Skip to main content

Protocolo del Canal Interno de Información (Canal de Denuncias)

Datos clave

EspañaEspañaEspañol (ES)GratisPDF & WordActualizado 6 jun 2026
Base legalEspañaNotarización: No requeridaTestigos: 0Partes: 1
Whistleblowing Channel Protocol (Protocolo del Canal de Denuncias)
Whistleblowing Channel Protocol Spain (Protocolo del Canal de Denuncias)

PROTOCOLO DEL CANAL INTERNO DE INFORMACIÓN (CANAL DE DENUNCIAS)

Protocolo del Canal de Denuncias

Conforme a la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas

1. DATOS DE LA ORGANIZACIÓN

Organización: [Organisation Name]

Domicilio registrado: [Organisation Address]

Representante legal: [Legal Representative]

Actividad principal / Sector: [Sector Activity]

2. OBJETO Y BASE LEGAL

El presente Protocolo establece el canal interno de información de [Organisation Name] en cumplimiento de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, que transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019.

El canal permite a empleados, exempleados, candidatos a un puesto de trabajo, contratistas, proveedores, accionistas y administradores informar, con carácter confidencial y sin temor a represalias, sobre infracciones del Derecho de la Unión Europea y del Derecho nacional español comprendidas en el ámbito definido por el artículo 2 de la Ley 2/2023 y por este Protocolo.

3. ÁMBITO DE LAS CONDUCTAS DENUNCIABLES

Podrán presentarse informaciones sobre: (a) infracciones del Derecho de la Unión Europea en las materias comprendidas en el Anexo de la Directiva 2019/1937 — servicios financieros, prevención del blanqueo de capitales, seguridad de los productos, protección del medio ambiente, seguridad alimentaria, salud pública, protección de los consumidores, protección de datos, seguridad de las redes, derecho de la competencia y fiscalidad de las sociedades; (b) delitos penales e infracciones administrativas graves o muy graves conforme al Derecho español; (c) incumplimientos de las políticas internas de [Organisation Name] previstas en el manual del empleado o código de conducta aplicable, en la medida en que constituyan asimismo infracciones normativas.

La normativa sectorial principal aplicable a [Organisation Name] en el sector de [Sector Activity] queda igualmente cubierta por este canal en la medida en que se encuadre en el ámbito de la Ley 2/2023.

4. RESPONSABLE DEL SISTEMA INTERNO DE INFORMACIÓN

El responsable del sistema designado por [Organisation Name] conforme al artículo 8 de la Ley 2/2023 es:

Nombre / Órgano: [Channel Manager]

Tipo de responsable: [Channel Manager Type]

Contacto para presentar informaciones: [Channel Manager Contact]

El responsable del sistema actúa con independencia y está facultado para llevar a cabo o encargar investigaciones sin injerencia de la dirección o del órgano de administración de la organización, salvo que dicho órgano sea el propio responsable designado.

5. CÓMO PRESENTAR UNA INFORMACIÓN

Las informaciones podrán presentarse a través de los siguientes formatos: [Reporting Formats]

Plataforma en línea (si procede): [Reporting Web Address]

Se aceptan denuncias anónimas: [Anonymous Reports]. Conforme al artículo 24 de la Ley 2/2023, las denuncias anónimas se tramitan con la misma diligencia que las identificadas.

Las informaciones verbales serán transcritas o grabadas (con el consentimiento de la persona informante) por el responsable del sistema y se le ofrecerá la posibilidad de verificarlas y corregirlas.

6. PLAZOS DE TRAMITACIÓN

Acuse de recibo: [Acknowledgement Deadline] desde la presentación — conforme exige el artículo 9.1 de la Ley 2/2023.

Respuesta sobre las medidas adoptadas: [Feedback Deadline] desde el acuse de recibo — conforme exige el artículo 9.2 de la Ley 2/2023.

