 |
| Fuente de la imagen: mvc archivo propio |
Resumen: La Ley 2/2023, de 20 de febrero, exige a las organizaciones el establecimiento de un Sistema Interno de Información (SII) o Canal de Denuncias para proteger a las personas informantes. Se aborda la Fase 5: Gestión y Mejora Continua (Operación) del Plan de Implantación del SII, argumentando que la eficacia del sistema reside en su capacidad de adaptación. El análisis se centra en el requisito de la Revisión Periódica, que se desglosa en dos contrafuertes: la actualización formal de la Política y el Procedimiento (con una cadencia mínima bianual o reactiva ante cambios) y la ejecución de auditorías (internas o externas) destinadas a verificar la eficacia operativa y el cumplimiento legal continuo. Se utiliza el marco conceptual de la mejora continua (ciclo PDCA) para demostrar que esta obligación es una estrategia para la mitigación de riesgos de incumplimiento, la consolidación de una cultura ética corporativa y la defensa efectiva de los derechos de las personas informantes y afectadas. Se concluye que la diligencia continua en la revisión del SII es el verdadero indicador de un compromiso organizacional con la integridad.
Palabras Clave: Sistema Interno de Información (SII), Canal de Denuncias, Ley 2/2023, Revisión Periódica, Auditoría de Compliance, Mejora Continua, Integridad Corporativa, Gestión de Riesgos.
Abstract: Law 2/2023, of February 20, requires organizations to establish an Internal Information System (IIS) or Whistleblowing Channel to protect whistleblowers. This paper addresses Phase 5: Management and Continuous Improvement (Operation) of the IIS Implementation Plan, arguing that the system's effectiveness lies in its adaptability. The analysis focuses on the Periodic Review requirement, which is broken down into two key components: the formal updating of the Policy and Procedure (with a minimum frequency of two years or reactively to changes) and the execution of audits (internal or external) designed to verify operational effectiveness and ongoing legal compliance. The continuous improvement framework (PDCA cycle) is used to demonstrate that this obligation is a strategy for mitigating non-compliance risks, consolidating a corporate ethical culture, and effectively defending the rights of whistleblowers and affected parties. It is concluded that continuous diligence in reviewing the Internal Information System (IIS) is the true indicator of an organization's commitment to integrity.
Keywords: Internal Information System (IIS), Whistleblowing Channel, Law 2/2023, Periodic Review, Compliance Audit, Continuous Improvement, Corporate Integrity, Risk Management.
1. Introducción: La Dinámica del Compliance y la Ley 2/2023
1.1. Del Mero Cumplimiento a la Integridad Sostenible
El marco regulatorio derivado de la transposición de la Directiva (UE) 2019/1937 a través de la Ley 2/2023 impone una redefinición de la gestión del compliance.
El foco se desplaza de la mera existencia de un programa a su eficacia demostrable y su sostenibilidad temporal.
El Sistema Interno de Información (SII) es la herramienta clave para detectar infracciones y proteger a quienes informan, pero su valor decae rápidamente si se concibe como un proyecto estático.
1.2. La Fase de Operación y la Necesidad de Revisión
En el ciclo de vida del SII, la Fase 5: Gestión y Mejora Continua es la que asegura su longevidad y validez legal. Los entornos normativos (legislación) y organizativos (estructuras empresariales, riesgos) son dinámicos.
Un SII diseñado hoy puede ser legalmente obsoleto o ineficaz operativamente dentro de seis meses.
Por ello, la Ley establece expresamente la obligación de la Revisión Periódica, un mecanismo que actúa como barrera contra la obsolescencia y el riesgo de incumplimiento.
1.3. Estructura del Análisis
Este artículo desarrollará los dos componentes interdependientes de la Revisión Periódica: primero, el análisis de la obligación de actualización documental y sus detonantes y segundo, el papel de las auditorías como mecanismo de verificación.
2. Marco Metodológico: La Revisión en el Ciclo PDCA
La Revisión Periódica se enmarca perfectamente en el ciclo de mejora continua (PDCA: Planificar, Hacer, Verificar, Actuar), que es el paradigma aceptado en los Sistemas de Gestión de Compliance.
