Los canales internos de denuncia entran en su “nueva normalidad”

En solo dos años, España ha pasado de debatir sobre la necesidad de proteger a los denunciantes a vivir, ya de lleno, en la “nueva normalidad” de los canales internos de información. La Ley 2/2023, que transpuso la directiva europea 2019/1937, dejó claro que las empresas españolas no podían seguir gestionando sus denuncias internas como hasta entonces. Y hoy, con la Autoridad Independiente de Protección del Informante (A.A.I.) plenamente operativa desde el 1 de septiembre de este año, la foto del compliance ha cambiado para siempre.

La escena, sin embargo, no es de trámite burocrático. Es de cultura organizativa, de reputación corporativa y de cumplimiento normativo. Lo que empezó como una obligación legal ha acabado por convertirse en un termómetro de la madurez ética de las compañías.

 

Un mapa legal que ya no admite excusas

La Ley 2/2023, aprobada en febrero de aquel año, supuso una revolución silenciosa. Obliga a todas las empresas de más de 50 trabajadores (y a la administración pública) a tener un Sistema Interno de Información con garantías de confidencialidad, anonimato, plazos estrictos de respuesta y protección efectiva frente a represalias. No se trata solo de un buzón de denuncias: el canal debe gestionarse con procedimientos claros, registro documentado y trazabilidad.

Las sanciones no son menores. Las multas para personas jurídicas pueden alcanzar el millón de euros. A ello se suman restricciones para contratar con el sector público y un creciente interés de la Inspección de Trabajo y de los reguladores por verificar el cumplimiento real. Las organizaciones, simplemente, ya no tienen margen para improvisar.

 

La A.A.I., árbitro y garante

La gran novedad de esta rentrée legislativa ha sido la puesta en marcha de la Autoridad Independiente de Protección del Informante (A.A.I.), que actúa como canal externo, supervisor y —en caso necesario— sancionador. Nacida de la propia Ley 2/2023, la A.A.I. empezó a operar oficialmente este 1 de septiembre tras la Orden PJC/908/2025, y aunque en las siguientes semanas marcarán el paso sobre el proceso de comunicación de los responsables de los sistemas internos de información de las organizaciones a su organismo, su sola existencia envía un mensaje: hay un árbitro fuera de la empresa.

Esta Autoridad canaliza las denuncias que no se presenten por vías internas, supervisa el cumplimiento legal de empresas y administraciones, coordina con los canales autonómicos y puede imponer sanciones. Además, emite recomendaciones y guías para orientar a los compliance officers y responsables internos sobre cómo cumplir la norma sin ahogarse en burocracia.

 

Un equilibrio delicado: anonimato vs denuncias falsas

Pero la “nueva normalidad” también tiene aristas. La posibilidad de denunciar de forma anónima es uno de los pilares de la ley, pero abre debates sobre la gestión de denuncias falsas o de mala fe. Durante estos últimos años, los expertos han ido advirtiendo de que “denunciar sin pruebas o con dolo puede salir muy caro” porque la ley prevé sanciones para quienes abusen del sistema.

Este equilibrio entre anonimato y rigor probatorio obliga a las empresas a reforzar sus protocolos internos: investigar con diligencia, documentar cada paso, ofrecer garantías a ambas partes y, sobre todo, formar a su personal para que entienda cómo funciona el canal.

Empresas en fase de adaptación

En entorno compliance se repite una escena: las compañías actualizan sus protocolos, refuerzan sus softwares de canal de denuncias y contratan formación específica. No se trata solo de cumplir la letra de la ley, sino de garantizar que la herramienta funciona: cumplimiento de plazos de respuesta, confidencialidad absoluta, seguridad de datos y comunicación clara a la plantilla.

Las auditorías internas se han convertido en una práctica habitual. Algunas empresas revisan periódicamente sus canales internos para comprobar que cumplen con los plazos legales de respuesta, que la trazabilidad es completa y que la información sensible está cifrada.

“Lo importante no es tener un canal, sino que la gente confíe en él”, resume un compliance officer de una gran empresa del IBEX. “Antes era un tema de cumplir. Hoy es un tema de reputación y de retener talento. Si no proteges al que denuncia, la plantilla lo sabe”.

 

Datos, confidencialidad y ciberseguridad

En paralelo, las áreas de TI y seguridad refuerzan sus sistemas. Los canales internos ya no pueden depender de correos electrónicos o formularios simples. Las plataformas deben cumplir RGPD, anonimizar datos cuando sea necesario y proteger los archivos frente a accesos no autorizados o ciberataques. Un fallo aquí no solo compromete la legalidad del canal, sino que puede generar daños reputacionales y sanciones de la Agencia Española de Protección de Datos.

 

Más que un buzón: un cambio cultural

En este contexto, la “nueva normalidad” no es únicamente un asunto normativo. Es, sobre todo, un cambio cultural. El canal interno se convierte en una pieza más del puzzle del buen gobierno corporativo. Y esto no es un detalle menor: la Ley 2/2023 está alineada con una tendencia europea que refuerza la transparencia, la ética organizacional y la rendición de cuentas.

Quien se quede en el mínimo legal perderá competitividad. Quien aproveche la oportunidad para integrar de verdad el canal en su cultura ética tendrá una ventaja reputacional y estratégica.

Y esa es la gran lección hasta la fecha del 2025 después de diversos escándalos sondados, el compliance debe funcionar y los canales internos ya no son un trámite, son un termómetro de confianza y un salvavidas reputacional.