jueves, 23 de marzo de 2023

Habilitación Multimodal de los Canales de Denuncias

Fuente de la imagen: mvc archivo propio
M. Velasco, 2023. Habilitación Multimodal de los Canales de Denuncia: Un Análisis del Cumplimiento y Diseño Técnico en el Contexto de la Ley Española 2/2023 - Multimodal Implementation of Whistleblowing Channels: A Compliance Analysis and Technical Design in the Context of Spanish Law 2/2023

Resumen: La implementación efectiva del Sistema Interno de Información (SII), o Canal de Denuncias, es un imperativo legal para las entidades españolas conforme a la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. En la Fase 2: Diseño y Configuración Técnica de este Plan de Implantación la Definición de Canales de Denuncia es el núcleo operativo. Se aborda la acción de habilitar las vías de comunicación necesarias, analizando el mandato legal de ofrecer medios escritos y orales y desarrollando el diseño técnico de los Medios Mínimos Obligatorios. Se examina cómo la configuración de una plataforma digital segura, la gestión de un correo electrónico y buzón físico específico y la provisión de canales orales como la llamada telefónica (grabada y consentida), la mensajería de voz, y la reunión presencial, deben integrarse en un sistema robusto, accesible y que garantice la confidencialidad y el anonimato de la persona informante. La aproximación es sistémica, técnica y centrada en la protección legal, buscando establecer las mejores prácticas para un whistleblowing eficaz y ético en el entorno empresarial e institucional.

Palabras Clave: Canal de Denuncias, Ley 2/2023, Sistema Interno de Información (SII), Whistleblowing, Medios Escritos, Medios Orales, Plataforma Digital, Confidencialidad, Anonimato, Cumplimiento Normativo (Compliance), Integridad Corporativa.

Abstract: The effective implementation of the Internal Information System (IIS), or Whistleblowing Channel, is a legal imperative for Spanish entities under Law 2/2023 of February 20, which regulates the protection of individuals who report regulatory violations and combats corruption. In Phase 2: Design and Technical Configuration of this Implementation Plan, the Definition of Whistleblowing Channels is the operational core. This phase addresses enabling the necessary communication channels, analyzing the legal mandate to offer written and oral means of communication, and developing the technical design of the Minimum Mandatory Means. This paper examines how the configuration of a secure digital platform, the management of a dedicated email and physical mailbox, and the provision of oral channels such as telephone calls (recorded with consent), voicemail, and in-person meetings should be integrated into a robust and accessible system that guarantees the confidentiality and anonymity of the whistleblower. The approach is systemic, technical, and focused on legal protection, seeking to establish best practices for effective and ethical whistleblowing in the business and institutional environment.

Keywords: Whistleblowing Channel, Law 2/2023, Internal Information System (IIS), Whistleblowing, Written Means, Oral Means, Digital Platform, Confidentiality, Anonymity, Regulatory Compliance, Corporate Integrity.

1. Introducción

La adopción de marcos normativos orientados a la protección de las personas que denuncian irregularidades (whistleblowing) ha marcado un hito en la promoción de la cultura de la integridad y la lucha contra la corrupción en Europa. La Directiva (UE) 2019/1937 se consolidó como el pilar de este cambio, y en España, su trasposición se materializó a través de la Ley 2/2023, de 20 de febrero, un instrumento que va más allá del ámbito de la Unión y establece un régimen de protección robusto y unificado.

El éxito de esta legislación, sin embargo, no reside únicamente en su promulgación, sino en su implantación práctica por parte de las entidades obligadas. El proceso de Compliance exige un Plan de Implantación del Sistema Interno de Información (SII) meticuloso, siendo la FASE 2: Diseño y Configuración Técnica un periodo de transición crítica de la teoría a la praxis. Dentro de esta fase, el punto axial es la Definición de Canales de Denuncia, que es, en esencia, la habilitación de las vías de comunicación que permiten a las personas informantes comunicar infracciones de forma segura y fiable.

La Ley 2/2023 no ofrece margen a la discrecionalidad en este aspecto, sino que impone una obligación de multimodalidad. Se establece de forma perentoria que el SII debe permitir la presentación de comunicaciones por escrito o verbalmente, demandando la habilitación de Medios Mínimos Obligatorios. 

El objetivo de este análisis es doble: primero, analizar el imperativo legal detrás de esta multimodalidad y, segundo, desarrollar el diseño técnico y operativo de cada uno de los canales exigidos, poniendo especial énfasis en los criterios de seguridad, confidencialidad, anonimato y accesibilidad que deben regir su configuración. Este análisis se realiza desde una perspectiva técnica y de cumplimiento normativo (Compliance), esencial para garantizar la eficacia del Canal de Denuncias como herramienta de gobernanza corporativa.

2. Marco Teórico y Legal de la Multimodalidad de Canales

2.1. El Imperativo de la Accesibilidad y la Seguridad

El diseño de un Canal de Denuncias debe trascender la mera existencia formal; su objetivo principal es fomentar la presentación de información relevante. Para ello, debe ser accesible a la mayor variedad de informantes posibles (personal empleado, ex-empleado, proveedor…) y generar la confianza necesaria para superar la barrera del miedo a las represalias.

El legislador español, siguiendo el espíritu de la Directiva europea, ha comprendido que la preferencia y comodidad de la persona informante son necesarias para el uso del sistema. Mientras que una persona puede sentirse más segura utilizando un medio escrito y digital que facilite el anonimato, otra podría preferir la inmediatez y el contacto personal de una vía oral. La exigencia de habilitar ambas modalidades, escrita y oral, no es redundante, sino una estrategia para maximizar la tasa de notificación y, por ende, la eficacia del sistema de integridad de la organización.

2.2. Fundamento Legal

La Ley 2/2023 es el eje que define los requisitos técnicos de la Fase 2 del Plan de Implantación, específicamente en relación con la habilitación del Canal. Este precepto exige:
  • Medios escritos y verbales: El sistema debe ofrecer ambas modalidades.
  • Garantía de Confidencialidad: Debe salvaguardar la identidad de la persona informante y de cualquier persona mencionada en la comunicación (sujeto informado). La Ley contempla la presentación de la denuncia de forma anónima.
  • Medios Mínimos Obligatorios: Detalla las opciones específicas que deben ofrecerse para cumplir con el requisito anterior.
El cumplimiento de la norma obliga a una planificación técnica que integre diversas tecnologías y procedimientos, asegurando una trazabilidad completa de la denuncia desde su recepción hasta su resolución, sin comprometer la identidad del/de la informante.

3. Diseño y Configuración Técnica de los Canales de Denuncia

La configuración de los canales exige un enfoque técnico que cumpla con los estándares de seguridad de la información y privacidad de datos (RGPD y LOPDGDD). 

A continuación, se detalla el diseño de los Medios Mínimos Obligatorios.

3.1. Canales Escritos

Los canales escritos deben configurarse para recibir comunicaciones que permitan el adjunto de documentación de soporte y que garanticen, idealmente, la posibilidad de un anonimato robusto.

3.1.1. Plataforma Digital (El Canal Primario)

La Plataforma Digital (o software de whistleblowing) debe ser considerada el canal principal y más robusto.

Diseño Técnico y Seguridad:
  • Debe ser un entorno web seguro (conexión HTTPS) e independiente del portal corporativo, para evitar la monitorización del tráfico interno.
  • La plataforma debe permitir la presentación de denuncias anónimas, facilitando un código de acceso seguro o token a la persona informante para que pueda realizar un seguimiento de su caso y comunicarse con el/la gestor/a del canal sin revelar su identidad. Este buzón anónimo bidireccional es esencial para solicitar más información.
  • Debe configurarse para anonimizar automáticamente o al menos seudonimizar los metadatos de la comunicación (ej. la dirección IP del remitente).
  • Los datos deben estar cifrados (cifrado de extremo a extremo) y almacenados en servidores seguros, preferiblemente dentro de la UE.
Funcionalidades Clave:
  • Acuse de recibo automático en un plazo no superior a siete (7) días naturales.
  • Gestión de Casos (Case Management): Un módulo interno para que la persona gestora del Canal pueda registrar la denuncia, asignar un/a instructor/a, documentar los pasos de la investigación y registrar la resolución, garantizando la trazabilidad.
3.1.2. Correo Electrónico Específico

Aunque funcionalmente más simple, el correo electrónico debe ser configurado con estrictos protocolos de seguridad y exclusividad.

Configuración Técnica:
  • Creación de una dirección de correo electrónico dedicada y exclusiva (ej. canal.denuncias@[entidad].es) gestionada únicamente por la persona o unidad responsable del SII.
  • Debe utilizar un cifrado de alto nivel (ej. S/MIME o PGP) para asegurar que el contenido no pueda ser interceptado.
  • Se debe limitar estrictamente el acceso a este buzón, y la persona responsable debe tener la instrucción de trasladar el contenido inmediatamente a la Plataforma Digital para su gestión, asegurando que no se almacene información sensible en el servidor de correo electrónico por tiempo prolongado.
Advertencia de Anonimato: Se debe advertir a la persona informante que el uso del correo electrónico no garantiza el anonimato ya que la dirección IP, el servidor de envío y otros metadatos pueden quedar registrados. Se debe recomendar la Plataforma Digital para comunicaciones anónimas.

3.1.3. Buzón Físico

El buzón físico es un canal tradicional, obligatorio para garantizar la accesibilidad, especialmente en entornos con menor familiaridad digital o donde el personal prefiera este método.

