Guía de implementación del canal de denuncias — Ley 2/2023

1. Marco legislativo

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, fue publicada en el BOE el 21 de febrero de 2023 y entró en vigor el 13 de marzo de 2023. Esta norma constituye la transposición al Derecho español de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

La ley establece un sistema integral de protección del informante basado en tres pilares fundamentales: la creación de canales internos de información en las organizaciones obligadas, la habilitación de un canal externo gestionado por la Autoridad Independiente de Protección del Informante (A.A.I.), y un conjunto robusto de medidas de protección contra represalias para quienes comuniquen infracciones de buena fe. Además, la norma regula expresamente la admisión y tramitación de comunicaciones anónimas, una novedad significativa respecto a marcos anteriores.

El ámbito material de aplicación abarca infracciones del Derecho de la Unión Europea en materia de contratación pública, servicios financieros, seguridad de productos, protección del medio ambiente, seguridad nuclear, salud pública, protección del consumidor, privacidad y protección de datos, seguridad de las redes y sistemas de información, y competencia. Asimismo, se extiende a infracciones penales y administrativas graves o muy graves del ordenamiento jurídico español, incluyendo las relacionadas con la lucha contra la corrupción.

Importante: Las comunidades autónomas pueden crear sus propias autoridades de protección del informante para su ámbito competencial. Cataluña, por ejemplo, ya contaba con la Oficina Antifraude. No obstante, la A.A.I. actúa como canal externo a nivel estatal y coordina con las autoridades autonómicas para garantizar una protección uniforme en todo el territorio nacional.

2. Quién está obligado

La Ley 2/2023 impone la obligación de disponer de un sistema interno de información a un amplio espectro de entidades tanto del sector privado como del sector público. A continuación se detallan las categorías de sujetos obligados:

Sector privado

Están obligadas todas las personas jurídicas del sector privado que tengan 50 o más trabajadores. Independientemente del número de empleados, también están obligados: los partidos políticos, los sindicatos, las organizaciones empresariales, las fundaciones que reciban o gestionen fondos públicos, y todas las entidades obligadas por la normativa de prevención del blanqueo de capitales (entidades financieras, aseguradoras, auditores, asesores fiscales, agentes inmobiliarios, casinos, entre otros). Las empresas con 250 o más empleados debían contar con el canal operativo desde la entrada en vigor de la ley en marzo de 2023, mientras que las empresas de entre 50 y 249 trabajadores tuvieron como fecha límite el 1 de diciembre de 2023. Los grupos de sociedades pueden compartir un único sistema interno de información, siempre que se garantice el cumplimiento de todos los requisitos legales y la independencia del responsable del sistema.

Sector público

En el sector público, la obligación alcanza a todas las administraciones públicas, organismos autónomos, entidades públicas empresariales, sociedades mercantiles públicas, fundaciones del sector público, universidades públicas y corporaciones de Derecho público. Los municipios de menos de 10.000 habitantes pueden compartir el sistema interno de información con otros municipios o con la administración supramunicipal correspondiente, como las diputaciones provinciales. Todas las entidades del sector público debían contar con su canal operativo antes del 13 de junio de 2023, sin excepciones ni prórrogas adicionales.

3. Requisitos del canal de denuncias

El sistema interno de información debe cumplir con los requisitos técnicos y organizativos establecidos en la Ley 2/2023. Estos requisitos están diseñados para garantizar la confidencialidad, la accesibilidad, la diligencia en la tramitación y la protección efectiva de los informantes frente a posibles represalias:

Confidencialidad garantizada: el sistema debe asegurar la confidencialidad de la identidad del informante, de las personas mencionadas en la comunicación y de cualquier tercero involucrado. Esta confidencialidad debe mantenerse durante toda la tramitación y después de su conclusión. Solo podrá revelarse la identidad del informante con su consentimiento expreso o por requerimiento judicial.
Admisión de denuncias anónimas: la Ley 2/2023 exige expresamente que los canales internos de información acepten y tramiten las comunicaciones presentadas de forma anónima. Si posteriormente se identifica al informante anónimo, este gozará de la misma protección que los informantes identificados.
Designación de un responsable del sistema: la organización debe nombrar a un responsable del sistema interno de información, que puede ser una persona física o un órgano colegiado. Este responsable debe actuar con independencia y autonomía, sin recibir instrucciones de la dirección. En empresas con menos de 250 empleados, el responsable puede ser el responsable de cumplimiento normativo (compliance officer).
Multicanal y accesible: el sistema debe permitir la presentación de comunicaciones al menos por escrito (formulario en línea, correo postal o correo electrónico seguro) y verbalmente (línea telefónica, sistema de mensajería de voz o reunión presencial). Debe ser accesible para personas con discapacidad y estar disponible las 24 horas del día, los 7 días de la semana.
Acuse de recibo en 7 días: el sistema debe enviar un acuse de recibo al informante en un plazo máximo de 7 días naturales desde la recepción de la comunicación, informándole del inicio del procedimiento y de los derechos que le asisten conforme a la ley.
Plazo de resolución de 3 meses: la investigación debe concluir y se debe comunicar la respuesta al informante en un plazo máximo de 3 meses desde el acuse de recibo. En casos de especial complejidad, este plazo podrá ampliarse hasta un máximo de 3 meses adicionales, previa justificación y notificación al informante.
Registro seguro de comunicaciones: todas las comunicaciones recibidas deben registrarse en un libro-registro que no sea de acceso público. Los datos deben conservarse durante el tiempo imprescindible y nunca más de 10 años. El tratamiento de datos personales debe cumplir con el RGPD y la Ley Orgánica 3/2018 de Protección de Datos Personales.
Política de protección del informante: la organización debe aprobar y publicar una política interna que detalle el funcionamiento del sistema, los derechos de los informantes, las garantías de confidencialidad y las medidas de protección contra represalias. Esta política debe ser comunicada a todos los empleados, proveedores y colaboradores.

4. Plazos legales

Acción	Plazo
Entrada en vigor de la Ley 2/2023	13 de marzo de 2023
Canal operativo — empresas con 250+ empleados	13 de marzo de 2023
Canal operativo — sector público	13 de junio de 2023
Canal operativo — empresas de 50-249 empleados	1 de diciembre de 2023
Acuse de recibo al informante	7 días naturales desde la recepción
Resolución de la investigación	3 meses desde el acuse de recibo (ampliable a 6 meses)
Conservación de datos del registro	Máximo 10 años
Constitución plena de la A.A.I.	En curso — estructura operativa progresiva

Todos los plazos han vencido. Las organizaciones que aún no dispongan de un sistema interno de información conforme se exponen a sanciones inmediatas. La A.A.I. y las comunidades autónomas con autoridades propias están intensificando las actuaciones inspectoras desde 2025.

5. Sanciones por incumplimiento

Sanciones previstas en la Ley 2/2023:

• Infracciones muy graves: multas de 600.001 € hasta 1.000.000 € para personas jurídicas y de 30.001 € hasta 300.000 € para personas físicas. Incluyen: represalias contra el informante, incumplimiento de la obligación de confidencialidad con daño grave, y obstaculización deliberada de la presentación de comunicaciones.
• Infracciones graves: multas de 200.001 € hasta 600.000 € para personas jurídicas y de 10.001 € hasta 30.000 € para personas físicas. Incluyen: no disponer de un sistema interno de información, no dar respuesta al informante en plazo, y no respetar las garantías de confidencialidad sin que se derive daño grave.
• Infracciones leves: multas de hasta 200.000 € para personas jurídicas y de hasta 10.000 € para personas físicas. Incluyen: deficiencias formales en el sistema, falta de publicación de la política interna y retrasos no justificados en la tramitación.
• Sanciones accesorias por infracciones muy graves: amonestación pública con publicación en el BOE, prohibición de contratar con el sector público durante un período de hasta 3 años, prohibición de obtener subvenciones públicas durante un período de hasta 4 años.
• Prescripción: las infracciones muy graves prescriben a los 3 años, las graves a los 2 años y las leves al año.
• Responsabilidad del informante de mala fe: quienes presenten comunicaciones o revelaciones públicas de información que se demuestre que eran falsas y realizadas a sabiendas podrán ser sancionados con multas y deberán indemnizar los daños y perjuicios causados.

La A.A.I. tiene potestad sancionadora directa sobre las entidades del sector privado de ámbito estatal. Las comunidades autónomas con autoridades propias ejercen la potestad sancionadora en su ámbito. La cuantía de la sanción se modula según la naturaleza y gravedad de los hechos, el grado de intencionalidad, la reincidencia, el beneficio obtenido y la capacidad económica del infractor.

