Si gestionas una empresa con más de 50 empleados y todavía no tienes un canal de denuncias operativo, estás incumpliendo la ley. La Ley 2/2023, de 20 de febrero, obliga a todas las organizaciones que superen ese umbral a disponer de un sistema interno de información que permita a cualquier persona denunciar irregularidades de forma confidencial. Y desde septiembre de 2025, la Autoridad Independiente de Protección del Informante (AAI) ya está en funcionamiento, lo que significa que las inspecciones y sanciones son una realidad.
En esta guía repasamos todos los requisitos que debe cumplir tu canal de denuncias para estar al día con la normativa, las sanciones a las que te expones si no lo implantas y cómo hacerlo de forma sencilla.
¿Qué es un canal de denuncias y por qué es obligatorio?
Un canal de denuncias —o sistema interno de información, como lo denomina la ley— es un mecanismo que permite a empleados, proveedores, accionistas o cualquier persona vinculada a una organización comunicar de forma segura y confidencial posibles irregularidades, infracciones normativas o actos de corrupción.
La obligación de implantarlo viene de dos fuentes:
- La Directiva europea 2019/1937 (conocida como Directiva Whistleblower), aprobada por el Parlamento Europeo para proteger a quienes denuncian infracciones del Derecho de la Unión.
- La Ley 2/2023, de 20 de febrero, que transpone esa directiva al ordenamiento jurídico español y establece los requisitos concretos para empresas y entidades del sector público.
La obligación de implantarlo viene de dos fuentes: la Directiva europea 2019/1937 y la Ley 2/2023, de 20 de febrero.
El objetivo no es solo cumplir un trámite. Un canal de denuncias bien gestionado ayuda a detectar problemas antes de que escalen, genera confianza entre los empleados y refuerza la cultura de cumplimiento normativo en la empresa.
¿Quién está obligado a tener un canal de denuncias?
La Ley 2/2023 establece la obligación para un abanico amplio de organizaciones. En el sector privado, están obligadas:
- Todas las empresas con 50 o más trabajadores.
- Entidades de sectores regulados (servicios financieros, prevención de blanqueo de capitales, seguridad del transporte, protección del medio ambiente), independientemente de su tamaño.
- Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que reciban o gestionen fondos públicos.
En el sector público, la obligación alcanza a todas las administraciones, organismos públicos, autoridades independientes, universidades públicas, corporaciones de Derecho público y sociedades mercantiles con participación estatal superior al 50 %.
Todas las empresas con 50 o más trabajadores están obligadas a disponer de un sistema interno de información.
Eso sí: aunque tu empresa tenga menos de 50 empleados, nada impide implantar un canal de denuncias voluntariamente. De hecho, es una buena práctica que refuerza la transparencia y puede ser un diferenciador ante clientes y socios.
Plazos de implantación: ¿ya deberías tenerlo?
La ley estableció plazos escalonados según el tamaño de la organización:
| Tipo de organización | Plazo límite |
|---|---|
| Empresas con 250+ trabajadores | 13 de junio de 2023 |
| Empresas de 50 a 249 trabajadores | 1 de diciembre de 2023 |
| Administraciones y sector público | 13 de junio de 2023 |
| Municipios de menos de 10.000 habitantes | 1 de diciembre de 2023 |
En la práctica, esto significa que todos los plazos ya han vencido. Si tu empresa está obligada y aún no tiene un canal de denuncias operativo, se expone a sanciones desde ya.
Los 10 requisitos legales del canal de denuncias
La Ley 2/2023 no deja margen a la improvisación. Estos son los requisitos que debe cumplir tu sistema interno de información:
1. Confidencialidad garantizada
El canal debe proteger la identidad del informante, del denunciado y de cualquier tercero mencionado en la comunicación. Solo el personal autorizado —el responsable del sistema y los investigadores designados— puede acceder a esa información. Según el artículo 33 de la ley, la identidad del informante nunca puede revelarse mediante el derecho de acceso del interesado (RGPD).
2. Posibilidad de denuncia anónima
La ley establece que el canal debe aceptar comunicaciones anónimas. Esto es fundamental: muchas personas no denuncian por miedo a represalias. Garantizar el anonimato elimina esa barrera y aumenta la efectividad del sistema.
3. Comunicaciones por escrito y verbales
No basta con un formulario web. El sistema debe permitir presentar denuncias tanto por escrito como de forma verbal (por ejemplo, a través de línea telefónica o sistema de mensajería de voz). Si el informante lo solicita, la organización debe ofrecer una reunión presencial en un plazo máximo de 7 días.
4. Responsable del sistema designado
La empresa debe nombrar a un responsable del sistema interno de información, designado por el órgano de administración o gobierno. Este responsable debe ser autónomo e imparcial en el ejercicio de sus funciones, y su nombramiento debe comunicarse a la Autoridad Independiente de Protección del Informante en un plazo de 10 días hábiles.
La empresa debe nombrar a un responsable del sistema interno de información, autónomo e imparcial en el ejercicio de sus funciones.
