Whistleblowing Channel Protocol Spain (Canal de Denuncias)
PROTOCOLO DEL CANAL INTERNO DE INFORMACIÓN (CANAL DE DENUNCIAS)
Whistleblowing Channel Protocol
Pursuant to Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas
1. ORGANISATION DETAILS
Organisation: [Organisation Name]
NIF/CIF: [Organisation NIF]
Registered Address: [Organisation Address]
Legal Representative: [Legal Representative]
Principal Activity / Sector: [Sector Activity]
2. PURPOSE AND LEGAL BASIS
This Protocol establishes the internal reporting channel (canal interno de información) of [Organisation Name] in compliance with Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, transposing Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019.
The channel enables employees, former employees, job applicants, contractors, suppliers, shareholders, and directors to report, confidentially and without fear of retaliation, breaches of EU law and Spanish national law falling within the scope defined in Article 2 of Ley 2/2023 and this Protocol.
3. SCOPE OF REPORTABLE CONDUCT
Reports may be submitted for: (a) breaches of EU law in areas covered by the Annex to Directive 2019/1937 — financial services, anti-money laundering, product safety, environmental protection, food safety, public health, consumer protection, data protection, network security, competition law, and corporate taxation; (b) criminal offences and serious or very serious administrative infractions under Spanish law; (c) breaches of [Organisation Name]'s internal policies as specified in the applicable employee handbook or code of conduct, to the extent they also constitute legal violations.
Principal sector regulations applicable to [Organisation Name] in the sector of [Sector Activity] are also covered by this channel to the extent they fall within the scope of Ley 2/2023.
4. RESPONSIBLE PERSON (RESPONSABLE DEL SISTEMA INTERNO DE INFORMACIÓN)
The channel manager designated by [Organisation Name] pursuant to Article 8 of Ley 2/2023 is:
Name / Body: [Channel Manager]
Manager Type: [Channel Manager Type]
Contact for Submissions: [Channel Manager Contact]
The channel manager acts independently and has the authority to conduct or commission investigations without interference from the organisation's management or board, except where the board itself is the designated manager.
5. HOW TO SUBMIT A REPORT
Reports may be submitted through the following formats: [Reporting Formats]
Online platform (if available): [Reporting Web Address]
Anonymous reports accepted: [Anonymous Reports]. Pursuant to Article 24 of Ley 2/2023, anonymous reports are processed with the same diligence as identified reports.
Oral reports will be transcribed or recorded (with the reporter's consent) by the channel manager and offered to the reporter for verification and correction.
6. PROCESSING TIMELINE
Acknowledgement of receipt: [Acknowledgement Deadline] of submission — as required by Article 9.1 of Ley 2/2023.
Feedback on actions taken: [Feedback Deadline] from acknowledgement — as required by Article 9.2 of Ley 2/2023.
Investigation body: [Investigation Body]
The channel manager will triage each report, carry out a preliminary review to assess admissibility, notify the subject of the report where legally required without compromising the reporter's confidentiality, and prepare a written conclusion with recommended remedial action.
7. CONFIDENTIALITY AND ANONYMITY
The identity of the reporting person shall not be disclosed to any person outside the channel manager and investigation team without the reporter's express prior consent, except where disclosure is required by a competent authority pursuant to Article 32 of Ley 2/2023.
Access to the reporting system is restricted through technical and organisational measures. All persons with access to report data are bound by confidentiality obligations that survive the end of their relationship with [Organisation Name].
8. PROHIBITION OF RETALIATION
[Organisation Name] strictly prohibits any form of retaliation against reporting persons, facilitators, or third parties connected to the reporter, in accordance with Articles 36 through 40 of Ley 2/2023. Prohibited retaliatory measures include — without limitation — dismissal, disciplinary action, demotion, harassment, discrimination, denial of promotion, early termination of contracts, and blacklisting.
Any employee or manager who retaliates against a reporting person will be subject to disciplinary action and may face criminal or civil liability. Reporting persons who suffer retaliation may file a complaint with the Autoridad Independiente de Protección del Informante (A.A.I.) and may bring claims before the Juzgado de lo Social or ordinary courts.
9. DATA PROTECTION
Personal data processed through this channel is managed under the following framework:
Legal basis: Article 6.1(c) RGPD — compliance with a legal obligation (Ley 2/2023) — and, where special categories arise, Article 9.2(b) RGPD.
Data retention: [Retention Period] from the close of the investigation, per Article 33 of Ley 2/2023 and RGPD data minimisation principles.
Data Protection Officer contact: [DPO Contact]
Reporting persons and subjects of reports may exercise their rights (access, rectification, erasure, restriction, objection) through the DPO contact above and, where unresolved, through the Agencia Española de Protección de Datos (AEPD) at aepd.es, pursuant to Ley Orgánica 3/2018 (LOPDGDD).
10. EXTERNAL REPORTING CHANNELS
Reporting persons may, at any time and without prior obligation to use this internal channel, report directly to the Autoridad Independiente de Protección del Informante (A.A.I.) at the state level, to the relevant autonomous community authority, or to competent EU institutions, pursuant to Article 7 of Ley 2/2023.
11. APPROVAL AND ENTRY INTO FORCE
This Protocol was approved in [Approval City] on [Approval Date] and enters into force on [Effective Date].
[Organisation Name]
Represented by: [Legal Representative]
Signature: _________________________ Date: _________________________
Legal Representative
________________
Signature
What Is a Whistleblowing Channel Protocol Spain (Canal de Denuncias)?
A Whistleblowing Channel Protocol Spain (Protocolo del Canal de Denuncias) is a formal internal document required by Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas — Spain's transposition of EU Directive 2019/1937 (Whistleblower Protection Directive) — establishing a structured internal reporting system through which employees and third parties can confidentially report breaches of EU law, Spanish law, and company policies. Article 5 of Ley 2/2023 obliges organisations with 50 or more employees, all public sector entities regardless of size, and legal entities in certain regulated sectors to implement a formal internal reporting channel (canal interno de información) meeting specific procedural and confidentiality requirements.
The Canal de Denuncias is not merely a suggestion box — Ley 2/2023 imposes binding obligations on how reports are received, acknowledged, investigated, and resolved. Article 9 of Ley 2/2023 requires that the channel manager (responsable del sistema interno de información) acknowledge receipt of reports within seven calendar days, carry out diligent follow-up, and inform the reporting person of the actions taken within three months. Reports may be submitted anonymously — Article 24 of Ley 2/2023 explicitly requires that anonymous reports be processed, and the protocol must provide for their receipt even where the organisation cannot identify the reporter.
The Autoridad Independiente de Protección del Informante (A.A.I.) was created by Ley 2/2023 as the independent supervisory authority at state level, operating alongside autonomous community equivalents (Comunidades Autónomas with their own transposition legislation). The A.A.I. receives external reports, investigates whistleblower protection violations, and may impose sanctions for failure to implement compliant internal channels or for retaliatory conduct against reporting persons under Articles 62 through 64 of Ley 2/2023.
Protection against retaliation is the cornerstone of Ley 2/2023. Article 36 prohibits any adverse measure — dismissal, disciplinary sanction, demotion, harassment, discrimination, unfavourable treatment — against reporting persons, facilitators (persons who assist reporters), and third parties connected to the reporter (family members, colleagues). The burden of proof is reversed under Article 39 of Ley 2/2023 — if a reporting person suffers an adverse consequence, the employer must prove the adverse measure was taken for reasons wholly unrelated to the report, a significant departure from standard employment law principles under the Estatuto de los Trabajadores (RDL 2/2015).
The scope of Ley 2/2023 covers reports of breaches of EU law in the areas listed in the Annex to Directive 2019/1937 — financial services, anti-money laundering, product safety, environmental protection, food safety, public health, consumer protection, data protection, network security, competition law, and corporate taxation — as well as breaches of Spanish national law including criminal offences and serious administrative infractions. The protocol must clearly define the scope of reportable conduct so that employees understand what qualifies for protection.
Data protection obligations under the Reglamento General de Protección de Datos (RGPD) — Regulation (EU) 2016/679 — and Ley Orgánica 3/2018 (LOPDGDD) apply to all personal data processed through the whistleblowing channel. Article 32 of Ley 2/2023 requires that the identity of the reporting person, the identity of any person mentioned in the report, and all related personal data be treated with strict confidentiality, accessible only to the channel manager and persons directly involved in the investigation. Data must be deleted once the investigation is closed and the applicable retention period has expired — generally no longer than 10 years per Article 33 of Ley 2/2023 and RGPD data minimisation principles.
The Whistleblowing Channel Protocol Spain must be communicated to all employees, suppliers, contractors, and other relevant third parties who interact with the organisation. Article 5.3 of Ley 2/2023 requires that the existence and procedures of the internal channel be clearly published and accessible. The Inspección de Trabajo y Seguridad Social (ITSS) may verify compliance during labour inspections, and the A.A.I. may investigate complaints about inadequate or non-existent internal channels.
When Do You Need a Whistleblowing Channel Protocol Spain (Canal de Denuncias)?
A Whistleblowing Channel Protocol Spain is required under Ley 2/2023, de 20 de febrero, for any private sector organisation employing 50 or more workers. The obligation applies from the date the 50-employee threshold is crossed — organisations that reach this threshold during a calendar year must implement their internal channel without delay. Companies in the financial services sector, including credit institutions, investment firms, and insurance undertakings regulated by the Banco de España and the Comisión Nacional del Mercado de Valores (CNMV), must implement a compliant channel regardless of headcount under Article 10 of Ley 2/2023.
The protocol is mandatory for all public sector entities in Spain regardless of size — municipalities (ayuntamientos), provincial councils (diputaciones), autonomous community administrations (comunidades autónomas), state agencies (organismos públicos estatales), public universities, and state-owned enterprises must all implement compliant internal reporting channels under Article 10.1 of Ley 2/2023.
A Whistleblowing Channel Protocol is needed when an organisation undertakes an internal audit or compliance review and identifies the absence of a formal reporting mechanism. Legal and compliance teams should advise boards of directors and senior management that the failure to implement a compliant channel exposes the organisation to administrative sanctions of up to €1,000,000 for serious infractions under Article 63 of Ley 2/2023.
The protocol is also necessary when an organisation has an existing anonymous suggestion or complaint mechanism but needs to upgrade it to meet the procedural requirements of Ley 2/2023 — specifically the seven-day acknowledgement obligation, the three-month feedback requirement, the anonymous report handling procedure, and the appointment of a designated responsable del sistema.
Small private sector companies with between 50 and 249 employees may share a common whistleblowing channel with other organisations in the same group under Article 5.2 of Ley 2/2023, provided the shared channel meets all procedural requirements — the protocol documents this arrangement and defines the responsibilities of each participating entity.
The protocol is required whenever a multinational group establishes Spanish operations — the Spanish subsidiary with 50 or more employees needs its own compliant channel in Spanish, even where the parent group operates a group-wide channel, unless the group channel meets all requirements of Ley 2/2023 and is accessible to Spanish employees.
What to Include in Your Whistleblowing Channel Protocol Spain (Canal de Denuncias)
A valid Whistleblowing Channel Protocol Spain under Ley 2/2023, de 20 de febrero, must contain the following essential elements to meet the statutory requirements and protect the organisation from sanctions by the Autoridad Independiente de Protección del Informante (A.A.I.).
Scope of Reportable Conduct: A clear definition of the types of breaches that may be reported through the channel — EU law violations in the areas covered by Directive 2019/1937 Annex, Spanish criminal law violations, serious and very serious administrative infractions, and internal policy breaches as defined by the organisation. The protocol should specify that reports of minor internal policy breaches not rising to the level covered by Ley 2/2023 will be handled through normal HR disciplinary channels rather than through the protected whistleblowing procedure.
