¿Qué organizaciones están obligadas a implantar un canal de denuncias en España conforme a la Ley 2/2023?

Conforme al artículo 10 de la Ley 2/2023, de 20 de febrero, la obligación de implantar un canal interno de información se aplica a: (1) entidades del sector privado con 50 o más trabajadores — el umbral se calcula sobre la plantilla media de los 12 meses anteriores; (2) todas las entidades del sector público con independencia de su plantilla, incluyendo la Administración General del Estado, las administraciones autonómicas, las entidades locales, las universidades públicas, las entidades de derecho público, las sociedades mercantiles estatales y las fundaciones públicas; (3) entidades privadas del sector de los servicios financieros — entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de inversión, gestoras de fondos de inversión, entidades aseguradoras — con independencia del número de empleados; y (4) partidos políticos, sindicatos, organizaciones empresariales y fundaciones que reciban fondos públicos por encima de determinado umbral. Los municipios de menos de 10.000 habitantes pueden compartir canal con municipios vecinos. Las empresas privadas de 50 a 249 empleados pueden compartir canal dentro del mismo grupo empresarial conforme al artículo 5.2 de la Ley 2/2023, siempre que el canal compartido cumpla todos los requisitos legales y sea accesible para los empleados de cada entidad participante.

¿Cuál es el plazo para acusar recibo de una comunicación en el canal de denuncias en España?

El artículo 9 de la Ley 2/2023 establece dos plazos obligatorios de respuesta. En primer lugar, el responsable del sistema interno de información debe acusar recibo de la comunicación al informante en el plazo de 7 días naturales desde su presentación — el acuse debe hacerse de forma que el informante pueda acceder a él preservando su confidencialidad. En segundo lugar, el responsable debe informar al comunicante de las actuaciones adoptadas en respuesta a la comunicación en el plazo de 3 meses desde el acuse de recibo — esta información debe describir la valoración preliminar, las investigaciones realizadas y el resultado o estado de la comunicación. Estos plazos se aplican tanto a las comunicaciones identificadas como a las anónimas — para las comunicaciones anónimas, la información puede facilitarse a través del mismo mecanismo de canal anónimo utilizado para la presentación. El incumplimiento de estos plazos constituye una infracción grave conforme al artículo 63.2 de la Ley 2/2023, sancionable con multas de hasta 600.000 € para las personas jurídicas, y puede dar lugar a la actuación supervisora de la Autoridad Independiente de Protección del Informante (A.A.I.).

¿Qué protecciones otorga la Ley 2/2023 a los informantes en España?

La Ley 2/2023 otorga a los informantes una protección integral frente a represalias en su Capítulo VI. El artículo 36 prohíbe cualquier medida adversa contra el informante — despido, acción disciplinaria, degradación profesional, acoso, discriminación, exclusión de la promoción, derivación a servicios psiquiátricos o médicos, inclusión en listas negras, resolución anticipada de contratos de servicios, pérdida de oportunidades de negocio y cualquier otra medida que cause perjuicio al comunicante. La protección se extiende a los facilitadores (personas que asistan al informante), a los informantes anónimos si son posteriormente identificados, a los compañeros o familiares del informante y a las personas jurídicas vinculadas al mismo. La inversión de la carga de la prueba del artículo 39 implica que el empleador debe demostrar que cualquier medida adversa adoptada contra el informante fue totalmente ajena a la comunicación. Los informantes que sufran represalias pueden presentar una denuncia ante la A.A.I., interponer una demanda por despido improcedente ante el Juzgado de lo Social o reclamar daños y perjuicios ante los tribunales ordinarios. El artículo 38 dispone que los informantes no pueden ser considerados responsables por incumplir obligaciones de confidencialidad — como las cláusulas de confidencialidad laboral — cuando la divulgación era necesaria para realizar una comunicación de buena fe conforme a la Ley 2/2023, siempre que el informante tuviera motivos razonables para creer que la información era veraz y necesaria.

¿Puede realizarse una comunicación anónima en el canal de denuncias en España?

