5 min read

Canal de denuncias obligatorio: empresas afectadas, requisitos y errores comunes

Guía práctica sobre el canal de denuncias obligatorio en empresas: quién debe implantarlo, requisitos básicos, protección del informante y errores frecuentes.

El canal de denuncias, técnicamente Sistema interno de información, no debería verse como un buzón aislado ni como un trámite documental. Para muchas empresas es una obligación legal, pero también una pieza de compliance que puede ayudar a detectar problemas antes de que escalen.

La clave está en implantarlo bien: con confidencialidad, procedimiento, responsable, protección del informante y coordinación con protección de datos, laboral, compliance penal y protocolos internos.

Este artículo resume qué empresas deben revisar esta obligación, qué elementos mínimos conviene tener claros y qué errores se repiten en la práctica.

1. Qué es realmente el canal de denuncias

El canal de denuncias es el cauce por el que determinadas personas pueden comunicar infracciones o irregularidades dentro de una organización. La Ley 2/2023 lo integra dentro de un Sistema interno de información, que incluye no solo el medio para recibir comunicaciones, sino también la política, el procedimiento, el responsable y las garantías de gestión.

Por eso no basta con crear una dirección de correo electrónico. La empresa debe poder demostrar que sabe recibir, registrar, analizar y tramitar comunicaciones de forma segura y diligente.

En la práctica, el sistema debería responder a preguntas como:

  • Quién puede informar.
  • Qué materias se pueden comunicar.
  • Qué canal o canales están disponibles.
  • Quién recibe y gestiona la información.
  • Cómo se protege la identidad del informante.
  • Qué plazos y pasos se siguen.
  • Cómo se evita el acceso de personas no autorizadas.
  • Cómo se documentan las actuaciones.

Si estas respuestas no están claras, el canal existe solo en apariencia.

2. Qué empresas deben implantarlo

En el sector privado, la obligación alcanza de forma general a personas físicas o jurídicas que tengan contratados cincuenta o más trabajadores.

Además, hay sectores y actividades que pueden estar obligados por normativa específica aunque no alcancen ese umbral, especialmente en ámbitos regulados como servicios financieros, prevención del blanqueo de capitales, seguridad del transporte o protección del medio ambiente.

También conviene revisar el caso cuando la empresa forma parte de un grupo, trabaja con administraciones públicas, opera en sectores muy regulados o ya tiene un programa de compliance penal.

La conclusión práctica es sencilla: no debe decidirse solo por intuición. Antes de descartar la obligación, conviene revisar tamaño, sector, estructura del grupo y normativa aplicable.

3. Quién puede usar el canal

El sistema no está pensado solo para empleados actuales. La protección puede alcanzar a personas vinculadas profesional o laboralmente con la organización, incluyendo trabajadores por cuenta ajena, autónomos, personas de órganos de administración, proveedores, contratistas, subcontratistas, personas en prácticas o candidatos en determinados contextos.

Esto obliga a diseñar el canal pensando en usuarios internos y externos. Si solo se anuncia en una intranet a la que no acceden proveedores o antiguos trabajadores, puede quedarse corto.

La empresa debería revisar si la información sobre el canal es accesible, comprensible y coherente con su realidad operativa.

4. Requisitos básicos del sistema

Un Sistema interno de información debe estar diseñado y gestionado de forma segura. La confidencialidad es una exigencia central: identidad del informante, personas mencionadas y actuaciones de tramitación deben quedar protegidas frente a accesos indebidos.

Elementos habituales que conviene revisar:

  • Canal escrito, verbal o ambos, según el diseño elegido.
  • Posibilidad de comunicaciones anónimas.
  • Responsable del Sistema designado correctamente.
  • Política o estrategia interna sobre el sistema y defensa del informante.
  • Procedimiento de gestión de informaciones.
  • Acuse de recibo cuando proceda.
  • Plazos de tramitación y respuesta.
  • Información clara sobre canales externos.
  • Medidas de protección de datos personales.
  • Registro y conservación proporcionada de la información.

La herramienta tecnológica importa, pero no sustituye al diseño jurídico y organizativo.

5. Responsable del Sistema

La empresa debe designar una persona u órgano responsable del funcionamiento del sistema. Esa figura debe actuar con independencia y contar con medios suficientes.

