Las pequeñas y medianas empresas ya no pueden seguir posponiendo el canal de denuncias. Desde el 10 de febrero, la Autoridad Independiente de Protección del Informante ha activado el formulario para comunicar la designación del Responsable del Sistema Interno de Información. Es el paso que faltaba para que la Ley 2/2023 entre en fase de control efectivo.
Con este trámite habilitado en la sede electrónica, se abre un plazo de dos meses para notificar el nombramiento, hasta el 10 de abril. Y, a partir de ahora, la Autoridad puede comprobar si la empresa cumple y, si no lo hace, sancionar. La obligación ya no es solo normativa. Es supervisable.
Hasta ahora muchas pymes entendían que existía cierto margen desde que la ley entró en vigor en 2023. La propia Autoridad había señalado que la comunicación del responsable quedaba en suspenso hasta que el procedimiento estuviera operativo. Ese escenario ha terminado.
Control real y plazo en marcha
Héctor Déniz Guedes, responsable del área de Compliance de AGM Abogados, explica que la obligación no es nueva. Lo nuevo es que existe un mecanismo administrativo que permite verificarla.
La activación del formulario tiene dos consecuencias claras:
- Empieza a contar el plazo de dos meses para comunicar el nombramiento.
- La Autoridad puede ejercer plenamente sus funciones de supervisión.
Esto significa que la AIPI podrá requerir documentación, revisar si el sistema cumple los requisitos legales y comprobar que el responsable ha sido designado correctamente. Si detecta incumplimientos, podrá iniciar el procedimiento sancionador previsto en la ley.
“Hasta ahora existía la percepción de que la obligación podía demorarse sin consecuencias inmediatas. Esa percepción ya no es sostenible”, señaló Déniz Guedes. La pregunta es evidente: ¿puede una pyme asumir el riesgo de una sanción por no haber formalizado un trámite que ya es exigible?
Quién está obligado a tener canal
La Ley 2/2023 obliga a implantar un sistema interno de información a todas las empresas con 50 o más trabajadores. También deben hacerlo, con independencia del tamaño, aquellas que operen en sectores regulados como servicios financieros, prevención del blanqueo de capitales, medio ambiente o seguridad del transporte.
En grupos empresariales puede existir un sistema común, pero cada sociedad debe garantizar que el canal es accesible y cumple la ley. Las empresas de entre 50 y 249 empleados pueden compartir recursos para gestionarlo, aunque no pueden evitar la obligación.
El canal debe permitir denuncias por escrito o verbales, incluso anónimas. Debe garantizar la confidencialidad y proteger al informante frente a represalias. Además, tiene que existir un procedimiento claro de investigación interna.
“No basta con tener un buzón de correo electrónico o un formulario genérico”, advirtió Déniz Guedes. El sistema debe cumplir requisitos técnicos y organizativos concretos. También es obligatorio designar un Responsable del Sistema Interno de Información con autonomía e independencia, cuya identidad debe comunicarse formalmente a la Autoridad.
Multas de hasta un millón y posible responsabilidad personal
El régimen sancionador de la Ley 2/2023 es contundente. Las infracciones muy graves pueden alcanzar el millón de euros cuando se trata de personas jurídicas.
Entre los incumplimientos sancionables se encuentran:
- No disponer de un sistema interno de información.
- No garantizar la confidencialidad.
- No permitir denuncias anónimas.
- No designar un responsable independiente.
- No tramitar correctamente las comunicaciones recibidas.
No es solo una cuestión empresarial. Los administradores y directivos pueden asumir responsabilidad personal si se aprecia falta de diligencia en el cumplimiento de sus deberes de supervisión.
Qué deben revisar ahora las pymes
Con el formulario ya activo, las empresas obligadas deberían revisar tres puntos concretos.
Primero, comprobar que el canal cumple la ley. Esto implica confidencialidad, protección de datos, posibilidad de denuncia anónima y un procedimiento documentado de gestión.
Segundo, verificar que el Responsable del Sistema Interno de Información ha sido designado formalmente por el órgano competente y que el acuerdo consta por escrito.
Tercero, asegurarse de que la designación se comunica dentro de plazo a través del formulario habilitado por la Autoridad.
No basta con tener el sistema en papel. La empresa debe poder demostrar que funciona y que respeta el plazo máximo de tres meses para responder al informante. El control ya está en marcha. Ahora, la obligación es plenamente exigible y las consecuencias del incumplimiento son reales.
