido de denuncia.
Formatos y acceso al canal: Descripción de los formatos técnicos específicos a través de los cuales pueden presentarse las comunicaciones — plataforma web, dirección de correo electrónico exclusiva, línea telefónica, buzón físico o reunión presencial con el responsable del sistema. El Artículo 6 de la Ley 2/2023 exige que el canal permita presentaciones escritas y orales y que las comunicaciones orales sean transcritas o grabadas con el consentimiento del informante. El canal debe ser accesible para trabajadores, ex trabajadores, candidatos a empleo, contratistas, proveedores, socios y administradores.
Responsable del Sistema designado: Identificación de la persona u órgano designado como responsable del sistema interno de información — un oficial de cumplimiento normativo interno, un despacho de abogados externo, una comisión de auditoría del consejo o un proveedor externo de servicios. El responsable debe ser independiente y tener autoridad para realizar o encargar investigaciones. El Artículo 8 de la Ley 2/2023 permite designar a un proveedor externo, cuyos datos deben figurar en el protocolo.
Plazos de acuse de recibo e investigación: El protocolo debe indicar los plazos legales — acuse de recibo en el plazo de 7 días naturales desde la presentación (Artículo 9.1 de la Ley 2/2023) y retroalimentación sobre las actuaciones adoptadas en el plazo de 3 meses desde el acuse de recibo (Artículo 9.2). El procedimiento de investigación debe describirse — cómo se clasifican las comunicaciones, qué revisión preliminar se realiza, cuándo se inicia la investigación formal, cómo se notifica al afectado sin comprometer la confidencialidad del informante, y cómo se alcanzan y documentan las conclusiones.
Confidencialidad y anonimato: Una declaración de que la identidad del informante no se revelará sin su consentimiento expreso salvo que una autoridad competente lo exija legalmente — Artículo 32 de la Ley 2/2023. Debe describirse el procedimiento de tramitación de las comunicaciones anónimas — el Artículo 24 obliga a la organización a tramitarlas con diligencia. El protocolo debe especificar los controles de acceso que limitan el conocimiento de la identidad del informante al responsable del sistema y al equipo de investigación.
Prohibición de represalias: Una declaración expresa de que ningún informante, facilitador ni tercero vinculado al mismo sufrirá represalias por comunicaciones realizadas de buena fe, conforme a los artículos 36 a 40 de la Ley 2/2023. El protocolo debe identificar las vías de recurso disponibles para los informantes que sufran represalias — el derecho a presentar una denuncia ante la A.A.I., el acceso a los Juzgados de lo Social para reclamaciones por represalias laborales y el ejercicio de acciones civiles de daños y perjuicios ante los tribunales ordinarios.
Protección de datos: Una cláusula informativa conforme al RGPD sobre el tratamiento de datos personales a través del canal — la base jurídica (cumplimiento de una obligación legal conforme al Artículo 6.1(c) RGPD en relación con la Ley 2/2023), los plazos de conservación conforme al Artículo 33 de la Ley 2/2023 (no más de 10 años desde el cierre de la investigación), las categorías de datos tratados, y los derechos de los interesados conforme a la LOPDGDD y el RGPD, ejercitables ante la Agencia Española de Protección de Datos (AEPD).
Relación con los canales externos: El protocolo debe explicar que los informantes pueden acudir en cualquier momento a los canales externos — directamente a la A.A.I. a nivel estatal, a los equivalentes autonómicos o a las instituciones de la UE — sin obligación previa de utilizar el canal interno. El Artículo 7 de la Ley 2/2023 preserva este derecho y la organización no puede exigir el agotamiento de la vía interna antes de realizar una comunicación externa.
Documentación y auditoría: Una descripción de cómo se documentan y conservan de forma segura las comunicaciones, los registros de investigación, las conclusiones y las actuaciones adoptadas, y cómo se audita periódicamente el sistema para verificar su cumplimiento. La Inspección de Trabajo y Seguridad Social (ITSS) y la A.A.I. pueden solicitar acceso a estos registros durante sus actuaciones inspectoras.
Forms-legal.com proporciona esta plantilla de Protocolo del Canal de Denuncias España como base práctica. Cada protocolo debe ser revisado por un abogado especialista en compliance o por el delegado de protección de datos (DPD) para confirmar que la implantación del canal — técnica, procedimental y organizativa — satisface todos los requisitos de la Ley 2/2023 y del RGPD para el sector y tamaño específicos de la organización.
