Mejores prácticas para un canal de denuncias anónimo y seguro

por | 18 Jul, 2024

La Ley 2/2023, de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, establece requisitos concretos sobre cómo debe funcionar ese canal: qué garantías de anonimato tiene que ofrecer, en qué plazos hay que responder y qué está prohibido hacer con la información del denunciante. Cumplirlos en papel es relativamente fácil. Construir un sistema que garantice la seguridad de la información que custodia y que los empleados utilicen de verdad porque confían en él es otra cosa.

En este artículo recogemos las prácticas técnicas, legales y de gestión que distinguen un canal de denuncias que funciona de uno que solo existe para marcar la casilla del cumplimiento normativo.

¿Qué exige la Ley 2/2023 sobre anonimato?

El artículo 24 de la Ley 2/2023 establece que el sistema de información interna debe permitir que las personas informen tanto identificándose como de forma anónima. No es una opción que la empresa pueda o no habilitar — es un requisito. El informante decide si quiere revelar su identidad o no, y el sistema tiene que estar preparado para ambos escenarios.

Además de permitir la comunicación anónima inicial, la ley exige que el canal mantenga la posibilidad de comunicación bidireccional aunque el denunciante haya optado por el anonimato. En la práctica, esto significa que la plataforma tiene que generar un código de caso único que permite al gestor solicitar información adicional y al denunciante responder, sin que en ningún momento quede registrada la identidad de quien informa.

Otros plazos y obligaciones que la norma fija de forma expresa:

  • 7 días hábiles para acusar recibo de la comunicación al informante.
  • 3 meses (prorrogables a 6 en casos complejos) para comunicar las actuaciones previstas o adoptadas.
  • El responsable del sistema no puede ser la misma persona que gestiona los recursos humanos de los denunciados, para evitar conflictos de interés.
  • Las comunicaciones y la identidad del informante solo pueden revelarse a la autoridad judicial o a la Fiscalía, y en ningún otro caso.

El artículo 32 prohíbe de forma expresa cualquier medida de represalia contra el informante: despido, degradación, cambio de condiciones laborales, presiones, listas negras o cualquier trato desfavorable derivado de haber presentado una denuncia de buena fe. Las infracciones en este punto son de las más graves que recoge la ley.

Consecuencias de no tenerlo o tenerlo mal implantado

Las sanciones de la Ley 2/2023 las impone la AIPI (Autoridad Independiente de Protección del Informante), el organismo supervisor creado por la propia ley y que comenzó a operar con plena capacidad en febrero de 2026, cuando se abrió el Registro de Sistemas Internos de Información (RSII).

El régimen sancionador distingue tres niveles:

  • Infracciones leves: hasta 100.000 € para personas jurídicas.
  • Infracciones graves: hasta 300.000 € para personas jurídicas. Entre ellas, obstaculizar las investigaciones, incumplir los plazos de respuesta o no disponer de canal cuando hay obligación.
  • Infracciones muy graves: hasta 1.000.000 € para personas jurídicas. Están en este nivel las represalias contra informantes, revelar su identidad sin autorización judicial o impedir activamente que puedan comunicar infracciones.

Más allá de las sanciones económicas, la ausencia de un canal operativo en una empresa obligada genera responsabilidad corporativa frente a los propios empleados y puede agravar la responsabilidad penal de los administradores en casos de corrupción o fraude que no se detectaron a tiempo precisamente porque no existía un mecanismo de comunicación interna.

Medidas técnicas para un canal de denuncias verdaderamente anónimo

La mayoría de las filtraciones de identidad en canales de denuncias no ocurren porque alguien abra la base de datos — ocurren por fallos técnicos evitables: metadatos de archivos adjuntos, logs de acceso al servidor, registros de correo electrónico o simplemente porque la «plataforma de denuncias» es un formulario de contacto genérico que guarda la IP del remitente.