En empresas pequeñas o medianas, una dificultad frecuente es asignar esta función a alguien que ya tiene responsabilidades que pueden generar conflicto de interés. Por ejemplo, no siempre es razonable que quien decide sobre el área denunciada sea también quien controla la tramitación.

La designación debe pensarse con criterio práctico:

  • Acceso a dirección.
  • Independencia real.
  • Capacidad de gestionar comunicaciones sensibles.
  • Conocimiento de compliance, protección de datos y régimen interno.
  • Procedimiento para escalar asuntos graves.

Un canal mal gobernado puede crear más riesgo que protección.

6. Protección de datos

El canal de denuncias implica tratamiento de datos personales. Puede incluir datos del informante, de la persona afectada, de testigos y de terceros mencionados en la comunicación.

La empresa debe revisar, entre otros puntos:

  • Base jurídica del tratamiento.
  • Información de protección de datos.
  • Accesos autorizados.
  • Conservación de datos.
  • Medidas de seguridad.
  • Contrato con proveedores externos si gestionan la herramienta o parte del sistema.
  • Coordinación con el registro de actividades de tratamiento.

También debe evitarse que la información circule por canales informales. Si una denuncia llega por una vía no prevista o a una persona no responsable, debe existir una regla interna clara para remitirla correctamente y preservar la confidencialidad.

7. Coordinación con compliance penal y protocolos internos

El canal de denuncias no vive aislado. Puede conectarse con el programa de compliance penal, protocolos de acoso, prevención de blanqueo, código ético, políticas anticorrupción, protección de datos, seguridad de la información o controles laborales.

La coordinación es importante para evitar duplicidades y contradicciones. Si una empresa tiene varios canales o procedimientos, debe explicar cuándo se usa cada uno y cómo se integran.

También conviene revisar si el canal permite detectar riesgos que ya deberían estar contemplados en el mapa de riesgos de compliance.

8. Errores comunes

Al implantar canales de denuncia se repiten errores bastante previsibles:

  • Crear solo un email genérico sin procedimiento.
  • No permitir comunicaciones anónimas cuando el sistema debería contemplarlas.
  • Dar acceso a demasiadas personas.
  • No formar a quienes pueden recibir comunicaciones por error.
  • No documentar decisiones ni actuaciones.
  • Copiar políticas genéricas que no encajan con la empresa.
  • Olvidar protección de datos.
  • No informar de forma clara a trabajadores, proveedores o terceros relevantes.
  • Nombrar un responsable sin independencia o sin medios.
  • No revisar el canal después de implantarlo.

La implantación útil no consiste en tener una carpeta cerrada, sino en disponer de un sistema que pueda funcionar cuando llegue una comunicación delicada.

9. Qué revisar en una auditoría inicial

Una revisión práctica del canal debería comprobar al menos:

  • Si la empresa está obligada.
  • Qué normativa sectorial puede aplicarle.
  • Si existe política interna.
  • Si el procedimiento está aprobado y actualizado.
  • Si el responsable está correctamente designado.
  • Si el canal garantiza confidencialidad y seguridad.
  • Si se admiten comunicaciones anónimas.
  • Si hay información accesible para los posibles informantes.
  • Si la protección de datos está integrada.
  • Si hay evidencias de formación o comunicación interna.
  • Si el sistema se coordina con compliance y otros protocolos.

Este análisis permite distinguir entre "tenemos un canal" y "tenemos un sistema defendible".

10. Conclusión

El canal de denuncias obligatorio no debería implantarse con miedo ni con automatismos. Bien diseñado, ayuda a ordenar la cultura de cumplimiento, proteger a quien informa y gestionar riesgos antes de que se conviertan en conflictos mayores.

Para empresas que necesitan revisar su situación, puede ser útil empezar con una auditoría concreta del sistema, conectada con /canal-denuncias-zaragoza/, /abogado-compliance-zaragoza/ y /auditoria-compliance-zaragoza/.

Si la empresa no tiene claro si está obligada, si su canal actual cumple requisitos o si el procedimiento funciona de verdad, lo prudente es hacer una revisión inicial antes de esperar a que llegue la primera comunicación sensible. Para una valoración del caso concreto, puede usarse la página de /contacto/.

Servicios relacionados