Sí. El artículo 24 de la Ley 2/2023 obliga expresamente a las organizaciones a tramitar las comunicaciones anónimas — el canal interno debe permitir técnicamente la presentación anónima y la organización no puede negarse a investigar una comunicación únicamente porque el informante no se haya identificado. El canal debe estar diseñado de modo que la organización no pueda identificar al informante a partir de los metadatos técnicos, salvo que el propio informante revele voluntariamente su identidad. No obstante, si una comunicación anónima contiene información insuficiente para investigar la infracción alegada, el responsable del sistema puede cerrar la comunicación tras una revisión preliminar sin poder solicitar aclaraciones. Si el informante se identifica posteriormente, las protecciones completas de la Ley 2/2023 se aplican con carácter retroactivo desde la fecha de la comunicación original. La buena fe se presume en las comunicaciones anónimas, salvo que existan pruebas claras de que la comunicación se realizó con intención maliciosa de perjudicar a una persona inocente — las denuncias falsas maliciosas pueden exponer al informante a responsabilidad penal por denuncia falsa conforme al Código Penal.

¿Cuáles son las sanciones por no implantar un canal de denuncias en España?

El Capítulo XI de la Ley 2/2023 establece un régimen sancionador graduado. Las infracciones muy graves — incluyendo las represalias contra el informante, la obstaculización deliberada de una comunicación, la vulneración de la confidencialidad de la identidad del informante sin justificación legal y el incumplimiento de la obligación de implantar un canal interno conforme — conllevan multas de 601.000 a 1.000.000 € para las personas jurídicas y de 30.001 a 300.000 € para las personas físicas. Las infracciones graves — incluyendo la falta de designación de responsable del sistema, el incumplimiento del plazo de acuse de recibo de 7 días, el incumplimiento del plazo de retroalimentación de 3 meses y el incumplimiento de la obligación de tramitar las comunicaciones anónimas — conllevan multas de 100.001 a 600.000 € para las personas jurídicas. Las infracciones leves conllevan multas de hasta 100.000 €. Los funcionarios públicos y los administradores de empresas pueden ser objeto de sanciones personales. La Autoridad Independiente de Protección del Informante (A.A.I.) puede también publicar la identidad de las entidades sancionadas, lo que puede causar un daño reputacional significativo con independencia de la sanción económica.

¿Cómo interactúa la normativa de protección de datos con las obligaciones del canal de denuncias en España?

El canal de denuncias trata datos personales y debe cumplir el Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679 — y la Ley Orgánica 3/2018 (LOPDGDD). La base jurídica para el tratamiento de datos a través del canal es el cumplimiento de una obligación legal conforme al artículo 6.1(c) RGPD (la obligación impuesta por la Ley 2/2023) y, cuando surjan categorías especiales de datos (datos de salud, datos penales), el artículo 9.2(b) RGPD. La Agencia Española de Protección de Datos (AEPD) publicó en 2023 orientaciones que confirman que el tratamiento de datos en el canal de denuncias se enmarca en las disposiciones sobre tratamiento de datos laborales del artículo 88 RGPD y de los artículos 87 a 91 LOPDGDD. El artículo 33 de la Ley 2/2023 establece un plazo de conservación de no más de 10 años desde el cierre de la investigación, aunque los principios de minimización de datos del artículo 5.1(e) RGPD exigen la supresión en cuanto los datos dejen de ser necesarios. La organización debe incluir el canal de denuncias en su Registro de Actividades de Tratamiento exigido por el artículo 30 RGPD y facilitar información sobre privacidad a todas las personas cuyos datos puedan ser tratados — tanto los informantes como las personas objeto de las comunicaciones.

¿Quién debe gestionar el canal de denuncias en una empresa española?

El artículo 8 de la Ley 2/2023 permite que el responsable del sistema interno de información sea una persona física empleada de la organización, un órgano colegiado interno (como una comisión de auditoría, una comisión de cumplimiento o el consejo de administración) o un tercero externo (como una empresa especializada en compliance, un despacho de abogados externo o un defensor del pueblo independiente). Los requisitos fundamentales son la independencia — el responsable no debe tener conflicto de intereses con la conducta comunicada — y la capacidad profesional para realizar investigaciones con confidencialidad y objetividad. Muchas empresas españolas de entre 50 y 249 empleados delegan la gestión del canal en su asesoría jurídica externa o en empresas externas de compliance. Las empresas con 250 o más empleados suelen designar a un oficial de cumplimiento normativo interno como responsable del sistema. La comisión de auditoría de las sociedades cotizadas supervisadas por la Comisión Nacional del Mercado de Valores (CNMV) debe supervisar el canal de información y control interno conforme a la Ley del Mercado de Valores (LMV). El protocolo debe identificar al responsable del sistema por nombre o cargo y facilitar los datos de contacto para la presentación de comunicaciones.

¿Cuándo entró en vigor la Ley 2/2023 de protección de informantes en España?

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas entró en vigor el 13 de marzo de 2023 — 20 días después de su publicación en el Boletín Oficial del Estado (BOE) el 21 de febrero de 2023. La ley transpuso la Directiva (UE) 2019/1937 al ordenamiento jurídico español, cuyo plazo de transposición venció el 17 de diciembre de 2021. España incurrió en un retraso significativo en la transposición de la Directiva — la Comisión Europea inició un procedimiento de infracción contra España ante el Tribunal de Justicia de la Unión Europea (TJUE) por este retraso. La Disposición Final Segunda de la Ley 2/2023 estableció un período transitorio para las entidades del sector privado con entre 50 y 249 empleados — estas empresas de menor tamaño disponían de 1 año desde la entrada en vigor (hasta el 13 de marzo de 2024) para implantar sus canales internos. Las entidades con 250 o más empleados y todas las entidades del sector público debían cumplir la obligación desde la fecha de entrada en vigor, el 13 de marzo de 2023. La Autoridad Independiente de Protección del Informante (A.A.I.) fue creada por la Ley 2/2023 y su procedimiento de nombramiento de director se inició poco después de la entrada en vigor.

Protocolo del Canal Interno de Información (Canal de Denuncias)

Whistleblowing Channel Protocol Spain (Protocolo del Canal de Denuncias)

PROTOCOLO DEL CANAL INTERNO DE INFORMACIÓN (CANAL DE DENUNCIAS)

Whistleblowing Channel Protocol

Pursuant to Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas

1. ORGANISATION DETAILS

Organisation: [Organisation Name]

NIF/CIF: [Organisation NIF]

Registered Address: [Organisation Address]

Legal Representative: [Legal Representative]

Principal Activity / Sector: [Sector Activity]

2. PURPOSE AND LEGAL BASIS

This Protocol establishes the internal reporting channel (canal interno de información) of [Organisation Name] in compliance with Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, transposing Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019.

The channel enables employees, former employees, job applicants, contractors, suppliers, shareholders, and directors to report, confidentially and without fear of retaliation, breaches of EU law and Spanish national law falling within the scope defined in Article 2 of Ley 2/2023 and this Protocol.

3. SCOPE OF REPORTABLE CONDUCT

Reports may be submitted for: (a) breaches of EU law in areas covered by the Annex to Directive 2019/1937 — financial services, anti-money laundering, product safety, environmental protection, food safety, public health, consumer protection, data protection, network security, competition law, and corporate taxation; (b) criminal offences and serious or very serious administrative infractions under Spanish law; (c) breaches of [Organisation Name]'s internal policies as specified in the applicable employee handbook or code of conduct, to the extent they also constitute legal violations.

Principal sector regulations applicable to [Organisation Name] in the sector of [Sector Activity] are also covered by this channel to the extent they fall within the scope of Ley 2/2023.

4. RESPONSIBLE PERSON (RESPONSABLE DEL SISTEMA INTERNO DE INFORMACIÓN)

The channel manager designated by [Organisation Name] pursuant to Article 8 of Ley 2/2023 is:

Name / Body: [Channel Manager]

Manager Type: [Channel Manager Type]

Contact for Submissions: [Channel Manager Contact]

The channel manager acts independently and has the authority to conduct or commission investigations without interference from the organisation's management or board, except where the board itself is the designated manager.

5. HOW TO SUBMIT A REPORT

Reports may be submitted through the following formats: [Reporting Formats]

Online platform (if available): [Reporting Web Address]

Anonymous reports accepted: [Anonymous Reports]. Pursuant to Article 24 of Ley 2/2023, anonymous reports are processed with the same diligence as identified reports.

Oral reports will be transcribed or recorded (with the reporter's consent) by the channel manager and offered to the reporter for verification and correction.

6. PROCESSING TIMELINE

Acknowledgement of receipt: [Acknowledgement Deadline] of submission — as required by Article 9.1 of Ley 2/2023.

Feedback on actions taken: [Feedback Deadline] from acknowledgement — as required by Article 9.2 of Ley 2/2023.

Investigation body: [Investigation Body]

The channel manager will triage each report, carry out a preliminary review to assess admissibility, notify the subject of the report where legally required without compromising the reporter's confidentiality, and prepare a written conclusion with recommended remedial action.