Estas son las medidas técnicas que debe garantizar el mejor canal de denuncias:

Cifrado de extremo a extremo

Toda la comunicación entre el informante y el gestor del canal debe estar cifrada con protocolos actualizados (TLS 1.3 para el transporte, AES-256 para el almacenamiento). El proveedor de la plataforma no debe poder acceder al contenido de las comunicaciones en texto claro.

Sin registro de IP ni metadatos identificativos

La plataforma no debe registrar la dirección IP del informante, el User-Agent del navegador ni ningún otro metadato que pueda usarse para identificarlo. Algunas plataformas permiten acceder al canal a través de la red Tor para añadir una capa adicional de anonimato.

Gestión de documentos adjuntos con saneamiento de metadatos

Los archivos que adjunta el denunciante (capturas, documentos, PDFs) contienen metadatos que pueden revelar el dispositivo, el usuario de Windows o la ubicación donde se creó el archivo. Un canal serio elimina o sanea esos metadatos antes de que lleguen al gestor.

Separación de roles y control de acceso

Solo las personas explícitamente designadas como gestoras del canal pueden acceder a las comunicaciones. El departamento de IT, los administradores de sistemas y la dirección general no deben tener acceso técnico al contenido de las denuncias, aunque tengan acceso al servidor donde está alojada la plataforma.

Autenticación multifactor para los gestores

El acceso al panel de gestión debe requerir, como mínimo, doble factor de autenticación. Una credencial comprometida no puede dar acceso a toda la bandeja de denuncias.

Registro de auditoría inmutable

Todas las acciones sobre una denuncia (lectura, cambio de estado, descarga de adjuntos, respuesta al informante) deben quedar registradas con marca temporal en un log que no pueda modificarse retroactivamente. Esto es relevante tanto para la rendición de cuentas interna como para demostrar ante la AIPI que el proceso se gestionó correctamente.

Prácticas de gestión que determinan si el canal se usa o no

El mejor canal de denuncias desde el punto de vista técnico puede quedar en desuso si la gestión interna no genera confianza. Los estudios de cumplimiento normativo coinciden en que la razón número uno por la que los empleados no usan el canal no es que no exista, sino que no creen que vaya a servir de nada o temen las consecuencias.

Designar un gestor independiente

La persona responsable de gestionar las denuncias no debe tener relación directa con los departamentos o personas que habitualmente son objeto de denuncia. En muchas empresas medianas, esta función se externaliza a un consultor o despacho externo precisamente para garantizar esa independencia y que el informante lo perciba así.

Comunicar internamente que el canal existe y cómo funciona

Un canal que nadie conoce no cumple su función. La empresa debe informar a toda la plantilla de la existencia del canal, de las garantías de anonimato que ofrece y del procedimiento que sigue cada denuncia. Esta comunicación debe renovarse periódicamente, no hacerse solo en el momento de la implantación.

Respetar los plazos de la ley

Los 7 días para acusar recibo y los 3 meses para comunicar actuaciones no son orientativos. Incumplirlos es una infracción grave. Además, un canal que no responde dentro del plazo transmite exactamente el mensaje contrario al que se pretende: que las denuncias no van a ningún lado.

Gestionar el seguimiento con el código de caso

Si el gestor necesita más información para investigar una denuncia anónima, la única vía correcta es usar el sistema de mensajería bidireccional del canal, referenciando el código de caso. No se puede intentar identificar al denunciante a través de otras vías para «facilitar la investigación» — esto es exactamente la conducta que el artículo 32 prohíbe.

Documentar las decisiones de archivo

Cuando una denuncia se archiva sin actuación, la decisión debe quedar documentada con los motivos. Si posteriormente se investiga el proceso, la ausencia de documentación puede interpretarse como negligencia o encubrimiento.

Checklist: ¿qué debe tener un canal de denuncias conforme a la Ley 2/2023?

