Tabla de contenidos

Durante meses, muchas organizaciones han tratado los canales internos de información como un requisito formal derivado de la Ley 2/2023. Bastaba con habilitar un formulario en la web o un buzón interno para poder afirmar que se cumplía. Sin embargo, el escenario ha cambiado: los canales internos de información han entrado en fase de control real tras las primeras denuncias presentadas ante la Autoridad Independiente de Protección del Informante (AIPI), que ya ha comenzado a remitir requerimientos formales a las empresas. Este nuevo contexto marca un punto de inflexión. Ya no se analiza si la empresa “dispone de un canal”, sino si ese canal funciona correctamente, es seguro y cumple su finalidad: proteger al informante y permitir la detección eficaz de irregularidades internas. 

El fin de los canales simbólicos 

Los primeros requerimientos evidencian que la etapa de los sistemas meramente formales ha terminado. La AIPI está verificando si los canales internos de información cumplen en la práctica, no solo en el papel. Hasta ahora, algunas organizaciones habían implantado soluciones básicas: correos genéricos, formularios sin medidas de seguridad avanzadas o buzones físicos sin garantías reales de confidencialidad. Con la nueva supervisión, estos modelos dejan de ser suficientes. 

La Ley 2/2023 exige algo más profundo: un sistema operativo, seguro y gestionado con rigor. Las tres Recomendaciones publicadas por la AIPI en enero, especialmente la Recomendación 1/2026, se han convertido en la referencia para revisar el diseño y funcionamiento del canal. Los canales internos de información ya no pueden tratarse como un simple trámite. Son una herramienta clave de cumplimiento y gobernanza. 

Aspectos donde poner el foco

Seguridad técnica y cifrado: requisito esencial 

Uno de los mensajes más claros de la AIPI es que los canales internos de información deben apoyarse en plataformas tecnológicas seguras, accesibles y con cifrado de extremo a extremo. 

Esto implica: 

  • Que no resultan admisibles correos electrónicos sin garantías reforzadas.
  • Que no son suficientes formularios web sin protección avanzada.
  • Que los buzones físicos o sistemas manuales han quedado obsoletos.
  • Que tampoco son válidos programas internos sin registro de accesos ni trazabilidad. 

La razón es sencilla: si el diseño tecnológico permite identificar al informante, aunque sea indirectamente, el sistema está fallando en su esencia. El canal debe poder acreditar que protege la información sensible y que limita estrictamente los accesos. La seguridad técnica ya no es una recomendación. Es un elemento estructural 

Confidencialidad real: no basta con declararla 

Otro de los aspectos que está motivando requerimientos es la ausencia de garantías reales de confidencialidad. Incluir en la política una frase genérica indicando que “se garantizará la confidencialidad” ya no es suficiente. 

La Autoridad exige evidencias de que la identidad del informante no puede deducirse por los accesos al sistema, por los registros de actividad, por las IP utilizadas o por la configuración de permisos internos. Un canal mal configurado puede exponer al informante sin que la organización sea consciente. Y eso supone un incumplimiento claro. Por este motivo, la AIPI está solicitando documentación técnica, descripciones de flujos de gestión, acreditaciones de cifrado y pruebas del funcionamiento seguro del sistema. 

Requisitos organizativos que ya se están revisando 

Más allá de la tecnología, la AIPI está analizando el marco organizativo del sistema. 

Para que los canales internos de información sean válidos, la empresa debe acreditar que ha cumplido determinados pasos esenciales: 

  • Consulta previa a la representación sindical antes de implantar el sistema.
  • Aprobación formal del Sistema Interno de Información por el órgano de gobierno.
  • Nombramiento del Responsable del Sistema Interno de Información (RSI).
  • Notificación del nombramiento a la autoridad competente.
  • Procedimiento documentado y actualizado para la gestión de informaciones.
  • Publicidad adecuada del canal.
  • Formación específica al personal. 

Este último aspecto está adquiriendo especial relevancia. En muchas empresas la implantación se ha limitado a publicar la política en la intranet. Sin embargo, la AIPI exige que los trabajadores comprendan para qué sirve el canal, qué situaciones pueden comunicar, cómo se tramitan las informaciones y qué garantías tienen. 

La formación genérica no es suficiente. Debe ser específica del canal concreto de la organización. 

Qué implican los primeros requerimientos 

La AIPI ha activado su potestad de supervisión. Esto significa que los requerimientos y revisiones van a ser progresivamente más frecuentes. Las empresas deben tener claro que: 

  • Las deficiencias técnicas pueden considerarse incumplimientos.
  • Los fallos procedimentales también generan riesgo.
  • La mera existencia del canal no acredita cumplimiento.
  • La falta de evidencias documentales puede resultar sancionable. 

Estamos ante un nuevo escenario en el que los canales internos de información deben demostrar robustez, transparencia y capacidad real de gestión. 

Implicaciones prácticas 

En este contexto, es recomendable realizar una revisión completa del canal, analizando: 

  • Seguridad técnica y cifrado.
  • Trazabilidad y control de accesos.
  • Documentación del procedimiento y Política (aprobada por el órgano de gobierno).
  • Medidas adoptadas para garantizar la confidencialidad.
  • La notificación del RSI a la AIPI.
  • Formación impartida, con registros de formación.
  • Publicidad y accesibilidad. 

En otras palabras, los canales internos de información deben estar preparados para explicar su funcionamiento y aportar evidencias de cumplimiento inmediato. 

Conclusión: del cumplimiento formal al cumplimiento real 

Los canales internos de información han entrado en una fase en la que el cumplimiento formal ya no es suficiente. Con los primeros requerimientos de la AIPI y recomendaciones cada vez más detalladas, el foco se sitúa en el cumplimiento operativo: sistemas que funcionen de verdad, que protejan efectivamente a los informantes y que refuercen la cultura de cumplimiento. No adaptarse a esta nueva realidad implica riesgos claros: sanciones, pérdida de confianza interna y daños reputacionales. La fase de control real ya ha comenzado.

Si tu empresa necesita asesoramiento en materia de canales internos de información y compliance, nuestros expertos estarán encantados de ayudarte. Puedes contactar con ellos aquí. 

María Pardo de Vera

Socia del área de Compliance