Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento10 min de lectura

Directiva 2019/1937 sobre denunciantes: guía de cumplimiento y documentación 2026

Obligaciones documentales completas para cumplir la Directiva UE 2019/1937 y la Ley 2/2023: canales de denuncia, plazos, registros y sanciones en España.

El equipo CheckFile
El equipo CheckFile·
Illustration for Directiva 2019/1937 sobre denunciantes: guía de cumplimiento y documentación 2026 — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Aviso legal: este artículo tiene carácter informativo. Las obligaciones descritas se derivan de la Directiva (UE) 2019/1937 y la Ley 2/2023 de 20 de febrero. Consulte a su asesor jurídico para su situación específica.

La protección de los denunciantes ha dejado de ser una buena práctica empresarial para convertirse en una obligación legal en España desde el 13 de marzo de 2023. La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas traspone la Directiva (UE) 2019/1937 al ordenamiento jurídico español e impone obligaciones documentales concretas a las empresas de 50 o más trabajadores. Este artículo detalla qué documentos debe mantener, con qué plazos y qué sanciones enfrenta su empresa si no cumple.

Ámbito de aplicación: quiénes están obligados

La Ley 2/2023 aplica a entidades del sector privado y público que superen los umbrales de empleados establecidos por la transposición española. Los plazos para el sector privado son los siguientes:

Umbral Obligación desde Tipo de entidad
250 trabajadores o más 13 de marzo de 2023 Sector privado, asociaciones, fundaciones
50 a 249 trabajadores 1 de diciembre de 2023 Sector privado
Cualquier tamaño Inmediato Entidades del sector financiero, mercado de valores, contratos públicos
Partidos políticos y sindicatos 13 de marzo de 2023 Independientemente del tamaño

Las entidades financieras tienen obligaciones más amplias con independencia del tamaño. El Banco de España y la CNMV exigen que los bancos, entidades de crédito y empresas de servicios de inversión mantengan canales de denuncia conformes tanto con la Ley 2/2023 como con las directrices sectoriales.

El ámbito material cubierto por la ley incluye infracciones del Derecho de la UE y del Derecho nacional en materias como: servicios financieros y mercados de valores, blanqueo de capitales (AML/PBC), contratación pública, seguridad de productos, protección de datos (RGPD), medio ambiente, seguridad alimentaria, salud pública, y competencia. Los conflictos laborales estrictamente internos quedan generalmente fuera del ámbito.

Cuatro pilares documentales obligatorios

Un programa de cumplimiento con la Ley 2/2023 requiere cuatro elementos documentales que todo departamento de compliance debe gestionar.

1. El registro de comunicaciones

La ley exige un registro seguro y confidencial de cada comunicación recibida. Cada entrada debe registrar la fecha de recepción, la naturaleza de la infracción comunicada, las medidas de seguimiento adoptadas y la fecha de cierre. El registro debe estar protegido con controles de acceso y registros de auditoría.

El plazo mínimo de conservación es de tres años desde el cierre del procedimiento, ampliado si existen procedimientos judiciales o disciplinarios en curso. La Autoridad Independiente de Protección del Informante (A.I.I.) — creada por la Ley 2/2023 — puede requerir estos registros en sus actuaciones de inspección.

2. La política de confidencialidad y protección de datos

La identidad del informante es absolutamente confidencial. El artículo 32 de la Ley 2/2023 tipifica como infracción muy grave la revelación directa o indirecta de la identidad del informante, con multas de hasta 1.000.000 €. Esta protección se extiende a los implicados en el tratamiento de la comunicación.

La política documental debe especificar:

  • Las personas designadas con acceso autorizado a las comunicaciones
  • Los procedimientos de seudonimización de datos identificativos
  • Los protocolos de destrucción segura de datos tras el período de conservación
  • Los controles técnicos: cifrado, autenticación fuerte, registros de acceso

Bajo el artículo 35 del RGPD, una Evaluación de Impacto relativa a la Protección de Datos (EIPD) es obligatoria antes de implantar el canal de comunicación, ya que el tratamiento se considera de alto riesgo. La AEPD ha publicado guías específicas sobre canales de denuncia y protección de datos.