6. Protección del informante

La Ley 2/2023 establece un régimen integral de protección para las personas que informen sobre infracciones. La protección se extiende no solo al informante, sino también a los facilitadores (personas que asistan al informante en el proceso), a los compañeros de trabajo y familiares del informante que puedan sufrir represalias, y a las personas jurídicas para las que trabaje o con las que mantenga relación el informante:

✕Prohibición absoluta de represalias: se prohíbe expresamente cualquier forma de represalia, incluyendo el despido, la suspensión, la degradación, la denegación de ascenso, el cambio de funciones, la intimidación, el acoso, la discriminación, la inclusión en listas negras y la terminación anticipada de contratos.
✕Inversión de la carga de la prueba: en procedimientos judiciales o administrativos relacionados con represalias, corresponde a la persona o entidad que haya adoptado la medida perjudicial demostrar que dicha medida se basó en motivos debidamente justificados y no constituye represalia.
✕Medidas cautelares de apoyo: los informantes pueden solicitar medidas cautelares para evitar o cesar las represalias, como la readmisión provisional en el puesto de trabajo, la suspensión de traslados o cambios de funciones, y la protección frente al acoso laboral.
✕Exención de responsabilidad: el informante queda exento de responsabilidad por la obtención o acceso a la información comunicada, siempre que no haya cometido un delito para obtenerla. También queda exento de responsabilidad por la infracción de cláusulas de confidencialidad contractuales cuando la comunicación sea necesaria para revelar la infracción.
✕Asistencia jurídica gratuita: los informantes que cumplan los requisitos de la Ley de Asistencia Jurídica Gratuita tendrán derecho a ella en los procedimientos relacionados con represalias. La A.A.I. debe facilitar información sobre este derecho.
✕Protección de datos personales reforzada: los datos identificativos del informante tienen un tratamiento especialmente protegido. No pueden ser comunicados a la persona investigada ni a terceros sin el consentimiento expreso del informante, salvo requerimiento judicial motivado.
✕Canal externo como garantía adicional: si el informante considera que el canal interno no es efectivo o teme represalias, puede acudir directamente al canal externo de la A.A.I. sin necesidad de agotar previamente la vía interna. También puede realizar revelaciones públicas en determinadas circunstancias.

La protección se aplica con independencia de que la comunicación se realice a través del canal interno, del canal externo de la A.A.I., o mediante revelación pública. El requisito fundamental es que el informante tenga motivos razonables para considerar que la información es veraz en el momento de la comunicación, aunque posteriormente se demuestre inexacta.

7. Implementación paso a paso

8. Por qué WhistleBox

WhistleBox es la plataforma de canal de denuncias diseñada específicamente para cumplir con la Ley 2/2023 y la Directiva (UE) 2019/1937. Nuestra solución permite a las organizaciones implementar un sistema interno de información plenamente conforme en menos de 24 horas, sin necesidad de conocimientos técnicos ni inversiones en infraestructura:

Cumplimiento total con la Ley 2/2023: cada funcionalidad ha sido diseñada y validada para cumplir con los requisitos específicos de la legislación española, incluyendo la admisión de comunicaciones anónimas, los plazos de acuse de recibo y resolución, y las garantías de confidencialidad.

Cifrado de extremo a extremo: todas las comunicaciones, archivos adjuntos y datos del informante están protegidos con cifrado AES-256 en reposo y TLS 1.3 en tránsito. Ni siquiera el equipo de WhistleBox puede acceder al contenido de las comunicaciones.

Comunicaciones anónimas reales: el sistema permite la presentación de comunicaciones totalmente anónimas sin requerir ningún dato identificativo. El informante anónimo recibe un código seguro para seguir el estado de su comunicación y mantener un diálogo bidireccional con el responsable del sistema.

Multicanal integrado: los informantes pueden presentar comunicaciones por formulario web, correo electrónico seguro, línea telefónica con transcripción automática y solicitud de reunión presencial, cumpliendo así con la exigencia legal de disponer de canales escritos y verbales.

Acuse de recibo automatizado: el sistema genera y envía automáticamente el acuse de recibo dentro del plazo legal de 7 días naturales, con información personalizable sobre los derechos del informante y el procedimiento de tramitación.

Gestión de plazos inteligente: paneles de control con alertas automáticas para los plazos de 7 días (acuse de recibo), 3 meses (resolución) y ampliaciones, asegurando que ninguna comunicación quede sin atender dentro de los términos legales.

Libro-registro digital conforme: registro automatizado de todas las comunicaciones con trazabilidad completa, control de accesos auditado y políticas de retención y eliminación de datos configurables conforme al límite de 10 años establecido por la ley.

Control de accesos basado en roles: perfiles diferenciados para el responsable del sistema, investigadores, asesores jurídicos y auditores, con permisos granulares que garantizan el principio de necesidad de conocer y la confidencialidad de las actuaciones.

Alojamiento en la Unión Europea: todos los datos se almacenan en centros de datos ubicados en la UE, cumpliendo con el RGPD, la LOPDGDD y los estándares de seguridad ISO 27001. Sin transferencias internacionales de datos a terceros países.

Implementación en menos de 24 horas: configuración guiada paso a paso, plantillas predefinidas para la política del sistema interno de información, personalización con la imagen corporativa de la organización y soporte técnico especializado en español durante todo el proceso de puesta en marcha.

Crear cuenta gratis Solicitar una demo