Requisitos de Configuración:
  • Instalación de un buzón cerrado y con llave en una ubicación segura y discreta dentro de las instalaciones, accesible al personal pero lejos de zonas de alto tráfico o videovigilancia.
  • El acceso a la llave debe estar estrictamente limitado a la persona o unidad gestora del Canal.
  • El procedimiento de recogida debe documentarse, estableciendo la frecuencia de revisión (ej. semanal) y el proceso de digitalización inmediata de las comunicaciones recibidas para su integración en la Plataforma Digital.
3.2. Canales Orales

Los canales orales responden a la necesidad de interacción directa, pero plantean desafíos específicos en materia de consentimiento, grabación y documentación.

3.2.1. Llamada Telefónica o Sistema de Mensajería de Voz

La Ley permite el uso de líneas telefónicas o sistemas de mensajería de voz (ej. un buzón de voz dedicado), con la condición de la grabación y el consentimiento de la persona informante.

Configuración Técnica y Legal:
  • Línea Dedicada: Establecimiento de una línea telefónica o extensión exclusiva para el Canal de Denuncias, diferenciada de las líneas generales.
  • Grabación y Consentimiento: La grabación de la llamada es obligatoria. El sistema debe comenzar con un mensaje legal pregrabado que informe de manera clara a la persona informante sobre la grabación y la necesidad de su consentimiento expreso para continuar. Si no da su consentimiento, debe informarse sobre los otros canales disponibles (ej. reunión presencial o medio escrito).
  • Documentación: La grabación debe ser almacenada de forma segura y cifrada. Además, la persona gestora del Canal tiene la obligación de realizar una transcripción completa y precisa de la comunicación, ofreciendo a la persona informante la oportunidad de verificar y firmar (físicamente o digitalmente) la transcripción..
3.2.2. Reunión Presencial

La reunión presencial debe ofrecerse a solicitud de la persona informante como una alternativa oral directa, especialmente relevante cuando se deniega el consentimiento para la grabación telefónica o por la naturaleza sensible de la información.

Procedimiento Operativo:
  • Solicitud: La solicitud de reunión debe gestionarse a través de la Plataforma Digital o el correo electrónico específico.
  • Día y Hora: La Ley exige que la reunión se celebre con la persona gestora del Canal en un plazo máximo de siete (7) días desde la solicitud.
  • Registro Documental: La reunión debe documentarse mediante un acta o transcripción completa de la conversación, elaborada por la persona gestora del Canal. Este documento, que recoge los hechos esenciales de la denuncia, debe ser firmado (o validado de alguna manera segura) por la persona informante y la persona gestora, sirviendo como la comunicación formal de la denuncia. Se debe garantizar la confidencialidad del espacio de la reunión.
4. Gestión de la Confidencialidad y el Anonimato

La habilitación de los canales es ineficaz sin la garantía de la confidencialidad de la identidad de la persona informante y del sujeto informado. El diseño de los canales debe centrarse en la protección de datos personales.
  • Principios de Privacidad: El sistema debe adherirse al principio de minimización de datos. Solamente se deben recopilar los datos estrictamente necesarios para la investigación.
  • Gestión del Anonimato: La Plataforma Digital debe ser la vía preferente para el anonimato. Los otros canales (correo, teléfono) deben incorporar advertencias claras sobre el riesgo de rastreo de metadatos. El anonimato debe mantenerse en todas las fases de la investigación y solo puede revelarse a la autoridad judicial o administrativa en los términos previstos por la Ley.
  • Limitación de Acceso: La información del Canal, especialmente la identidad de los/las informantes y el contenido de las denuncias, debe ser de acceso restringido únicamente a la persona o unidad responsable del Canal y a las personas designadas para la instrucción de cada caso, manteniendo un estricto principio de "necesidad de conocer" (need-to-know).
5. Conclusiones

La Ley establece un estándar alto en la configuración de los Canales de Denuncia, exigiendo la multimodalidad para garantizar la accesibilidad y fomentar la confianza. La Fase 2: Diseño y Configuración Técnica no es un ejercicio meramente administrativo, sino una inversión en la cultura de integridad de la entidad.

La clave del éxito reside en la integración sin fisuras de los medios escritos (Plataforma Digital, correo, buzón) y orales (teléfono/voz, reunión presencial) en un Sistema Interno de Información unificado, regido por estrictos protocolos de cifrado, anonimato y trazabilidad. La Plataforma Digital emerge como el núcleo tecnológico, capaz de gestionar las comunicaciones recibidas por las demás vías.

El reto futuro para las organizaciones pasa por el mantenimiento y la actualización continua de estos canales para adaptarse a las nuevas amenazas de ciberseguridad y a las expectativas cambiantes de los/las informantes, asegurando que el Canal de Denuncias sea percibido como lo que es: la primera línea de defensa de la ética y la legalidad corporativa.

6. Referencias

España. Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado, núm. 44, de 21 de febrero de 2023.

Parlamento Europeo y del Consejo. (2019). Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Diario Oficial de la Unión Europea L 305/17.