Desde el inicio de su actividad en septiembre de 2025, la Autoridad Independiente de Protección del Informante (en adelante AIPI) ha recibido numerosas consultas y ha detectado la existencia de dudas interpretativas en relación con la puesta en marcha, el diseño y la implementación del Sistema Interno de Información (en adelante SII) previsto en la Ley 2/2023, así como de los elementos que lo integran.

En este contexto, la Presidencia de la AIPI ha considerado necesario establecer pautas de funcionamiento que aclaren el cumplimiento de las obligaciones legales respecto a los Sistema Internos de Información.

La Recomendación 1/2026[1] (en adelante la Recomendación) se configura como un manual de cumplimiento técnico, que pretende aclarar las dudas más frecuentes y ofrecer criterios interpretativos comunes.

La aplicación de las pautas establecidas en esta Recomendación asegura que el SII sea un instrumento central de la estrategia de cumplimiento, y no un simple buzón, bajo la supervisión de la AIPI y, en su caso, de los órganos autonómicos.

Los apartados que se desarrollan a continuación recogen los elementos más significativos de la Recomendación en relación la Ley 2/2023 para el diseño e la implementación de un sistema de información.

 

ENTIDADES OBLIGADAS

La Recomendación aclara el alcance de la obligación de disponer de un SII:

• Sector privado: todas las personas físicas o jurídicas con presencia organizada en España están obligadas a disponer de un SII si cuentan con 50 o más trabajadores, computándose la plantilla según el criterio del Real Decreto 901/2020 sobre planes de igualdad. Se incluye a fijos, temporales, trabajadores de ETT, parciales (uno por persona, con independencia de horas) y hasta eventuales cuyas relaciones se extingan en los seis meses anteriores. El cómputo debe realizarse, al menos, dos veces al año. Los teletrabajadores que prestan servicios desde el extranjero y los trabajadores desplazados al extranjero computan en España a estos efectos.

Además, determinados operadores (sector financiero, prevención de blanqueo, partidos políticos y sindicatos que gestionen fondos públicos, según ley y directiva) estarán obligados con independencia del número de trabajadores contratados.

• Sector público: La obligación recae sobre todas las administraciones estatales, autonómicas y locales, organismos dependientes, universidades públicas, corporaciones de derecho público, fundaciones públicas y sociedades mercantiles con mayoría pública.

 

PRINCIPIOS BÁSICOS DE FUNCIONAMIENTO DEL SISTEMA INTERNO DE INFORMACIÓN

El SII debe configurarse como una auténtica infraestructura de integridad y regirse, al menos, por los siguientes principios:

• Ámbito de aplicación e inclusión: Debe permitir que todas las personas con vínculo laboral o profesional con la entidad, y no únicamente su personal, puedan comunicar información relativa a todas las infracciones previstas legalmente. Asimismo, deberá posibilitar la recepción de todas las categorías de infracciones contempladas legalmente.
• Seguridad y confidencialidad: Diseñado y gestionado de forma segura garantizando en todo momento la confidencialidad y la protección de datos. Se debe operar mediante plataforma segura y cifrada con accesos restringidos y trazabilidad controlada.
• Principio de accesibilidad y omnicanalidad: Permitir la presentación de comunicaciones tanto de manera escrita como verbal (línea telefónica o a solicitud del informante a través de reunión presencial con el Responsable del Sistema).
• Principio de unificación y gestión centralizada: Cuando la entidad disponga de múltiples buzones o canales de denuncia sectoriales que reciban comunicaciones (ej. acoso laboral, sexual etc.) todos deben integrarse en el SII, bajo un único responsable y con garantías unificadas.
• Efectividad y proactividad: Debe permitir una gestión ágil y eficaz de las comunicaciones, garantizando plazos de respuesta razonables, protección frente a posibles represalias y la debida confidencialidad e imparcialidad. Asimismo, debe facilitar la detección temprana y la corrección interna de irregularidades.
• Independencia funcional: Debe ser un Sistema propio, claramente identificable y no confundible con el de otras entidades (la página o portal de acceso debe identificar de manera visible e inequívoca la entidad titular del Sistema).
• Liderazgo y responsabilidad: Obligatorio designar un Responsable del Sistema quien debe actuar con independencia, autonomía y autoridad suficientes.
• Transparencia y divulgación: Implica la aprobación y difusión de una Política que enuncie los principios generales que rigen el funcionamiento del Sistema, las garantías, los derechos y deberes de los informantes y de los gestores de información.
• Debido proceso: Disponer de un procedimiento de gestión escrito y formal de las informaciones que regule todas las fases del proceso, garantizando plazos, garantías, trazabilidad y una gestión diligente.
• Protección contra represalias: Cada entidad debe incluir en su normativa interna un compromiso expreso junto con una lista de garantías que aseguren la protección de los informantes (prohibición despido, descenso categoría, traslado o cualquier acto discriminatorio).

 

GRUPOS DE EMPRESAS

La norma permite que un grupo de sociedades pueda contar con un único SII operativo para todas las entidades del grupo, siempre que cada sociedad decida voluntariamente integrarse en él. Esto no convierte al grupo en un único sujeto obligado, ni elimina la obligación individual de cada empresa establecida en España, cada sociedad sigue siendo responsable de cumplir la ley por sí misma.

Cuando las sociedades del grupo no compartan un mismo SII resulta recomendable que el Responsable del Sistema para cada entidad tenga la condición de directivo de la sociedad obligada.