Autoridades españolas competentes: Autoridad Independiente de Protección del Informante (A.A.I.) — supervisa los canales internos y protege a los informantes. Agencia Española de Protección de Datos (AEPD) — supervisa el tratamiento de datos en los canales. Inspección de Trabajo y Seguridad Social (ITSS) — verifica el cumplimiento en sus actuaciones inspectoras. Comisión Nacional del Mercado de Valores (CNMV) y Banco de España — supervisan los requisitos del canal en el sector financiero. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.
Citar esta página
CC BY 4.0 · libre de citarReferencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:
Forms Legal. (2026). Protocolo del Canal Interno de Información (Canal de Denuncias) (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana
"Protocolo del Canal Interno de Información (Canal de Denuncias) (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana.
Forms Legal. "Protocolo del Canal Interno de Información (Canal de Denuncias) (España)." Forms Legal, 2026. https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana.
@misc{formslegal-protocolo-canal-denuncias-espana,
author = {{Forms Legal}},
title = {Protocolo del Canal Interno de Información (Canal de Denuncias) (España)},
year = {2026},
howpublished = {\url{https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana}},
note = {Free legal document template}
}{{cite web |title=Protocolo del Canal Interno de Información (Canal de Denuncias) (España) |website=Forms Legal |publisher=Forms Legal |date=2026 |url=https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana}}TY - ELEC T1 - Protocolo del Canal Interno de Información (Canal de Denuncias) (España) T2 - Forms Legal PB - Forms Legal PY - 2026 UR - https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana ER -
Preguntas Frecuentes
Conforme al artículo 10 de la Ley 2/2023, de 20 de febrero, la obligación de implantar un canal interno de información se aplica a: (1) entidades del sector privado con 50 o más trabajadores — el umbral se calcula sobre la plantilla media de los 12 meses anteriores; (2) todas las entidades del sector público con independencia de su plantilla, incluyendo la Administración General del Estado, las administraciones autonómicas, las entidades locales, las universidades públicas, las entidades de derecho público, las sociedades mercantiles estatales y las fundaciones públicas; (3) entidades privadas del sector de los servicios financieros — entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de inversión, gestoras de fondos de inversión, entidades aseguradoras — con independencia del número de empleados; y (4) partidos políticos, sindicatos, organizaciones empresariales y fundaciones que reciban fondos públicos por encima de determinado umbral. Los municipios de menos de 10.000 habitantes pueden compartir canal con municipios vecinos. Las empresas privadas de 50 a 249 empleados pueden compartir canal dentro del mismo grupo empresarial conforme al artículo 5.2 de la Ley 2/2023, siempre que el canal compartido cumpla todos los requisitos legales y sea accesible para los empleados de cada entidad participante.
El artículo 9 de la Ley 2/2023 establece dos plazos obligatorios de respuesta. En primer lugar, el responsable del sistema interno de información debe acusar recibo de la comunicación al informante en el plazo de 7 días naturales desde su presentación — el acuse debe hacerse de forma que el informante pueda acceder a él preservando su confidencialidad. En segundo lugar, el responsable debe informar al comunicante de las actuaciones adoptadas en respuesta a la comunicación en el plazo de 3 meses desde el acuse de recibo — esta información debe describir la valoración preliminar, las investigaciones realizadas y el resultado o estado de la comunicación. Estos plazos se aplican tanto a las comunicaciones identificadas como a las anónimas — para las comunicaciones anónimas, la información puede facilitarse a través del mismo mecanismo de canal anónimo utilizado para la presentación. El incumplimiento de estos plazos constituye una infracción grave conforme al artículo 63.2 de la Ley 2/2023, sancionable con multas de hasta 600.000 € para las personas jurídicas, y puede dar lugar a la actuación supervisora de la Autoridad Independiente de Protección del Informante (A.A.I.).
