 |
| Fuente de la imagen: mvc archivo propio |
Resumen: La Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, establece la obligación para determinadas entidades de implementar un Sistema Interno de Información (SII), comúnmente denominado Canal de Denuncias. La fase inicial de este proceso, el Análisis Preliminar (Fase 1), es necesaria para el éxito del proyecto y, dentro de esta, la Asignación de Recursos emerge como un contrafuerte básico. Este trabajo aborda la necesidad de una planificación estratégica y detallada en la asignación de recursos —financieros (presupuesto), humanos (equipo de apoyo al Responsable del Sistema Interno de Información - RSII) y tecnológicos (herramientas de gestión)— para garantizar una implantación eficaz, eficiente y conforme a la legalidad. Se analiza cómo la dotación adecuada de estos recursos previene riesgos, optimiza procesos y asegura la confianza de las personas informantes, sentando las bases para un sistema robusto y transparente.
Palabras Clave: Ley 2/2023, Sistema Interno de Información (SII), Canal de Denuncias, Análisis Preliminar, Asignación de Recursos, Presupuesto, Equipo de Apoyo, Herramientas Tecnológicas, RSII.
Abstract: Law 2/2023, which regulates the protection of whistleblowers and combats corruption, mandates that certain entities implement an Internal Information System (IIS), commonly known as a Whistleblowing Channel. The initial phase of this process, the Preliminary Analysis (Phase 1), is crucial for the project's success, and within this phase, Resource Allocation emerges as a fundamental pillar. This article addresses the need for strategic and detailed planning in the allocation of resources—financial (budget), human (support team for the Internal Information System Manager), and technological (management tools)—to ensure effective, efficient, and legally compliant implementation. This study analyzes how adequately allocating these resources prevents risks, optimizes processes, and ensures the trust of whistleblowers, laying the foundation for a robust and transparent system.
Keywords: Law 2/2023, Internal Information System (IIS), Whistleblowing Channel, Preliminary Analysis, Resource Allocation, Budget, Support Team, Technological Tools, Internal Information System (IIS).
1. Introducción
La Ley 2/2023 impone la creación de cauces internos seguros y confidenciales para la comunicación de infracciones. La correcta implementación del Sistema Interno de Información (SII) es un proceso que requiere una gestión por fases.
La Fase 1: Análisis Preliminar se erige como la etapa de diagnóstico y planificación inicial, con la finalidad de evaluar las necesidades de la organización y definir la estrategia de implantación. En este contexto, la Asignación de Recursos no es un mero trámite administrativo, sino una decisión estratégica que vincula la voluntad de cumplimiento de la entidad con la disponibilidad real de medios para materializar dicho compromiso.
Un dimensionamiento inadecuado en esta fase compromete la viabilidad del SII, pudiendo derivar en incumplimientos normativos, ineficacia operativa y, lo más grave, la pérdida de confianza por parte de la plantilla y terceras personas interesadas en utilizar el Canal de Denuncias.
Se comenta la triada de recursos básicos —presupuesto, equipo humano y tecnología—, analizando los criterios y consideraciones que deben regir su asignación en la etapa preliminar para garantizar un desarrollo exitoso de las fases posteriores.
2. Marco Legal
La norma se centra en la protección de las personas informantes (o denunciantes), pero exige, correlativamente, la existencia de un SII que cumpla con los principios de confidencialidad, imparcialidad y diligencia.
El cumplimiento de estos requisitos recae directamente en el Responsable del Sistema Interno de Información (RSII), cuya designación es obligatoria y debe contar con la adecuada autonomía e independencia.
El artículo 5 de la Ley establece las garantías para el desarrollo de la función del RSII, entre las que se incluye la necesidad de que cuente con los medios personales y materiales necesarios para el desempeño de sus funciones.
Este mandato legal subraya la obligatoriedad de la asignación de recursos, elevando el acto de dotación presupuestaria, tecnológica y humana a un requisito de compliance ineludible.
El Análisis Preliminar debe, por tanto, identificar:
El alcance del SII: Responder a cuestión relacionadas con a quién aplica, es decir: ¿Personas trabajadoras, directivas, colaboradoras externas...?
- La estructura organizativa impactada, en el sentido de qué departamentos: - Legal, RR.HH., Auditoría, Compliance...- intervendrán.
