Categorías
Cumplimiento normativo

Canal de denuncias: fallos que invalidan el sistema

Implantar un canal de denuncias rápido puede ser un riesgo. Descubre los requisitos legales de la Ley 2/2023 y los fallos de confidencialidad y gestión que invalidan el sistema.

Tablet mostrando el acceso a un canal de denuncias interno en un entorno corporativo
Un sistema interno de información mal ejecutado puede generar más riesgos legales que soluciones.

Canal de denuncias: lo implanté ‘rápido’ y ahora es un riesgo (fallos que invalidan el sistema)

Como abogado especializado en cumplimiento, he visto cómo la urgencia por cumplir con la Ley 2/2023 ha llevado a muchas empresas a cometer errores de bulto. Implantar un canal de denuncias no es simplemente contratar un software, poner un enlace en la intranet y esperar a que nadie escriba. Eso es, precisamente, lo que convierte tu sistema en una bomba de relojería jurídica.

Cuando hablo con directivos que lo hicieron «rápido y corriendo», suelo decirles lo mismo: un canal de denuncias mal diseñado no solo es inútil, sino que es una prueba autoinculpatoria de que no se ha tomado en serio la protección del informante. En este artículo voy a desgranar por qué tu sistema actual podría estar invalidado y cómo corregirlo antes de que la Autoridad Independiente de Protección del Informante llame a tu puerta.

El error del software vacío: El sistema es mucho más que un enlace

El mayor fallo que detecto es creer que el «Canal» y el «Sistema Interno de Información» son lo mismo. El canal es la vía (el buzón, el software, el teléfono), pero el Sistema es el conjunto de políticas, procedimientos y responsables que le dan validez legal.

Si has instalado una herramienta pero no tienes una Política del Sistema aprobada por el consejo de administración y una Estrategia clara de comunicación, tu sistema no existe legalmente. El artículo 5 de la Ley 2/2023 es taxativo: el sistema debe integrar todos los canales internos y debe contar con un procedimiento de gestión de informaciones riguroso.

La figura del Responsable del Sistema: ¿Quién vigila al vigilante?

Muchas pymes cometen el error de nombrar Responsable del Sistema al Director de Recursos Humanos o al Gerente, sin más. El artículo 13 de la Ley 2/2023 exige que este cargo sea desempeñado por un directivo de la entidad, pero con una condición sagrada: debe actuar con independencia y autonomía respecto al resto de los órganos de la entidad.

Si el Responsable del Sistema es alguien que puede tener un conflicto de interés directo en las denuncias (como el jefe de personal si se denuncia acoso laboral), el sistema queda invalidado por falta de imparcialidad. En grupos de empresas, el Responsable puede ser único para todo el grupo, pero debe estar debidamente formalizado ante la autoridad competente.

Confidencialidad vs. Anonimato: El laberinto del RGPD

Este es el punto donde la AEPD suele poner el foco. El sistema debe garantizar que el informante pueda presentar denuncias de forma anónima si así lo desea. Sin embargo, si decide identificarse, debes garantizar una confidencialidad absoluta.

El fallo típico es que los datos de la denuncia acaben siendo accesibles por personal de informática o por secretaría. El sistema debe asegurar que el acceso a la información sea restringido únicamente al Responsable del Sistema y a quienes sean estrictamente necesarios para la investigación. Si la identidad del denunciante se filtra por una mala configuración técnica, la empresa se enfrenta a sanciones gravísimas por vulnerar el RGPD y la Ley de Protección del Informante.

Los plazos de gestión: El silencio administrativo no es una opción

La ley marca unos tiempos que no son orientativos, son obligatorios:

  • 7 días naturales para enviar el acuse de recibo al informante.
  • 3 meses como máximo para dar respuesta a las actuaciones de investigación (ampliables a otros 3 en casos complejos).

Si tu sistema no tiene una trazabilidad clara de estos plazos, o si las denuncias se quedan «en el limbo» sin una resolución formal, el sistema es defectuoso. Cada comunicación debe ser registrada en un libro-registro que garantice la integridad de la información.

El peligro de las represalias: Por qué el sistema debe ser un escudo

El objetivo último de la Ley 2/2023 es que nadie tenga miedo a denunciar corrupción o infracciones graves. El fallo que invalida todo el esfuerzo es no tener medidas claras de protección frente a represalias. Si un empleado denuncia y, a los pocos días, ve modificadas sus condiciones laborales o sufre aislamiento sin que el sistema haya activado protocolos de protección, la empresa será responsable directa.

Cómo validar tu canal de denuncias hoy mismo

Para que tu canal deje de ser un riesgo y pase a ser una herramienta de cumplimiento real, debes auditar los siguientes puntos:

  1. Aprobación formal: ¿Existe un acta del órgano de administración aprobando el sistema y nombrando al responsable?
  2. Información transparente: ¿Está el canal en un lugar visible de la web y los empleados han recibido formación/información sobre su uso?
  3. Procedimiento de investigación: ¿Tienes por escrito cómo se investiga, quién interviene y cómo se garantiza el derecho de defensa del denunciado?
  4. Minimización de datos: ¿Recopilas solo los datos necesarios o pides información excesiva que vulnera el RGPD?

No esperes a que una denuncia mal gestionada se convierta en una demanda judicial o en una sanción de la autoridad. El cumplimiento normativo es cuestión de detalle, rigor y, sobre todo, de no intentar tomar atajos cuando la ley exige profesionalidad.

Logo Chat

NOMBRE CLIENTE

Chat

-
Logotipo de whatsapp

¡Hola! Bienvenido a , ¿Qué necesita?

Botón de WhatsApp