Los fallos que la Ley 2\/2023 no resuelve sola<\/p>\n
Hay organizaciones que tienen canal de denuncia, pol\u00edtica aprobada por el \u00f3rgano de administraci\u00f3n y procedimiento de gesti\u00f3n formalmente vigente. Lo tienen todo en orden. Y, sin embargo, cuando llega la denuncia que de verdad importa \u2014la que se\u00f1ala a un directivo, la que afecta a un \u00e1rea de negocio nuclear, la que genera incomodidad real\u2014, el informante termina identificado, presionado o represaliado. No porque el canal fallara t\u00e9cnicamente. Sino porque el sistema realmente no fue dise\u00f1ado para protegerle.<\/p>\n
De eso hablaremos en este art\u00edculo. No de la ausencia de marco legal \u2014que existe y es exigente\u2014 sino de la brecha que puede existir entre lo que el sistema dice que hace y lo que hace cuando se le pone a prueba. Una brecha que la Ley 2\/2023 no cierra por s\u00ed sola, y que la Recomendaci\u00f3n 1\/2026 de la Autoridad Independiente de Protecci\u00f3n del Informante (AIPI) pretende estrechar.<\/p>\n
La Ley 2\/2023 define el Sistema Interno de Informaci\u00f3n (SII) como el conjunto formado por el canal, el responsable y el procedimiento de gesti\u00f3n. El canal es solo el medio por el que se recibe la comunicaci\u00f3n. El SII es todo lo que permite recibirla, evaluarla, investigarla, proteger al informante durante ese proceso y cerrar el caso con seguridad jur\u00eddica y operativa.<\/p>\n
En la pr\u00e1ctica, sin embargo \u2013 seguramente por falta de madurez o porque es una norma con poco recorrido hist\u00f3rico- el enfoque mayoritario sigue siendo muy minimalista: contratar una plataforma SaaS de canal de denuncias y centrar el trabajo en la gesti\u00f3n de la comunicaci\u00f3n.<\/p>\n
La Recomendaci\u00f3n 1\/2026 de la AIPI pretende corregir ese planteamiento. Su mensaje es m\u00e1s claro: el SII no es un producto tecnol\u00f3gico; es una estructura organizativa.<\/strong> Y como tal, exige aprobaci\u00f3n formal por el \u00f3rgano de administraci\u00f3n, una pol\u00edtica interna explicita y a la vez comprensible para sus destinatarios reales, procedimientos detallados y operativos, un responsable con independencia funcional real y mecanismos de revisi\u00f3n peri\u00f3dica.<\/p>\n La diferencia entre ambos enfoques se hace visible con en el primer caso sensible. Cuando la denuncia afecta a alguien con poder en la organizaci\u00f3n, una empresa que solo tiene canal descubre que nadie sabe con certeza qui\u00e9n gestiona, con qu\u00e9 criterios se admite o archiva, qu\u00e9 ocurre si el responsable designado tiene conflicto de inter\u00e9s, o c\u00f3mo se toman decisiones sobre medidas cautelares. El procedimiento no exist\u00eda realmente: exist\u00eda el formulario.<\/p>\n <\/p>\n <\/p>\n La confidencialidad es la garant\u00eda m\u00e1s citada y la m\u00e1s dif\u00edcil de implementar bien. La Ley 2\/2023 la exige respecto de la identidad del informante, de los terceros mencionados y de las actuaciones de gesti\u00f3n. Incluirla en la pol\u00edtica es f\u00e1cil. El problema aparece cuando la identidad del informante se revela sin que nadie lo haya decidido expl\u00edcitamente a trav\u00e9s de lo que denominamos la \u201cidentificaci\u00f3n indirecta\u201d.<\/p>\n La identificaci\u00f3n indirecta es el vector de riesgo m\u00e1s frecuente y el menos atendido. No es que alguien entregue el nombre. Es que el procedimiento de investigaci\u00f3n acaba describiendo con suficiente detalle el contexto, la cronolog\u00eda y el \u00e1rea afectada como para que cualquier persona con conocimiento interno pueda llegar a deducir qui\u00e9n denunci\u00f3.<\/strong> En equipos peque\u00f1os, en \u00e1reas con pocas personas con acceso a esa informaci\u00f3n, en denuncias que describen reuniones a las que solo asistieron tres personas, la confidencialidad formal no protege nada.<\/p>\n Un dise\u00f1o operativo riguroso debe contemplar los vectores reales de exposici\u00f3n: los metadatos de los documentos; los accesos al expediente; la redacci\u00f3n adecuada de los informes internos; la circulaci\u00f3n imprudente o invertida \u00a0de la informaci\u00f3n por conversaciones en espacios no controlados o por comunicaciones informales de quienes gestionan el caso, que son con frecuencia el canal de filtraci\u00f3n m\u00e1s dif\u00edcil de controlar.<\/p>\n La AEPD ha fijado con claridad los requisitos de tratamiento de datos en los sistemas de denuncia: minimizaci\u00f3n en la recogida, restricci\u00f3n de accesos al personal de control interno o compliance, plazo m\u00e1ximo de conservaci\u00f3n de tres meses salvo derivaci\u00f3n a procedimientos disciplinarios o judiciales, y garant\u00eda de los derechos del denunciado sin revelar la identidad del informante. Que esos criterios est\u00e9n publicados no significa que se implementen y menos con eficacia. En muchas organizaciones, los expedientes de denuncia son accesibles a un n\u00famero de personas muy superior al necesario, se conservan indefinidamente por precauci\u00f3n o miedo a posibles sanciones y no est\u00e1n sujetos a un control riguroso de acceso documentado.<\/p>\n El anonimato a\u00f1ade un nivel adicional de complejidad t\u00e9cnica que pocas organizaciones resuelven correctamente. El problema operativo es que un canal que acepta denuncias an\u00f3nimas no permita una comunicaci\u00f3n an\u00f3nima bidireccional, <\/strong>de modo que el informante an\u00f3nimo no puede recibir el acuse de recibo legal, ni responder a solicitudes de informaci\u00f3n adicional, ni conocer el resultado dentro del plazo legalmente establecido.<\/p>\n La Ley 2\/2023 proh\u00edbe expresamente las represalias, incluidas amenazas y tentativas, contra quienes presenten comunicaciones conforme a la norma. La Directiva (UE) 2019\/1937, que la ley transpone, enumera un cat\u00e1logo amplio de conductas represivas: despido, degradaci\u00f3n, cambio de funciones, evaluaci\u00f3n negativa, acoso, ostracismo, da\u00f1os reputacionales, inclusi\u00f3n en listas negras, no renovaci\u00f3n contractual.<\/p>\n El problema pr\u00e1ctico es que ninguna de esas formas de represalia aparece documentada como tal. En el expediente de personal, la reorganizaci\u00f3n que suprimi\u00f3 el puesto del informante es una decisi\u00f3n de eficiencia operativa. La evaluaci\u00f3n de desempe\u00f1o que baj\u00f3 dos puntos es el resultado de un ciclo de valoraci\u00f3n con criterios objetivos. La exclusi\u00f3n de los proyectos clave es una decisi\u00f3n de asignaci\u00f3n de recursos.<\/strong> El patr\u00f3n solo es visible si alguien lo busca activamente, lo documenta con trazabilidad y una referencia temporal adecuada en relaci\u00f3n con la denuncia, y analiza la coincidencia de las decisiones estableciendo una relaci\u00f3n causa-efecto.<\/p>\n Esta dificultad se incrementar\u00e1 a medida que los sistemas internos de informaci\u00f3n sean m\u00e1s conocidos en las organizaciones y las represalias se vuelvan m\u00e1s sutiles y \u00a0sofisticadas.<\/p>\n La inversi\u00f3n de la carga de la prueba que establece la ley \u2014es la empresa quien debe acreditar que las medidas adoptadas no responden a la denuncia\u2014 ayuda en sede judicial, pero no resuelve nada dentro de la organizaci\u00f3n. Ah\u00ed, durante la investigaci\u00f3n, el responsable del SII no es un juez que eval\u00faa un hecho ya consumado, es un guardi\u00e1n que debe intentar anticipar y prevenir por donde puede generarse la represalia, y el informante es alguien\u00a0 queda a la espera de que no le ocurra nada malo.<\/p>\n La medida m\u00e1s eficaz contra el riesgo de represalia no es la declaraci\u00f3n de pol\u00edtica. Es la evaluaci\u00f3n de riesgo por caso, desde el momento en que se recibe la comunicaci\u00f3n. Esa evaluaci\u00f3n debe contemplar: qui\u00e9n conoce que existe la denuncia y en qu\u00e9 momento; cu\u00e1l es la relaci\u00f3n jer\u00e1rquica del informante con las personas potencialmente afectadas; qu\u00e9 decisiones laborales, contractuales o comerciales relevantes est\u00e1n pendientes que puedan verse influidas; y qu\u00e9 cambios organizativos se han producido o est\u00e1n previstos en la unidad durante el per\u00edodo de investigaci\u00f3n.<\/p>\n Con esa evaluaci\u00f3n como base, el procedimiento debe prever medidas concretas: restricci\u00f3n estricta del conocimiento de la identidad, instrucciones expl\u00edcitas de no interferencia, seguimiento activo de decisiones sensibles que afecten al informante durante y despu\u00e9s de la investigaci\u00f3n, y documentaci\u00f3n de cualquier cambio que se produzca en su situaci\u00f3n laboral o contractual. No como garant\u00eda absoluta, sino como evidencia de que la organizaci\u00f3n gestion\u00f3 el riesgo con diligencia.<\/p>\n La Ley 2\/2023 exige que el Responsable del Sistema Interno de Informaci\u00f3n act\u00fae de forma independiente y aut\u00f3noma, sin recibir instrucciones en el ejercicio de sus funciones. Es un est\u00e1ndar funcional, no org\u00e1nico. No dice en qu\u00e9 posici\u00f3n del organigrama debe estar; dice c\u00f3mo debe actuar.<\/p>\n En la pr\u00e1ctica, la independencia funcional es altamente compleja de conseguir en peque\u00f1as y medianas organizaciones e incompatible con ciertos modelos de nombramiento que se han normalizado sin que nadie los haya cuestionado en serio todav\u00eda. El Director de Recursos Humanos no puede ser independiente cuando la denuncia describe conductas en su propia \u00e1rea. El Director Jur\u00eddico no puede serlo cuando ha asesorado decisiones que ahora son objeto de investigaci\u00f3n. El propio Compliance Officer no puede serlo cuando la denuncia apunta a decisiones adoptadas con su conocimiento o participaci\u00f3n.<\/strong> La incompatibilidad no deriva del cargo en abstracto, sino de la combinaci\u00f3n de cargo, organigrama y contenido del caso concreto.<\/p>\n Las reglas de conflicto de inter\u00e9s, abstenci\u00f3n y sustituci\u00f3n no son un elemento opcional del procedimiento. Son la condici\u00f3n de legitimidad del sistema en los casos que m\u00e1s importan: aquellos en los que el responsable designado tiene un v\u00ednculo con los hechos o con las personas investigadas. Sin esas reglas operativas \u2014no declaradas en la pol\u00edtica sino aplicadas caso a caso\u2014, la independencia formal no protege al informante ni a la organizaci\u00f3n.<\/p>\n Los grupos de sociedades presentan un problema estructural adicional. La centralizaci\u00f3n del SII en la entidad dominante puede ser eficiente desde el punto de vista operativo, pero genera conflictos de independencia cuando las comunicaciones afectan a personas o hechos en la propia matriz, o cuando la instancia que decide sobre admisi\u00f3n, investigaci\u00f3n y cierre es la misma que puede resultar afectada por el resultado. La Recomendaci\u00f3n 1\/2026 de la AIPI aborda esta cuesti\u00f3n: la centralizaci\u00f3n no puede diluir la autonom\u00eda de cada entidad ni impedir que el informante de una filial tenga garant\u00edas equivalentes a las de la matriz.<\/p>\n Este es el problema que menos aparece en los art\u00edculos y conferencias y que probablemente m\u00e1s se ve en la pr\u00e1ctica de las investigaciones internas. El Sistema Interno de Informaci\u00f3n lo dise\u00f1a la empresa. La investigaci\u00f3n la dirige la empresa o sus asesores. Las medidas correctoras las adopta la empresa. El cierre del caso lo decide la empresa.<\/p>\n Eso no significa que el sistema opere de mala fe. Significa que existe un sesgo estructural hacia la protecci\u00f3n de la organizaci\u00f3n que opera con independencia de las intenciones de quienes gestionan el caso.<\/strong> La decisi\u00f3n de archivo de una denuncia que afecta a un miembro del comit\u00e9 directivo tiene una din\u00e1mica de toma de decisiones muy diferente a la de una denuncia que se\u00f1ala a un empleado de nivel medio. No necesariamente porque haya presi\u00f3n expl\u00edcita, sino porque los mecanismos informales de protecci\u00f3n institucional act\u00faan de forma silenciosa y casi autom\u00e1tica.<\/p>\n La Ley 2\/2023 reconoce impl\u00edcitamente este problema al establecer canales externos y al crear la AIPI como autoridad independiente. El informante puede acudir directamente al canal externo sin necesidad de haber agotado el interno \u2014el legislador era consciente de que el canal interno puede no ofrecer garant\u00edas suficientes en determinados casos\u2014. La AIPI tiene capacidad supervisora sobre el funcionamiento de los SII y puede actuar cuando el sistema interno no ha protegido adecuadamente al informante.<\/p>\n Para las organizaciones, esto tiene una consecuencia directa: un sistema interno que no ofrece garant\u00edas reales de protecci\u00f3n no solo falla al informante; tambi\u00e9n falla a la organizaci\u00f3n, porque empuja las comunicaciones sensibles hacia los canales externos, donde la empresa pierde el control del proceso. La mejor raz\u00f3n para dise\u00f1ar bien el sistema interno no es el cumplimiento legal. Es que un sistema que funciona detecta antes, corrige mejor y gestiona el riesgo dentro de la organizaci\u00f3n, con m\u00e1s informaci\u00f3n y m\u00e1s margen de actuaci\u00f3n.<\/p>\n Un sistema formal y uno que funciona no se distinguen por la sofisticaci\u00f3n tecnol\u00f3gica del canal ni por la extensi\u00f3n de la pol\u00edtica. Se distinguen en c\u00f3mo se toman las decisiones cuando el caso es inc\u00f3modo para la Alta Direcci\u00f3n.<\/p>\n Un sistema que funciona comporta una implicaci\u00f3n real del \u00f3rgano de administraci\u00f3n y no solo una firma en un documento:<\/p>\n \u00bfQu\u00e9 ocurre cuando llega una denuncia que afecta a alguien con poder real en la organizaci\u00f3n?<\/strong> Si la respuesta implica llamadas fuera de procedimiento, consultas no documentadas, decisiones de archivo sin criterio escrito o per\u00edodos de inacci\u00f3n que se prolongan sin justificaci\u00f3n, el sistema no funciona. Funciona el canal, pero el sistema es otra cosa.<\/p>\n2. La confidencialidad como problema operativo, no formal<\/h2>\n
3. La represalia que no aparece en el expediente<\/h2>\n
4. La independencia del Responsable: del est\u00e1ndar legal a la realidad organizativa<\/h2>\n
5. El sesgo estructural: cuando el sistema protege a la organizaci\u00f3n antes que al informante<\/h2>\n
6. Lo que distingue un sistema que funciona<\/h2>\n
\n