 |
| Fuente de la imagen: mvc archivo propio |
Resumen: La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (Ley de protección del informante), impone a las organizaciones en España la obligación de establecer un Sistema Interno de Información (SII), cuyo pilar operativo es el Canal de Denuncias. Dentro de la Fase 2 del Plan de Implantación, la Selección e Implementación de la Herramienta Tecnológica se erige como un factor crítico, ya que las garantías técnicas de este software son necesarias para el cumplimiento normativo y para fomentar la confianza de las personas informantes. Se analiza los criterios para la elección de una plataforma digital que asegure la confidencialidad, la integridad de los datos y el almacenamiento seguro, desglosando las garantías técnicas: la gestión del anonimato y la trazabilidad, la comunicación segura y cifrada entre la persona informante y la Responsable del Sistema Interno de Información (RSII), y el estricto Cumplimiento del Reglamento General de Protección de Datos (RGPD), incluyendo la obligatoriedad de que los servidores estén ubicados dentro de la Unión Europea (UE). La adecuada implementación de estas salvaguardas técnicas evita sanciones y consolida una cultura ética y transparente en la organización.
Palabras Clave: Ley 2/2023, Canal de Denuncias, Sistema Interno de Información (SII), Whistleblowing, Selección de Herramienta Tecnológica, Anonimato, Trazabilidad, Comunicación Segura, Cifrado, RGPD, Servidores UE, Confidencialidad, Integridad de Datos.
Summary: Law 2/2023, of February 20, regulating the protection of individuals who report regulatory violations and combating corruption (Whistleblower Protection Law), requires organizations in Spain to establish an Internal Information System (IIS), whose operational pillar is the Whistleblowing Channel. Within Phase 2 of the Implementation Plan, the selection and implementation of the technological tool is a critical factor, as the technical guarantees of this software are necessary for regulatory compliance and to foster trust among whistleblowers. This paper analyzes the criteria for selecting a digital platform that ensures confidentiality, data integrity, and secure storage, detailing the essential technical safeguards: anonymity and traceability management, secure and encrypted communication between the whistleblower and the Internal Information System Manager (IIS Manager), and strict compliance with the General Data Protection Regulation (GDPR), including the requirement that servers be located within the European Union (EU). The proper implementation of these technical safeguards avoids penalties and fosters an ethical and transparent culture within the organization.
Keywords: Law 2/2023, Whistleblowing Channel, Internal Information System (IIS), Whistleblowing, Technological Tool Selection, Anonymity, Traceability, Secure Communication, Encryption, GDPR, EU Servers, Confidentiality, Data Integrity.
1. Introducción: La Digitalización como Requisito Legal
La transposición de la Directiva (UE) 2019/1937 (Whistleblowing Directive) a través de la Ley 2/2023 ha profesionalizado y blindado legalmente la figura de la persona informante en España.
La Ley exige que el Canal de Denuncias sea un sistema que ofrezca las máximas garantías, siendo la vía tecnológica la principal y más eficiente para canalizar las comunicaciones.
La Fase 2: Diseño y Configuración Técnica del plan de implantación se centra en establecer el canal, y la decisión más relevante es la Selección e Implementación de la Herramienta Tecnológica.
No se trata de un mero programa informático, sino de una plataforma digital avanzada que debe soportar los principios de confidencialidad y protección de datos inherentes a la normativa.
El volumen y la sensibilidad de los datos manejados —que incluyen información personal de informantes, personas afectadas y terceras personas, además de información confidencial de la organización— hacen que la elección del software deba basarse en la solidez de sus Garantías Técnicas.
Estas garantías son la verdadera piedra angular que permite la confianza y, por ende, la eficacia del sistema.
2. Criterios de Selección e Implementación de la Herramienta Tecnológica
La plataforma debe ser la columna vertebral digital del SII, garantizando la integridad de los datos y su almacenamiento seguro desde el momento mismo de la recepción. La elección pasa por un análisis de mercado (compra de solución) o un desarrollo a medida. En ambos casos, el foco debe estar en el cumplimiento técnico de las exigencias de la Ley 2/2023 y el RGPD.
2.1. Confidencialidad, Integridad y Almacenamiento Seguro
La herramienta tecnológica debe ser capaz de asegurar tres pilares técnicos:
- Confidencialidad: Solamente la RSII y el personal autorizado por protocolo de acceso muy restringido deben poder acceder al contenido de la denuncia y a los datos personales (si los hubiera).
- Esto se consigue mediante controles de acceso rigurosos (autenticación multifactor) y, sobre todo, mediante el cifrado de extremo a extremo de la comunicación y el almacenamiento.
- Integridad: La plataforma debe registrar automáticamente y de forma inmutable la fecha y hora de recepción, y cualquier acción posterior realizada sobre el expediente (apertura, asignación, cierre, etc.). Los logs de auditoría deben ser inalterables para garantizar que la información no ha sido modificada a posteriori sin dejar rastro.
- Almacenamiento Seguro: Los datos deben residir en un entorno que cumpla con altos estándares de seguridad, preferiblemente la ISO/IEC 27001 (Sistema de Gestión de la Seguridad de la Información). Esto incluye medidas contra el acceso no autorizado, la pérdida, el daño o la destrucción de los datos.
3. Garantías Técnicas para el Cumplimiento Normativo
Las garantías técnicas se dividen en tres áreas críticas, íntimamente ligadas a la operativa del canal.
3.1. Anonimato y Trazabilidad: El Equilibrio Necesario
La Ley 2/2023 permite y fomenta la presentación de comunicaciones anónimas. El software debe diseñarse para permitir la presentación de denuncias sin requerir ningún dato identificativo de la persona informante.
