Blog > Canal de denuncias | Consultoría jurídica

Canal de denuncias: implementación práctica conforme Ley 2/2023

por jonatanseo | 23 Ene, 2026

Si tienes 50 o más trabajadores, probablemente ya sepas que necesitas un canal denuncias ley 2/2023. El plazo obligatorio venció hace tiempo y la Autoridad Independiente de Protección del Informante (AIPI) ya está activa y puede sancionar. Multas de hasta 1 millón de euros para empresas que no lo implementaron o lo hicieron mal.

Pero aquí viene el problema: mucha información contradictoria sobre qué necesitas exactamente. Algunos proveedores te venden plataformas carísimas con funcionalidades que nunca vas a usar. Otros te ofrecen «canales de denuncias» que son básicamente un email genérico que incumple la mitad de requisitos legales. Y entre medias, empresarios confundidos que no saben si lo que tienen vale o si van a comer sanción.

La Ley 2/2023 de protección al informante (el whistleblowing en terminología europea) no es especialmente complicada. Tiene requisitos claros y específicos. El problema es que muchas empresas implementan canales que en apariencia funcionan pero legalmente están rotos: no garantizan confidencialidad real, no cumplen plazos de respuesta, no tienen registro adecuado, o directamente no son independientes.

Este artículo va al grano: qué te obliga exactamente la ley, qué características técnicas debe tener tu canal para cumplir de verdad, cómo gestionar denuncias paso a paso sin liarla, y qué errores legales invalidan tu canal aunque pienses que funciona.

Contenido del artículo

Obligaciones de la Ley 2/2023 para empresas con +50 trabajadores

Plazos y sanciones por incumplimiento

La Ley 2/2023 entró en vigor el 13 de febrero de 2022. Los plazos de implementación fueron:

Empresas de 250+ trabajadores: Hasta 1 de junio de 2023 Empresas de 50-249 trabajadores: Hasta 1 de diciembre de 2023

Si estamos en 2026 y todavía no lo implementaste, llevas entre dos y tres años de retraso. Y la AIPI ya puede sancionarte.

Las sanciones son serias:

Infracciones muy graves (hasta 1.000.000€):

Represalias contra el denunciante
Vulneración grave de confidencialidad
Obstaculización del sistema de información

Infracciones graves (hasta 600.000€):

No establecer el canal obligatorio
No cumplir plazos de acuse de recibo (7 días) o resolución (3 meses)
Falta de medidas de protección al informante

Infracciones leves (hasta 200.000€):

Deficiencias en el procedimiento de gestión
Documentación incompleta del sistema

No es teoría. En 2025 ya hubo empresas sancionadas por no tener canal implementado y otras por tenerlo pero incumplir plazos o confidencialidad. La AIPI está operativa y actuando.

Empresas exentas vs obligadas

La obligación no es universal. Depende del tamaño:

Obligadas:

Empresas privadas con 50 o más trabajadores (contratos laborales, no autónomos ni becarios)
Todas las administraciones públicas independientemente del tamaño
Entidades del sector financiero (aunque tengan menos de 50 trabajadores)
Empresas sujetas a normativa sobre prevención de blanqueo de capitales
Empresas con obligación de compliance penal por actividad

Exentas:

Empresas con menos de 50 trabajadores (salvo excepciones sectoriales)
Autónomos sin empleados
Comunidades de propietarios (aunque hay debate legal)

Zona gris – Grupos empresariales: Si varias empresas del mismo grupo suman 50+ trabajadores pero individualmente tienen menos, ¿están obligadas? La ley no es cristalina pero la interpretación mayoritaria: sí, si hay dirección única. Mejor implementar que arriesgarse a sanción.

Contabilización de trabajadores: Se cuentan todos los contratos laborales: indefinidos, temporales, tiempo parcial. No cuentan: autónomos, becarios no laborales, administradores sin contrato. El cálculo es a cierre del ejercicio anterior.

Importante: aunque no estés obligado, implementar un sistema interno información puede ser muy recomendable. Detectas problemas internos antes de que exploten, reduces riesgos de compliance, y mejoras cultura de transparencia.

Características técnicas canal denuncias Ley 22023

Características técnicas que debe tener tu canal de denuncias

Confidencialidad y anonimato

Este es el requisito más crítico y donde más canales fallan. La ley distingue entre confidencialidad (obligatoria) y anonimato (opcional pero recomendable):

Confidencialidad obligatoria: La identidad del denunciante solo puede conocerla el responsable del canal. No puede revelarse a nadie más sin consentimiento expreso del informante. Esto significa que el CEO, RRHH, el jefe del departamento afectado, o cualquier otro empleado NO pueden saber quién denunció.

