nº 1.020 - 31 de julio de 2025

Canales de información y responsabilidad penal de la persona jurídica: aún con desafíos por resolver

Silvia Quiles

Abogada y directora en el área Penal en Ceca Magán Abogados

Este mecanismo ha dejado de ser una recomendación para convertirse en una obligación legal para determinadas personas jurídicas

La investigación interna constituye un elemento esencial del sistema de gestión de compliance, al permitir a las organizaciones verificar hechos, esclarecer posibles incumplimientos y adoptar medidas correctivas

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, ha supuesto un antes y un después en la evolución del canal de denuncias en el entorno empresarial y público en España. Desde su entrada en vigor el 13 de marzo de 2023, este mecanismo ha dejado de ser una recomendación para convertirse en una obligación legal para determinadas personas jurídicas, especialmente aquellas que superen los 50 empleados, operen en sectores sensibles o tengan relación con fondos públicos.

Su principal finalidad es doble: de un lado, permite comunicar de forma confidencial y segura la comisión de actos o conductas contrarias a la normativa española o europea; de otro, garantiza la protección del informante de buena fe, preservándolo frente a posibles represalias, especialmente en el ámbito laboral.

Las personas jurídicas obligadas a implementar el canal deben seguir una serie de pasos: comunicarlo a la representación legal de los trabajadores, aprobar su implementación por el órgano de administración, designar un Responsable del Sistema, divulgar su existencia entre trabajadores y partes interesadas, y establecer una política con los principios esenciales del sistema. Además, deben contar con un procedimiento interno de gestión, un libro-registro de las comunicaciones recibidas y notificar la identidad del Responsable del Sistema tanto al organismo autonómico como, en su caso, a la A.A.I.

Desafíos prácticos y controversias

Diversos expertos en compliance coinciden en que, si bien la norma representa un avance significativo en transparencia y cultura ética, existen numerosos retos pendientes. A este respecto, la mayoría de las informaciones recibidas a través de los canales no encajan dentro del artículo 2 de la Ley, ya que no constituyen infracciones graves o delitos, sino comportamientos contrarios al Código Ético, políticas, protocolos o procedimientos internos. Aun así, muchas empresas han optado por ofrecer la misma protección a estos casos, en un ejercicio de buena práctica corporativa.

Uno de los puntos más controvertidos es el temor al uso abusivo del sistema para blindarse ante despidos, y las dudas sobre la licitud de determinadas pruebas recabadas en la fase interna.

La investigación interna constituye un elemento esencial del sistema de gestión de compliance, al permitir a las organizaciones verificar hechos, esclarecer posibles incumplimientos y adoptar medidas correctivas. Esta función adquiere especial relevancia en el marco de estándares internacionales como las normas ISO 37301 (sistemas de gestión de cumplimiento), ISO 37001 (antisoborno) e ISO 37002 (denuncias internas), a las que contribuye de forma transversal. A través de una investigación rigurosa, la entidad puede identificar riesgos reales o potenciales, analizar sus causas y reforzar los controles preventivos. La falta de capacidad o voluntad para llevar a cabo estas investigaciones compromete gravemente la eficacia del sistema, limita la detección de conductas irregulares, impide proteger adecuadamente la reputación corporativa y mina la credibilidad del compromiso ético de la organización.

Además, la confidencialidad sigue siendo difícil de preservar en pequeñas organizaciones, donde es más fácil identificar al denunciante, incluso cuando éste actúa de forma anónima.

Otro reto importante radica en la integración de los distintos canales existentes –canal ético, canal de acoso, etc.– en una única herramienta que permita gestionar denuncias con distintas tipologías, pero bajo un mismo marco de garantías técnicas y jurídicas. La herramienta utilizada debe asegurar la trazabilidad, el anonimato (incluso mediante distorsión de voz), la confidencialidad, el control de accesos y el respeto de los derechos de todas las partes implicadas.

Un sistema necesario, pero aún en construcción

Aunque algunas comunidades autónomas, como Cataluña o Andalucía, ya han habilitado mecanismos de supervisión autonómica de los sistemas internos de información, en el caso de las organizaciones con sede en la Comunidad de Madrid, la situación es distinta. Si bien la Ley 8/2024, de 26 de diciembre, atribuye al Consejo de Transparencia y Protección de Datos de la Comunidad de Madrid la función de supervisión, lo cierto es que, hasta la fecha, dicho organismo no ha puesto en marcha el servicio necesario para registrar la designación del Responsable del Sistema Interno de Información ni ha comenzado a ejercer funciones efectivas de supervisión en esta materia.

Por su parte, la Autoridad Independiente de Protección del Informante (A.A.I.), prevista a nivel estatal y creada formalmente por el Real Decreto 1101/2024, de 29 de octubre, tampoco se encuentra plenamente operativa, lo que ha generado incertidumbre sobre los procedimientos y criterios que se aplicarán.

El canal de denuncias ha dejado de ser una opción y se ha convertido en una pieza esencial del sistema de prevención de riesgos penales, laborales y reputacionales. Para que funcione, se requiere no solo un cumplimiento técnico, sino una verdadera cultura organizativa de cumplimiento, integridad y transparencia. Solo así, este instrumento será eficaz en la detección precoz de irregularidades y en la protección real de quienes se atreven a denunciarlas. ■