Channel Formats and Access: Description of the specific technical formats through which reports may be submitted — web-based platform, dedicated email address, telephone hotline, physical mailbox, or in-person meeting with the channel manager. Article 6 of Ley 2/2023 requires that the channel allow written and oral submissions and that oral reports be transcribed or recorded with the reporter's consent. The channel must be accessible to employees, former employees, job applicants, contractors, suppliers, shareholders, and directors.
Designated Channel Manager (Responsable del Sistema): Identification of the person or body designated as responsible for managing the internal reporting system — an internal compliance officer, an external law firm, a board audit committee, or a third-party service provider. The channel manager must be independent and have the authority to conduct investigations. Article 8 of Ley 2/2023 permits the designation of a third-party provider, whose details must be disclosed in the protocol.
Acknowledgement and Investigation Timeline: The protocol must state the statutory deadlines — acknowledgement of receipt within 7 calendar days of submission (Article 9.1 of Ley 2/2023) and feedback on actions taken within 3 months of acknowledgement (Article 9.2). The investigation procedure must be described — how reports are triaged, what preliminary review is conducted, when formal investigation commences, how the subject of the report is notified (without compromising confidentiality), and how conclusions are reached and recorded.
Confidentiality and Anonymity: A statement that the identity of the reporting person will not be disclosed without their express consent except where disclosure is legally required by a competent authority — Article 32 of Ley 2/2023. The procedure for handling anonymous reports must be described — Article 24 obliges the organisation to process anonymous reports diligently. The protocol should specify the access controls limiting knowledge of the reporter's identity to the channel manager and investigation team.
Retaliation Prohibition: An explicit statement that no reporting person, facilitator, or associated third party will suffer retaliation for good-faith reports, consistent with Articles 36 through 40 of Ley 2/2023. The protocol must identify the remedies available to reporting persons who suffer retaliation — the right to file a complaint with the A.A.I., access to the Juzgados de lo Social for employment-related retaliation claims, and civil damages claims before ordinary courts.
Data Protection: A GDPR-compliant information clause addressing the processing of personal data through the channel — the legal basis (compliance with a legal obligation under Article 6.1(c) RGPD in conjunction with Ley 2/2023), data retention periods under Article 33 of Ley 2/2023 (not longer than 10 years after the investigation closes), the categories of data processed, and the rights of data subjects under the LOPDGDD and RGPD, exercisable through the Agencia Española de Protección de Datos (AEPD).
Relationship with External Channels: The protocol should explain that reporting persons may use external channels — directly to the A.A.I. at state level, or to autonomous community equivalents, or to EU institutions — at any time, without being required to first use the internal channel. Article 7 of Ley 2/2023 preserves this right and the organisation may not require internal escalation before external reporting.
Record-Keeping and Auditing: A description of how reports, investigation records, conclusions, and actions taken are documented and stored securely, and how the system is audited periodically to verify compliance. The Inspección de Trabajo y Seguridad Social (ITSS) and the A.A.I. may request access to these records during inspections.
Forms-legal.com provides this Whistleblowing Channel Protocol Spain template as a practical foundation. Every protocol should be reviewed by a qualified abogado especialista en compliance or data protection officer (DPO) to confirm that the channel implementation — technical, procedural, and organisational — satisfies all requirements of Ley 2/2023 and the RGPD for the organisation's specific sector and size.
Key Spanish statutory authorities: Autoridad Independiente de Protección del Informante (A.A.I.) — supervises internal channels and protects reporters. Agencia Española de Protección de Datos (AEPD) — oversees data processing through channels. Inspección de Trabajo y Seguridad Social (ITSS) — verifies compliance during labour inspections. Comisión Nacional del Mercado de Valores (CNMV) and Banco de España — supervise financial sector channel requirements.
Under the Estatuto de los Trabajadores (ET) RDL 2/2015, Spanish employment law governs contracts, dismissals, and working conditions. The Tesorería General de la Seguridad Social (TGSS) administers social security contributions. The Servicio Público de Empleo Estatal (SEPE) manages unemployment benefits. The Inspección de Trabajo y Seguridad Social enforces labour compliance. The Juzgados de lo Social hear employment disputes under the Ley Reguladora de la Jurisdicción Social (Ley 36/2011).