7. CONFIDENTIALITY AND ANONYMITY

The identity of the reporting person shall not be disclosed to any person outside the channel manager and investigation team without the reporter's express prior consent, except where disclosure is required by a competent authority pursuant to Article 32 of Ley 2/2023.

Access to the reporting system is restricted through technical and organisational measures. All persons with access to report data are bound by confidentiality obligations that survive the end of their relationship with [Organisation Name].

8. PROHIBITION OF RETALIATION

[Organisation Name] strictly prohibits any form of retaliation against reporting persons, facilitators, or third parties connected to the reporter, in accordance with Articles 36 through 40 of Ley 2/2023. Prohibited retaliatory measures include — without limitation — dismissal, disciplinary action, demotion, harassment, discrimination, denial of promotion, early termination of contracts, and blacklisting.

Any employee or manager who retaliates against a reporting person will be subject to disciplinary action and may face criminal or civil liability. Reporting persons who suffer retaliation may file a complaint with the Autoridad Independiente de Protección del Informante (A.A.I.) and may bring claims before the Juzgado de lo Social or ordinary courts.

9. DATA PROTECTION

Personal data processed through this channel is managed under the following framework:

Legal basis: Article 6.1(c) RGPD — compliance with a legal obligation (Ley 2/2023) — and, where special categories arise, Article 9.2(b) RGPD.

Data retention: [Retention Period] from the close of the investigation, per Article 33 of Ley 2/2023 and RGPD data minimisation principles.

Data Protection Officer contact: [DPO Contact]

Reporting persons and subjects of reports may exercise their rights (access, rectification, erasure, restriction, objection) through the DPO contact above and, where unresolved, through the Agencia Española de Protección de Datos (AEPD) at aepd.es, pursuant to Ley Orgánica 3/2018 (LOPDGDD).

10. EXTERNAL REPORTING CHANNELS

Reporting persons may, at any time and without prior obligation to use this internal channel, report directly to the Autoridad Independiente de Protección del Informante (A.A.I.) at the state level, to the relevant autonomous community authority, or to competent EU institutions, pursuant to Article 7 of Ley 2/2023.

11. APPROVAL AND ENTRY INTO FORCE

This Protocol was approved in [Approval City] on [Approval Date] and enters into force on [Effective Date].

[Organisation Name]

Represented by: [Legal Representative]

Signature: _________________________ Date: _________________________

Legal Representative

________________

Signature

Mantenido por Vladislav Sergienko, Fundador·Plantilla modificada por última vez: 2026-06-23·Informar de un error

Qué es Protocolo del Canal Interno de Información (Canal de Denuncias)

El Protocolo del Canal Interno de Información es, en España, el documento interno de obligado cumplimiento regulado por Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, que fija los procedimientos y obligaciones aplicables dentro de la organización.

El Canal de Denuncias no es un mero buzón de sugerencias — la Ley 2/2023 impone obligaciones vinculantes sobre cómo se reciben, acusan recibo, investigan y resuelven las comunicaciones. El Artículo 9 de la Ley 2/2023 exige que el responsable del sistema interno de información acuse recibo de las comunicaciones en el plazo de siete días naturales, realice un seguimiento diligente e informe al informante de las actuaciones adoptadas en el plazo de tres meses. Las comunicaciones pueden presentarse de forma anónima — el Artículo 24 de la Ley 2/2023 obliga expresamente a tramitar las comunicaciones anónimas, y el protocolo debe prever su recepción aunque la organización no pueda identificar al comunicante.

La Autoridad Independiente de Protección del Informante (A.A.I.) fue creada por la Ley 2/2023 como autoridad supervisora independiente a nivel estatal, junto con los equivalentes autonómicos de aquellas Comunidades Autónomas que han aprobado legislación propia de transposición. La A.A.I. recibe comunicaciones externas, investiga las vulneraciones de la protección de los informantes y puede imponer sanciones por el incumplimiento de la obligación de implantar canales internos conformes o por conductas represivas contra los informantes, conforme a los artículos 62 a 64 de la Ley 2/2023.

La protección frente a represalias es el eje central de la Ley 2/2023. El Artículo 36 prohíbe cualquier medida adversa — despido, sanción disciplinaria, degradación profesional, acoso, discriminación, trato desfavorable — contra el informante, las personas que le asistan (facilitadores) y los terceros vinculados al informante (familiares, compañeros de trabajo). La inversión de la carga de la prueba del Artículo 39 de la Ley 2/2023 implica que, si el informante sufre una consecuencia adversa, el empleador debe demostrar que la medida adoptada fue adoptada por razones totalmente ajenas a la comunicación realizada, lo que supone una diferencia significativa respecto a los principios generales del Estatuto de los Trabajadores (RDL 2/2015).