- Los requerimientos técnicos: Qué tipo de plataforma digital se necesita para garantizar la seguridad, confidencialidad y accesibilidad.
- La carga de trabajo estimada: Responder a cuántas comunicaciones se esperan gestionar anualmente y qué complejidad presentan.
La respuesta a estas preguntas es la base sobre la que se articula una asignación de recursos basada en el riesgo y la necesidad operativa.
3. Asignación de Recursos Financieros: El Presupuesto
El presupuesto es el recurso habilitador que permite la adquisición de los demás medios necesarios. Su asignación debe ser realista, suficiente y plurianual, considerando que el SII no es un proyecto puntual, sino un sistema de gestión de cumplimiento de carácter permanente.
3.1. Criterios para la Estimación Presupuestaria
La cuantificación del presupuesto en la Fase 1 debe desglosarse en las siguientes partidas principales:
Costes Tecnológicos
- Adquisición/Licencias de la Plataforma: Coste inicial de la herramienta que gestionará el Canal de Denuncias.
- Implementación e Integración: Costes de puesta en marcha, personalización e integración con los sistemas internos de la entidad.
- Mantenimiento y Actualización: Costes recurrentes de hosting, soporte técnico, backups y actualizaciones normativas o de seguridad.
Costes de Personal
- RSII y Equipo de Apoyo: Salarios o costes de dedicación del RSII y las personas que componen su equipo, incluyendo la posible necesidad de nuevas contrataciones o la externalización de funciones de apoyo.
- Formación: Inversión en capacitación especializada del RSII y su equipo en materia de investigación interna, derecho sancionador y protección de datos.
Costes de Servicios Externos
- Asesoría Legal Externa: Servicios de consultoría especializada para la adaptación legal y la elaboración de la Política del SII.
- Auditoría y Certificación: Costes de auditoría inicial y periódica para verificar la adecuación y el funcionamiento del sistema.
3.2. Justificación de la Inversión
La asignación de un presupuesto serio debe justificarse ante la dirección de la entidad más que un gasto, como una inversión estratégica en la mitigación de riesgos:
- Reducción de Multas y Sanciones: Un SII eficaz minimiza el riesgo de que las infracciones se ventilen públicamente o sean detectadas por las autoridades, con la consecuente imposición de multas.
- Protección de la Reputación Corporativa: Un Canal de Denuncias transparente y que funciona correctamente es un activo reputacional, demostrando el compromiso ético de la organización.
- Detección Precoz: Permite detectar fraudes e irregularidades internas en etapas tempranas, minimizando el daño económico.
El presupuesto debe incluir una contingencia para casos de alto impacto que requieran investigaciones forenses o asesoría legal especializada inesperadas.
4. Asignación de Recursos Humanos: El Equipo de Apoyo al RSII
La independencia y autonomía del RSII (Responsable del Sistema Interno de Información) es el principio rector de la Ley, pero esta persona no puede operar en solitario.
La asignación de recursos humanos en la Fase 1 implica definir el Equipo de Apoyo, cuya composición y dedicación debe ser proporcional al tamaño, complejidad y volumen de riesgo de la organización.
4.1. Dimensionamiento del Equipo
El equipo de apoyo debe ser multidisciplinar e incluir profesionales con competencias en:
- Área Legal y de Compliance: Para la correcta calificación jurídica de las denuncias y la aplicación de los procedimientos internos y normativos.
- Recursos Humanos: Para la gestión de comunicaciones que afecten a relaciones laborales y posibles expedientes disciplinarios.
- Tecnología y Seguridad de la Información (IT): Para garantizar la seguridad, integridad y la cadena de custodia de la información, especialmente en el ámbito de las pruebas electrónicas.
- Auditoría Interna/Finanzas: Para la investigación de posibles fraudes económicos o financieros.
El Análisis Preliminar debe determinar si estas funciones se ejercerán de manera interna (personas de la plantilla con dedicación parcial o total) o externa (a través de profesionales o despachos especializados).
En cualquier caso, se deben establecer protocolos claros de actuación, confidencialidad y gestión de conflictos de interés.
4.2. Formación y Habilidades
La asignación de personal debe ir acompañada de una inversión en formación especializada.
El equipo debe poseer o adquirir:
- Conocimiento de la Ley y la normativa sectorial aplicable.
- Técnicas de entrevista e investigación.