Órgano de investigación: [Investigation Body]

El responsable del sistema realizará un primer análisis de cada información, llevará a cabo un examen preliminar para valorar su admisibilidad, notificará a la persona afectada cuando así lo exija la ley sin comprometer la confidencialidad de la persona informante, y elaborará una conclusión escrita con las medidas correctoras recomendadas.

7. CONFIDENCIALIDAD Y ANONIMATO

La identidad de la persona informante no será revelada a persona alguna ajena al responsable del sistema y al equipo de investigación sin su consentimiento expreso previo, salvo que dicha revelación sea exigida por una autoridad competente conforme al artículo 32 de la Ley 2/2023.

El acceso al sistema de información está restringido mediante medidas técnicas y organizativas. Todas las personas con acceso a los datos de las denuncias quedan sujetas a obligaciones de confidencialidad que subsisten tras la finalización de su relación con [Organisation Name].

8. PROHIBICIÓN DE REPRESALIAS

[Organisation Name] prohíbe estrictamente cualquier forma de represalia contra las personas informantes, los facilitadores o los terceros vinculados a la persona informante, de conformidad con los artículos 36 a 40 de la Ley 2/2023. Entre las medidas de represalia prohibidas se incluyen, sin carácter limitativo: el despido, las medidas disciplinarias, la degradación de categoría, el acoso, la discriminación, la denegación de ascenso, la resolución anticipada de contratos y la inclusión en listas negras.

Todo empleado o directivo que ejerza represalias contra una persona informante quedará sujeto a medidas disciplinarias y podrá incurrir en responsabilidad penal o civil. Las personas informantes que sufran represalias podrán presentar una reclamación ante la Autoridad Independiente de Protección del Informante (A.A.I.) y ejercitar acciones ante el Juzgado de lo Social o los tribunales ordinarios.

9. PROTECCIÓN DE DATOS

Los datos personales tratados a través de este canal se gestionan conforme al siguiente marco:

Base jurídica: artículo 6.1.c) RGPD — cumplimiento de una obligación legal (Ley 2/2023) — y, cuando concurran categorías especiales de datos, artículo 9.2.b) RGPD.

Conservación de datos: [Retention Period] desde el cierre de la investigación, conforme al artículo 33 de la Ley 2/2023 y a los principios de minimización de datos del RGPD.

Contacto del Delegado de Protección de Datos: [DPO Contact]

Las personas informantes y las personas afectadas podrán ejercer sus derechos (acceso, rectificación, supresión, limitación, oposición) a través del contacto del DPD indicado y, en caso de no obtener respuesta satisfactoria, ante la Agencia Española de Protección de Datos (AEPD) en aepd.es, conforme a la Ley Orgánica 3/2018 (LOPDGDD).

10. CANALES EXTERNOS DE INFORMACIÓN

Las personas informantes podrán, en cualquier momento y sin obligación previa de utilizar este canal interno, informar directamente a la Autoridad Independiente de Protección del Informante (A.A.I.) a nivel estatal, a la autoridad autonómica correspondiente, o a las instituciones competentes de la Unión Europea, conforme al artículo 7 de la Ley 2/2023.

11. APROBACIÓN Y ENTRADA EN VIGOR

Este Protocolo fue aprobado en [Approval City] el [Approval Date] y entra en vigor el [Effective Date].

Representado por: [Legal Representative]

Firma: _________________________ Fecha: _________________________

Representante legal

________________

Signature

Mantenido por Vladislav Sergienko, Fundador·Plantilla modificada por última vez: ·Informar de un error

Qué es Protocolo del Canal Interno de Información (Canal de Denuncias)

El Protocolo del Canal Interno de Información es, en España, el documento interno de obligado cumplimiento regulado por Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, que fija los procedimientos y obligaciones aplicables dentro de la organización.

El Canal de Denuncias no es un mero buzón de sugerencias — la Ley 2/2023 impone obligaciones vinculantes sobre cómo se reciben, acusan recibo, investigan y resuelven las comunicaciones. El Artículo 9 de la Ley 2/2023 exige que el responsable del sistema interno de información acuse recibo de las comunicaciones en el plazo de siete días naturales, realice un seguimiento diligente e informe al informante de las actuaciones adoptadas en el plazo de tres meses. Las comunicaciones pueden presentarse de forma anónima — el Artículo 24 de la Ley 2/2023 obliga expresamente a tramitar las comunicaciones anónimas, y el protocolo debe prever su recepción aunque la organización no pueda identificar al comunicante.

La Autoridad Independiente de Protección del Informante (A.A.I.) fue creada por la Ley 2/2023 como autoridad supervisora independiente a nivel estatal, junto con los equivalentes autonómicos de aquellas Comunidades Autónomas que han aprobado legislación propia de transposición. La A.A.I. recibe comunicaciones externas, investiga las vulneraciones de la protección de los informantes y puede imponer sanciones por el incumplimiento de la obligación de implantar canales internos conformes o por conductas represivas contra los informantes, conforme a los artículos 62 a 64 de la Ley 2/2023.

La protección frente a represalias es el eje central de la Ley 2/2023. El Artículo 36 prohíbe cualquier medida adversa — despido, sanción disciplinaria, degradación profesional, acoso, discriminación, trato desfavorable — contra el informante, las personas que le asistan (facilitadores) y los terceros vinculados al informante (familiares, compañeros de trabajo). La inversión de la carga de la prueba del Artículo 39 de la Ley 2/2023 implica que, si el informante sufre una consecuencia adversa, el empleador debe demostrar que la medida adoptada fue adoptada por razones totalmente ajenas a la comunicación realizada, lo que supone una diferencia significativa respecto a los principios generales del Estatuto de los Trabajadores (RDL 2/2015).

El ámbito de aplicación de la Ley 2/2023 comprende las infracciones del derecho de la Unión en las materias del Anexo de la Directiva 2019/1937 — servicios financieros, prevención del blanqueo de capitales, seguridad de los productos, protección del medio ambiente, seguridad alimentaria, salud pública, protección de los consumidores, protección de datos, seguridad de las redes, competencia y fiscalidad de las empresas — así como las infracciones del derecho nacional español, incluyendo delitos penales e infracciones administrativas graves. El protocolo debe definir con claridad el ámbito de las conductas que pueden comunicarse, para que los trabajadores comprendan qué comunicaciones quedan protegidas.

Las obligaciones en materia de protección de datos derivadas del Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679 — y de la Ley Orgánica 3/2018 (LOPDGDD) se aplican a todos los datos personales tratados a través del canal de denuncias. El Artículo 32 de la Ley 2/2023 exige que la identidad del informante, la identidad de cualquier persona mencionada en la comunicación y todos los datos personales relacionados se traten con estricta confidencialidad, siendo accesibles únicamente al responsable del sistema y a las personas directamente implicadas en la investigación. Los datos deben eliminarse una vez cerrada la investigación y transcurrido el plazo de conservación aplicable — en general, no más de 10 años conforme al Artículo 33 de la Ley 2/2023 y al principio de minimización de datos del RGPD.

El Protocolo del Canal de Denuncias España debe comunicarse a todos los trabajadores, proveedores, contratistas y demás terceros relevantes que interactúen con la organización. El Artículo 5.3 de la Ley 2/2023 exige que la existencia y los procedimientos del canal interno sean publicados de forma clara y accesible. La Inspección de Trabajo y Seguridad Social (ITSS) puede verificar el cumplimiento en el curso de sus actuaciones inspectoras, y la A.A.I. puede investigar las denuncias sobre canales internos inadecuados o inexistentes.

Cuándo necesitas Protocolo del Canal Interno de Información (Canal de Denuncias)

El Protocolo del Canal de Denuncias España es obligatorio conforme a la Ley 2/2023, de 20 de febrero, para cualquier empresa del sector privado con 50 o más trabajadores. La obligación nace desde el momento en que se alcanza el umbral de 50 empleados — las organizaciones que superen este umbral durante el año natural deben implantar su canal interno sin demora. Las entidades del sector de los servicios financieros, incluidas las entidades de crédito, las empresas de inversión y las entidades aseguradoras supervisadas por el Banco de España y la Comisión Nacional del Mercado de Valores (CNMV), deben implantar un canal conforme con independencia del número de empleados, conforme al Artículo 10 de la Ley 2/2023.

El protocolo es obligatorio para todas las entidades del sector público en España con independencia de su tamaño — ayuntamientos, diputaciones provinciales, administraciones autonómicas, organismos públicos estatales, universidades públicas y empresas públicas deben implantar canales internos de información conformes según el Artículo 10.1 de la Ley 2/2023.

El Protocolo del Canal de Denuncias es necesario cuando una organización realiza una auditoría interna o una revisión de cumplimiento normativo y detecta la ausencia de un mecanismo formal de comunicación de infracciones. Los equipos jurídicos y de cumplimiento deben asesorar a los consejos de administración y a la alta dirección de que la falta de implantación de un canal conforme expone a la organización a sanciones administrativas de hasta 1.000.000 € por infracciones graves conforme al Artículo 63 de la Ley 2/2023.

El protocolo es también necesario cuando una organización dispone de un mecanismo existente de sugerencias anónimas o de reclamaciones, pero necesita actualizarlo para cumplir los requisitos procedimentales de la Ley 2/2023 — en particular, la obligación de acuse de recibo en siete días, el requisito de retroalimentación en tres meses, el procedimiento de gestión de comunicaciones anónimas y el nombramiento de un responsable del sistema.

Las pequeñas empresas del sector privado de entre 50 y 249 empleados pueden compartir un canal de denuncias común con otras empresas del mismo grupo conforme al Artículo 5.2 de la Ley 2/2023, siempre que el canal compartido cumpla todos los requisitos procedimentales — el protocolo documenta este acuerdo y define las responsabilidades de cada entidad participante.

El protocolo es necesario siempre que un grupo multinacional establezca operaciones en España — la filial española con 50 o más empleados necesita su propio canal conforme en español, aunque el grupo matriz opere un canal de grupo, salvo que dicho canal cumpla todos los requisitos de la Ley 2/2023 y sea accesible para los trabajadores españoles.

Qué incluir en tu Protocolo del Canal Interno de Información (Canal de Denuncias)

Un Protocolo del Canal de Denuncias válido en España conforme a la Ley 2/2023, de 20 de febrero, debe contener los siguientes elementos esenciales para cumplir los requisitos legales y proteger a la organización frente a sanciones de la Autoridad Independiente de Protección del Informante (A.A.I.).

Ámbito de las conductas comunicables: Una definición clara de los tipos de infracciones que pueden comunicarse a través del canal — infracciones del derecho de la UE en las materias del Anexo de la Directiva 2019/1937, infracciones del derecho penal español, infracciones administrativas graves y muy graves, e incumplimientos de las políticas internas de la organización. El protocolo debe especificar que las comunicaciones sobre incumplimientos menores de políticas internas que no alcancen el nivel de aplicación de la Ley 2/2023 se tramitarán a través de los cauces disciplinarios ordinarios de recursos humanos, y no a través del procedimiento protegido de denuncia.

Formatos y acceso al canal: Descripción de los formatos técnicos específicos a través de los cuales pueden presentarse las comunicaciones — plataforma web, dirección de correo electrónico exclusiva, línea telefónica, buzón físico o reunión presencial con el responsable del sistema. El Artículo 6 de la Ley 2/2023 exige que el canal permita presentaciones escritas y orales y que las comunicaciones orales sean transcritas o grabadas con el consentimiento del informante. El canal debe ser accesible para trabajadores, ex trabajadores, candidatos a empleo, contratistas, proveedores, socios y administradores.

Responsable del Sistema designado: Identificación de la persona u órgano designado como responsable del sistema interno de información — un oficial de cumplimiento normativo interno, un despacho de abogados externo, una comisión de auditoría del consejo o un proveedor externo de servicios. El responsable debe ser independiente y tener autoridad para realizar o encargar investigaciones. El Artículo 8 de la Ley 2/2023 permite designar a un proveedor externo, cuyos datos deben figurar en el protocolo.

Plazos de acuse de recibo e investigación: El protocolo debe indicar los plazos legales — acuse de recibo en el plazo de 7 días naturales desde la presentación (Artículo 9.1 de la Ley 2/2023) y retroalimentación sobre las actuaciones adoptadas en el plazo de 3 meses desde el acuse de recibo (Artículo 9.2). El procedimiento de investigación debe describirse — cómo se clasifican las comunicaciones, qué revisión preliminar se realiza, cuándo se inicia la investigación formal, cómo se notifica al afectado sin comprometer la confidencialidad del informante, y cómo se alcanzan y documentan las conclusiones.

Confidencialidad y anonimato: Una declaración de que la identidad del informante no se revelará sin su consentimiento expreso salvo que una autoridad competente lo exija legalmente — Artículo 32 de la Ley 2/2023. Debe describirse el procedimiento de tramitación de las comunicaciones anónimas — el Artículo 24 obliga a la organización a tramitarlas con diligencia. El protocolo debe especificar los controles de acceso que limitan el conocimiento de la identidad del informante al responsable del sistema y al equipo de investigación.

Prohibición de represalias: Una declaración expresa de que ningún informante, facilitador ni tercero vinculado al mismo sufrirá represalias por comunicaciones realizadas de buena fe, conforme a los artículos 36 a 40 de la Ley 2/2023. El protocolo debe identificar las vías de recurso disponibles para los informantes que sufran represalias — el derecho a presentar una denuncia ante la A.A.I., el acceso a los Juzgados de lo Social para reclamaciones por represalias laborales y el ejercicio de acciones civiles de daños y perjuicios ante los tribunales ordinarios.

Protección de datos: Una cláusula informativa conforme al RGPD sobre el tratamiento de datos personales a través del canal — la base jurídica (cumplimiento de una obligación legal conforme al Artículo 6.1(c) RGPD en relación con la Ley 2/2023), los plazos de conservación conforme al Artículo 33 de la Ley 2/2023 (no más de 10 años desde el cierre de la investigación), las categorías de datos tratados, y los derechos de los interesados conforme a la LOPDGDD y el RGPD, ejercitables ante la Agencia Española de Protección de Datos (AEPD).

Relación con los canales externos: El protocolo debe explicar que los informantes pueden acudir en cualquier momento a los canales externos — directamente a la A.A.I. a nivel estatal, a los equivalentes autonómicos o a las instituciones de la UE — sin obligación previa de utilizar el canal interno. El Artículo 7 de la Ley 2/2023 preserva este derecho y la organización no puede exigir el agotamiento de la vía interna antes de realizar una comunicación externa.

Documentación y auditoría: Una descripción de cómo se documentan y conservan de forma segura las comunicaciones, los registros de investigación, las conclusiones y las actuaciones adoptadas, y cómo se audita periódicamente el sistema para verificar su cumplimiento. La Inspección de Trabajo y Seguridad Social (ITSS) y la A.A.I. pueden solicitar acceso a estos registros durante sus actuaciones inspectoras.

Forms-legal.com proporciona esta plantilla de Protocolo del Canal de Denuncias España como base práctica. Cada protocolo debe ser revisado por un abogado especialista en compliance o por el delegado de protección de datos (DPD) para confirmar que la implantación del canal — técnica, procedimental y organizativa — satisface todos los requisitos de la Ley 2/2023 y del RGPD para el sector y tamaño específicos de la organización.

