El próximo 10 de abril finaliza el plazo para que las entidades privadas obligadas por la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción notifiquen a la Autoridad Independiente de Protección del Informante (AIPI) el nombramiento del Responsable del Sistema Interno de Información (RSII).
La finalidad de la norma es la de proteger frente a represalias a las personas que un contexto laboral o profesional detecten infracciones penales o administrativas graves o muy graves y las comuniquen mediante los mecanismos regulados.
¿A quién afecta?
- Empresas y autónomos con 50 o más trabajadores.
- Entidades, aunque tengan menos de 50 empleados, que operen en sectores regulados por la UE (financiero, PBC/FT, transporte, medio ambiente, entre otros).
- Partidos políticos, sindicatos, organizaciones empresariales y fundaciones si gestionan fondos públicos.
- Grupos de sociedades pueden centralizar el sistema y/o el RSII bajo una política común.
Obligaciones principales
- Disponer de un Sistema Interno de Información completo (canales escritos y verbales, posibilidad de anonimato, procedimiento con plazos, libro-registro y garantías de confidencialidad y RGPD).
- Designar un RSII con independencia y medios suficientes, por acuerdo del órgano de administración.
- Notificar el nombramiento o cese del RSII en un máximo de 10 días hábiles desde que se produzca.
- La AIPI ha habilitado una ventana extraordinaria de notificación inicial hasta el 10 de abril.
Riesgos por no comunicar a tiempo
- Sanciones: hasta 1.000.000 € para personas jurídicas, además de posibles sanciones accesorias (prohibición de contratar con el sector público o recibir ayudas).
- Impacto reputacional y de cumplimiento: pérdida de credibilidad del canal, mayor riesgo de denuncias externas y problemas en auditorías o licitaciones.
Recomendación nº 1/2026 de la AIPI
La AIPI ha publicado su Recomendación n.º 1/2026, en la que se detallan los criterios técnicos para el diseño e implementación efectiva del Sistema Interno de Información (SII) exigido por la Ley 2/2023, con un enfoque claramente preventivo y de integridad, no meramente formal.
Aspectos clave para las empresas privadas
- El SII no es solo un buzón de denuncias, es una infraestructura de integridad que debe estar aprobada por el órgano de administración y plenamente integrada en la gobernanza de la organización.
- El sistema debe ser accesible a un amplio colectivo (empleados, ex-empleados, autónomos, proveedores, candidatos, etc.) y permitir la comunicación de delitos, infracciones administrativas graves o muy graves y vulneraciones del Derecho de la UE.
- El canal interno debe admitir comunicaciones escritas y verbales, permitir el anonimato, garantizar confidencialidad y seguridad reforzada y actuar como ventanilla única, integrando otros canales existentes.
- Es obligatoria la designación de un Responsable del Sistema Interno de Información (RSII) con independencia funcional, autonomía y medios suficientes, que no puede recibir instrucciones sobre la gestión de los expedientes.
- El nombramiento y cese del RSII deben notificarse a la AIPI, siendo este un elemento esencial del correcto funcionamiento del sistema.
- El procedimiento de gestión debe respetar plazos estrictos (acuse en 7 días y resolución en 3 meses, ampliable), la presunción de inocencia, la protección frente a represalias y la normativa de protección de datos.
- El canal interno alimenta un libro-registro obligatorio, con trazabilidad completa y acceso restringido.
- En grupos empresariales, puede existir un sistema y/o RSII común, pero la obligación sigue siendo individual para cada sociedad obligada y el sistema debe adaptarse plenamente a la Ley española.
En conjunto, la AIPI subraya que un SII bien diseñado reduce riesgos legales y reputacionales, favorece la detección temprana de irregularidades y refuerza la cultura de cumplimiento, mientras que un sistema meramente formal incrementa el riesgo sancionador.