La Ley 2/2023 otorga a los informantes una protección integral frente a represalias en su Capítulo VI. El artículo 36 prohíbe cualquier medida adversa contra el informante — despido, acción disciplinaria, degradación profesional, acoso, discriminación, exclusión de la promoción, derivación a servicios psiquiátricos o médicos, inclusión en listas negras, resolución anticipada de contratos de servicios, pérdida de oportunidades de negocio y cualquier otra medida que cause perjuicio al comunicante. La protección se extiende a los facilitadores (personas que asistan al informante), a los informantes anónimos si son posteriormente identificados, a los compañeros o familiares del informante y a las personas jurídicas vinculadas al mismo. La inversión de la carga de la prueba del artículo 39 implica que el empleador debe demostrar que cualquier medida adversa adoptada contra el informante fue totalmente ajena a la comunicación. Los informantes que sufran represalias pueden presentar una denuncia ante la A.A.I., interponer una demanda por despido improcedente ante el Juzgado de lo Social o reclamar daños y perjuicios ante los tribunales ordinarios. El artículo 38 dispone que los informantes no pueden ser considerados responsables por incumplir obligaciones de confidencialidad — como las cláusulas de confidencialidad laboral — cuando la divulgación era necesaria para realizar una comunicación de buena fe conforme a la Ley 2/2023, siempre que el informante tuviera motivos razonables para creer que la información era veraz y necesaria.
Sí. El artículo 24 de la Ley 2/2023 obliga expresamente a las organizaciones a tramitar las comunicaciones anónimas — el canal interno debe permitir técnicamente la presentación anónima y la organización no puede negarse a investigar una comunicación únicamente porque el informante no se haya identificado. El canal debe estar diseñado de modo que la organización no pueda identificar al informante a partir de los metadatos técnicos, salvo que el propio informante revele voluntariamente su identidad. No obstante, si una comunicación anónima contiene información insuficiente para investigar la infracción alegada, el responsable del sistema puede cerrar la comunicación tras una revisión preliminar sin poder solicitar aclaraciones. Si el informante se identifica posteriormente, las protecciones completas de la Ley 2/2023 se aplican con carácter retroactivo desde la fecha de la comunicación original. La buena fe se presume en las comunicaciones anónimas, salvo que existan pruebas claras de que la comunicación se realizó con intención maliciosa de perjudicar a una persona inocente — las denuncias falsas maliciosas pueden exponer al informante a responsabilidad penal por denuncia falsa conforme al Código Penal.
El Capítulo XI de la Ley 2/2023 establece un régimen sancionador graduado. Las infracciones muy graves — incluyendo las represalias contra el informante, la obstaculización deliberada de una comunicación, la vulneración de la confidencialidad de la identidad del informante sin justificación legal y el incumplimiento de la obligación de implantar un canal interno conforme — conllevan multas de 601.000 a 1.000.000 € para las personas jurídicas y de 30.001 a 300.000 € para las personas físicas. Las infracciones graves — incluyendo la falta de designación de responsable del sistema, el incumplimiento del plazo de acuse de recibo de 7 días, el incumplimiento del plazo de retroalimentación de 3 meses y el incumplimiento de la obligación de tramitar las comunicaciones anónimas — conllevan multas de 100.001 a 600.000 € para las personas jurídicas. Las infracciones leves conllevan multas de hasta 100.000 €. Los funcionarios públicos y los administradores de empresas pueden ser objeto de sanciones personales. La Autoridad Independiente de Protección del Informante (A.A.I.) puede también publicar la identidad de las entidades sancionadas, lo que puede causar un daño reputacional significativo con independencia de la sanción económica.
El canal de denuncias trata datos personales y debe cumplir el Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679 — y la Ley Orgánica 3/2018 (LOPDGDD). La base jurídica para el tratamiento de datos a través del canal es el cumplimiento de una obligación legal conforme al artículo 6.1(c) RGPD (la obligación impuesta por la Ley 2/2023) y, cuando surjan categorías especiales de datos (datos de salud, datos penales), el artículo 9.2(b) RGPD. La Agencia Española de Protección de Datos (AEPD) publicó en 2023 orientaciones que confirman que el tratamiento de datos en el canal de denuncias se enmarca en las disposiciones sobre tratamiento de datos laborales del artículo 88 RGPD y de los artículos 87 a 91 LOPDGDD. El artículo 33 de la Ley 2/2023 establece un plazo de conservación de no más de 10 años desde el cierre de la investigación, aunque los principios de minimización de datos del artículo 5.1(e) RGPD exigen la supresión en cuanto los datos dejen de ser necesarios. La organización debe incluir el canal de denuncias en su Registro de Actividades de Tratamiento exigido por el artículo 30 RGPD y facilitar información sobre privacidad a todas las personas cuyos datos puedan ser tratados — tanto los informantes como las personas objeto de las comunicaciones.