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Whistleblowing Channel Protocol Spain (Canal de Denuncias) (Spain) [Legal document template]. Forms Legal. https://forms-legal.com/espana/employment/hr-forms/whistleblowing-channel-protocol-spain
"Whistleblowing Channel Protocol Spain (Canal de Denuncias) (Spain)." Forms Legal, 2026, https://forms-legal.com/espana/employment/hr-forms/whistleblowing-channel-protocol-spain.
@misc{formslegal-whistleblowing-channel-protocol-spain,
author = {{Forms Legal}},
title = {Whistleblowing Channel Protocol Spain (Canal de Denuncias) (Spain)},
year = {2026},
howpublished = {\url{https://forms-legal.com/espana/employment/hr-forms/whistleblowing-channel-protocol-spain}},
note = {Free legal document template}
}Frequently Asked Questions
Conforme al artículo 10 de la Ley 2/2023, de 20 de febrero, la obligación de implantar un canal interno de información se aplica a: (1) entidades del sector privado con 50 o más trabajadores — el umbral se calcula sobre la plantilla media de los 12 meses anteriores; (2) todas las entidades del sector público con independencia de su plantilla, incluyendo la Administración General del Estado, las administraciones autonómicas, las entidades locales, las universidades públicas, las entidades de derecho público, las sociedades mercantiles estatales y las fundaciones públicas; (3) entidades privadas del sector de los servicios financieros — entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de inversión, gestoras de fondos de inversión, entidades aseguradoras — con independencia del número de empleados; y (4) partidos políticos, sindicatos, organizaciones empresariales y fundaciones que reciban fondos públicos por encima de determinado umbral. Los municipios de menos de 10.000 habitantes pueden compartir canal con municipios vecinos. Las empresas privadas de 50 a 249 empleados pueden compartir canal dentro del mismo grupo empresarial conforme al artículo 5.2 de la Ley 2/2023, siempre que el canal compartido cumpla todos los requisitos legales y sea accesible para los empleados de cada entidad participante.
El artículo 9 de la Ley 2/2023 establece dos plazos obligatorios de respuesta. En primer lugar, el responsable del sistema interno de información debe acusar recibo de la comunicación al informante en el plazo de 7 días naturales desde su presentación — el acuse debe hacerse de forma que el informante pueda acceder a él preservando su confidencialidad. En segundo lugar, el responsable debe informar al comunicante de las actuaciones adoptadas en respuesta a la comunicación en el plazo de 3 meses desde el acuse de recibo — esta información debe describir la valoración preliminar, las investigaciones realizadas y el resultado o estado de la comunicación. Estos plazos se aplican tanto a las comunicaciones identificadas como a las anónimas — para las comunicaciones anónimas, la información puede facilitarse a través del mismo mecanismo de canal anónimo utilizado para la presentación. El incumplimiento de estos plazos constituye una infracción grave conforme al artículo 63.2 de la Ley 2/2023, sancionable con multas de hasta 600.000 € para las personas jurídicas, y puede dar lugar a la actuación supervisora de la Autoridad Independiente de Protección del Informante (A.A.I.).
La Ley 2/2023 otorga a los informantes una protección integral frente a represalias en su Capítulo VI. El artículo 36 prohíbe cualquier medida adversa contra el informante — despido, acción disciplinaria, degradación profesional, acoso, discriminación, exclusión de la promoción, derivación a servicios psiquiátricos o médicos, inclusión en listas negras, resolución anticipada de contratos de servicios, pérdida de oportunidades de negocio y cualquier otra medida que cause perjuicio al comunicante. La protección se extiende a los facilitadores (personas que asistan al informante), a los informantes anónimos si son posteriormente identificados, a los compañeros o familiares del informante y a las personas jurídicas vinculadas al mismo. La inversión de la carga de la prueba del artículo 39 implica que el empleador debe demostrar que cualquier medida adversa adoptada contra el informante fue totalmente ajena a la comunicación. Los informantes que sufran represalias pueden presentar una denuncia ante la A.A.I., interponer una demanda por despido improcedente ante el Juzgado de lo Social o reclamar daños y perjuicios ante los tribunales ordinarios. El artículo 38 dispone que los informantes no pueden ser considerados responsables por incumplir obligaciones de confidencialidad — como las cláusulas de confidencialidad laboral — cuando la divulgación era necesaria para realizar una comunicación de buena fe conforme a la Ley 2/2023, siempre que el informante tuviera motivos razonables para creer que la información era veraz y necesaria.