Canales que incumplen: email corporativo genérico donde varios empleados tienen acceso, formulario web que almacena datos en servidor compartido sin cifrado, buzón físico revisado por secretaría.

Anonimato recomendable: El denunciante puede hacer la denuncia sin identificarse. El responsable del canal no sabe quién es. Esto aumenta confianza y reduce miedo a represalias.

Canales que permiten anonimato: plataformas específicas con sistemas de tickets anónimos, servicios externos especializados, software especializado con cifrado end-to-end.

Requisitos técnicos de confidencialidad:

Acceso restringido solo al responsable del canal (DPO, compliance officer, o externo)
Cifrado de comunicaciones entre denunciante y responsable
Almacenamiento seguro de denuncias con acceso trazable y limitado
Imposibilidad técnica de que terceros accedan a identidad del informante

Si tu «canal de denuncias» es canaldedenuncias@empresa.com con varios empleados teniendo acceso al buzón, estás incumpliendo. Aunque solo uno revise los emails, el sistema técnico permite que otros accedan. Eso ya es vulneración de confidencialidad.

Plazos de respuesta obligatorios

La protección informante exige plazos estrictos que NO son negociables:

7 días naturales – Acuse de recibo: Desde que se recibe la denuncia, tienes máximo 7 días para confirmar al denunciante que recibiste su comunicación. No hace falta tener toda la información, solo acusar recibo.

Incumplir este plazo es infracción sancionable. Y no vale excusas tipo «estábamos de vacaciones» o «no vimos el email». El sistema debe garantizar respuesta en plazo.

3 meses – Resolución: Desde la recepción de la denuncia, tienes máximo 3 meses para investigar y comunicar resultado al informante: qué medidas se adoptaron o por qué se archivó sin actuación.

Este plazo puede ampliarse justificadamente en casos muy complejos, pero tienes que comunicar al denunciante por qué necesitas más tiempo.

Implicaciones prácticas: Necesitas sistema que:

Registre automáticamente fecha de recepción
Genere alertas si se acerca plazo de acuse (día 5)
Genere alertas si se acerca plazo de resolución (día 75)
Permita documentar comunicaciones con fechas verificables

Un buzón de email normal no te da estas garantías. Necesitas plataforma específica o proceso muy disciplinado con registro manual riguroso.

Registro seguro de denuncias

Cada denuncia debe quedar registrada con:

Información básica:

Fecha y hora de recepción
Canal por el que se recibió (plataforma, email, teléfono, presencial)
Resumen del contenido denunciado
Identidad del denunciante (si se identifica) con nivel de confidencialidad máximo

Seguimiento del caso:

Acuse de recibo enviado (fecha, contenido)
Investigación realizada (acciones, personas contactadas, documentos revisados)
Decisión adoptada (archivo, medidas correctivas, derivación a autoridades)
Comunicación de resultado al denunciante (fecha, contenido)

Seguridad del registro:

Acceso limitado solo a responsable del canal
Trazabilidad de accesos (quién consultó qué y cuándo)
Cifrado de datos especialmente sensibles
Backup periódico con misma confidencialidad
Conservación durante 5 años mínimo

El registro no es solo para cumplir. Es tu evidencia ante la AIPI si hay inspección o reclamación del denunciante. Si no puedes demostrar que cumpliste plazos y procedimiento, la sanción es casi automática.

Timeline proceso gestión denuncias canal interno plazos Ley 22023

Gestión de denuncias: protocolo paso a paso

Recepción y acuse de recibo

Cuando llega una denuncia al sistema interno información, el protocolo debe ser:

Día 1 – Recepción:

Registrar inmediatamente en sistema (fecha, hora, contenido resumido)
Asignar número de expediente único
Evaluar preliminarmente si entra en ámbito de la ley (infracciones, irregularidades graves)
Si la denuncia es anónima, generar código de seguimiento que permita comunicación bidireccional sin revelar identidad

Días 2-7 – Acuse de recibo:

Enviar confirmación al denunciante antes de día 7
Contenido mínimo del acuse:
- Confirmación de recepción de su comunicación
- Número de expediente o código de seguimiento
- Plazo máximo de respuesta (3 meses)
- Garantías de confidencialidad
- Protección contra represalias
- Vías de contacto para ampliación o seguimiento

Errores frecuentes:

Responder «gracias por su mensaje, lo revisaremos» sin contenido específico → insuficiente
Enviar acuse genérico sin número de expediente → no permite seguimiento
Olvidar mencionar plazos o protecciones → incumplimiento formal

El acuse es más que cortesía. Es requisito legal que demuestra que el canal funciona y que el denunciante está informado de sus derechos.

Investigación interna

Una vez acusado recibo, empieza la investigación real:

Evaluación inicial (días 8-15):

Determinar gravedad y urgencia de la denuncia
Identificar a quién afecta y qué departamentos involucra
Decidir quién investiga (puede ser el responsable del canal, puede ser externo si hay conflicto de interés)
Planificar investigación: qué documentos revisar, a quién entrevistar, qué evidencias buscar

Investigación (días 15-75):

Recopilar documentación relevante
Entrevistas confidenciales con personas implicadas (sin revelar quién denunció)
Análisis de evidencias
Determinar si la denuncia tiene fundamento o no

Principios fundamentales:

Imparcialidad: Investigar sin prejuicios ni proteger a nadie por cargo
Confidencialidad: No revelar quién denunció ni difundir más de lo necesario
Proporcionalidad: Medidas adaptadas a gravedad de hechos denunciados
Contradicción: Dar oportunidad a denunciados de conocer acusaciones y defenderse

Casos especiales: Si la denuncia revela delito penal, hay que valorar comunicación a autoridades. Pero esto no exime de seguir tramitación interna y comunicar al denunciante.

Si la investigación revela que la denuncia es malintencionada (falsa a sabiendas), documentar bien porque el denunciante pierde protección legal.

Resolución y feedback

El plazo de 3 meses termina con comunicación obligatoria al denunciante:

Contenido de la resolución:

Resumen de investigación realizada (sin datos de terceros protegidos)
Decisión adoptada:
- Medidas correctivas implementadas (cambios procedimientos, formación, sanciones disciplinarias)
- Archivo por falta de fundamento (explicando por qué)
- Derivación a autoridades competentes si procede
Agradecimiento por contribuir a mejora de organización
Recordatorio de protección contra represalias

Qué NO incluir:

Identidad de personas investigadas (salvo que sea información pública)
Detalles de sanciones concretas a empleados (son datos confidenciales)
Información que vulnere privacidad de terceros

Seguimiento post-resolución:

Verificar que medidas adoptadas se implementan realmente
Monitorizar que no hay represalias contra denunciante
Revisar si hacen falta cambios adicionales de procedimientos

El feedback cierra el ciclo pero no cierra el expediente. Tienes que conservar documentación 5 años y poder demostrar que cumpliste todo el proceso.

Errores legales que invalidan tu canal de denuncias

No garantizar independencia

El canal denuncias ley 2/2023 debe ser independiente. Esto significa que el responsable del canal no puede estar subordinado a quien se denuncia:

Error típico: El canal lo gestiona RRHH o compliance interno que reporta directamente al CEO. Se denuncia al CEO por irregularidades. ¿Cómo va RRHH a investigar objetivamente a su jefe?

Soluciones:

Responsable del canal que dependa del Consejo de Administración, no de dirección ejecutiva
Canal gestionado por externo (abogado, consultor, plataforma especializada)
Comité de ética con miembros independientes

Independencia también significa:

No puede haber presión sobre el responsable del canal para resolver de cierta manera
Tiene que tener recursos suficientes para investigar (tiempo, presupuesto, acceso a documentación)
No puede haber represalias contra el responsable por hacer su trabajo

Canales sin independencia real se invalidan completamente. Aunque técnicamente funcionen, legalmente no sirven.

Represalias contra denunciantes

La ley protege al informante contra cualquier represalia. Si hay represalias, todo el sistema se invalida y las sanciones son máximas:

Represalias prohibidas:

Despido o no renovación de contrato
Modificación de condiciones laborales desfavorables
No promoción merecida
Traslado forzoso
Reducción de salario o beneficios
Evaluaciones negativas sin justificación
Formación obligatoria innecesaria
Exclusión de proyectos o reuniones
Acoso laboral o mobbing
Referencias laborales negativas

Protección extendida: No solo al denunciante. También protege a:

Personas que ayudaron al denunciante
Compañeros del denunciante si hay represalias indirectas
Familiares si hay represalias contra ellos

Inversión de carga de la prueba: Si el denunciante sufre medida desfavorable después de denunciar, la empresa tiene que demostrar que NO es represalia. El denunciante no tiene que probar que sí lo es.

