Qué espera encontrar la Autoridad de Protección del Informante cuando revise el canal de denuncias de una compañía

La Autoridad Independiente de Protección del Informante (AIPI) es un organismo público de ámbito estatal previsto en la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta norma traspuso a la legislación española la Directiva (UE) 2019/1937, denominada “Directiva Whistleblowing”.

La principal misión de la AIPI, que inició su actividad en septiembre de 2025, es garantizar la correcta aplicación de la Ley 2/2023. Entre sus funciones destacan la adopción de medidas de protección y apoyo a los informantes, la incoación, instrucción y resolución de procedimientos sancionadores por las infracciones previstas en la Ley 2/2023, y la elaboración de circulares, recomendaciones y modelos de prevención de delitos en el sector público.

Empresas obligadas

La Recomendación 1/2026 ofrece unas pautas para que las compañías obligadas a disponer de canal de denuncias, también denominado Sistema Interno de Información, diseñen e implementen dicho canal interno de forma adecuada. A estos efectos, aclara cómo se calcula el umbral de 50 o más trabajadores a partir del cual una entidad del sector privado debe disponer de un Sistema Interno de Información. Para el cálculo de este umbral, la AIPI adopta como criterio orientativo el recogido en el Real Decreto 901/2020 sobre planes de igualdad. Así, para contar al número de trabajadores se debe computar a toda la plantilla, sin importar su tipo de contrato o el centro donde trabajen, incluyendo a las personas que teletrabajan y los empleados a tiempo parcial.

Requisitos del Sistema Interno de Información

Según la Recomendación 1/2026, el Sistema Interno de Información debe diseñarse como una plataforma informática segura y cifrada que garantice la confidencialidad, lo que implica el uso de un software específico. La AIPI fomenta que las empresas unifiquen sus distintos buzones, como el de acoso o el ético, en un único canal o “ventana única”. Además, según la AIPI, el Sistema debe ser claramente identificable e independiente, incluso cuando las filiales compartan recursos con su matriz.

Cada empresa debe aprobar, a través de su órgano de administración, una política interna que garantice la ausencia de represalias contra el informante y que detalle sus derechos y deberes. Para que el Sistema sea válido, el órgano de gobierno debe aprobar formalmente tanto el Sistema Interno de Información como su política de uso, y redactar un procedimiento de gestión que explique cómo se tratarán las denuncias, colocando un enlace a estos de forma visible en la página web principal de la compañía. La política también deberá incluir información clara y accesible sobre los canales externos de información ante las autoridades competentes, entre otros, el de la AIPI y, en su caso, el de la autoridad autonómica competente.

La AIPI recomienda utilizar tecnología que permita la trazabilidad de la denuncia y la comunicación con el informante aunque sea anónimo, así como impartir formación a todos los empleados sobre el funcionamiento y garantías del Sistema. Durante la gestión de las denuncias, las comunicaciones verbales recibidas por teléfono o presencialmente deben documentarse mediante grabación o transcripción completa; en este último caso, se debe permitir al informante rectificar y aceptar el texto mediante firma.

El Responsable del Sistema y su notificación a las autoridades

La AIPI indica que el Responsable del Sistema debe gozar de independencia real, autonomía y autoridad dentro de la organización. Asimismo, debe actuar con imparcialidad e informar a las personas afectadas respetando la presunción de inocencia y el derecho al honor.

El Responsable del Sistema puede no ser un directivo si la dimensión de la entidad así lo justifica. Si el Responsable del Sistema es un órgano colegiado, la AIPI recomienda un máximo de 5 miembros y la presencia de al menos un integrante de la plantilla de la empresa.

El nombramiento y el cese de los Responsables del Sistema Interno de Información deben notificarse a las autoridades competentes. De acuerdo con el artículo 8.3 de la Ley 2/2023, estas comunicaciones se dirigirán a la AIPI o, en su caso, a los órganos correspondientes de las Comunidades Autónomas. Según el reciente criterio de la AIPI, si la compañía tiene oficinas en varias Comunidades Autónomas, o en una única Comunidad Autónoma que no cuente con autoridad con competencias sancionadoras en materia de protección del informante, deberá notificarlo únicamente a la AIPI; mientras que, si la compañía sólo opera en una Comunidad Autónoma con autoridad propia con dichas competencias sancionadoras (por el momento, Andalucía, Cataluña, Comunidad Valenciana y Galicia), deberá realizar la notificación únicamente a la autoridad autonómica, si bien la AIPI recomienda que se le comunique también a ella.

En cuanto a plazos, la notificación debe efectuarse dentro de los diez días hábiles siguientes al nombramiento o cese. No obstante, la AIPI aclara que en el caso de nombramientos y ceses realizados desde la entrada en vigor de la Ley 2/2023, que tuvo lugar el 13 de marzo de 2023, y hasta el 10 de febrero de 2026, fecha en que se habilitó la sede electrónica de la AIPI, se dispondrá de plazo hasta el 10 de abril de 2026, a través del formulario específico disponible en su portal web.

Aunque la Recomendación no tiene carácter vinculante, constituye el estándar de supervisión que aplicará la AIPI para evaluar si una compañía cumple con la Ley 2/2023 y, en caso contrario, eventualmente incoar un expediente sancionador. Por ello, es importante que las compañías revisen sus políticas internas y la configuración técnica de sus canales de denuncias a la luz de estos criterios para asegurar que los mismos cumplen con los estándares de la AIPI.