- Habilidades de gestión de crisis y comunicación sensible.
- Experticia en protección de datos (RGPD), dado el carácter sensible de la información gestionada.
La dotación de recursos humanos una cuestión de número y de calificación y capacitación para manejar información de alta sensibilidad con la debida diligencia y respeto a la presunción de inocencia de las personas investigadas y a la protección de las personas informantes.
5. Asignación de Recursos Tecnológicos: Herramientas de Gestión del Canal
Se permite la comunicación verbal o escrita, pero la gestión eficaz de un volumen significativo de comunicaciones, garantizando los principios de seguridad y confidencialidad, hace imprescindible una herramienta tecnológica especializada para el Canal de Denuncias.
5.1. Requisitos Técnicos ncesarios
La Fase 1 debe definir las especificaciones técnicas mínimas que la herramienta debe cumplir para ajustarse a los requisitos legales:
Seguridad y Confidencialidad
- Cifrado de Extremo a Extremo (E2E): Para asegurar que solamente el RSII y las personas autorizadas accedan al contenido de la denuncia.
- Anonimato Técnico: La plataforma debe garantizar que no se recopilen metadatos (IP, localización...) que puedan identificar a la persona informante.
- Custodia de la Información: Cumplimiento de la normativa de Protección de Datos (RGPD) en cuanto a ubicación de servidores y protocolos de acceso.
Gestión Procesal y Trazabilidad
- Gestión del Flujo de Trabajo: Capacidad para registrar, clasificar, asignar, documentar cada etapa de la investigación y emitir acuses de recibo.
- Trazabilidad Inalterable: Registro de todas las acciones realizadas sobre la denuncia (quién accede, cuándo y qué modifica), para la prueba y la auditoría.
- Comunicación Segura: Un canal bidireccional anónimo entre el RSII y la persona informante (incluso si la denuncia es anónima) para solicitar aclaraciones.
Accesibilidad y Usabilidad
- Multiplataforma y Multilingüe: Acceso sencillo desde diversos dispositivos y, si la organización es internacional, en múltiples idiomas.
5.2. Análisis Buy or Make
En la Fase 1, se debe realizar un análisis de coste-beneficio entre o adquirir una solución comercial (Buy) o desarrollar una herramienta propia (Make)
- Solución Comercial: Suele ser la opción más ágil y económica. Los proveedores especializados suelen garantizar el cumplimiento normativo (ej. la Ley 2/2023) y la seguridad. Es necesario evaluar la reputación y la experiencia del proveedor en Whistleblowing.
- Solución Propia: Ofrece máxima personalización y encaje con los sistemas internos, pero implica altos costes iniciales, largo tiempo de desarrollo y la necesidad de mantener un equipo de IT interno para su soporte y actualización legal.
La asignación del recurso tecnológico debe decantarse por la solución que ofrezca el mejor equilibrio entre funcionalidad, seguridad y costes recurrentes, garantizando la capacidad de adaptación futura a los cambios normativos.
6. Conclusiones y Prospectiva
Un presupuesto suficiente, un equipo de apoyo cualificado y una herramienta tecnológica robusta no son un lujo, sino una condición sine qua non para el cumplimiento de las obligaciones derivadas de la Ley.
El éxito de la implantación se mide por la capacidad del SII para generar confianza, proteger a la persona informante y detectar eficazmente las infracciones.
Una dotación de recursos pobre en esta fase inicial conduce inevitablemente a:
- Ineficacia Operativa: Largos plazos de tramitación y falta de investigación adecuada.
- Inseguridad Jurídica: Riesgo de incumplimiento del plazo de tres meses para la respuesta a la persona informante.
- Desconfianza: Las personas potencialmente informantes perciben la falta de medios como una señal de desinterés corporativo, optando por canales externos.
La asignación debe ser proactiva, basada en el riesgo y ratificada al más alto nivel directivo, asegurando que el RSII disponga de la autoridad financiera y de personal necesaria para operar el sistema con la debida independencia y diligencia.
Este compromiso explícito con la dotación de recursos transforma el mero cumplimiento normativo en una ventaja estratégica de gobernanza y ética corporativa.
7. Referencias
Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado
Parlamento Europeo y del Consejo. (2019). Directiva (UE) 2019/1937, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Diario Oficial de la Unión Europea.