Abordamos las primeras recomendaciones sobre los requisitos de funcionamiento de los canales de denuncias, obligatorios desde la entrada en vigor de la Ley 2/2023.
Los Sistemas Internos de Información (canales de denuncias) encuentran su marco jurídico en la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta Ley establece la obligación de disponer de un canal a las empresas de más de 50 trabajadores, empresas que operan en determinados sectores (financiero, regulados, etc.) y sector público, y regula los requisitos mínimos que tienen que reunir estos canales de denuncias.
Tras casi tres años de la entrada en vigor de esta obligación, y con la experiencia del funcionamiento de los canales, la Autoridad Independiente de Protección del Informante (AIPI), operativa desde septiembre de 2025, ha publicado sus primeras recomendaciones sobre los requisitos de funcionamiento de los canales de denuncias.
La Recomendación nace en un contexto claro: desde la entrada en funcionamiento de la Autoridad de Protección del Informante en septiembre de 2025, se han multiplicado las consultas sobre cómo cumplir adecuadamente la Ley 2/2023, lo que revela que aún existe una notable inseguridad jurídica en torno al diseño y la implementación de los sistemas internos de información.
El objetivo de la AIPI es ambicioso: garantizar que el canal de denuncias no sea un mero buzón sino el eje central de la estrategia de cumplimiento normativo de la empresa. En este sentido, uno de los elementos más relevantes de la Recomendación es su insistencia en la dimensión institucional del Sistema Interno de Información: es esencial que el canal de denuncias forme parte de una cultura de integridad y cumplimiento, no siendo su finalidad solo proteger al informante, sino fortalecer las infraestructuras de integridad y fomentar la cultura de la información. La Recomendación recoge y desarrolla esta idea con profundidad: el Sistema Interno de Información debe servir para detectar infracciones antes de que se consoliden como prácticas habituales, corregirlas y reducir los espacios de impunidad dentro de la organización.
Es necesario revisar, a la luz de la Recomendación 1/2026, la estructura de gobierno del Sistema Interno de Información, la regulación interna e incluso las características técnicas de la herramienta de soporte del canal de denuncias, para procurar su adecuación a las exigencias de la Autoridad de Protección del Denunciante, no sólo por el natural interés en el pleno cumplimiento de las obligaciones legales, sino también teniendo en cuenta la proyección reputacional interna y externa del canal de denuncias. Y ello sin olvidar, también, las competencias inspectoras y sancionadoras de la propia Autoridad en cuanto a la adecuación de los canales de denuncias y el cumplimiento de los requisitos legales de funcionamiento.
En cuanto a las cuestiones estructurales o de diseño del gobierno del sistema de información, destaca la Recomendación unos criterios para establecer un canal en los grupos de empresas y especialmente, en el caso de grupos que tengan una matriz con domicilio fuera de España.
También, es necesario recordar la importancia de la designación del Responsable del sistema, su ámbito de actuación y responsabilidades, y la notificación a la Autoridad Independiente de Protección del Informante. Como destaca la Recomendación, la obligación de disponer de un sistema de información y un responsable corresponde a cada una de las sociedades que integran un grupo de empresas, por lo que no bastaría con la designación por parte de la sociedad matriz, sino que es necesario que cada sociedad adopte los acuerdos necesarios conforme a su responsabilidad. Y el nombramiento del Responsable del sistema debe comunicarse a la Autoridad Independiente de Protección del Denunciante, en un plazo de diez días hábiles desde la adopción del acuerdo, a través de la página web de la AIPI (o de la Autoridad autonómica con competencias en la materia).
El formulario web para la comunicación del Responsable del Sistema Interno de Información ha sido publicado por la AIPI en el mes de febrero, abriéndose un plazo de dos meses que vence el día 10 de abril de 2026 para comunicar a la AIPI los nombramientos de Responsable del SII efectuados desde la entrada en vigor de la Ley 2/2023.
En cuanto al ámbito competencial, es decir, si la comunicación se debe hacer a la AIPI o a una autoridad autonómica con competencias en la materia, la propia AIPI ha publicado una Guía sobre la notificación del Responsable del Sistema Interno de Información.
La regulación del Sistema Interno de Información debe garantizar los principios básicos de confidencialidad, transparencia, trazabilidad y, sobre todo, protección frente a represalias. En este último punto, la Recomendación destaca que la protección que la Ley 2/2023 ofrece al informante se ciñe a los supuestos legalmente previstos de denuncia de infracciones penales, administrativas graves o muy graves, o del Derecho de la Unión Europea, sin perjuicio de que el canal de denuncias pueda ser utilizado para comunicar otro tipo conductas (infracciones de la normativa interna, del código de conducta, etc.).
El canal de denuncias debe estar preparado, desde el punto de vista tecnológico, para garantizar el anonimato de las comunicaciones, la protección de datos, la trazabilidad y la accesibilidad universal, y debe ser visible en la navegación en la página web de la empresa.
Corresponde ahora a cada empresa revisar la organización interna de su canal de denuncias y el sistema de soporte, así como la política o procedimientos vigentes, y adaptar esta regulación a las nuevas recomendaciones de la Autoridad de Protección del Denunciante, garantizando en todo momento la confidencialidad, independencia, trazabilidad y confiabilidad del sistema. Sin olvidar, por supuesto, la obligación de notificar a la Autoridad competente, el nombramiento del Responsable del Sistema Interno de Información, en los plazos previstos.
Toda & Nel-lo ofrece a sus clientes un servicio integral para dar cumplimiento a la Ley, incluyendo la gestión externalizada del Sistema Interno de Información y una plataforma de software completa para la puesta en marcha, recepción y gestión de las comunicaciones, garantizando la correcta implementación del canal, así como el estricto cumplimiento de los plazos legales.
Se puede consultar la Recomendación 1/2026 de la AIPI en este enlace.
Contacto:
Jordi Sot Ball-llosera – Socio Director del Área de Compliance
jsot@todanelo.com
https://club.camaramadrid.es/conoce-al-socio/100649-toda_nello_abogados/
Artículo publicado el 12/03/2026