El ámbito de aplicación de la Ley 2/2023 comprende las infracciones del derecho de la Unión en las materias del Anexo de la Directiva 2019/1937 — servicios financieros, prevención del blanqueo de capitales, seguridad de los productos, protección del medio ambiente, seguridad alimentaria, salud pública, protección de los consumidores, protección de datos, seguridad de las redes, competencia y fiscalidad de las empresas — así como las infracciones del derecho nacional español, incluyendo delitos penales e infracciones administrativas graves. El protocolo debe definir con claridad el ámbito de las conductas que pueden comunicarse, para que los trabajadores comprendan qué comunicaciones quedan protegidas.

Las obligaciones en materia de protección de datos derivadas del Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679 — y de la Ley Orgánica 3/2018 (LOPDGDD) se aplican a todos los datos personales tratados a través del canal de denuncias. El Artículo 32 de la Ley 2/2023 exige que la identidad del informante, la identidad de cualquier persona mencionada en la comunicación y todos los datos personales relacionados se traten con estricta confidencialidad, siendo accesibles únicamente al responsable del sistema y a las personas directamente implicadas en la investigación. Los datos deben eliminarse una vez cerrada la investigación y transcurrido el plazo de conservación aplicable — en general, no más de 10 años conforme al Artículo 33 de la Ley 2/2023 y al principio de minimización de datos del RGPD.

El Protocolo del Canal de Denuncias España debe comunicarse a todos los trabajadores, proveedores, contratistas y demás terceros relevantes que interactúen con la organización. El Artículo 5.3 de la Ley 2/2023 exige que la existencia y los procedimientos del canal interno sean publicados de forma clara y accesible. La Inspección de Trabajo y Seguridad Social (ITSS) puede verificar el cumplimiento en el curso de sus actuaciones inspectoras, y la A.A.I. puede investigar las denuncias sobre canales internos inadecuados o inexistentes.

Cuándo necesitas Protocolo del Canal Interno de Información (Canal de Denuncias)

El Protocolo del Canal de Denuncias España es obligatorio conforme a la Ley 2/2023, de 20 de febrero, para cualquier empresa del sector privado con 50 o más trabajadores. La obligación nace desde el momento en que se alcanza el umbral de 50 empleados — las organizaciones que superen este umbral durante el año natural deben implantar su canal interno sin demora. Las entidades del sector de los servicios financieros, incluidas las entidades de crédito, las empresas de inversión y las entidades aseguradoras supervisadas por el Banco de España y la Comisión Nacional del Mercado de Valores (CNMV), deben implantar un canal conforme con independencia del número de empleados, conforme al Artículo 10 de la Ley 2/2023.

El protocolo es obligatorio para todas las entidades del sector público en España con independencia de su tamaño — ayuntamientos, diputaciones provinciales, administraciones autonómicas, organismos públicos estatales, universidades públicas y empresas públicas deben implantar canales internos de información conformes según el Artículo 10.1 de la Ley 2/2023.

El Protocolo del Canal de Denuncias es necesario cuando una organización realiza una auditoría interna o una revisión de cumplimiento normativo y detecta la ausencia de un mecanismo formal de comunicación de infracciones. Los equipos jurídicos y de cumplimiento deben asesorar a los consejos de administración y a la alta dirección de que la falta de implantación de un canal conforme expone a la organización a sanciones administrativas de hasta 1.000.000 € por infracciones graves conforme al Artículo 63 de la Ley 2/2023.

El protocolo es también necesario cuando una organización dispone de un mecanismo existente de sugerencias anónimas o de reclamaciones, pero necesita actualizarlo para cumplir los requisitos procedimentales de la Ley 2/2023 — en particular, la obligación de acuse de recibo en siete días, el requisito de retroalimentación en tres meses, el procedimiento de gestión de comunicaciones anónimas y el nombramiento de un responsable del sistema.

Las pequeñas empresas del sector privado de entre 50 y 249 empleados pueden compartir un canal de denuncias común con otras empresas del mismo grupo conforme al Artículo 5.2 de la Ley 2/2023, siempre que el canal compartido cumpla todos los requisitos procedimentales — el protocolo documenta este acuerdo y define las responsabilidades de cada entidad participante.

