La “ley del canal de denuncias” en España ha reforzado la manera en que las organizaciones gestionan comunicaciones internas sobre irregularidades, protegen a las personas informantes y previenen riesgos legales y reputacionales. Más allá de un requisito normativo, disponer de un sistema interno de información eficaz es una palanca de confianza, bienestar laboral e innovación responsable.
En este artículo sintetizamos la normativa básica, los requisitos clave y recomendaciones prácticas para implantar un canal ético que sea seguro, accesible y eficiente. El enfoque es aplicable a departamentos de recursos humanos, compliance y dirección, con una mirada centrada en las personas y en la mejora continua.
¿Qué es la ley del canal de denuncias y a quién aplica?
La normativa española que regula el canal de denuncias es la Ley 2/2023, que transpone la Directiva (UE) 2019/1937 sobre protección de las personas que informen de infracciones. Su objetivo es establecer procedimientos seguros para comunicar conductas contrarias a la ley o al interés público y evitar represalias.
Están obligadas a implantar un sistema interno de información (canal de denuncias) las entidades privadas con 50 o más personas trabajadoras y el sector público. Además, determinadas organizaciones de sectores regulados (por ejemplo, financiero o sujetos a prevención de blanqueo) deben contar con canal incluso por debajo de ese umbral. La obligación alcanza a grupos empresariales, que pueden compartir un canal si garantizan independencia, confidencialidad y una gestión diferenciada para cada entidad.
El canal debe admitir comunicaciones de personal interno y también de terceros vinculados, como proveedores, personas contratistas, becarias o voluntariado. Esto amplía el alcance preventivo y protege a quienes, desde fuera, detectan incumplimientos con impacto en la organización.
Requisitos del sistema interno de información
Características funcionales mínimas
- Confidencialidad y reserva de identidad: el sistema debe garantizar que solo el personal autorizado pueda acceder a la información y a los datos de la persona informante.
- Admisión de denuncias anónimas: la ley permite y fomenta la presentación anónima y el mantenimiento de una comunicación bidireccional segura.
- Accesibilidad multicanal: posibilidad de presentar comunicaciones por escrito y verbalmente (incluyendo línea telefónica o mensajería de voz) y habilitar, si se solicita, una reunión presencial dentro de plazos razonables.
- Información clara: política interna publicada y fácilmente localizable, que explique qué se puede comunicar, cómo se protege a la persona informante y cuáles son los pasos del procedimiento.
- Registro y trazabilidad: cada comunicación debe quedar registrada con medidas de seguridad y un flujo de gestión documentado.
Roles y responsabilidades
La dirección u órgano de gobierno es responsable última del sistema. Debe designar a un Responsable del Sistema Interno de Información con independencia, medios adecuados y ausencia de conflictos de interés. En organizaciones complejas, se recomienda un comité de soporte (RR. HH., compliance, asesoría jurídica, PRL) con funciones definidas y acceso limitado a los datos.
Plazos y comunicación con la persona informante
- Acuse de recibo: en un plazo máximo de 7 días desde la recepción.
- Investigación y respuesta: resolución o comunicación del estado del expediente en un plazo de 3 meses, ampliable a 6 en casos especialmente complejos.
- Comunicación segura: mantenimiento de un canal de ida y vuelta para recabar información adicional y ofrecer seguimiento, incluso cuando la denuncia es anónima.
Estos plazos son esenciales para aportar certidumbre, reducir la ansiedad y fortalecer la seguridad psicológica del equipo, uno de los pilares del bienestar laboral.
Protección de datos y seguridad de la información
- Base jurídica y minimización: tratar solo los datos imprescindibles para investigar los hechos comunicados. Evitar información sensible no relacionada.
- Evaluación de impacto (EIPD): recomendable por el alto riesgo para derechos y libertades; documenta riesgos, medidas y salvaguardas.
- Control de accesos y cifrado: limitar usuarios, registrar accesos y proteger la información en tránsito y en reposo.
- Conservación: mantener los datos solo durante el tiempo necesario para decidir y, en su caso, sustanciar acciones. Establecer políticas claras de borrado y archivo.
- Información a las personas afectadas: cumplir con los deberes de transparencia cuando no comprometa la investigación.
Política interna y registro de actividades
La organización debe aprobar una política del canal de informantes que contemple el alcance, vías de comunicación, protección frente a represalias, confidencialidad, gestión de conflictos de interés, medidas disciplinarias y coordinación con otros procedimientos (acoso, PRL, igualdad, compliance penal). Es recomendable integrar el canal en el registro de actividades de tratamiento y formalizar contratos con encargados de tratamiento si intervienen terceros.
Plazos de implantación y régimen sancionador
Las obligaciones ya son exigibles. En su momento, la ley estableció plazos escalonados para entidades grandes y para empresas de 50 a 249 personas. A día de hoy, contar con un canal operativo, políticas aprobadas y un responsable designado es un requisito de cumplimiento ineludible.
