Compliance8 min lectura

Canal de denuncias y Ley 2/2023: qué exige la norma y qué significa validez judicial

CV
Carlos Vicente Sánchez López
Founder, CEO & CTO

¿A quién obliga la Ley 2/2023 a tener un canal de denuncias?

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción — la transposición española de la Directiva (UE) 2019/1937 — obliga a disponer de un Sistema interno de información, que es como la norma llama al canal de denuncias, a:

  • Las empresas privadas con 50 o más trabajadores.
  • Las entidades del sector público.
  • Los partidos políticos, sindicatos, organizaciones empresariales y fundaciones que reciban fondos públicos, sea cual sea su número de trabajadores.
  • Las empresas que, sin llegar a 50 trabajadores, operan en ámbitos donde la normativa de la Unión lo exige: servicios financieros, prevención del blanqueo de capitales, seguridad del transporte o protección del medio ambiente, entre otros.

El plazo de implantación venció hace tiempo. Las entidades de 250 o más trabajadores y las del sector público lo tuvieron hasta el 13 de junio de 2023; las de entre 50 y 249 trabajadores, hasta el 1 de diciembre de 2023.

¿Qué tiene que cumplir el canal, exactamente?

La ley no describe una tecnología. Describe unas propiedades. El sistema tiene que:

  • Admitir comunicaciones escritas y verbales y permitir, si el informante lo pide, una reunión presencial dentro de un plazo máximo de siete días.
  • Permitir comunicaciones anónimas y su tramitación posterior. El anonimato no es una opción del proveedor: la ley lo exige.
  • Enviar acuse de recibo en siete días naturales desde la recepción de la comunicación.
  • Dar respuesta a las actuaciones de investigación en un plazo máximo de tres meses, ampliable hasta otros tres meses adicionales en casos de especial complejidad.
  • Tener un Responsable del Sistema, designado por el órgano de administración o de gobierno, que ejerce sus funciones con independencia y cuyo nombramiento se comunica a la Autoridad Independiente de Protección del Informante.
  • Llevar un libro-registro de las informaciones recibidas, que no es público y al que solo se accede a instancia de la autoridad judicial competente, mediante auto y dentro de un procedimiento judicial.
  • Garantizar la confidencialidad de la identidad del informante, de las personas afectadas y de cualquier tercero mencionado en la comunicación.

El incumplimiento no es teórico: el régimen sancionador de la ley alcanza multas de hasta 1.000.000 € para personas jurídicas en las infracciones muy graves.

¿Es lo mismo anonimato que confidencialidad?

No, y confundirlos es el error más común al montar un canal.

Anonimato significa que el sistema no sabe quién ha informado. La ley exige que el canal permita comunicaciones anónimas y que se puedan tramitar igual que las demás.

Confidencialidad significa que el sistema sí sabe quién ha informado, pero su identidad está protegida. Y lo está frente a todo el mundo, incluida la persona a la que se refiere la denuncia. La identidad del informante solo puede comunicarse a la autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente, y en el marco de una investigación penal, disciplinaria o sancionadora.

Las dos cosas tienen que convivir en el mismo canal y las dos tienen consecuencias técnicas. Un canal que permite comunicaciones anónimas pero guarda la IP del informante en un log de acceso no es anónimo. Lo es en la interfaz y no lo es en la infraestructura, que es el único sitio donde importa.

¿Qué protege exactamente al informante?

La prohibición de represalias, con la carga de la prueba invertida. Si quien ha informado demuestra razonablemente que lo hizo conforme a la ley y que ha sufrido un perjuicio, se presume que ese perjuicio es una represalia. Corresponde entonces a quien adoptó la medida probar que se basó en motivos debidamente justificados y ajenos a la comunicación.

Eso cambia lo que el sistema tiene que ser capaz de demostrar. Ya no basta con recibir la denuncia: hay que poder reconstruir, mucho tiempo después, quién supo qué y en qué momento. Una organización que no puede probar que la identidad del informante nunca salió del círculo autorizado está en mala posición aunque no haya hecho nada malo.

¿Qué significa que un canal de denuncias tenga "validez judicial"?

Conviene decirlo con claridad: no existe un sello oficial que otorgue "validez judicial" a un canal de denuncias. Ninguna norma lo concede y nadie lo certifica. Lo que existe es un conjunto de propiedades que un tribunal puede examinar cuando lo que salió del canal se aporta como prueba. Son cuatro.

  1. Integridad. Poder demostrar que el registro no se ha alterado desde que entró. Si el contenido de una comunicación se puede modificar sin dejar rastro, su valor probatorio se discute. Y se discutirá.
  2. Autenticidad. Poder demostrar que el registro es el que dice ser y que procede de donde dice proceder, con un sellado temporal fiable.
  3. Trazabilidad. Poder reconstruir cada actuación sobre la comunicación: quién accedió, cuándo, qué hizo, qué se le comunicó al informante y en qué fecha. Sin ese registro, la frase "la identidad nunca salió de aquí" es una declaración de intenciones.
  4. Licitud. Que la prueba se haya obtenido respetando la confidencialidad del informante y la normativa de protección de datos.

Esas cuatro propiedades son, en el mundo digital, lo que la cadena de custodia es en el mundo físico: la secuencia documentada de quién ha tenido la prueba en la mano desde que se recogió. En un canal de denuncias no hay bolsa precintada ni etiqueta con una firma. Hay un registro de actuaciones que, o es íntegro y completo, o no sostiene nada el día que alguien lo cuestione.

¿Qué implica todo esto en la arquitectura?

Que esas propiedades tienen que ser una condición del sistema, no una funcionalidad que se añade al final. Traducidas a decisiones concretas:

  • El registro de actuaciones no se edita: se añade. Un modelo de datos en el que un estado se sobrescribe es un modelo en el que la trazabilidad depende de que nadie meta la mano.
  • El acceso es tan relevante como el contenido. Quién puede leer una comunicación forma parte de la prueba, y por eso el aislamiento se aplica por debajo del código de aplicación. En nuestras plataformas se hace con Row-Level Security en la base de datos: un fallo en el backend no puede cruzar datos entre organizaciones, porque la frontera está en otro sitio.
  • El anonimato se protege en la infraestructura, no en el formulario. Si hay IA en el circuito, los datos personales se anonimizan antes de la llamada al modelo y el proceso es fail-closed: si la anonimización falla, la petición no sale.
  • Los datos tienen fecha de caducidad. La ley limita la conservación de los datos personales al tiempo imprescindible y, en todo caso, a un máximo de diez años. Además, una comunicación sobre la que no se han iniciado actuaciones de investigación debe suprimirse pasados tres meses desde su recepción, y solo puede quedar constancia de ella de forma anonimizada. El borrado no es una tarea de mantenimiento: es un requisito.

El detalle de cómo se aplican estas decisiones — anonimización previa a la inferencia, residencia de datos en la Unión Europea, aislamiento por organización — está en cómo se construyen nuestras plataformas. La parte de IA, en cómo construir un RAG empresarial con citas verificables.

¿Qué es CyberForensic 360 y en qué estado está?

CyberForensic 360 es el canal de denuncias que estamos construyendo con esas propiedades como requisito de diseño: cadena de custodia, trazabilidad íntegra de cada actuación y confidencialidad del informante.

Está en desarrollo y todavía no se comercializa. No tenemos certificaciones que enseñar y no vamos a inventarlas. Cuando esté disponible se dirá aquí.

Las mismas decisiones de arquitectura sí están ya en producción en otro dominio regulado: Perizial, el software de gestión del gabinete pericial, con clientes de pago, planes públicos desde 69,99 €/mes y 30 días de prueba. Y en Tramitia, la plataforma de trámites y presentaciones oficiales, en early access. Si trabajas con expedientes que acaban en un juzgado, el ciclo del expediente pericial cuenta cómo se comporta un dominio así de cerca.

Este artículo describe qué exige la Ley 2/2023 y qué propiedades técnicas hacen que un registro digital resista un examen judicial. No es asesoramiento jurídico. Para decidir cómo aplicar la norma en tu organización, consulta con tu asesoría.

Perizial, en producción

El SaaS de CyberVaultLabs que automatiza el expediente pericial entero, del encargo a la factura. Planes públicos desde 69,99 €/mes y 30 días de prueba.

Ver Perizial →