3.1.1. Gestión del Anonimato
Para que una denuncia sea verdaderamente anónima, la plataforma debe utilizar mecanismos que eviten la recolección de metadatos que puedan revelar la identidad.
Esto incluye:
- Eliminación de Metadatos: Los archivos adjuntos deben ser procesados automáticamente para eliminar metadatos (como el autor, la hora de creación, la ubicación GPS de imágenes, o el nombre del equipo) que puedan conducir a la identificación.
- Anonimización de la Conexión: La herramienta debe ocultar la dirección IP de origen o utilizar métodos de reenvío de tráfico que impidan rastrear la conexión de la persona informante.
3.1.2. Asegurando la Trazabilidad con Pseudonimización
La dificultad técnica radica en que, si bien la persona informante es anónima, debe mantenerse un canal de comunicación seguro con la RSII para solicitar información adicional o informar del estado de la investigación (obligación legal). Para lograr esto, la plataforma genera un código único (o credenciales de acceso) que se entrega a la persona informante.
- Este código actúa como un seudónimo o identificador de caso.
- La persona informante utiliza este código para acceder a un buzón seguro y privado dentro de la plataforma.
- Este mecanismo garantiza la trazabilidad de la comunicación y la gestión del expediente sin necesidad de revelar la identidad de la persona informante. La información se desvincula de cualquier dato personal, protegiendo así el anonimato.
3.2. Comunicación Segura y Cifrada
Una vez establecida la vía de comunicación, esta debe ser impenetrable.
La Ley obliga a habilitar un canal de comunicación seguro y cifrado entre la persona informante (incluso si es anónima mediante el código de trazabilidad) y la RSII.
Esto requiere:
- Cifrado de Extremo a Extremo (E2EE): La información se cifra en el dispositivo de la persona informante y solamente se descifra en el sistema de la RSII. Esto asegura que ni siquiera el proveedor de la plataforma, ni cualquier atacante que intercepte el tráfico, pueda leer el contenido.
- Protocolos de Seguridad (SSL/TLS): El acceso a la plataforma web debe realizarse siempre bajo protocolos seguros, identificados con un Certificado SSL/TLS válido, garantizando que la conexión entre el navegador y el servidor es segura.
- Sistemas de Autenticación Seguros: Para el acceso de la RSII, se debe exigir una autenticación fuerte (ej. MFA), y para la persona informante anónima, el código de trazabilidad debe ser robusto y no fácilmente predecible.
3.3. Cumplimiento RGPD: Soberanía del Dato y Medidas de Seguridad
El tratamiento de datos personales en el Canal de Denuncias está sujeto al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
3.3.1. Ubicación de Servidores dentro de la UE
Este es un requisito técnico sine qua non para el cumplimiento de la Ley 2/2023. La plataforma digital debe garantizar que:
Los servidores que alojan los datos del Sistema Interno de Información deben estar ubicados físicamente dentro del territorio de la Unión Europea (UE).
Esta exigencia es vital para asegurar que el tratamiento de los datos se rige exclusivamente por las estrictas leyes de protección de datos europeas (RGPD), evitando los riesgos de transferencia internacional de datos a terceros países con normativas potencialmente menos garantistas (como el Cloud Act en EE. UU. o leyes similares).
3.3.2. Medidas de Seguridad Técnicas y Organizativas
La plataforma, como responsable del tratamiento (si es desarrollada internamente) o encargada del tratamiento (si es contratada a un proveedor), debe implementar medidas de seguridad conformes al principio de minimización de datos y al RGPD:
- Evaluación de Impacto de la Protección de Datos (EIPD/DPIA): La implementación de un Canal de Denuncias implica un tratamiento de alto riesgo, por lo que es obligatorio realizar una EIPD. Esta debe guiar la implementación de las medidas técnicas.
- Política de Conservación y Supresión: Los datos personales de las personas que no hayan sido investigadas o que no hayan sido objeto de medidas disciplinarias deben eliminarse transcurridos tres meses desde la no admisión o finalización de la investigación, salvo que deban conservarse para dejar prueba de la investigación (en cuyo caso se pseudonimizan). La herramienta debe disponer de funcionalidades que automaticen o faciliten este proceso de forma segura.
- Acuerdo de Encargado del Tratamiento (DPA): Si se contrata la plataforma a un tercero, debe firmarse un contrato que refleje las obligaciones del Encargado del Tratamiento conforme al artículo 28 del RGPD. El proveedor debe demostrar su compromiso con la seguridad y la confidencialidad.
4. Retos y Conclusiones
La selección e implementación de la herramienta tecnológica para el Canal de Denuncias bajo la Ley 2/2023 es una tarea de alta complejidad técnica y legal.
El cumplimiento de las garantías de anonimato, comunicación segura y, especialmente, la soberanía del dato (servidores en la UE) y el RGPD, no son opciones, sino requisitos legales ineludibles.
La inversión en una plataforma que cumpla rigurosamente con estas garantías técnicas es una inversión en la cultura ética de la organización.
Un sistema robusto y confiable es el único que generará la suficiente confianza para que las personas informantes se sientan seguras al denunciar, logrando así el objetivo último de la Ley: detectar y corregir las infracciones a tiempo, mitigando el riesgo legal y reputacional.
5. Referencias
Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado, núm. 44, de 21 de febrero de 2023.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Directiva Whistleblowing).
Organización Internacional de Normalización (ISO). ISO/IEC 27001:2022. Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de la seguridad de la información — Requisitos.