La implementación inicial del SII cubre las fases de Planificación (diseño) y Ejecución (puesta en marcha).
La Revisión Periódica, tal como la concibe la Ley 2/2023, ejecuta las fases finales del ciclo de forma obligatoria:
El ciclo es iterativo. Las acciones correctivas se convierten en la nueva Planificación para el siguiente ciclo, asegurando que el SII evolucione en lugar de estancarse.
3. Pilar A: La Obligación de Actualización de la Política y el Procedimiento
El primer componente de la Revisión Periódica es la obligación de Revisar y actualizar la Política y el Procedimiento del SII.
Este deber se activa por el transcurso del tiempo o por la ocurrencia de eventos específicos.
3.1. Revisión Programada: La Periodicidad Bianual
La Ley establece una cadencia mínima: la revisión debe realizarse al menos cada dos años.
3.1.1. Justificación del Plazo
Un periodo bianual garantiza que, incluso en ausencia de cambios externos dramáticos, la organización está obligada a:
- Analizar la Casuística: Evaluar las informaciones recibidas durante el periodo (si las hubo), los plazos de tramitación y la eficacia de las investigaciones.
- Validar la Formación: Confirmar si la formación impartida al Responsable del SII y al personal ha sido efectiva y si se mantienen los conocimientos.
- Revisar los Recursos: Determinar si los recursos técnicos, humanos y financieros asignados al sistema siguen siendo adecuados a la carga de trabajo y al tamaño de la entidad.
La revisión bianual debe ser un acto formal, documentado y aprobado por el órgano de administración o alta dirección, demostrando el liderazgo y el compromiso con el compliance.
3.2. Revisión Reactiva: El Cambio Normativo Relevante
El sistema debe ser flexible para adaptarse a los cambios en el marco legal.
La relevancia del cambio se mide por su potencial impacto sobre los derechos del informante, las obligaciones de la entidad o el alcance del SII.
3.2.1. Tipos de Impacto Normativo
- Modificaciones a la Propia Ley 2/2023 o su Desarrollo: Si la AAI emite reglamentos, circulares o criterios vinculantes que alteren la gestión de los plazos, el régimen de confidencialidad o las garantías procedimentales.
- Cambios en el Derecho Sustantivo: Reformas en la legislación penal, mercantil, laboral o sectorial (ej. blanqueo de capitales, medio ambiente) que modifiquen el catálogo de infracciones que deben ser objeto de información. El SII debe adaptarse para tramitar y evaluar adecuadamente las nuevas tipologías de riesgo.
- Evolución en la Protección de Datos: Nuevas directrices de la AEPD sobre la gestión de datos personales de las personas informantes y afectadas, especialmente en relación con la seudonimización o el ejercicio de derechos.
3.3. Revisión Reactiva: El Cambio Organizativo Relevante
El SII es un reflejo de la organización. Cualquier transformación interna que altere la estructura de riesgos o gobernanza requiere la revisión del sistema para mantener su alineación y eficacia.
3.3.1. Factores Organizativos Clave
- Reestructuraciones Corporativas: Fusiones, adquisiciones, escisiones o cambios de sede social que alteren el ámbito subjetivo o territorial de aplicación del SII.
- Cambio del Responsable del SII: El relevo de la persona o el órgano responsable de la gestión exige una revisión para validar la transición de conocimientos, la idoneidad de la nueva persona designada y la continuidad de los procedimientos.
- Expansión o Contracción de Riesgos: La entrada en un nuevo sector geográfico o de actividad (ej. transición a la exportación o a la contratación pública) implica la actualización del mapa de riesgos, que debe reflejarse en el foco del SII.
- Cambios Tecnológicos: Migración a un nuevo software de gestión, cambio de proveedor de canal externo o implementación de nuevas medidas de ciberseguridad. Estos cambios deben ser validados formalmente en el Procedimiento para garantizar la trazabilidad y la seguridad de la información.
