Un whistleblower (informante en español) es la persona que comunica información sobre infracciones cometidas en el seno de su organización a través de un canal interno protegido. En España, la Ley 2/2023 obliga a empresas privadas con más de 50 trabajadores, todas las administraciones públicas y operadores de determinados sectores a disponer de un canal de denuncias interno. Las sanciones por incumplimiento llegan hasta 1 millón de euros.
¿Qué es un whistleblower y por qué ahora todo el mundo habla de él?
Whistleblower, literalmente «el que toca el silbato», es la persona que alerta sobre conductas ilícitas o irregulares dentro de su organización: corrupción, fraude, contratación ilegal, acoso, vulneraciones medioambientales, fraude fiscal y otras infracciones graves. La figura tiene reconocimiento legal en España desde la Ley 2/2023, de 20 de febrero, que transpone la Directiva (UE) 2019/1937.
El canal de denuncias entra en colisión con la normativa de protección de datos en varios puntos: identidad del informante, tratamiento de datos del denunciado, custodia del expediente y deber de información. Para entender ese cruce, recomendamos leer nuestra guía sobre LOPD y RGPD: diferencias y similitudes, especialmente las secciones sobre principios de minimización y conservación.
Marco normativo: Directiva UE 2019/1937 y Ley 2/2023
| Norma | Ámbito | Fecha clave |
|---|---|---|
| Directiva (UE) 2019/1937 | Europea | Adoptada 23/10/2019, plazo transposición 17/12/2021 |
| Ley 2/2023, de 20 de febrero | España | En vigor desde 13/03/2023 |
| Reglamento de la Ley 2/2023 | España | Desarrollo parcial |
Quién está obligado a tener canal de denuncias
| Tipo de organización | Umbral | Plazo de cumplimiento |
|---|---|---|
| Empresas privadas | 250+ trabajadores | Desde 13/06/2023 |
| Empresas privadas | 50–249 trabajadores | Desde 01/12/2023 |
| Administraciones Públicas | Todas | Desde 13/06/2023 |
| Partidos, sindicatos, asociaciones empresariales con fondos públicos | Todos | Desde 13/06/2023 |
| Sujetos obligados Ley 10/2010 (antiblanqueo) | Sin umbral | Desde 13/06/2023 |
| Servicios financieros, transporte, energía, salud, consumo | Sin umbral | Desde 13/06/2023 |
| Empresas privadas <50 trabajadores | No obligadas salvo sector regulado | — |
Caso práctico: pyme de 80 empleados implanta canal en 3 semanas
Una empresa industrial de Valencia con 80 trabajadores y dos centros de producción tenía que cumplir con la Ley 2/2023 antes del 1 de diciembre de 2023. Sin equipo legal interno, externalizó la implantación. Este es el cronograma real que siguieron, útil como referencia para cualquier pyme entre 50 y 249 empleados.
- Semana 1 — diagnóstico y nombramiento. Reunión inicial con consultor jurídico, designación del Responsable del Sistema Interno (RSI) recayendo en el Director Financiero (sin conflicto de interés con la operativa) y comunicación a la AAI/SGIP.
- Semana 2 — implantación técnica y procedimiento. Alta en plataforma SaaS especializada con cifrado en reposo y en tránsito, integración del buzón anónimo en la intranet, redacción del Procedimiento del Sistema Interno y aprobación por el órgano de gobierno.
- Semana 3 — formación, comunicación y memoria inicial. Sesiones formativas de 90 minutos para mandos intermedios y de 30 minutos para el resto del personal, cartelería con código QR de acceso al canal en las dos plantas, notificación al Comité de Empresa y elaboración de la primera entrada en el registro anual.
Coste total del proyecto: 4.200 € (plataforma SaaS primer año + consultoría + materiales formativos). El primer incidente real entró en el canal a las cinco semanas de la puesta en marcha y se resolvió dentro de plazo. La empresa evita así una potencial sanción que, en su tramo (50–249 empleados, infracción grave), habría rondado los 150.000 €.
Cómo funciona un canal de denuncias compliant
- Recepción por múltiples vías (escrito, presencial, postal, buzón, plataforma digital, teléfono).
- Comunicación anónima recomendada por la AEPD.
- Acuse de recibo en 7 días naturales.