El protocolo es necesario siempre que un grupo multinacional establezca operaciones en España — la filial española con 50 o más empleados necesita su propio canal conforme en español, aunque el grupo matriz opere un canal de grupo, salvo que dicho canal cumpla todos los requisitos de la Ley 2/2023 y sea accesible para los trabajadores españoles.

Qué incluir en tu Protocolo del Canal Interno de Información (Canal de Denuncias)

Un Protocolo del Canal de Denuncias válido en España conforme a la Ley 2/2023, de 20 de febrero, debe contener los siguientes elementos esenciales para cumplir los requisitos legales y proteger a la organización frente a sanciones de la Autoridad Independiente de Protección del Informante (A.A.I.).

Ámbito de las conductas comunicables: Una definición clara de los tipos de infracciones que pueden comunicarse a través del canal — infracciones del derecho de la UE en las materias del Anexo de la Directiva 2019/1937, infracciones del derecho penal español, infracciones administrativas graves y muy graves, e incumplimientos de las políticas internas de la organización. El protocolo debe especificar que las comunicaciones sobre incumplimientos menores de políticas internas que no alcancen el nivel de aplicación de la Ley 2/2023 se tramitarán a través de los cauces disciplinarios ordinarios de recursos humanos, y no a través del procedimiento protegido de denuncia.

Formatos y acceso al canal: Descripción de los formatos técnicos específicos a través de los cuales pueden presentarse las comunicaciones — plataforma web, dirección de correo electrónico exclusiva, línea telefónica, buzón físico o reunión presencial con el responsable del sistema. El Artículo 6 de la Ley 2/2023 exige que el canal permita presentaciones escritas y orales y que las comunicaciones orales sean transcritas o grabadas con el consentimiento del informante. El canal debe ser accesible para trabajadores, ex trabajadores, candidatos a empleo, contratistas, proveedores, socios y administradores.

Responsable del Sistema designado: Identificación de la persona u órgano designado como responsable del sistema interno de información — un oficial de cumplimiento normativo interno, un despacho de abogados externo, una comisión de auditoría del consejo o un proveedor externo de servicios. El responsable debe ser independiente y tener autoridad para realizar o encargar investigaciones. El Artículo 8 de la Ley 2/2023 permite designar a un proveedor externo, cuyos datos deben figurar en el protocolo.

Plazos de acuse de recibo e investigación: El protocolo debe indicar los plazos legales — acuse de recibo en el plazo de 7 días naturales desde la presentación (Artículo 9.1 de la Ley 2/2023) y retroalimentación sobre las actuaciones adoptadas en el plazo de 3 meses desde el acuse de recibo (Artículo 9.2). El procedimiento de investigación debe describirse — cómo se clasifican las comunicaciones, qué revisión preliminar se realiza, cuándo se inicia la investigación formal, cómo se notifica al afectado sin comprometer la confidencialidad del informante, y cómo se alcanzan y documentan las conclusiones.

Confidencialidad y anonimato: Una declaración de que la identidad del informante no se revelará sin su consentimiento expreso salvo que una autoridad competente lo exija legalmente — Artículo 32 de la Ley 2/2023. Debe describirse el procedimiento de tramitación de las comunicaciones anónimas — el Artículo 24 obliga a la organización a tramitarlas con diligencia. El protocolo debe especificar los controles de acceso que limitan el conocimiento de la identidad del informante al responsable del sistema y al equipo de investigación.

Prohibición de represalias: Una declaración expresa de que ningún informante, facilitador ni tercero vinculado al mismo sufrirá represalias por comunicaciones realizadas de buena fe, conforme a los artículos 36 a 40 de la Ley 2/2023. El protocolo debe identificar las vías de recurso disponibles para los informantes que sufran represalias — el derecho a presentar una denuncia ante la A.A.I., el acceso a los Juzgados de lo Social para reclamaciones por represalias laborales y el ejercicio de acciones civiles de daños y perjuicios ante los tribunales ordinarios.

Protección de datos: Una cláusula informativa conforme al RGPD sobre el tratamiento de datos personales a través del canal — la base jurídica (cumplimiento de una obligación legal conforme al Artículo 6.1(c) RGPD en relación con la Ley 2/2023), los plazos de conservación conforme al Artículo 33 de la Ley 2/2023 (no más de 10 años desde el cierre de la investigación), las categorías de datos tratados, y los derechos de los interesados conforme a la LOPDGDD y el RGPD, ejercitables ante la Agencia Española de Protección de Datos (AEPD).