Consecuencias:

Nulidad de medidas represivas (despido, traslado, etc.)
Indemnización al denunciante
Sanción administrativa millonaria a la empresa
Responsabilidad penal individual de quien ordenó represalias

Documentación insuficiente

El error más común en empresas que implementaron canal «para cumplir el expediente»:

Documentación que falta típicamente:

Procedimiento documentado de gestión de denuncias
Política de protección al denunciante aprobada y comunicada
Formación a empleados sobre existencia y uso del canal
Registro detallado de cada denuncia tramitada
Evidencias de cumplimiento de plazos
Actas de investigaciones realizadas
Comunicaciones con denunciantes con fechas verificables

Problema: Llega inspección de AIPI o reclamación de denunciante. Te piden demostrar que tu canal funciona y cumple la ley. Si no tienes documentación que lo pruebe, estás incumpliendo aunque realmente lo hagas bien.

Solución: Documentar TODO desde el principio:

Acta de aprobación del procedimiento por dirección
Comunicación a plantilla (emails, intranet, formaciones)
Registro
de cada denuncia con timeline completo
Evidencias de investigaciones (entrevistas, documentos revisados, conclusiones)
Comunicaciones con fechas certificables (emails con acuse, comunicaciones en plataforma con timestamp)

La documentación no es burocracia inútil. Es tu escudo legal ante sanciones.

Implementar bien desde el principio sale más barato

Un canal denuncias ley 2/2023 mal implementado es peor que no tenerlo. Te da falsa sensación de cumplimiento mientras acumulas incumplimientos sancionables. Cuando llegue inspección o denuncia del empleado a la AIPI, descubres que tu «canal» incumple confidencialidad, plazos, independencia, o documentación.

Implementar bien no es complicado ni carísimo. Para empresa mediana, opciones realistas:

Plataforma especializada externa: 1.500€ – 4.000€/año

Garantiza confidencialidad técnica
Gestiona plazos automáticamente
Cumple todos requisitos legales
Formación incluida
Soporte en gestión de casos

Responsable externo + sistema propio: 3.000€ – 8.000€/año

Abogado o consultor independiente gestiona canal
Sistema técnico adaptado (puede ser más simple)
Garantiza independencia real
Útil si hay muchas denuncias o temas complejos

Sistema interno bien hecho: 500€ – 2.000€ implementación inicial

Software específico (existen soluciones para pymes)
Responsable interno formado y con independencia
Procedimientos documentados
Solo viable si no hay conflictos de interés

Lo que NO funciona: email genérico, buzón de sugerencias, o «que me lo digan directamente». Eso no cumple la ley y te expone a sanciones.

¿Tu canal de denuncias cumple realmente la Ley 2/2023? En Edorteam implementamos sistemas internos información completos que garantizan confidencialidad, independencia, cumplimiento de plazos, y documentación adecuada. Nuestro servicio incluye plataforma técnica, gestión externa de denuncias, formación de plantilla, y soporte continuo en tramitación de casos.

Contacta con nosotros para una evaluación de tu canal de denuncias y asegúrate de cumplir antes de que la AIPI llame a tu puerta.

Canal denuncias Ley 22023 sistema interno información confidencial seguro

Solicita información

Síguenos en redes

Categorías del blog

Otras publicaciones relacionadas

Software DLP: evita fugas de datos que pueden hundir tu negocio en 2026

9 Ene, 2026 | Protección de datos y RGPD

Software DLP previene fugas de datos accidentales e intencionales. El 60% de fugas son evitables con monitorización automática. Protege tu información crítica ahora.

RGPD 2026: las sanciones millonarias que ninguna empresa debería pagar

26 Dic, 2025 | Protección de datos y RGPD

Sanciones RGPD 2025 alcanzan millones de euros en España. El 80% son evitables con auditorías profesionales de protección de datos. Descubre cómo proteger tu empresa.

¿Qué empresa puede ayudarme con la protección de datos en España?

17 Dic, 2025 | Protección de datos y RGPD

Cuando sabes que necesitas cumplir el RGPD, pero no sabes por dónde empezar Si eres gerente de una pyme, es habitual saber que el RGPD es obligatorio pero no tener claro qué tipo de empresa necesitas contratar. No todas las soluciones sirven para todos los negocios....