Cumplimiento

Canal de denuncias (Ley 2/2023): obligaciones

Canal de denuncias Ley 2/2023: quién está obligado desde 50 empleados, plazos de acuse y respuesta, la A.A.I. y las claves de datos del art. 24 LOPDGDD.

En una frase. La Ley 2/2023 obliga a las empresas de 50 o más trabajadores y a todo el sector público a implantar un canal interno de denuncias, con acuse de recibo en 7 días y respuesta máxima en 3 meses, bajo la supervisión de la Autoridad Independiente de Protección del Informante (A.A.I.) y con exigencias reforzadas de protección de datos del art. 24 LOPDGDD.

El canal de denuncias de la Ley 2/2023 ya no es una buena práctica opcional: es una obligación legal con régimen sancionador de hasta un millón de euros. Muchas empresas lo implantaron a toda prisa para cumplir el plazo y descuidaron su dimensión de protección de datos, que es precisamente donde la AEPD puede entrar. Esta guía explica quién está obligado, cómo debe funcionar el canal y qué exige el tratamiento de datos de las denuncias.

Puntos clave

  • La Ley 2/2023, de 20 de febrero, transpone la Directiva europea de protección del informante.
  • El canal interno es obligatorio desde 50 empleados y para todas las entidades del sector público.
  • Plazos: acuse de recibo en 7 días y respuesta en un máximo de 3 meses.
  • La autoridad de referencia es la Autoridad Independiente de Protección del Informante (A.A.I.).
  • El tratamiento de datos se rige por el art. 24 LOPDGDD, con conservación limitada y roles definidos.

1. Quién está obligado y desde cuándo

La Ley 2/2023 transpone la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones. Están obligadas a disponer de un Sistema interno de información (el canal):

  • Todas las empresas privadas con 50 o más trabajadores.
  • Empresas de determinados sectores (servicios financieros, blanqueo, seguridad del transporte, medio ambiente) con independencia del número de empleados.
  • Todas las entidades del sector público, con especialidades para los municipios pequeños.

Los plazos de implantación ya vencieron: las empresas de 250 o más trabajadores debían tenerlo operativo en junio de 2023, y las de 50 a 249, en diciembre de 2023. Quien aún no lo tenga está en situación de incumplimiento.

2. Cómo debe funcionar el canal

El sistema debe permitir comunicar infracciones por escrito, verbalmente o ambas, y garantizar la confidencialidad de la identidad del informante y de terceros mencionados. También debe admitir denuncias anónimas. Requisitos operativos esenciales:

  • Acuse de recibo al informante en un plazo de 7 días naturales desde la recepción.
  • Respuesta sobre las actuaciones en un plazo máximo de 3 meses (ampliable a 6 en casos complejos).
  • Designación de un Responsable del Sistema, cuyo nombramiento debe notificarse a la A.A.I.
  • Garantía de indemnidad: prohibición de represalias contra el informante.

La articulación con la relación laboral hace imprescindible informar a la plantilla. Conviene alinear esta comunicación con las cláusulas de RGPD para empleados y respetar el derecho a la intimidad de los trabajadores, evitando que el canal se use para vigilancia encubierta.

3. La dimensión de protección de datos (art. 24 LOPDGDD)

Aquí está el punto que más se descuida. El tratamiento de las denuncias es un tratamiento de datos personales sujeto al RGPD y al art. 24 LOPDGDD, que regula los sistemas de información de denuncias internas. Reglas clave:

Aspecto Exigencia
Base jurídica Cumplimiento de obligación legal (art. 6.1.c RGPD)
Acceso a los datos Limitado al Responsable del Sistema y a quien instruya
Conservación en el canal Solo el tiempo necesario; máximo 3 meses salvo continuación de la investigación
Datos tras 3 meses Se suprimen del sistema o se trasladan al expediente de investigación
Registro Inclusión del tratamiento en el registro de actividades

El tratamiento de denuncias suele implicar datos sensibles (una acusación puede revelar salud, ideología o infracciones), por lo que a menudo procede una evaluación de impacto (EIPD) previa. Y si la empresa tiene delegado de protección de datos, su implicación en el diseño del canal es muy recomendable.

4. Sanciones y autoridad

El régimen sancionador de la Ley 2/2023 es autónomo respecto al del RGPD. Las infracciones muy graves —como incumplir la obligación de disponer de canal, vulnerar la confidencialidad o adoptar represalias— pueden alcanzar hasta 1.000.000 de euros para personas jurídicas. La competencia sancionadora corresponde a la A.A.I. (o a las autoridades autonómicas equivalentes).

A este régimen se superpone el del RGPD: una gestión negligente de los datos de las denuncias puede acarrear además una sanción de la AEPD. La suma de ambos marcos convierte un canal mal diseñado en un riesgo económico doble, en la línea de otras sanciones en materia de protección de datos.

5. Cómo implantarlo correctamente

Un canal conforme combina cuatro piezas: una herramienta que garantice confidencialidad y trazabilidad, un procedimiento interno con plazos y roles, la documentación de protección de datos (información, base jurídica, conservación, EIPD si procede) y la formación de los gestores. Integrar el canal en el checklist de cumplimiento RGPD evita tratarlo como un compartimento estanco. Verificar estos elementos antes de una eventual inspección es la mejor defensa.

Conviene además cuidar dos puntos que suelen fallar en las auditorías. El primero es la política de gestión del canal, un documento obligatorio que debe aprobar el órgano de administración y que fija cómo se reciben, tramitan y archivan las comunicaciones; su ausencia es en sí misma una infracción. El segundo es la externalización: muchas empresas encargan la gestión del canal a un tercero (un despacho o una plataforma). Ese tercero actúa como encargado del tratamiento y exige un contrato del art. 28 RGPD que delimite accesos y confidencialidad. Externalizar la gestión no traslada la responsabilidad: la entidad sigue respondiendo del canal ante la A.A.I. y ante la AEPD.

6. Errores frecuentes que agravan el riesgo

Tres errores concentran buena parte de la exposición. El primero es implantar la herramienta y olvidar la documentación: se contrata un buzón de denuncias pero no se aprueba la política, no se informa a la plantilla ni se registra el tratamiento. El segundo es conservar las denuncias sin criterio, manteniéndolas indefinidamente en el sistema en lugar de suprimirlas o trasladarlas al expediente tras los tres meses del art. 24 LOPDGDD. El tercero es descuidar la indemnidad: cualquier represalia contra el informante —un cambio de puesto, una peor evaluación, la exclusión de una promoción— puede constituir infracción muy grave con independencia de que la denuncia resulte fundada. Anticipar estos tres puntos convierte un canal formalista en un sistema realmente conforme.

FAQ

¿Una empresa de menos de 50 empleados tiene que tener canal de denuncias?

Por regla general, no por el criterio de plantilla. Pero sí están obligadas, con independencia del número de trabajadores, las empresas de sectores específicos como servicios financieros, prevención del blanqueo de capitales o seguridad del transporte. Fuera de esos casos, el umbral son 50 trabajadores.

¿El canal de denuncias debe admitir denuncias anónimas?

Sí. La Ley 2/2023 obliga a que el sistema interno permita presentar y tramitar comunicaciones anónimas. La confidencialidad de la identidad del informante debe garantizarse en todo caso, y las represalias están prohibidas y sancionadas.

¿Cuánto tiempo pueden conservarse los datos de una denuncia?

En el sistema de denuncias, solo el tiempo imprescindible y, como máximo, tres meses desde la comunicación, salvo que se decida continuar la investigación. Transcurrido ese plazo, los datos deben suprimirse del canal o trasladarse al expediente de investigación correspondiente, conforme al art. 24 LOPDGDD.

¿Se pueden acumular la sanción de la Ley 2/2023 y la de la AEPD?

Sí. Son regímenes distintos con autoridades distintas. Incumplir la Ley 2/2023 expone a sanciones de la A.A.I. de hasta un millón de euros, y una gestión inadecuada de los datos personales de las denuncias puede acarrear, además, una sanción de la AEPD por infracción del RGPD.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →