Prueba gratis

Normativa

Canal de denuncias obligatorio: ¿afecta a tu pyme?

La Ley 2/2023 obliga a empresas de más de 50 empleados a tener canal de denuncias. Te explicamos qué tener montado y cómo cumplir.

Saúl García · Cofundador y co-CEO 5 min de lectura

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (BOE-A-2023-4513) traspuso al ordenamiento español la Directiva (UE) 2019/1937, conocida popularmente como Directiva Whistleblowing. Lleva ya más de tres años en vigor y, sin embargo, sigue siendo una de las normas peor conocidas y peor cumplidas por las pymes españolas. Si tienes 50 trabajadores o más, opera en sectores regulados o gestionas una entidad del sector público, esta guía te interesa.

El espíritu de la ley es claro: proteger a quien, dentro de su contexto laboral o profesional, detecte y comunique infracciones graves o muy graves del Derecho de la Unión o del ordenamiento jurídico interno (corrupción, fraude fiscal, blanqueo, conflictos de interés, malas prácticas medioambientales, vulneraciones laborales, etc.). Para ello obliga a habilitar un canal interno de información (Sistema Interno de Información o SII), regula sus garantías y crea la Autoridad Independiente de Protección del Informante (A.A.I.) como instancia externa.

¿Quién está obligado a tener canal de denuncias?

  • Empresas privadas con 50 o más trabajadores, sea cual sea su sector o forma jurídica.
  • Entidades del sector público: Administración General del Estado, comunidades autónomas, entidades locales, organismos autónomos, agencias, consorcios, fundaciones del sector público, universidades, etc.
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que reciban fondos públicos.
  • Empresas reguladas en sectores específicos (servicios financieros, prevención de blanqueo de capitales, seguridad del transporte, protección del medio ambiente) con independencia del número de trabajadores.

Las empresas de entre 50 y 249 trabajadores pueden compartir medios y recursos con otras del grupo o con un proveedor externo, siempre que se garantice la independencia de la persona responsable y la confidencialidad.

Plazos de implantación

Aunque la ley está en vigor, conviene tener claras las fechas que dispararon la obligación:

  • 13 de junio de 2023: empresas privadas de 250 o más trabajadores y todas las entidades del sector público.
  • 1 de diciembre de 2023: empresas privadas de entre 50 y 249 trabajadores.
  • Cualquier empresa que cruce el umbral de 50 trabajadores con posterioridad debe disponer del canal en un plazo razonable desde que se alcanza esa plantilla.

Cómo debe ser el canal interno (SII)

La ley fija unos mínimos no negociables:

  1. Múltiples vías de comunicación: el canal debe permitir comunicaciones por escrito, verbalmente (teléfono o sistema de mensajería de voz) o ambas; también una reunión presencial a petición del informante en un plazo máximo de 7 días.
  2. Confidencialidad y posibilidad de anonimato: la identidad del informante, de los afectados y de los terceros mencionados debe estar protegida. Las comunicaciones anónimas son admisibles y deben tramitarse igual que las identificadas.
  3. Acuse de recibo: en un plazo máximo de 7 días naturales desde la recepción.
  4. Plazo máximo de respuesta motivada: 3 meses desde el acuse de recibo, prorrogable a otros 3 meses en casos de especial complejidad.
  5. Responsable del Sistema: debe nombrarse un Responsable del Sistema (persona física), comunicado a la A.A.I., con autonomía funcional y dedicación suficiente, y desarrollar sus funciones con independencia.
  6. Procedimiento de gestión: política aprobada por el órgano de administración, registro confidencial de informaciones (libro registro), formación específica al responsable.
  7. Garantía de indemnidad: prohibición expresa de represalias (despidos, traslados, denegación de promoción, cambios de funciones, evaluaciones negativas, listas negras, etc.) durante al menos los 2 años posteriores a la comunicación.

El canal externo y la A.A.I.

Junto al canal interno existe un canal externo ante la Autoridad Independiente de Protección del Informante (A.A.I.) o las autoridades autonómicas equivalentes. El informante puede acudir directamente al canal externo si así lo prefiere o si considera que el canal interno no es eficaz. La A.A.I. tiene competencias para investigar, sancionar represalias y proteger al informante incluso con medidas cautelares.

Régimen sancionador

La Ley 2/2023 establece un régimen sancionador severo. Las infracciones se clasifican en leves, graves y muy graves:

  • Infracciones leves: multas de 1.001 € a 10.000 € para personas físicas y de 100.001 € a 600.000 € para personas jurídicas.
  • Infracciones graves: hasta 30.000 € (físicas) y hasta 600.000 € (jurídicas).
  • Infracciones muy graves: hasta 300.000 € para personas físicas y hasta 1.000.000 € para personas jurídicas. Además pueden imponerse sanciones accesorias: prohibición de obtener subvenciones, prohibición de contratar con el sector público hasta 3 años y publicación de la sanción en el BOE.

Constituyen infracciones muy graves, entre otras: las represalias contra el informante, el incumplimiento de la obligación de mantener un Sistema Interno de Información cuando se está obligado, la vulneración del deber de confidencialidad y la obstrucción a la investigación de la A.A.I.

Checklist mínimo para cumplir

  1. Aprobar por el órgano de administración la política del Sistema Interno de Información.
  2. Designar un Responsable del Sistema y comunicarlo a la A.A.I.
  3. Habilitar al menos una vía escrita y otra verbal de recepción.
  4. Publicar información clara y visible en la web corporativa y en los canales de comunicación interna.
  5. Establecer el libro-registro de informaciones (con borrado a los 3 meses si no procede investigación).
  6. Formar al Responsable y a los miembros del comité de instrucción.
  7. Adaptar el Registro de Actividades de Tratamiento (RGPD) y la evaluación de impacto si aplica.
  8. Coordinar con el sistema de prevención penal (Compliance) y con la representación legal de los trabajadores.

Errores que vemos a diario en pymes

  • Confundir un buzón genérico de "sugerencias" con un canal conforme a la Ley 2/2023.
  • Designar como responsable al CEO o al jefe de RRHH (riesgo evidente de conflicto).
  • No permitir el anonimato.
  • No formalizar el procedimiento por escrito ni publicarlo.
  • Subcontratar el canal sin firmar contrato de encargado del tratamiento ni cláusulas de confidencialidad.

Cómo lo resuelve Beply

El canal de denuncias debe convivir con el resto de tu compliance: protección de datos, prevención penal, información laboral. En Beply lo integramos con el resto de tu gestión:

  • Plantillas de política de Sistema Interno de Información, designación de responsable y procedimiento adaptables a tu plantilla.
  • Repositorio documental con control de versiones y registro de accesos compatible con el deber de confidencialidad.
  • Trazabilidad y firma electrónica de comunicaciones internas a través de nuestras integraciones.
  • Coordinación con tu asesoría laboral para ajustar el régimen disciplinario y los protocolos de no represalia.

Si quieres ver un proyecto tipo de implantación adaptado a tu sector, habla con nuestro equipo o consulta los planes de Beply: te ayudamos a montar el canal interno y a conectarlo con el resto de procesos para que el cumplimiento no sea un silo más.

#whistleblowing#compliance#ley-2-2023#denuncias
Compartir:

¿Te ha resultado útil esta página?

¿Aún tienes dudas?

Habla con nuestro equipo y te resolvemos cualquier duda al instante.