I

Una obligación legal que muchas empresas siguen ignorando

El 13 de marzo de 2023, España transpuso finalmente la Directiva (UE) 2019/1937, conocida como Directiva Whistleblowing, a través de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas. Con ella, España completó —con notable retraso respecto al plazo europeo— la incorporación de uno de los cambios más significativos en materia de compliance y ética corporativa de la última década.

La norma establece la obligación de implantar canales de denuncia internos para todas las empresas privadas con 50 o más trabajadores, así como para las entidades del sector público con independencia de su tamaño. En México, aunque no existe una ley equivalente de alcance general, la reforma de la Ley General de Responsabilidades Administrativas y los lineamientos del Sistema Nacional Anticorrupción apuntan en la misma dirección: la existencia de canales de denuncia efectivos se ha convertido en un estándar de facto para cualquier organización que opere con la Administración Pública o cotice en mercados regulados.

Sin embargo, dos años después de la entrada en vigor de la Ley 2/2023 en España, la realidad en muchas organizaciones sigue siendo preocupante. Abundan los canales implantados a toda prisa, sin recursos, sin protocolos y, sobre todo, sin la cultura organizacional necesaria para que una persona se decida a utilizarlos. El resultado es lo que en el argot del compliance se conoce como cumplimiento formal vacío: la caja existe, pero no hay nada dentro.

II

Qué exige realmente la Ley 2/2023

La Ley 2/2023 no se limita a exigir que exista un buzón de correo electrónico o un formulario web. Sus requisitos son considerablemente más exigentes y, en muchos aspectos, van más allá de lo que la mayoría de los departamentos jurídicos de las empresas afectadas han interiorizado.

Ámbito subjetivo: quién está obligado

Están obligadas a implantar un canal de denuncia interno todas las empresas del sector privado con 50 o más trabajadores. Las empresas de entre 50 y 249 empleados pueden compartir el canal con otras organizaciones del mismo grupo. A partir de 250 empleados, el canal debe ser propio e independiente. En el sector público, la obligación alcanza a cualquier entidad pública con independencia del número de empleados.

Ámbito objetivo: qué conductas pueden denunciarse

El canal debe permitir informar sobre infracciones del Derecho de la Unión Europea en los ámbitos contemplados en la Directiva —contratación pública, servicios financieros, blanqueo de capitales, protección del medio ambiente, seguridad alimentaria, protección del consumidor— pero también sobre infracciones penales y administrativas graves o muy graves del ordenamiento jurídico español. Esto incluye, de forma expresa, las conductas tipificadas en el Código Penal que pueden generar responsabilidad penal de la persona jurídica conforme al artículo 31 bis.

Requisitos del canal: forma, plazos y confidencialidad

La ley es precisa en los requisitos técnicos y procedimentales. El canal debe garantizar la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación. Debe permitir comunicaciones anónimas. El responsable del sistema debe acusar recibo de la comunicación en un plazo máximo de siete días hábiles, e informar al informante de las actuaciones previstas y realizadas en un plazo máximo de tres meses.

Las sanciones por incumplimiento de la Ley 2/2023 pueden alcanzar 1.000.000 de euros para las infracciones muy graves. La negligencia en la gestión del canal o las represalias contra informantes se tipifican expresamente como infracción grave.

Ley 2/2023, régimen sancionador, arts. 63-68

III

Los cinco errores más frecuentes en la implantación del canal

Después de haber auditado y asesorado programas de compliance en organizaciones de distintos tamaños y sectores, tanto en España como en América Latina, es posible identificar un patrón recurrente de errores que convierten el canal de denuncias en una obligación burocrática en lugar de una herramienta de gestión de riesgos real.

Error 1: Confundir el canal con la herramienta tecnológica

El canal de denuncias no es el software. Es el conjunto de políticas, procedimientos, personas, cultura y tecnología que permite que una comunicación llegue, sea gestionada con garantías y tenga consecuencias. Muchas organizaciones adquieren una plataforma digital, la conectan a un buzón de correo genérico y consideran que han cumplido. No es así. El canal es un sistema, no un formulario.

Error 2: Asignar la gestión a quien tiene conflicto de interés

La Ley 2/2023 exige que el responsable del sistema sea una persona u órgano con independencia funcional suficiente. En la práctica, muchas empresas asignan la gestión al propio departamento de Recursos Humanos o al director general, lo que genera un conflicto estructural cuando la denuncia afecta precisamente a esos niveles de la organización. La independencia no es opcional: es una garantía de la que depende la credibilidad de todo el sistema.

Error 3: No comunicar el canal a quienes deben usarlo

Un canal que no se conoce no existe. La ley exige que la información sobre el canal sea accesible, clara y comprensible para todos los potenciales informantes, incluyendo no solo empleados sino también proveedores, colaboradores externos y, en determinados casos, clientes. La mera publicación en la intranet corporativa es claramente insuficiente.

Error 4: No gestionar las comunicaciones recibidas con rigor

El incumplimiento de los plazos legales —acuse de recibo en 7 días, respuesta en 3 meses— no solo vulnera la ley sino que destruye la confianza del informante en el sistema. Si quien denuncia no recibe respuesta, la conclusión inevitable es que el canal no sirve para nada, y esa percepción se extiende por toda la organización con velocidad exponencial.