5. Acuse de recibo en 7 días
Tras recibir una denuncia, la organización debe enviar un acuse de recibo al informante en un plazo máximo de 7 días naturales. Este paso es obligatorio y sirve para que el denunciante sepa que su comunicación ha sido registrada.
6. Plazo de respuesta: máximo 3 meses
La investigación debe resolverse en un plazo máximo de 3 meses desde la recepción de la denuncia. En casos especialmente complejos, este plazo puede ampliarse hasta 6 meses, pero siempre notificando al informante. Si se aprecian indicios de delito, el responsable debe remitir inmediatamente la comunicación al Ministerio Fiscal.
7. Análisis preliminar de admisión
El responsable del sistema dispone de 10 días hábiles para analizar si la denuncia cumple los requisitos de admisión. Si se inadmite, debe comunicarlo al informante en un plazo de 5 días hábiles, explicando los motivos.
8. Registro de comunicaciones
La organización debe llevar un registro de todas las comunicaciones recibidas, con datos como la fecha de recepción, el contenido, el estado de la investigación y las medidas adoptadas. Este registro debe conservarse de forma segura y cumplir con la normativa de protección de datos (RGPD y LOPDGDD).
9. Protección de datos personales
El tratamiento de datos personales asociados al canal de denuncias debe cumplir el Reglamento General de Protección de Datos (UE 2016/679) y la Ley Orgánica de Protección de Datos. Las entidades obligadas deben contar con un Delegado de Protección de Datos. Los datos solo se conservarán durante el tiempo necesario para la investigación y los plazos legales de conservación.
10. Protocolo de uso accesible
La empresa debe establecer un protocolo claro y accesible que detalle: los canales disponibles para denunciar, los pasos del proceso, los derechos y garantías del informante, y las consecuencias de presentar denuncias falsas de forma intencionada. Este protocolo debe comunicarse a todos los miembros de la organización.
Protección del informante: qué dice la ley
Uno de los pilares de la Ley 2/2023 es la protección efectiva de las personas que denuncian. No se trata solo de tener un buzón: hay que garantizar que quien informa no sufra consecuencias negativas.
La ley establece:
- Prohibición de represalias durante los 2 años posteriores a la investigación. Esto incluye despidos, cambios de puesto, acoso, discriminación o cualquier trato desfavorable.
- Inversión de la carga de la prueba: si el informante alega represalias, es la empresa quien debe demostrar que las medidas adoptadas no están relacionadas con la denuncia.
- Nulidad de cláusulas contractuales que limiten o impidan el derecho a informar.
- Protección extendida a personas del entorno del informante (familiares, compañeros, representantes legales) y a las entidades vinculadas.
- Acceso al apoyo de la AAI (Autoridad Independiente de Protección del Informante), que puede proporcionar asesoramiento, asistencia financiera y medidas de protección en procesos judiciales.
La ley prohíbe expresamente las represalias durante los 2 años posteriores a la investigación e invierte la carga de la prueba.
Sanciones por incumplimiento: cuánto puede costar no tener canal de denuncias
El régimen sancionador de la Ley 2/2023 distingue entre infracciones leves, graves y muy graves, y entre personas físicas y jurídicas. Las cuantías son significativas:
| Tipo de infracción | Personas físicas | Personas jurídicas |
|---|---|---|
| Leve | Hasta 10.000 € | Hasta 100.000 € |
| Grave | De 10.001 a 30.000 € | De 100.001 a 600.000 € |
| Muy grave | De 30.001 a 300.000 € | De 600.001 a 1.000.000 € |
No disponer de un sistema interno de información cuando es obligatorio se considera infracción muy grave, con sanciones de hasta 300.000 € para personas físicas y hasta 1.000.000 € para personas jurídicas.
Además de las multas, la ley contempla sanciones accesorias como la inhabilitación para contratar con el sector público o la pérdida del derecho a recibir subvenciones durante un período de hasta 4 años.
La Autoridad Independiente de Protección del Informante (AAI)
Desde el 1 de septiembre de 2025, la Autoridad Independiente de Protección del Informante está oficialmente en funcionamiento. Fue creada por el artículo 42 de la Ley 2/2023 y su estatuto se aprobó mediante el Real Decreto 1101/2024, de 29 de octubre.
Sus funciones principales son:
- Gestionar el canal externo de comunicaciones, al que puede acudir cualquier informante que no confíe en el canal interno de su organización o que no haya recibido respuesta en plazo.
- Adoptar medidas de protección para los informantes frente a represalias.
- Tramitar procedimientos sancionadores e imponer sanciones a las entidades que incumplan la ley.
- Fomentar la cultura de denuncia como mecanismo de prevención y detección de irregularidades.
La puesta en marcha de la AAI supone un antes y un después: ya no se trata solo de una obligación teórica, sino de que hay un organismo con capacidad real de sancionar.
¿Se puede externalizar el canal de denuncias?
Sí. La Ley 2/2023 contempla expresamente la posibilidad de que la gestión del sistema interno de información se externalice total o parcialmente a un proveedor externo. Esto es especialmente habitual en empresas medianas que no cuentan con recursos internos para gestionar el canal.
