Sistema Interno de Información 2026: nuevos criterios de la AIPI, plazos activos y riesgos reales
Durante los primeros años de vigencia de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, muchas organizaciones abordaron el cumplimiento del canal de denuncias como una formalidad: publicar una plataforma, redactar una política y designar un responsable. Ese enfoque ya no es suficiente, y en 2026 ha dejado de ser tolerable.
La Autoridad Independiente de Protección del Informante (AIPI), lleva operativa desde el 1 de septiembre de 2025 (fecha fijada por la Orden PJC/908/2025) y ha publicado ya sus primeros criterios interpretativos, habilitado su sede electrónica y activado los trámites de notificación del Responsable del Sistema Interno de Información (RSII). A esto se añade la aparición de las primeras sanciones públicas relevantes, que confirman que el riesgo dejó de ser teórico. El escenario ha cambiado de forma estructural.
Qué exige ahora la AIPI que antes no estaba claro
Hasta la puesta en marcha de la AIPI, la Ley 2/2023 estaba vigente, pero carecía de un supervisor realmente operativo que concretase sus exigencias. Esa laguna ha quedado cerrada el 15 de enero de 2026, cuando la Autoridad publicó tres recomendaciones sobre diseño, gestión e implementación del Sistema Interno de Información (SII). La más relevante, la Recomendación 1/2026, tiene alcance transversal y fija por primera vez un estándar público de referencia.
El punto de partida de esa recomendación es claro: el SII no puede concebirse como un buzón de denuncias, sino como una infraestructura de integridad que debe ser aprobada formalmente por el órgano de administración o equivalente de la entidad. A partir de ahí, los criterios que la AIPI considera determinantes son los siguientes:
- El RSII debe actuar con independencia real, sin recibir instrucciones del resto de la organización y disponiendo de medios personales y materiales suficientes para ejercer su función. La ley ya lo exigía, pero la recomendación concreta qué significa en la práctica: no basta con la designación formal si la persona nombrada carece de autonomía funcional o está en situación de conflicto de interés estructural.
- La confidencialidad debe estar garantizada desde el diseño del sistema, no como declaración de intenciones en la política interna. La identidad del informante, de las personas afectadas y el contenido de la comunicación deben quedar protegidos mediante accesos restringidos, seguridad técnica y trazabilidad controlada. Esto tiene implicaciones directas sobre la arquitectura de la plataforma utilizada y sobre quién tiene acceso a los expedientes.
- El procedimiento de gestión debe estar documentado de manera que la organización pueda acreditar, ante una inspección, cómo recibe, registra, analiza, admite, investiga y cierra cada comunicación. El acuse de recibo debe producirse en un plazo de siete días naturales; la respuesta ordinaria tiene un plazo máximo de tres meses, ampliable a seis en supuestos de especial complejidad; y las comunicaciones verbales deben quedar igualmente documentadas.
- El libro-registro es una obligación, no una recomendación. El sistema debe alimentar un registro seguro que permita reconstruir la secuencia de actuaciones desde la recepción de la comunicación hasta su cierre, con evidencia suficiente de cada decisión adoptada.
- Finalmente, la organización debe incorporar garantías internas expresas frente a represalias: no solo una prohibición formal, sino mecanismos de detección y respuesta ante despidos, sanciones, cambios de funciones o cualquier otra reacción adversa vinculada a una comunicación.
Aunque las recomendaciones de la AIPI no tienen rango normativo ni carácter vinculante, funcionan en la práctica como el primer estándar técnico emitido por la autoridad supervisora. Ignorarlas ya no es una opción prudente.
Cómo saber si tu canal de denuncias cumple con los criterios vigentes
La pregunta correcta ya no es si la organización «tiene canal», sino si su Sistema Interno de Información está en condiciones de resistir una revisión por parte de la AIPI. Hay señales concretas que permiten identificar si el sistema presenta deficiencias relevantes.
Un primer indicador es la situación del RSII. Si no existe un acuerdo formal de nombramiento, si la persona designada depende orgánicamente de quien podría ser objeto de una investigación interna, o si no dispone de tiempo ni recursos para gestionar el sistema de forma real, el sistema tiene un problema estructural que ninguna política interna puede compensar.
Un segundo indicador es la ausencia de comunicación del nombramiento a la autoridad competente. El artículo 8.3 de la Ley 2/2023 exige notificar tanto el nombramiento como el cese del RSII a la AIPI (o a la autoridad autonómica competente, en su caso) en el plazo de diez días hábiles. La AIPI habilitó el formulario de notificación inicial a través de su sede electrónica el 10 de febrero de 2026, fijando un plazo transitorio de dos meses para regularizar los nombramientos anteriores. Ese plazo venció el 10 de abril de 2026. Las organizaciones que no hayan realizado la comunicación en tiempo se encuentran ya en situación de incumplimiento formal.
Un tercer indicador es la incapacidad de acreditar el funcionamiento real del sistema. Si la organización no puede mostrar registros de comunicaciones recibidas (aunque no haya habido ninguna), procedimientos formalizados, plazos controlados y decisiones documentadas, su posición defensiva frente a un expediente sancionador es muy débil. La capacidad probatoria no es un detalle: en materia de whistleblowing, es el centro del cumplimiento.