Antes de validar que el canal de tu empresa cumple la normativa, comprueba que responde afirmativamente a todos estos puntos:

☑ Permite comunicaciones tanto identificadas como anónimas (art. 24 Ley 2/2023).
☑ Dispone de sistema de comunicación bidireccional que preserva el anonimato mediante código de caso.
☑ No registra la IP ni metadatos identificativos del informante.
☑ Los adjuntos pasan por un proceso de saneamiento de metadatos.
☑ El acceso al panel de gestión está protegido de accesos no autorizados.
☑ Las comunicaciones están cifradas en tránsito y en reposo.
☑ Solo acceden al canal los gestores expresamente designados.
☑ Existe un libro-registro inmutable de todas las acciones sobre cada expediente.
☑ El gestor designado es independiente de los departamentos o personas denunciadas.
☑ Existe un procedimiento documentado que garantiza el acuse de recibo en 7 días hábiles.
☑ La empresa tiene registrado el sistema ante la AIPI en el RSII (obligatorio desde febrero de 2026).
☑ Toda la plantilla conoce la existencia del canal y sus garantías.

Si alguno de estos puntos no puede marcarse, el canal tiene una brecha de cumplimiento. ¿Sabías que el Canal de Denuncias de Edorteam, además, está certificado con la ISO 27001 y el ENS? Contacta ahora con nuestros consultores sin compromiso.

Preguntas frecuentes

¿El canal de denuncias puede ser 100% anónimo?

Depende de la plataforma. Un formulario genérico de contacto, un correo electrónico o un buzón físico no garantizan el anonimato. El mejor canal de denuncias desde el punto de vista del anonimato es una plataforma especializada que no registre la IP del informante, sanee los metadatos de los archivos y permita comunicación bidireccional sin revelar la identidad. La Ley 2/2023 exige que el sistema permita la comunicación anónima, pero no especifica la tecnología — la responsabilidad de garantizarlo recae en la empresa.

¿Está obligada mi empresa a tener canal de denuncias?

Sí, si tienes 50 o más trabajadores. También están obligadas las administraciones públicas con independencia de su tamaño, los partidos políticos, los colegios profesionales, los sindicatos y las fundaciones que reciban financiación pública, así como también aquellas organizaciones obligadas por la LPBC-FT, como las gestorías, asesorías, despachos de abogados, empresas del sector del lujo, entre otras. Para empresas de entre 50 y 249 trabajadores, la Ley 2/2023 permitió en su momento compartir canal entre varias empresas de un mismo grupo.

¿Qué diferencia hay entre un canal de denuncias y un buzón de sugerencias?

Son instrumentos distintos con finalidades distintas. El buzón de sugerencias es voluntario, no está regulado y no genera obligaciones de respuesta ni de confidencialidad. El canal de denuncias es un sistema regulado, con plazos legales, garantías de anonimato, prohibición de represalias y supervisión por parte de la AIPI. Usar un buzón de sugerencias como sustituto del canal de denuncias no cumple con la Ley 2/2023.

¿Puede el departamento de IT acceder al contenido de las denuncias?

No debe. El acceso al contenido de las comunicaciones debe estar restringido exclusivamente a los gestores designados del canal. El personal de IT que administra el servidor o la plataforma no debe tener acceso técnico al contenido en texto claro — de ahí la importancia del cifrado de extremo a extremo gestionado a nivel de aplicación, no solo a nivel de transporte.

¿Qué pasa si recibimos una denuncia falsa o de mala fe?

La Ley 2/2023 protege al informante que actúa de buena fe, aunque la información que aporta resulte ser incorrecta o la infracción no pueda probarse. Sin embargo, las denuncias presentadas a sabiendas de que son falsas no reciben protección y pueden dar lugar a responsabilidad civil o penal del denunciante. El gestor del canal debe documentar el proceso de investigación independientemente del resultado.

¿Tu empresa tiene canal de denuncias pero no estás seguro de que cumpla todos los requisitos? En Edorteam auditamos el canal existente o implantamos uno nuevo conforme a la Ley 2/2023, con integración técnica, formación a los gestores del canal y registro ante la AIPI. Pide una valoración sin compromiso.

Mejores prácticas para un canal de denuncias anónimo y seguro

Solicita información

Síguenos en redes

Otras publicaciones relacionadas

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *