Los fallos que la Ley 2/2023 no resuelve sola
Hay organizaciones que tienen canal de denuncia, política aprobada por el órgano de administración y procedimiento de gestión formalmente vigente. Lo tienen todo en orden. Y, sin embargo, cuando llega la denuncia que de verdad importa —la que señala a un directivo, la que afecta a un área de negocio nuclear, la que genera incomodidad real—, el informante termina identificado, presionado o represaliado. No porque el canal fallara técnicamente. Sino porque el sistema realmente no fue diseñado para protegerle.
De eso hablaremos en este artículo. No de la ausencia de marco legal —que existe y es exigente— sino de la brecha que puede existir entre lo que el sistema dice que hace y lo que hace cuando se le pone a prueba. Una brecha que la Ley 2/2023 no cierra por sí sola, y que la Recomendación 1/2026 de la Autoridad Independiente de Protección del Informante (AIPI) pretende estrechar.
1. El primer error: confundir el canal con el sistema
La Ley 2/2023 define el Sistema Interno de Información (SII) como el conjunto formado por el canal, el responsable y el procedimiento de gestión. El canal es solo el medio por el que se recibe la comunicación. El SII es todo lo que permite recibirla, evaluarla, investigarla, proteger al informante durante ese proceso y cerrar el caso con seguridad jurídica y operativa.
En la práctica, sin embargo – seguramente por falta de madurez o porque es una norma con poco recorrido histórico- el enfoque mayoritario sigue siendo muy minimalista: contratar una plataforma SaaS de canal de denuncias y centrar el trabajo en la gestión de la comunicación.
La Recomendación 1/2026 de la AIPI pretende corregir ese planteamiento. Su mensaje es más claro: el SII no es un producto tecnológico; es una estructura organizativa. Y como tal, exige aprobación formal por el órgano de administración, una política interna explicita y a la vez comprensible para sus destinatarios reales, procedimientos detallados y operativos, un responsable con independencia funcional real y mecanismos de revisión periódica.
La diferencia entre ambos enfoques se hace visible con en el primer caso sensible. Cuando la denuncia afecta a alguien con poder en la organización, una empresa que solo tiene canal descubre que nadie sabe con certeza quién gestiona, con qué criterios se admite o archiva, qué ocurre si el responsable designado tiene conflicto de interés, o cómo se toman decisiones sobre medidas cautelares. El procedimiento no existía realmente: existía el formulario.
2. La confidencialidad como problema operativo, no formal
La confidencialidad es la garantía más citada y la más difícil de implementar bien. La Ley 2/2023 la exige respecto de la identidad del informante, de los terceros mencionados y de las actuaciones de gestión. Incluirla en la política es fácil. El problema aparece cuando la identidad del informante se revela sin que nadie lo haya decidido explícitamente a través de lo que denominamos la “identificación indirecta”.
La identificación indirecta es el vector de riesgo más frecuente y el menos atendido. No es que alguien entregue el nombre. Es que el procedimiento de investigación acaba describiendo con suficiente detalle el contexto, la cronología y el área afectada como para que cualquier persona con conocimiento interno pueda llegar a deducir quién denunció. En equipos pequeños, en áreas con pocas personas con acceso a esa información, en denuncias que describen reuniones a las que solo asistieron tres personas, la confidencialidad formal no protege nada.
Un diseño operativo riguroso debe contemplar los vectores reales de exposición: los metadatos de los documentos; los accesos al expediente; la redacción adecuada de los informes internos; la circulación imprudente o invertida de la información por conversaciones en espacios no controlados o por comunicaciones informales de quienes gestionan el caso, que son con frecuencia el canal de filtración más difícil de controlar.
La AEPD ha fijado con claridad los requisitos de tratamiento de datos en los sistemas de denuncia: minimización en la recogida, restricción de accesos al personal de control interno o compliance, plazo máximo de conservación de tres meses salvo derivación a procedimientos disciplinarios o judiciales, y garantía de los derechos del denunciado sin revelar la identidad del informante. Que esos criterios estén publicados no significa que se implementen y menos con eficacia. En muchas organizaciones, los expedientes de denuncia son accesibles a un número de personas muy superior al necesario, se conservan indefinidamente por precaución o miedo a posibles sanciones y no están sujetos a un control riguroso de acceso documentado.
El anonimato añade un nivel adicional de complejidad técnica que pocas organizaciones resuelven correctamente. El problema operativo es que un canal que acepta denuncias anónimas no permita una comunicación anónima bidireccional, de modo que el informante anónimo no puede recibir el acuse de recibo legal, ni responder a solicitudes de información adicional, ni conocer el resultado dentro del plazo legalmente establecido.