El régimen sancionador prevé multas significativas por no disponer de sistema, obstaculizar comunicaciones o vulnerar la confidencialidad. Las personas jurídicas pueden afrontar sanciones de alta cuantía, junto con medidas accesorias como la publicación de la resolución o la prohibición de contratar con el sector público por un periodo determinado. Además, se contemplan sanciones individuales para directivos o personas responsables que incumplan la ley.
Recomendaciones prácticas para implantar el canal con éxito
- Diagnóstico inicial: mapeo de riesgos y procesos existentes (compliance, RR. HH., PRL, igualdad) para evitar duplicidades y definir puntos de integración.
- Gobernanza clara: designación formal del responsable del sistema, suplencias, comité de soporte y reglas de recusación ante conflictos de interés.
- Procedimientos paso a paso: guías operativas con criterios de admisibilidad, priorización, investigación, medidas cautelares y cierre.
- Tecnología segura y usable: plataforma con cifrado, autenticación granular, opción de anonimato y comunicación bidireccional. Valora auditorías y evidencias forenses.
- Formación y cultura: sesiones breves y recurrentes para mandos y plantillas. Refuerza el mensaje: “informar no es delatar, es proteger a la organización”.
- Comunicación accesible: política publicada en la web/intranet, cartelería, onboarding y proveedores informados; disponibilidad multicanal.
- Coordinación con RR. HH.: protocolos para casos de acoso, discriminación o conflictos interpersonales, cuidando la confidencialidad y el acompañamiento.
- Métricas y mejora continua: indicadores como tiempo de respuesta, tasa de admisión, categorías de casos, medidas adoptadas y satisfacción percibida.
- Protección del bienestar: ofrecer apoyo psicosocial a personas informantes y afectadas; diseñar procesos que minimicen la revictimización.
- Relación con canales externos: informar sobre la posibilidad de acudir a la Autoridad Independiente de Protección del Informante u otras autoridades competentes.
Ejemplos habituales en RR. HH. y cultura empresarial
Acoso laboral o sexual: el canal permite recibir comunicaciones tempranas, activar medidas cautelares (por ejemplo, separar equipos) y coordinar la investigación con los protocolos de igualdad y prevención del acoso. El enfoque debe priorizar la protección y la confidencialidad de las partes.
Uso indebido de recursos o fraude interno: situaciones como gastos no justificados o conflictos de interés se investigan con trazabilidad y respeto a la presunción de inocencia. El canal facilita alertas que, de otro modo, no aflorarían.
Incumplimientos de PRL o seguridad: notificar riesgos graves o reiterados permite corregir a tiempo y reducir incidentes, reforzando la cultura de seguridad.
En todos los casos, una gestión ágil y transparente, con comunicación periódica a la persona informante, reduce tensiones y mejora la percepción de justicia organizacional.
Conclusión
La ley del canal de denuncias ha llegado para consolidar sistemas internos de información que sean fiables, confidenciales y orientados al bien común. Cumplir no es solo evitar sanciones: es fortalecer la integridad corporativa, proteger a las personas y mejorar la eficiencia operativa mediante decisiones informadas.
Implantar un canal bien diseñado —con gobernanza clara, tecnología adecuada y una cultura que favorezca la comunicación segura— es una inversión en confianza y resiliencia. Si te interesa seguir profundizando en cumplimiento, bienestar y gestión del talento, te invitamos a seguir leyendo el blog para descubrir guías prácticas, tendencias y casos reales.
Preguntas frecuentes
¿Qué comunicaciones deben entrar en el canal de denuncias?
Hechos que puedan constituir infracciones legales o vulneraciones graves de políticas internas (corrupción, fraude, acoso, riesgos de PRL, protección de datos, conflictos de interés). Para que el sistema sea útil, la política debe incluir ejemplos y orientar al personal sobre qué vías usar en cada caso.
¿El canal debe aceptar denuncias anónimas?
Sí, la normativa contempla la posibilidad y su adopción es una buena práctica. Además, conviene habilitar una comunicación bidireccional segura con personas anónimas para solicitar información adicional y ofrecer seguimiento.
¿Cuáles son los plazos máximos?
Debe enviarse acuse de recibo en 7 días y ofrecer respuesta o estado del expediente en un plazo de 3 meses, ampliable hasta 6 en casos complejos. Documentar estas fechas y cumplirlas es clave para la seguridad jurídica y la confianza.
¿Se puede compartir un canal para varias empresas del grupo?
Sí, es posible compartir el sistema, siempre que se garantice la independencia operativa, la confidencialidad y una gestión diferenciada por entidad. Cada empresa mantiene su responsabilidad y debe designar a su responsable del sistema.
¿Qué sanciones existen por incumplir la ley del canal de denuncias?
El régimen sancionador prevé multas relevantes por carecer de canal, obstaculizar comunicaciones, ejercer represalias o vulnerar la confidencialidad, además de posibles medidas accesorias como la prohibición de contratar con el sector público por un tiempo determinado.