El artículo 8 de la Ley 2/2023 permite que el responsable del sistema interno de información sea una persona física empleada de la organización, un órgano colegiado interno (como una comisión de auditoría, una comisión de cumplimiento o el consejo de administración) o un tercero externo (como una empresa especializada en compliance, un despacho de abogados externo o un defensor del pueblo independiente). Los requisitos fundamentales son la independencia — el responsable no debe tener conflicto de intereses con la conducta comunicada — y la capacidad profesional para realizar investigaciones con confidencialidad y objetividad. Muchas empresas españolas de entre 50 y 249 empleados delegan la gestión del canal en su asesoría jurídica externa o en empresas externas de compliance. Las empresas con 250 o más empleados suelen designar a un oficial de cumplimiento normativo interno como responsable del sistema. La comisión de auditoría de las sociedades cotizadas supervisadas por la Comisión Nacional del Mercado de Valores (CNMV) debe supervisar el canal de información y control interno conforme a la Ley del Mercado de Valores (LMV). El protocolo debe identificar al responsable del sistema por nombre o cargo y facilitar los datos de contacto para la presentación de comunicaciones.
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas entró en vigor el 13 de marzo de 2023 — 20 días después de su publicación en el Boletín Oficial del Estado (BOE) el 21 de febrero de 2023. La ley transpuso la Directiva (UE) 2019/1937 al ordenamiento jurídico español, cuyo plazo de transposición venció el 17 de diciembre de 2021. España incurrió en un retraso significativo en la transposición de la Directiva — la Comisión Europea inició un procedimiento de infracción contra España ante el Tribunal de Justicia de la Unión Europea (TJUE) por este retraso. La Disposición Final Segunda de la Ley 2/2023 estableció un período transitorio para las entidades del sector privado con entre 50 y 249 empleados — estas empresas de menor tamaño disponían de 1 año desde la entrada en vigor (hasta el 13 de marzo de 2024) para implantar sus canales internos. Las entidades con 250 o más empleados y todas las entidades del sector público debían cumplir la obligación desde la fecha de entrada en vigor, el 13 de marzo de 2023. La Autoridad Independiente de Protección del Informante (A.A.I.) fue creada por la Ley 2/2023 y su procedimiento de nombramiento de director se inició poco después de la entrada en vigor.
Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo
¿Encontró un error? AvísenosDocumentos Relacionados
También puede encontrar útiles estos documentos:
Protocolo de Igualdad Retributiva España
Protocolo de Igualdad Retributiva para España — conforme al Real Decreto 902/2020, de 13 de octubre, artículo 3, que establece procedimientos de auditoría salarial transparentes, criterios de valoración de puestos de trabajo y medidas correctoras de la brecha retributiva para alcanzar la igualdad de remuneración por trabajos de igual valor.
Protocolo de Uso de Dispositivos Digitales España
Protocolo de Uso de Dispositivos Digitales para España — conforme al artículo 87 de la Ley Orgánica 3/2018 (LOPDGDD), que establece las normas del empleador sobre el uso aceptable de ordenadores corporativos, teléfonos móviles, tabletas y acceso a internet, junto con los procedimientos de supervisión de empleados compatibles con la normativa española de protección de datos y derecho laboral.
Registro de Actividades de Tratamiento — España
Registro de Actividades de Tratamiento (RAT) para España, regulado por el artículo 30 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), que documenta todas las operaciones de tratamiento de datos personales realizadas por una organización como responsable o encargado del tratamiento, con el contenido obligatorio especificado por la Agencia Española de Protección de Datos.
Registro de Control de Acceso (España)
Un Registro de Control de Acceso para España — que regula el registro de entradas y salidas en el lugar de trabajo conforme al artículo 89 de la Ley Orgánica 3/2018 (LOPDGDD), el Real Decreto 488/1997 y el artículo 6 del RGPD — documentando quién accede a las instalaciones o sistemas de la empresa, cuándo y con qué autorización.
Contrato de Trabajo Indefinido España
Contrato de Trabajo Indefinido para España — conforme al Estatuto de los Trabajadores (RDL 2/2015), artículos 15 y 49, estableciendo una relación laboral por tiempo indefinido con alta en la Tesorería General de la Seguridad Social (TGSS).