Las opciones más comunes son:
- Despachos de abogados y asesorías laborales especializados en compliance (si llevas una asesoría, aquí te explicamos cómo integrar un software de RRHH para cumplir con esta y otras obligaciones legales de tus empresas cliente).
- Consultoras de cumplimiento normativo.
- Plataformas tecnológicas que ofrecen el canal como servicio, integrando la recepción de denuncias, la gestión de plazos y la generación de informes.
Eso sí: aunque se externalice la gestión, la responsabilidad final sigue siendo de la empresa. El responsable del sistema debe ser una persona de la organización (o designada por ella), y la empresa debe asegurarse de que el proveedor cumple con todos los requisitos legales.
Cómo implantar un canal de denuncias paso a paso
Si necesitas poner en marcha tu canal de denuncias (o verificar que el que tienes cumple la ley), estos son los pasos fundamentales:
1. Evalúa tu situación
Revisa si tu empresa está dentro del ámbito de aplicación de la Ley 2/2023. Recuerda: no solo aplica a empresas con más de 50 empleados, sino también a sectores regulados y entidades que gestionan fondos públicos.
2. Designa al responsable del sistema
El responsable debe ser una persona con autonomía e independencia dentro de la organización. No puede tener conflictos de interés con las áreas que pueda investigar. Su nombramiento debe comunicarse a la AAI.
3. Elige la tecnología adecuada
El canal necesita una plataforma que garantice la confidencialidad, permita denuncias anónimas, gestione plazos automáticamente y genere registro de toda la actividad. Aquí es donde un software de canal de denuncias especializado marca la diferencia frente a soluciones improvisadas como un buzón de correo.
4. Redacta el protocolo
Documenta todo el procedimiento: cómo se presenta una denuncia, quién la recibe, cómo se investiga, cuáles son los plazos y qué derechos tiene el informante. Este protocolo debe ser accesible para toda la plantilla.
5. Forma al personal
Tanto el equipo encargado de gestionar el canal como el resto de empleados deben recibir formación sobre su uso, derechos y obligaciones. La formación debe ser periódica y adaptada a las necesidades de la organización.
6. Comunica la existencia del canal
De nada sirve tener un canal de denuncias si nadie sabe que existe. Comunícalo a toda la plantilla, inclúyelo en los procesos de onboarding y asegúrate de que también lo conocen proveedores y colaboradores externos.
7. Revisa y mejora periódicamente
La ley exige que el canal y sus procedimientos se revisen de forma periódica para evaluar su eficacia, identificar áreas de mejora y garantizar el cumplimiento continuo. Documenta estas revisiones.
¿Por qué un software especializado para el canal de denuncias?
Gestionar un canal de denuncias con un correo electrónico genérico o un formulario básico puede parecer suficiente, pero en la práctica genera problemas serios:
- Falta de anonimato real: un email siempre deja rastro del remitente.
- Sin control de plazos: los 7 días para el acuse de recibo o los 3 meses para resolver se pierden fácilmente sin alertas automáticas.
- Sin registro auditable: ante una inspección, necesitas demostrar trazabilidad completa de cada denuncia.
- Riesgo de confidencialidad: si el correo lo gestiona el mismo equipo de RRHH, la imparcialidad queda comprometida.
El canal de denuncias de TramitApp está diseñado para cumplir todos los requisitos de la Ley 2/2023 desde el primer día. Permite recibir denuncias anónimas, gestiona automáticamente los plazos legales (acuse de recibo, resolución), mantiene un registro completo y auditable, y garantiza la confidencialidad con accesos restringidos por roles. Más de 3.000 empresas ya confían en TramitApp para gestionar sus procesos de RRHH, con certificación ISO 27001 que respalda la seguridad de la información.
Nos hemos sentido muy acompañados en todo momento por TramitApp, desde el inicio nos han ayudado a adaptar la herramienta de Registro de jornada a nuestras necesidades, a adquirir conocimiento sobre su uso y a ir solventando las dudas que han ido surgiendo en el día a día. Son un gran equipo y muy implicado en atender las necesidades de su Cliente.
Preguntas frecuentes sobre el canal de denuncias
¿Qué pasa si mi empresa tiene menos de 50 empleados?
¿Puedo compartir canal de denuncias con otras empresas del grupo?
¿Qué ocurre si alguien presenta una denuncia falsa?
¿Cuánto tiempo debo conservar los datos de las denuncias?
Conclusión
El canal de denuncias ya no es una opción: es una obligación legal para todas las empresas con más de 50 empleados en España. Con la Autoridad Independiente de Protección del Informante ya en funcionamiento, las inspecciones y sanciones (de hasta 1 millón de euros para personas jurídicas) son una realidad tangible.
Cumplir con la Ley 2/2023 no tiene por qué ser complicado si cuentas con las herramientas adecuadas. El canal de denuncias de TramitApp te permite estar al día desde el primer momento: denuncias anónimas, gestión automática de plazos, registro auditable y cumplimiento normativo garantizado. Si necesitas verlo en acción, solicita una demo de nuestro software de RRHH y compruébalo por ti mismo.