- Investigación confidencial por el RSI designado.
- Respuesta motivada al denunciante en máximo 3 meses (prorrogable a 6).
- Trazabilidad documentada con custodia mínima de 10 años.
- Protección de datos personales conforme al RGPD y LOPDGDD.
Para los aspectos tácticos y de plataforma, lee nuestra guía práctica sobre cómo implementar un canal de denuncias con Compaas Multicanal: cubre la elección de la plataforma SaaS, el flujo de tickets, los roles de acceso y los KPI a vigilar en la memoria anual.
Plazos legales
| Acción | Plazo | Norma |
|---|---|---|
| Acuse de recibo | 7 días naturales | Art. 9.1 |
| Respuesta motivada | 3 meses (6 excepcionalmente) | Art. 9.2 |
| Conservación del expediente | 10 años | Art. 32 |
| Comunicación al canal externo (AAI) | Tras agotar el plazo interno | Art. 16 |
Autoridad Independiente de Protección del Informante (AAI / SGIP)
La AAI/SGIP es el organismo administrativo de control creado por la Ley 2/2023. Gestiona el canal externo, impone sanciones y coordina con autoridades autonómicas. Más detalle en nuestro post sobre la Autoridad Independiente de Protección del Informante en marcha. Para el alta del RSI ante la AIPI, lee cómo dar de alta al RSI ante la AIPI — explica paso a paso el formulario electrónico y los documentos justificativos que pide el organismo.
Protección del denunciante: garantías y prohibición de represalias
- Despido, no renovación o degradación.
- Cambio de funciones, traslados o exclusión de promoción.
- Reducción salarial o cambio de horario perjudicial.
- Acoso o difamación.
- Inclusión en listas negras sectoriales.
- Daño reputacional o profesional.
- Acciones judiciales injustificadas (incluida querella temeraria).
La represalia invierte la carga de la prueba: corresponde al empleador acreditar que la decisión no se debe a la denuncia. Esta materia se cruza a menudo con la gestión de conflictos de interés en la empresa, especialmente cuando el denunciante o el denunciado ocupan posiciones de toma de decisiones.
Sanciones por incumplimiento (Ley 2/2023, art. 63)
| Categoría | Cuantía | Ejemplos |
|---|---|---|
| Leves | Hasta 10.000 € (PF) / 100.000 € (PJ) | Incumplimientos formales menores |
| Graves | 10.001–100.000 € (PF) / 100.001–600.000 € (PJ) | Falta de canal, plazos, retención de información a la AAI |
| Muy graves | Hasta 300.000 € (PF) / hasta 1.000.000 € (PJ) | Represalias, divulgación de identidad del informante, obstrucción a la AAI |
Sanciones accesorias: amonestación pública, prohibición de contratar con AAPP o de obtener subvenciones hasta 4 años.
Coste estimado de implantar el canal en 2026
El presupuesto depende del tamaño y de la combinación entre tecnología y servicios profesionales. La siguiente tabla recoge rangos de mercado en España para 2026.
| Partida | Pyme 50–99 empleados | Mediana 100–249 | Gran empresa 250+ |
|---|---|---|---|
| Plataforma SaaS canal (anual) | 900–1.800 € | 1.800–3.600 € | 3.600–9.000 € |
| Consultoría jurídica inicial | 1.500–2.500 € | 2.500–4.500 € | 5.000–12.000 € |
| Formación (1.ª edición) | 500–1.000 € | 1.000–2.500 € | 3.000–8.000 € |
| Mantenimiento anual y memoria | 600–1.200 € | 1.200–2.500 € | 3.000–6.000 € |
| Coste total año 1 | 3.500–6.500 € | 6.500–13.000 € | 14.500–35.000 € |
El retorno es evidente cuando se compara con el techo sancionador (hasta 1.000.000 € por una sola infracción muy grave), pero el ROI principal no es defensivo: un canal usado genera early-warnings que reducen incidencias laborales, fraude interno y rotación.
Cómo implantar un canal de denuncias paso a paso (5 pasos)
- Designar al Responsable del Sistema Interno de Información (RSI). Comunicación obligatoria a la AAI.
- Elegir la plataforma técnica. SaaS especializada o sistema mixto. Requisitos: cifrado, auditoría, control de accesos.
- Redactar el Procedimiento del Sistema Interno. Aprobado por el órgano de gobierno.
- Formar al personal e informar a terceros. Comunicación interna obligatoria.
- Documentar y reportar. Memoria anual y conservación 10 años.
In-house vs externalizado: cómo elegir
La Ley 2/2023 permite externalizar la gestión del canal en un proveedor especializado, manteniendo la titularidad y la responsabilidad última en la organización. Para una pyme sin DPO ni equipo de compliance dedicado, externalizar suele ser la opción más eficiente. Para organizaciones con función de compliance madura, la decisión depende de la cultura de confianza interna.
| Criterio | In-house | Externalizado |
|---|---|---|
| Confianza percibida por el informante | Más baja — temor a represalias | Más alta — intermediario neutral |
| Coste año 1 (pyme) | 4.500–8.000 € (recursos internos) | 3.500–6.500 € |
| Tiempo de implantación | 2–4 meses | 2–4 semanas |
| Independencia investigadora | Riesgo en empresas pequeñas | Sin riesgo |
| Adaptación a cultura interna | Alta | Media — requiere onboarding del proveedor |
| Conformidad técnica RGPD | Depende del equipo IT | Garantizada por contrato y certificaciones |
Errores frecuentes que la AAI sanciona
- Canal solo por email — incumple múltiples vías.
- Sin acuse de recibo en 7 días.
- Investigación gestionada por el área denunciada — conflicto de interés.
- Falta de trazabilidad.
- No comunicar al RSI a la AAI.
- Compartir la identidad del denunciante — sanción hasta 1 M€.
- No actuar sobre denuncias menores asumiendo que «no es grave».
- No documentar la formación al personal.
Preguntas frecuentes
¿Cuándo entra en vigor la Ley 2/2023?
13 de marzo de 2023. Empresas 250+ y AAPP: 13/06/2023. Empresas 50–249: 01/12/2023.
¿Mi empresa de menos de 50 trabajadores está obligada?
No, salvo sector regulado (financiero, antiblanqueo, transporte, energía, salud, consumo).
¿Denuncias anónimas válidas?
La ley no obliga aceptarlas pero recomienda admitirlas. Decisión motivada si no las admites.
¿Puede ir directamente a la AAI?
Sí. Canal externo cuando hay riesgo de represalia o la denuncia no fue tramitada en plazo.
¿Denuncia con mala fe?
La ley protege al de buena fe. Falsedad: sanciones administrativas o responsabilidad civil/penal.
¿DPO como RSI?
Solo si no genera conflicto de interés. La AEPD recomienda separar las figuras.
¿Cómo encaja con la LOPD?
El tratamiento de datos del canal está sujeto al RGPD y LOPDGDD: principios de minimización, conservación tasada, base jurídica documentada y respeto de derechos ARCO+ del denunciado.
¿Sindicatos acceden a las denuncias?
No. La confidencialidad protege también frente a la representación legal de los trabajadores.
¿AAPP tienen las mismas obligaciones?
Sí, con matices propios del sector público (publicidad activa, transparencia).
¿Documentos en inspección AAI?
Procedimiento aprobado, designación RSI, registro de comunicaciones, formación documentada, memoria anual.
¿Implantación express para pymes?
Sí, 15 días laborables con proveedor especializado.
¿Notificación al Comité de Empresa?
Sí. Derecho de información y consulta a la representación legal de los trabajadores antes de la entrada en vigor.
¿Compartir con el cliente/proveedor mencionado?
No durante la investigación. Solo si lo exige el procedimiento formal posterior.
¿Y si la denuncia es contra el CEO o el órgano de administración?
El Procedimiento debe prever una vía alternativa que evite el conflicto de interés: comité ad-hoc, externalización temporal del expediente, o derivación directa al canal externo de la AAI. La organización no puede ser juez y parte sin levantar nulidad.
¿La memoria anual debe publicarse?
Los sujetos obligados del sector público deben publicarla. En el sector privado se conserva internamente y se entrega solo a requerimiento de la AAI o autoridad judicial.
Implantamos tu canal de denuncias en 15 días
Plataforma SaaS, procedimiento documentado, designación del RSI, formación al personal y comunicación interna. Incluye 6 meses de soporte y la primera memoria anual.