Error 5: No proteger al informante de represalias

La protección frente a represalias es el núcleo de toda la arquitectura normativa del whistleblowing. La ley tipifica expresamente como infracción grave cualquier acto de represalia, amenaza o intento de represalia contra el informante. Sin embargo, muchas organizaciones no han articulado procedimientos concretos para detectar y neutralizar estas conductas, ni han formado a sus mandos intermedios en la materia.

IV

Cómo construir un canal que funcione de verdad

Un canal de denuncias eficaz no se construye en una tarde ni se compra en un catálogo de software. Requiere un diseño cuidadoso, una implantación progresiva y un mantenimiento continuo. A continuación se exponen los elementos que, en la experiencia práctica, marcan la diferencia entre un canal que genera valor y uno que solo genera riesgo regulatorio.

Definir el modelo de gestión antes de elegir la tecnología

La primera decisión estratégica no es qué plataforma se contrata, sino quién gestiona el canal y con qué independencia. Las opciones son básicamente tres: gestión interna por un órgano de compliance independiente, externalización a un tercero especializado, o modelo mixto. Cada opción tiene ventajas e inconvenientes en función del tamaño de la organización, la madurez de su programa de compliance y el perfil de riesgos específico del sector en que opera.

Diseñar el procedimiento de gestión de comunicaciones

El procedimiento debe cubrir, como mínimo: recepción y acuse de recibo, evaluación de admisibilidad, investigación interna, comunicación de resultados al informante, medidas correctoras y archivo. Cada fase debe tener responsables identificados, plazos definidos y criterios de escalado claros. Este procedimiento debe estar documentado, aprobado por el órgano de gobierno y revisado periódicamente.

Invertir en cultura, no solo en tecnología

El factor determinante para que un canal funcione no es su sofisticación tecnológica sino el nivel de confianza que los potenciales informantes depositan en él. Esa confianza se construye con hechos: casos resueltos con transparencia, informantes que no han sufrido represalias, comunicación honesta sobre los resultados del sistema. La formación continua de la plantilla —especialmente de los mandos intermedios— es imprescindible para crear el entorno cultural necesario.

Según estudios de la Association of Certified Fraud Examiners, el 43% de los fraudes corporativos se detectan a través de denuncias internas. Las organizaciones con canales efectivos reducen sus pérdidas por fraude en más de un 50% respecto a las que no los tienen.

ACFE, Report to the Nations 2024

V

La perspectiva latinoamericana: México y la convergencia normativa

En México, el marco normativo aplicable a los canales de denuncia se articula principalmente a través de la Ley General de Responsabilidades Administrativas y los lineamientos emitidos por la Secretaría de la Función Pública en el ámbito del sector público. En el sector privado, la existencia de mecanismos de denuncia efectivos forma parte de los estándares de integridad corporativa que exigen cada vez con mayor frecuencia tanto las grandes empresas en sus cadenas de suministro como los organismos multilaterales en procesos de financiación.

El Sistema Nacional Anticorrupción mexicano contempla expresamente la figura de los denunciantes y establece mecanismos de protección frente a represalias en el ámbito de las contrataciones públicas. Sin embargo, a diferencia del modelo europeo, no existe en México una obligación legal general que imponga a las empresas privadas la implantación de canales de denuncia. Lo que sí existe es una tendencia inequívoca en esa dirección, impulsada por la presión de los mercados internacionales, los estándares de gobernanza corporativa y el creciente escrutinio de los inversionistas institucionales sobre las prácticas de compliance de las empresas en las que invierten.

Para las empresas con operaciones en ambas jurisdicciones, la recomendación práctica es clara: diseñar el canal de denuncias conforme al estándar más exigente —el europeo— y adaptarlo a las particularidades locales de cada mercado. Esta aproximación no solo garantiza el cumplimiento normativo en todos los territorios, sino que reduce los costes de gestión y proyecta una imagen de integridad coherente ante todos los grupos de interés.

VI — Conclusión

El canal de denuncias como activo estratégico

La Directiva Whistleblowing y su trasposición española a través de la Ley 2/2023 representan mucho más que una obligación de cumplimiento normativo. Representan el reconocimiento legal de un principio que los mejores programas de compliance llevan años practicando: que las personas que trabajan en una organización son la primera línea de defensa frente al fraude, la corrupción y el incumplimiento, y que merece la pena protegerlas cuando deciden usar esa posición para señalar lo que no funciona.

Las organizaciones que entiendan el canal de denuncias como una herramienta de gestión de riesgos —y no como una carga regulatoria— tienen en él un activo extraordinariamente valioso. Les permite detectar problemas antes de que escalen, prevenir daños reputacionales y legales potencialmente devastadores, y proyectar ante sus empleados, socios y reguladores una imagen de integridad que, en el entorno actual, se ha convertido en una ventaja competitiva real.

Pero todo eso solo es posible si el canal funciona de verdad. Y para que funcione de verdad, hay que construirlo con rigor, dotarlo de recursos, gobernarlo con independencia y —sobre todo— tratarlo con la seriedad que merece la persona que decide usarlo.

Adrián Merah Núñez

Abogado especializado en Compliance Internacional, Prevención del Blanqueo de Capitales y Riesgos IA

Conectar en LinkedIn