Sí. El artículo 24 de la Ley 2/2023 obliga expresamente a las organizaciones a tramitar las comunicaciones anónimas — el canal interno debe permitir técnicamente la presentación anónima y la organización no puede negarse a investigar una comunicación únicamente porque el informante no se haya identificado. El canal debe estar diseñado de modo que la organización no pueda identificar al informante a partir de los metadatos técnicos, salvo que el propio informante revele voluntariamente su identidad. No obstante, si una comunicación anónima contiene información insuficiente para investigar la infracción alegada, el responsable del sistema puede cerrar la comunicación tras una revisión preliminar sin poder solicitar aclaraciones. Si el informante se identifica posteriormente, las protecciones completas de la Ley 2/2023 se aplican con carácter retroactivo desde la fecha de la comunicación original. La buena fe se presume en las comunicaciones anónimas, salvo que existan pruebas claras de que la comunicación se realizó con intención maliciosa de perjudicar a una persona inocente — las denuncias falsas maliciosas pueden exponer al informante a responsabilidad penal por denuncia falsa conforme al Código Penal.
El Capítulo XI de la Ley 2/2023 establece un régimen sancionador graduado. Las infracciones muy graves — incluyendo las represalias contra el informante, la obstaculización deliberada de una comunicación, la vulneración de la confidencialidad de la identidad del informante sin justificación legal y el incumplimiento de la obligación de implantar un canal interno conforme — conllevan multas de 601.000 a 1.000.000 € para las personas jurídicas y de 30.001 a 300.000 € para las personas físicas. Las infracciones graves — incluyendo la falta de designación de responsable del sistema, el incumplimiento del plazo de acuse de recibo de 7 días, el incumplimiento del plazo de retroalimentación de 3 meses y el incumplimiento de la obligación de tramitar las comunicaciones anónimas — conllevan multas de 100.001 a 600.000 € para las personas jurídicas. Las infracciones leves conllevan multas de hasta 100.000 €. Los funcionarios públicos y los administradores de empresas pueden ser objeto de sanciones personales. La Autoridad Independiente de Protección del Informante (A.A.I.) puede también publicar la identidad de las entidades sancionadas, lo que puede causar un daño reputacional significativo con independencia de la sanción económica.
El canal de denuncias trata datos personales y debe cumplir el Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679 — y la Ley Orgánica 3/2018 (LOPDGDD). La base jurídica para el tratamiento de datos a través del canal es el cumplimiento de una obligación legal conforme al artículo 6.1(c) RGPD (la obligación impuesta por la Ley 2/2023) y, cuando surjan categorías especiales de datos (datos de salud, datos penales), el artículo 9.2(b) RGPD. La Agencia Española de Protección de Datos (AEPD) publicó en 2023 orientaciones que confirman que el tratamiento de datos en el canal de denuncias se enmarca en las disposiciones sobre tratamiento de datos laborales del artículo 88 RGPD y de los artículos 87 a 91 LOPDGDD. El artículo 33 de la Ley 2/2023 establece un plazo de conservación de no más de 10 años desde el cierre de la investigación, aunque los principios de minimización de datos del artículo 5.1(e) RGPD exigen la supresión en cuanto los datos dejen de ser necesarios. La organización debe incluir el canal de denuncias en su Registro de Actividades de Tratamiento exigido por el artículo 30 RGPD y facilitar información sobre privacidad a todas las personas cuyos datos puedan ser tratados — tanto los informantes como las personas objeto de las comunicaciones.