3. La represalia que no aparece en el expediente
La Ley 2/2023 prohíbe expresamente las represalias, incluidas amenazas y tentativas, contra quienes presenten comunicaciones conforme a la norma. La Directiva (UE) 2019/1937, que la ley transpone, enumera un catálogo amplio de conductas represivas: despido, degradación, cambio de funciones, evaluación negativa, acoso, ostracismo, daños reputacionales, inclusión en listas negras, no renovación contractual.
El problema práctico es que ninguna de esas formas de represalia aparece documentada como tal. En el expediente de personal, la reorganización que suprimió el puesto del informante es una decisión de eficiencia operativa. La evaluación de desempeño que bajó dos puntos es el resultado de un ciclo de valoración con criterios objetivos. La exclusión de los proyectos clave es una decisión de asignación de recursos. El patrón solo es visible si alguien lo busca activamente, lo documenta con trazabilidad y una referencia temporal adecuada en relación con la denuncia, y analiza la coincidencia de las decisiones estableciendo una relación causa-efecto.
Esta dificultad se incrementará a medida que los sistemas internos de información sean más conocidos en las organizaciones y las represalias se vuelvan más sutiles y sofisticadas.
La inversión de la carga de la prueba que establece la ley —es la empresa quien debe acreditar que las medidas adoptadas no responden a la denuncia— ayuda en sede judicial, pero no resuelve nada dentro de la organización. Ahí, durante la investigación, el responsable del SII no es un juez que evalúa un hecho ya consumado, es un guardián que debe intentar anticipar y prevenir por donde puede generarse la represalia, y el informante es alguien queda a la espera de que no le ocurra nada malo.
La medida más eficaz contra el riesgo de represalia no es la declaración de política. Es la evaluación de riesgo por caso, desde el momento en que se recibe la comunicación. Esa evaluación debe contemplar: quién conoce que existe la denuncia y en qué momento; cuál es la relación jerárquica del informante con las personas potencialmente afectadas; qué decisiones laborales, contractuales o comerciales relevantes están pendientes que puedan verse influidas; y qué cambios organizativos se han producido o están previstos en la unidad durante el período de investigación.
Con esa evaluación como base, el procedimiento debe prever medidas concretas: restricción estricta del conocimiento de la identidad, instrucciones explícitas de no interferencia, seguimiento activo de decisiones sensibles que afecten al informante durante y después de la investigación, y documentación de cualquier cambio que se produzca en su situación laboral o contractual. No como garantía absoluta, sino como evidencia de que la organización gestionó el riesgo con diligencia.
4. La independencia del Responsable: del estándar legal a la realidad organizativa
La Ley 2/2023 exige que el Responsable del Sistema Interno de Información actúe de forma independiente y autónoma, sin recibir instrucciones en el ejercicio de sus funciones. Es un estándar funcional, no orgánico. No dice en qué posición del organigrama debe estar; dice cómo debe actuar.
En la práctica, la independencia funcional es altamente compleja de conseguir en pequeñas y medianas organizaciones e incompatible con ciertos modelos de nombramiento que se han normalizado sin que nadie los haya cuestionado en serio todavía. El Director de Recursos Humanos no puede ser independiente cuando la denuncia describe conductas en su propia área. El Director Jurídico no puede serlo cuando ha asesorado decisiones que ahora son objeto de investigación. El propio Compliance Officer no puede serlo cuando la denuncia apunta a decisiones adoptadas con su conocimiento o participación. La incompatibilidad no deriva del cargo en abstracto, sino de la combinación de cargo, organigrama y contenido del caso concreto.
Las reglas de conflicto de interés, abstención y sustitución no son un elemento opcional del procedimiento. Son la condición de legitimidad del sistema en los casos que más importan: aquellos en los que el responsable designado tiene un vínculo con los hechos o con las personas investigadas. Sin esas reglas operativas —no declaradas en la política sino aplicadas caso a caso—, la independencia formal no protege al informante ni a la organización.
Los grupos de sociedades presentan un problema estructural adicional. La centralización del SII en la entidad dominante puede ser eficiente desde el punto de vista operativo, pero genera conflictos de independencia cuando las comunicaciones afectan a personas o hechos en la propia matriz, o cuando la instancia que decide sobre admisión, investigación y cierre es la misma que puede resultar afectada por el resultado. La Recomendación 1/2026 de la AIPI aborda esta cuestión: la centralización no puede diluir la autonomía de cada entidad ni impedir que el informante de una filial tenga garantías equivalentes a las de la matriz.