Relación con los canales externos: El protocolo debe explicar que los informantes pueden acudir en cualquier momento a los canales externos — directamente a la A.A.I. a nivel estatal, a los equivalentes autonómicos o a las instituciones de la UE — sin obligación previa de utilizar el canal interno. El Artículo 7 de la Ley 2/2023 preserva este derecho y la organización no puede exigir el agotamiento de la vía interna antes de realizar una comunicación externa.

Documentación y auditoría: Una descripción de cómo se documentan y conservan de forma segura las comunicaciones, los registros de investigación, las conclusiones y las actuaciones adoptadas, y cómo se audita periódicamente el sistema para verificar su cumplimiento. La Inspección de Trabajo y Seguridad Social (ITSS) y la A.A.I. pueden solicitar acceso a estos registros durante sus actuaciones inspectoras.

Forms-legal.com proporciona esta plantilla de Protocolo del Canal de Denuncias España como base práctica. Cada protocolo debe ser revisado por un abogado especialista en compliance o por el delegado de protección de datos (DPD) para confirmar que la implantación del canal — técnica, procedimental y organizativa — satisface todos los requisitos de la Ley 2/2023 y del RGPD para el sector y tamaño específicos de la organización.

Autoridades españolas competentes: Autoridad Independiente de Protección del Informante (A.A.I.) — supervisa los canales internos y protege a los informantes. Agencia Española de Protección de Datos (AEPD) — supervisa el tratamiento de datos en los canales. Inspección de Trabajo y Seguridad Social (ITSS) — verifica el cumplimiento en sus actuaciones inspectoras. Comisión Nacional del Mercado de Valores (CNMV) y Banco de España — supervisan los requisitos del canal en el sector financiero. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.

Citar esta página

Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:

APA

Forms Legal. (2026). Protocolo del Canal Interno de Información (Canal de Denuncias) (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana

MLA

"Protocolo del Canal Interno de Información (Canal de Denuncias) (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana.

BibTeX

@misc{formslegal-protocolo-canal-denuncias-espana,
  author       = {{Forms Legal}},
  title        = {Protocolo del Canal Interno de Información (Canal de Denuncias) (España)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana}},
  note         = {Free legal document template}
}

Preguntas Frecuentes

Plantilla con referencias legales — Plantilla modificada por última vez en junio de 2026

Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo

¿Encontró un error? Avísenos

Documentos Relacionados

También puede encontrar útiles estos documentos:

Protocolo de Igualdad Retributiva España

Protocolo de Igualdad Retributiva para España — conforme al Real Decreto 902/2020, de 13 de octubre, artículo 3, que establece procedimientos de auditoría salarial transparentes, criterios de valoración de puestos de trabajo y medidas correctoras de la brecha retributiva para alcanzar la igualdad de remuneración por trabajos de igual valor.

Protocolo de Uso de Dispositivos Digitales España

Protocolo de Uso de Dispositivos Digitales para España — conforme al artículo 87 de la Ley Orgánica 3/2018 (LOPDGDD), que establece las normas del empleador sobre el uso aceptable de ordenadores corporativos, teléfonos móviles, tabletas y acceso a internet, junto con los procedimientos de supervisión de empleados compatibles con la normativa española de protección de datos y derecho laboral.

Registro de Actividades de Tratamiento — España

Registro de Actividades de Tratamiento (RAT) para España, regulado por el artículo 30 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), que documenta todas las operaciones de tratamiento de datos personales realizadas por una organización como responsable o encargado del tratamiento, con el contenido obligatorio especificado por la Agencia Española de Protección de Datos.

Registro de Control de Acceso (España)

Un Registro de Control de Acceso para España — que regula el registro de entradas y salidas en el lugar de trabajo conforme al artículo 89 de la Ley Orgánica 3/2018 (LOPDGDD), el Real Decreto 488/1997 y el artículo 6 del RGPD — documentando quién accede a las instalaciones o sistemas de la empresa, cuándo y con qué autorización.

Contrato de Trabajo Indefinido España

Contrato de Trabajo Indefinido para España — conforme al Estatuto de los Trabajadores (RDL 2/2015), artículos 15 y 49, estableciendo una relación laboral por tiempo indefinido con alta en la Tesorería General de la Seguridad Social (TGSS).