3. Plazos de acuse de recibo y seguimiento

La Directiva 2019/1937 (artículo 9) impone plazos estrictos recogidos en la Ley 2/2023:

Etapa Plazo legal
Acuse de recibo al informante 7 días naturales desde la recepción
Información sobre medidas previstas o adoptadas 3 meses desde el acuse de recibo
Cierre del expediente con motivación Al concluir las medidas o la decisión de no continuar

Cada acuse de recibo y comunicación de seguimiento debe archivarse con sello de tiempo. Una plataforma de gestión documental trazable simplifica esta cadena al generar automáticamente registros de eventos auditables. La integración con CheckFile permite documentar cada paso del flujo de tratamiento.

4. El procedimiento interno documentado y publicado

Las organizaciones deben documentar y publicar sus procedimientos internos de canal de comunicación para que trabajadores, contratistas y terceros puedan encontrarlos y utilizarlos. El artículo 7 de la Directiva — y el artículo 5 de la Ley 2/2023 — exige que esta información sea "clara y fácilmente accesible".

La documentación debe incluir: cómo presentar una comunicación (escrita u oral), quién la recibe y tramita, las reglas de confidencialidad aplicables, las protecciones que corresponden al informante, y cómo escalar al canal externo. Este documento debe revisarse al menos anualmente.

Canal interno frente a canal externo

La Ley 2/2023 establece una jerarquía de canales. El informante debe en principio utilizar primero el canal interno, salvo que tenga motivos razonables para creer que sería ineficaz, que los responsables están implicados en la infracción, o que su uso le expondría a represalias.

Canal interno: gestionado por el responsable designado de cumplimiento o por un tercero mandatado. Debe ofrecer opciones escritas y orales. La persona designada debe ser funcionalmente independiente de la línea de gestión en los asuntos objeto de denuncia. Las empresas de 50 a 249 trabajadores pueden compartir el sistema de gestión con otras entidades del mismo grupo.

Canal externo: la Autoridad Independiente de Protección del Informante (A.I.I.) es la autoridad central en España. Sectorialmente, la CNMV gestiona las comunicaciones sobre infracciones en mercados de valores; el Banco de España para el sector bancario; la AEPD para infracciones de protección de datos.

Divulgación pública: reservada para casos extremos en los que los canales internos y externos han fallado, o existe peligro inminente para el interés público.

Su documentación interna debe articular claramente esta jerarquía y especificar las autoridades externas pertinentes para su sector.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Verificación de identidad y gestión documental

Las empresas se preguntan con frecuencia: ¿podemos exigir que el informante se identifique? La respuesta es matizada.

La Ley 2/2023 protege también las comunicaciones anónimas: el artículo 24 dispone que las administraciones e instituciones competentes adoptarán medidas para tramitar denuncias anónimas. En la práctica, ofrecer tanto canales identificados como anónimos maximiza el volumen de comunicaciones recibidas.

Cuando el informante facilita su identidad, la verificación debe ser proporcional: confirmar la relación con la organización (correo corporativo, credencial de empleado) sin solicitar documentación adicional que pueda disuadir el uso del canal. Para terceros — proveedores, subcontratistas — la verificación de la relación contractual puede requerir un control documental estandarizado.

CheckFile soporta más de 3.200 tipos de documentos en 32 jurisdicciones, permitiendo una verificación proporcionada de credenciales profesionales sin crear barreras al proceso de denuncia.

Sanciones: régimen de infracciones de la Ley 2/2023

La Ley 2/2023 establece un régimen sancionador en tres categorías:

Infracciones muy graves (multas de €601.001 a €1.000.000): represalias graves contra el informante, revelación de su identidad, obstrucción de las comunicaciones.

Infracciones graves (multas de €30.001 a €300.000): falta de implantación del sistema interno de comunicación, incumplimiento de los plazos legales, ausencia de acuse de recibo.

Infracciones leves (multas de €1.001 a €30.000): incumplimientos procedimentales menores.

Las sanciones son independientes de las que puedan corresponder por otras normativas (RGPD, normativa laboral). Para grupos con operaciones en varios países de la UE, mantener una evaluación de riesgos de cumplimiento que mapee las sanciones de cada Estado miembro es esencial, ya que la directiva establece mínimos pero los Estados pueden ir más lejos.