5. El sesgo estructural: cuando el sistema protege a la organización antes que al informante
Este es el problema que menos aparece en los artículos y conferencias y que probablemente más se ve en la práctica de las investigaciones internas. El Sistema Interno de Información lo diseña la empresa. La investigación la dirige la empresa o sus asesores. Las medidas correctoras las adopta la empresa. El cierre del caso lo decide la empresa.
Eso no significa que el sistema opere de mala fe. Significa que existe un sesgo estructural hacia la protección de la organización que opera con independencia de las intenciones de quienes gestionan el caso. La decisión de archivo de una denuncia que afecta a un miembro del comité directivo tiene una dinámica de toma de decisiones muy diferente a la de una denuncia que señala a un empleado de nivel medio. No necesariamente porque haya presión explícita, sino porque los mecanismos informales de protección institucional actúan de forma silenciosa y casi automática.
La Ley 2/2023 reconoce implícitamente este problema al establecer canales externos y al crear la AIPI como autoridad independiente. El informante puede acudir directamente al canal externo sin necesidad de haber agotado el interno —el legislador era consciente de que el canal interno puede no ofrecer garantías suficientes en determinados casos—. La AIPI tiene capacidad supervisora sobre el funcionamiento de los SII y puede actuar cuando el sistema interno no ha protegido adecuadamente al informante.
Para las organizaciones, esto tiene una consecuencia directa: un sistema interno que no ofrece garantías reales de protección no solo falla al informante; también falla a la organización, porque empuja las comunicaciones sensibles hacia los canales externos, donde la empresa pierde el control del proceso. La mejor razón para diseñar bien el sistema interno no es el cumplimiento legal. Es que un sistema que funciona detecta antes, corrige mejor y gestiona el riesgo dentro de la organización, con más información y más margen de actuación.
6. Lo que distingue un sistema que funciona
Un sistema formal y uno que funciona no se distinguen por la sofisticación tecnológica del canal ni por la extensión de la política. Se distinguen en cómo se toman las decisiones cuando el caso es incómodo para la Alta Dirección.
Un sistema que funciona comporta una implicación real del órgano de administración y no solo una firma en un documento:
- El responsable tiene independencia operativa acreditada caso a caso y no solo declarada en el nombramiento.
- Las reglas de conflicto de interés se aplican y no se ignoran cuando conviene.
- La evaluación de riesgo de represalia está integrada en el procedimiento de gestión, apuntando desde el primer momento y sin temor incluso aquellos riesgos que pueden tener su origen en lo mas alto de la organización.
- La confidencialidad se traduce en restricciones de acceso documentadas y en redacción cuidadosa de los informes, no en una cláusula de la política.
- Y hay un mecanismo de revisión periódica que mide el funcionamiento real: tiempos de respuesta, tipología de comunicaciones, decisiones de admisión y archivo, medidas adoptadas y aprendizajes extraídos.
¿Qué ocurre cuando llega una denuncia que afecta a alguien con poder real en la organización? Si la respuesta implica llamadas fuera de procedimiento, consultas no documentadas, decisiones de archivo sin criterio escrito o períodos de inacción que se prolongan sin justificación, el sistema no funciona. Funciona el canal, pero el sistema es otra cosa.
Conclusión
La Ley 2/2023 y la Recomendación 1/2026 de la AIPI han elevado el estándar exigible. El marco legal ya no es el problema.
El problema es la brecha entre lo que el sistema dice que hace y lo que hace cuando se le pone a prueba de verdad.
Cerrar esa brecha exige menos atención al canal y más atención al diseño organizativo. Menos procedimientos aprobados y más decisiones visibles. Menos tecnología y más gobernanza. Y, sobre todo, la honestidad de asumir que proteger al informante dentro de la propia organización es estructuralmente difícil y que es probable que en más de una ocasión fracasemos, y que esa dificultad no se resuelve con declaraciones de principios sino con un esfuerzo permanente de toda la organización y también con un poco de suerte.
Un informante que confía en el sistema interno es un activo para la organización. Un informante que no confía en él acude a la AIPI, o decide no informar. Las dos opciones son peores para la organización que haber construido un sistema que funciona.
Marco normativo y referencias
Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
AIPI, Recomendación 1/2026 para el diseño e implementación de un Sistema Interno de Información.
AEPD, Orientaciones sobre privacidad en sistemas de denuncia o whistleblowing.
UNE-ISO 37002:2021, Sistemas de gestión de denuncias de irregularidades. Directrices.
Autor: Francisco Bonatti Bonet ,Socio fundador de BONATTI COMPLIANCE y BONATTI PENAL,