Autoridades españolas competentes: Autoridad Independiente de Protección del Informante (A.A.I.) — supervisa los canales internos y protege a los informantes. Agencia Española de Protección de Datos (AEPD) — supervisa el tratamiento de datos en los canales. Inspección de Trabajo y Seguridad Social (ITSS) — verifica el cumplimiento en sus actuaciones inspectoras. Comisión Nacional del Mercado de Valores (CNMV) y Banco de España — supervisan los requisitos del canal en el sector financiero. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.

Citar esta página

CC BY 4.0 · libre de citar

Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:

APA
Forms Legal. (2026). Protocolo del Canal Interno de Información (Canal de Denuncias) (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana
MLA
"Protocolo del Canal Interno de Información (Canal de Denuncias) (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana.
Chicago
Forms Legal. "Protocolo del Canal Interno de Información (Canal de Denuncias) (España)." Forms Legal, 2026. https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana.
BibTeX
@misc{formslegal-protocolo-canal-denuncias-espana,
  author       = {{Forms Legal}},
  title        = {Protocolo del Canal Interno de Información (Canal de Denuncias) (España)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana}},
  note         = {Free legal document template}
}
Wikipedia
{{cite web |title=Protocolo del Canal Interno de Información (Canal de Denuncias) (España) |website=Forms Legal |publisher=Forms Legal |date=2026 |url=https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana}}
RIS
TY  - ELEC
T1  - Protocolo del Canal Interno de Información (Canal de Denuncias) (España)
T2  - Forms Legal
PB  - Forms Legal
PY  - 2026
UR  - https://forms-legal.com/es/espana/employment/hr-forms/protocolo-canal-denuncias-espana
ER  - 
Forms LegalActualizado 2026-06-06.bib.ris

Preguntas Frecuentes

Plantilla con referencias legales — Plantilla modificada por última vez en junio de 2026

Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo

¿Encontró un error? Avísenos

Documentos Relacionados

También puede encontrar útiles estos documentos:

Protocolo de Igualdad Retributiva España

Protocolo de Igualdad Retributiva para España — conforme al Real Decreto 902/2020, de 13 de octubre, artículo 3, que establece procedimientos de auditoría salarial transparentes, criterios de valoración de puestos de trabajo y medidas correctoras de la brecha retributiva para alcanzar la igualdad de remuneración por trabajos de igual valor.

Protocolo de Uso de Dispositivos Digitales España

Protocolo de Uso de Dispositivos Digitales para España — conforme al artículo 87 de la Ley Orgánica 3/2018 (LOPDGDD), que establece las normas del empleador sobre el uso aceptable de ordenadores corporativos, teléfonos móviles, tabletas y acceso a internet, junto con los procedimientos de supervisión de empleados compatibles con la normativa española de protección de datos y derecho laboral.

Registro de Actividades de Tratamiento — España

Registro de Actividades de Tratamiento (RAT) para España, regulado por el artículo 30 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), que documenta todas las operaciones de tratamiento de datos personales realizadas por una organización como responsable o encargado del tratamiento, con el contenido obligatorio especificado por la Agencia Española de Protección de Datos.

Registro de Control de Acceso (España)

Un Registro de Control de Acceso para España — que regula el registro de entradas y salidas en el lugar de trabajo conforme al artículo 89 de la Ley Orgánica 3/2018 (LOPDGDD), el Real Decreto 488/1997 y el artículo 6 del RGPD — documentando quién accede a las instalaciones o sistemas de la empresa, cuándo y con qué autorización.

Contrato de Trabajo Indefinido España

Contrato de Trabajo Indefinido para España — conforme al Estatuto de los Trabajadores (RDL 2/2015), artículos 15 y 49, estableciendo una relación laboral por tiempo indefinido con alta en la Tesorería General de la Seguridad Social (TGSS).