Interacción con la Ley Orgánica 3/2018 (LOPDGDD) y el RGPD

El canal de comunicación interna constituye un tratamiento de datos de categoría especial (datos penales, laborales, posiblemente de salud). Las obligaciones bajo el RGPD incluyen:

  • Base jurídica del tratamiento: obligación legal (artículo 6.1.c RGPD) o interés legítimo (artículo 6.1.f), con EIPD previa
  • Plazo de conservación: máximo 3 meses si no se inicia procedimiento; hasta 3 años si se inicia
  • Derechos ARCO limitados: el ejercicio del derecho de acceso y rectificación puede restringirse para proteger la confidencialidad del procedimiento
  • Registro de actividades de tratamiento (RAT): el canal debe figurar en el RAT de la empresa

La AEPD ha publicado una guía específica para implantadores de sistemas internos de información que detalla estas obligaciones.

Buenas prácticas operativas

Los responsables de cumplimiento en foros especializados (CECO, ACFE España) identifican cinco recomendaciones operativas prioritarias:

  1. Automatizar los acuses de recibo: un flujo documental genera y archiva el acuse dentro del plazo de 7 días sin intervención manual
  2. Separar derechos de acceso: el responsable del canal accede solo a expedientes activos; el archivista solo a expedientes cerrados
  3. Probar el canal anualmente: un ensayo documentado (escenario fictivo tramitado de extremo a extremo) demuestra conformidad operativa a los auditores
  4. Formar a las personas designadas: la formación documentada (contenido, fecha, asistentes) es prueba de diligencia ante inspecciones
  5. Integrar en la checklist de auditoría de cumplimiento: incluir la revisión anual del sistema en el plan de auditoría interna

Consulte nuestro guía de verificación documental para estructurar el programa de cumplimiento completo en su organización. Los canales de denuncia son una pieza más de un sistema integrado de gobernanza documental.

Preguntas frecuentes

¿Una empresa de 55 trabajadores está realmente obligada a implantar un canal?

Sí. Desde el 1 de diciembre de 2023, cualquier empresa o entidad privada con 50 o más trabajadores debe disponer de un sistema interno de información conforme a la Ley 2/2023. La ausencia del canal constituye infracción grave con multas de hasta 300.000 €, independientemente de si se produce alguna denuncia.

¿Pueden los proveedores externos utilizar el canal interno de la empresa?

Sí. La Ley 2/2023 extiende la protección a los informantes que no sean trabajadores en sentido estricto: autónomos, contratistas, proveedores, accionistas y personas que trabajan bajo la supervisión de la empresa. La documentación del canal debe indicar explícitamente que está abierto a estos colectivos.

¿Cuánto tiempo hay que conservar los expedientes de denuncia?

El plazo mínimo es de tres años desde el cierre del procedimiento. Si existen procedimientos judiciales o disciplinarios en curso al cierre, la conservación se extiende hasta su resolución definitiva. Este plazo debe documentarse en el Registro de Actividades de Tratamiento (RAT) conforme al RGPD.

¿Qué ocurre si la denuncia resulta ser infundada?

El responsable de la tramitación debe notificar al informante la decisión de no continuar dentro del plazo de 3 meses, indicando los motivos sin revelar información confidencial sobre terceros implicados. El expediente se archiva por el período legal incluso en caso de archivo. El informante de buena fe está protegido aunque la información resulte incorrecta.

¿Puede la A.I.I. inspeccionar nuestro sistema de canal interno?

Sí. La Autoridad Independiente de Protección del Informante tiene competencias de inspección y puede requerir documentación sobre el sistema, los expedientes tramitados y las medidas adoptadas. Mantener el registro actualizado y los procedimientos documentados es la mejor preparación para una inspección.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento8 min

Comunicación de Operaciones Sospechosas a SEPBLAC: Guía AML 2026

Cómo comunicar operaciones sospechosas al SEPBLAC en 2026: obligaciones bajo la Ley 10/2010, plazo de comunicación, portal de declaración y sanciones por incumplimiento.

Leer
Cumplimiento9 min

KYC en aseguradoras: obligaciones LBC/FT, AMLD6 y Solvencia II en 2026

Las aseguradoras de vida son sujetos obligados bajo la Ley 10/2010 y AMLD6. Guía completa: obligaciones KYC, SEPBLAC, DGSFP, enfoque basado en riesgo y sanciones.

Leer
Cumplimiento8 min

Travel Rule GAFI para VASPs cripto: cumplimiento KYC 2026

Travel Rule del GAFI (Recomendación 16) y Reglamento (UE) 2023/1113: obligaciones KYC de los proveedores de servicios cripto, documentación, umbrales y carteras no custodiadas en 2026.

Leer