 

RESPONSABLE DEL SISTEMA INTERNO DE INFORMACIÓN

La Recomendación aclara que, puede ser útil en ciertos casos, designar un Responsable del Sistema colegiado, siendo interesante que integre perfiles jurídicos o de cumplimiento. Entre sus miembros, que no deberían superar los cinco, uno deberá asumir las facultades de gestión y tramitación de expedientes de investigación, no siendo obligatorio que todos formen parte de la entidad, pero sí al menos uno.

Asimismo, se recuerda, que tanto el nombramiento como el cese del Responsable del Sistema deben de notificarse a la AIPI o a las autoridades autonómicas competentes. El plazo de dos meses para comunicar el nombramiento (notificación inicial) comienza a computarse desde el 10 de febrero de 2026, fecha en la que se ha publicado en la sede electrónica de la AIPI el formulario especifico de notificación.

Cada nuevo nombramiento o cese que tenga lugar a partir de la notificación inicial: se establece un plazo de diez días hábiles siguientes al nombramiento o cese, especificando, en el caso de cese, las razones que han justificado.

 

 

CANAL INTERNO DE INFORMACIÓN

El Canal Interno de Información (en adelante CII) debe diseñarse conforme a unos principios mínimos de estructura, debiendo en todo caso garantizar;

• Integración obligatoria: Debe estar integrado dentro de la estructura general del Sistema Interno de Información.
• Accesibilidad Universal: Debe permitir la comunicación a todas las personas contempladas en el ámbito subjetivo de la Ley (trabajadores, extrabajadores, contratistas, etc.).
• Admisión del Anonimato: Debe permitir la presentación y la posterior tramitación de comunicaciones anónimas.
• Contenido: Puede estar habilitado para recibir otras comunicaciones, pero debe advertirse claramente que estas quedan fuera del ámbito de protección de la Ley.

Además, el CII debe permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas. No obstante, como buena práctica para maximizar la eficacia del canal, la Recomendación establece que éste debe soportar ambos métodos de entrada.

Especial atención merece, por un lado; la obligación de documentación en las comunicaciones verbales, previo consentimiento del informante, mediante grabación o transcripción, ofreciendo en este último caso la posibilidad de comprobar, rectificar y aceptar la transcripción mediante su firma y por otro; la obligación de informar al comunicante sobre el tratamiento y protección de datos, la notificación segura y los canales externos existentes.

Todas las comunicaciones recibidas a través del CII, así como las investigaciones internas, deben ser registradas en un libro-registro seguro, garantizando la confidencialidad y el acceso restringido.

La Recomendación establece el contenido mínimo que ha de tener el libro-registro, al menos debe contener: 1.- la fecha de recepción de la información, 2.- el objeto de la comunicación, 3.- el estado de las actuaciones (en curso, archivado, resolución) y 4.- la fecha de finalización del procedimiento, asegurando la trazabilidad de cada caso.

 

PRODECIMIENTO DE GESTION DE INFORMACIÓN

Además de recordar cuales son los principios que deben regir el Procedimiento de gestión de información (respeto al principio de presunción de inocencia, protección del honor, confidencialidad, protección de datos, imparcialidad y objetividad y diligencia y celeridad), la Recomendación establece unas obligaciones mínimas del procedimiento:

• Identificación del Canal/es internos: Debe indicar de forma expresa el canal/es internos asociados al procedimiento, garantizando claridad y coherencia en la recepción de las comunicaciones.
• Información sobre canales externos: Debe incluir información clara y accesible sobre el uso de canales externos ante las autoridades competentes AIPI y, en su caso, ante las instituciones de la Unión Europea.
• Registro y acuse de recibo: Toda comunicación debe registrarse con un número de entrada y debe enviarse un acuse de recibo al informante (plazo máximo de siete días naturales), salvo que pueda comprometer la confidencialidad.
• Plazo máximo de respuesta: Tres meses (contados desde la recepción o desde el vencimiento del plazo de siete días, si no se remitió acuse), ampliable a seis en casos de especial complejidad.
• Mantener comunicación con el informante: Prever una comunicación segura con el informante y si se considera necesario solicitarle información adicional.
• Derecho de audiencia y defensa: Informar a la persona afectada de los hechos que se le atribuyen y garantizar su derecho a ser oída, en un momento y forma que no comprometan la investigación.
• Confidencialidad en la tramitación: Cualquier persona que reciba una comunicación por error está obligada a remitirla inmediatamente al Responsable del Sistema y a guardar estricta confidencialidad.
• Respeto a garantías: Durante toda la tramitación deben respetarse la presunción de inocencia y el derecho al honor de las personas afectadas.
• Protección de datos personales: El tratamiento de la información debe ajustarse en todo momento a la normativa de protección de datos personales aplicable.
• Remisión de la información al Ministerio Fiscal: Cuando los hechos comunicados presenten indicios de delito, la información deberá remitirse de forma inmediata al Ministerio Fiscal o, en su caso, a la Fiscalía Europea.

Por último, la Recomendación incluye un checklist de implementación con los pasos esenciales para verificar que el SII cumple los requisitos:

• Consulta previa a la representación sindical.
• Acuerdo del Órgano de Gobierno aprobando el Sistema y la Política.
• Designación formal del Responsable del Sistema.
• Notificación del nombramiento a la AIPI/Autoridad autonómica.
• Implementación técnica del Canal (Software/Buzón seguro).
• Aprobación del Procedimiento de Gestión de Informaciones.
• Publicidad del canal en la página web (acceso visible y fácil).
• Formación al personal sobre el uso del canal.

[1] El pasado 14 de enero de 2026 la AIPI aprobó otras dos Recomendaciones: La Recomendación 1/2025 para la gestión del sistema interno de información en los partidos políticos y La Recomendación 2/2026 para el diseño e implementación de un sistema interno de información en la Administración Local.

 

Foto de Patrick Fore en Unsplash