4. Pilar B: La Auditoría para la Verificación de la Eficacia y el Cumplimiento Legal
La auditoría es el componente de Verificación del sistema y su objetivo es proporcionar una seguridad razonable de que el SII existe y funciona de forma efectiva y legal.
4.1. Objetivos Duales de la Auditoría
4.1.1. Verificación de la Eficacia
La auditoría de eficacia se centra en la operatividad práctica del SII. Pregunta cómo se hacen las cosas, no solamente si la documentación dice que se deben hacer:
- Evaluación de KPIs: ¿Se cumplieron los plazos de acuse de recibo y respuesta final?
- Gestión de las Investigaciones: ¿Fueron las investigaciones objetivas, imparciales y completas? ¿Se siguió el protocolo?
- Accesibilidad y Conocimiento: ¿La comunicación del canal es efectiva? ¿Las personas empleadas lo conocen y confían en él?
- Análisis de Represalias: ¿Se han producido casos de represalias? ¿Fueron efectivas las medidas de apoyo y protección del informante?
4.1.2. Verificación del Cumplimiento Legal
La auditoría de cumplimiento examina la conformidad normativa del SII con las exigencias de la Ley 2/2023 y las normas accesorias:
- Garantías Procedimentales: Revisión del Libro-Registro, la correcta aplicación del régimen de confidencialidad y la gestión de la información anónima.
- Derechos de la Persona Afectada: Aseguramiento de que se respetó la presunción de inocencia, el derecho a ser informada de la comunicación que le afecta y el derecho de defensa.
- Conformidad DPL (Data Protection Law): Verificación de que el tratamiento de datos se ajusta al principio de minimización y que se cumplen los plazos de conservación y supresión de datos.
4.2. Auditoría Interna versus Auditoría Externa
La Ley permite la realización de auditorías internas o externas, requiriendo en ambos casos la independencia funcional.
Se recomienda que, al menos la primera auditoría o las que se realicen cada cuatro años, sean externas para dotar al sistema de una validación independiente que fortalezca su defensa en sede judicial o administrativa. La obtención de una certificación (ej. bajo ISO 37301) a través de una auditoría externa maximiza el valor del sistema como evidencia de diligencia debida.
4.3. El Resultado de la Auditoría y la Retroalimentación (Acción Correctiva)
El informe de auditoría culmina en una lista de hallazgos, no conformidades y oportunidades de mejora. Este informe es la base de la fase Actuar (Act) del ciclo PDCA.
La alta dirección o el órgano de gobierno debe formalizar la recepción del informe y la aprobación de un Plan de Acción Correctiva y Preventiva (PAC). Las deficiencias detectadas, como la superación sistemática de los plazos de respuesta o una deficiencia en la formación, deben traducirse en las siguientes acciones:
- Revisión del Procedimiento: Inclusión de nuevos hitos de control, modificación de los plazos internos o clarificación de los roles.
- Asignación de Recursos: Aumento de personal, inversión en tecnología o formación especializada.
- Seguimiento: El PAC debe tener responsables, plazos de ejecución y un mecanismo de seguimiento para asegurar que las acciones correctivas se implementan antes del siguiente ciclo de revisión.
5. Conclusiones
La implementación del Sistema Interno de Información conforme a la Ley 2/2023 es un proceso continuo.
La Revisión Periódica encapsula la filosofía de la mejora continua y se erige como el mecanismo de control interno más importante para el cumplimiento del SII.
La combinación de la actualización documental programada y reactiva con la auditoría de eficacia e independencia asegura que la organización cumpla con la Ley y mantenga un canal que sea confiable, accesible y conocido por las personas informantes.
Este enfoque dinámico previene la obsolescencia legal y operativa, mitiga el riesgo de multas y fortalece la cultura de integridad, transformando el SII de un mero requisito legal a un activo estratégico de la organización.
La diligencia en esta Fase 5 es la prueba del compromiso de la entidad con la protección de las personas que informan.
6. Referencias
Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado, núm. 44, de 21 de febrero de 2023.
Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Diario Oficial de la Unión Europea.
International Organization for Standardization (ISO). (2021). ISO 37301:2021 Sistemas de Gestión de Compliance – Requisitos con orientación para su uso.