El artículo 8 de la Ley 2/2023 permite que el responsable del sistema interno de información sea una persona física empleada de la organización, un órgano colegiado interno (como una comisión de auditoría, una comisión de cumplimiento o el consejo de administración) o un tercero externo (como una empresa especializada en compliance, un despacho de abogados externo o un defensor del pueblo independiente). Los requisitos fundamentales son la independencia — el responsable no debe tener conflicto de intereses con la conducta comunicada — y la capacidad profesional para realizar investigaciones con confidencialidad y objetividad. Muchas empresas españolas de entre 50 y 249 empleados delegan la gestión del canal en su asesoría jurídica externa o en empresas externas de compliance. Las empresas con 250 o más empleados suelen designar a un oficial de cumplimiento normativo interno como responsable del sistema. La comisión de auditoría de las sociedades cotizadas supervisadas por la Comisión Nacional del Mercado de Valores (CNMV) debe supervisar el canal de información y control interno conforme a la Ley del Mercado de Valores (LMV). El protocolo debe identificar al responsable del sistema por nombre o cargo y facilitar los datos de contacto para la presentación de comunicaciones.
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas entró en vigor el 13 de marzo de 2023 — 20 días después de su publicación en el Boletín Oficial del Estado (BOE) el 21 de febrero de 2023. La ley transpuso la Directiva (UE) 2019/1937 al ordenamiento jurídico español, cuyo plazo de transposición venció el 17 de diciembre de 2021. España incurrió en un retraso significativo en la transposición de la Directiva — la Comisión Europea inició un procedimiento de infracción contra España ante el Tribunal de Justicia de la Unión Europea (TJUE) por este retraso. La Disposición Final Segunda de la Ley 2/2023 estableció un período transitorio para las entidades del sector privado con entre 50 y 249 empleados — estas empresas de menor tamaño disponían de 1 año desde la entrada en vigor (hasta el 13 de marzo de 2024) para implantar sus canales internos. Las entidades con 250 o más empleados y todas las entidades del sector público debían cumplir la obligación desde la fecha de entrada en vigor, el 13 de marzo de 2023. La Autoridad Independiente de Protección del Informante (A.A.I.) fue creada por la Ley 2/2023 y su procedimiento de nombramiento de director se inició poco después de la entrada en vigor.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Protocolo de Igualdad Retributiva España
Protocolo de Igualdad Retributiva para España — conforme al Real Decreto 902/2020, de 13 de octubre, artículo 3, que establece procedimientos de auditoría salarial transparentes, criterios de valoración de puestos de trabajo y medidas correctoras de la brecha retributiva para alcanzar la igualdad de remuneración por trabajos de igual valor.
Protocolo de Uso de Dispositivos Digitales España
Protocolo de Uso de Dispositivos Digitales para España — conforme al artículo 87 de la Ley Orgánica 3/2018 (LOPDGDD), que establece las normas del empleador sobre el uso aceptable de ordenadores corporativos, teléfonos móviles, tabletas y acceso a internet, junto con los procedimientos de supervisión de empleados compatibles con la normativa española de protección de datos y derecho laboral.
Registro de Actividades de Tratamiento — España
Registro de Actividades de Tratamiento (RAT) para España, regulado por el artículo 30 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), que documenta todas las operaciones de tratamiento de datos personales realizadas por una organización como responsable o encargado del tratamiento, con el contenido obligatorio especificado por la Agencia Española de Protección de Datos.
Registro de Control de Acceso (España)
Un Registro de Control de Acceso para España — que regula el registro de entradas y salidas en el lugar de trabajo conforme al artículo 89 de la Ley Orgánica 3/2018 (LOPDGDD), el Real Decreto 488/1997 y el artículo 6 del RGPD — documentando quién accede a las instalaciones o sistemas de la empresa, cuándo y con qué autorización.
Contrato de Trabajo Indefinido España
Contrato de Trabajo Indefinido para España — conforme al Estatuto de los Trabajadores (RDL 2/2015), artículos 15 y 49, estableciendo una relación laboral por tiempo indefinido con alta en la Tesorería General de la Seguridad Social (TGSS).