Las sanciones más habituales por tener un sistema deficiente o inexistente
El título IX de la Ley 2/2023 configura un régimen sancionador específico. Para personas jurídicas, las multas oscilan entre importes de hasta 100.000 euros para infracciones leves, entre 100.001 y 600.000 euros para infracciones graves, y entre 600.001 y 1.000.000 de euros para infracciones muy graves.
Las infracciones más graves tipificadas expresamente incluyen la adopción de represalias derivadas de una comunicación y el incumplimiento de la obligación de disponer de un SII en los términos exigidos por la ley. En los supuestos más graves, la AIPI puede acordar, además de la multa, la amonestación pública, la prohibición de obtener subvenciones o beneficios fiscales durante hasta cuatro años, y la prohibición de contratar con el sector público durante hasta tres años. Son consecuencias que van mucho más allá del impacto económico directo de la sanción.
En este contexto adquiere especial relevancia el caso conocido públicamente como «caso Nora SA», en el que la Oficina Antifrau de Catalunya impuso una sanción de 600.000 euros por represalias contra una trabajadora informante. Más allá del resultado concreto de ese expediente, el mensaje regulatorio es inequívoco: las autoridades no están comprobando únicamente si existe un canal, sino cómo reacciona la organización frente a quien informa.
Checklist para revisar tu sistema antes de una inspección
La revisión del SII debe abarcar el sistema en su conjunto, no solo verificar si existe una plataforma tecnológica. Los aspectos mínimos que conviene validar antes de una posible inspección son los siguientes:
- Designación del RSII: confirmar que existe acuerdo formal de nombramiento, que la persona designada cumple el perfil legalmente exigible (con carácter general, un directivo de la entidad) y que dispone de independencia real y medios suficientes.
- Notificación a la autoridad competente: verificar si la comunicación del nombramiento se realizó antes del 10 de abril de 2026. Si no fue así, presentarla a la mayor brevedad, dado que la omisión ya constituye incumplimiento formal. Comprobar también que existe un circuito interno para notificar futuros nombramientos o ceses dentro del plazo ordinario de diez días hábiles.
- Política y procedimiento interno: revisar que la organización dispone de una política de defensa del informante y un procedimiento de gestión actualizados y alineados tanto con la Ley 2/2023 como con los criterios públicos de la AIPI.
- Canal accesible y bien configurado: asegurar que el canal es fácilmente localizable, admite las vías de comunicación previstas (escrita, verbal, presencial) e informa adecuadamente sobre el canal externo de la AIPI y sobre el tratamiento de datos personales.
- Libro-registro y gestión del expediente: comprobar que existe libro-registro, que las actuaciones quedan documentadas y que se controlan plazos críticos como el acuse de recibo en siete días y la respuesta al informante en tres meses.
- Confidencialidad y protección de datos: revisar accesos, permisos y medidas técnicas, así como el deber de secreto, la conservación y eliminación de datos y la coordinación con el delegado de protección de datos cuando proceda.
- Prevención de represalias: verificar que existen mecanismos internos específicos para detectar y gestionar decisiones adversas frente a informantes, incluyendo los indicios de represalia indirecta.
- Formación y concienciación: proporcionar pautas específicas al RSII, al equipo gestor del sistema, a Recursos Humanos, a Compliance y a los potenciales receptores de comunicaciones.
- Revisión periódica y evidencia: establecer un esquema de revisión continua que permita acreditar, de forma ordenada y auditable, que el sistema funciona de manera real y no solo formal.
La entrada en funcionamiento efectiva de la AIPI, la publicación de sus primeros criterios técnicos y la activación real de los plazos de notificación del RSII marcan un punto de inflexión. El canal de denuncias ha dejado de ser un elemento de cumplimiento predominantemente documental para convertirse en un sistema regulado, identificado ante la autoridad y potencialmente fiscalizable.
Las organizaciones que implantaron el canal en años pasados desde una lógica puramente formal deberían revisar sin demora la independencia del RSII, la documentación del procedimiento, la trazabilidad del sistema y la protección frente a represalias. Y las que no hayan comunicado el nombramiento del RSII a la AIPI antes del vencimiento del plazo transitorio deben regularizar esa situación de forma inmediata.
En Letslaw acompañamos a las organizaciones en la revisión integral de sus Sistemas Internos de Información: designación y comunicación del RSII, actualización del procedimiento interno, revisión de medidas de confidencialidad y protección de datos, e implantación de mecanismos eficaces de prevención de represalias. Si tienes dudas sobre el estado actual de tu sistema, contáctanos.
IP/IT Lawyer
Graduado en Derecho y diplomado en Derecho Económico por la Universidad de Navarra, comenzó su contacto con el derecho digital al realizar el Máster en Derecho Digital, Telecomunicaciones y Energía impartido por la Universidad CEU San Pablo. Desde el año 2021, ha desarrollado su trayectoria profesional en las áreas de Propiedad Intelectual e Industrial, Derecho de la Competencia, Protección de Datos, Derecho Digital y Corporate en general.
Artículos Relacionados
Constitution of the General Meeting
Directrices de la Agencia sobre brechas de seguridad
The dismissal based on the GPS of the company vehicle, does not violate the right to privacy of the worker if he is aware of its existence (STS No. 766/2020, of September 15).
AI and copyright legal and policy issues report
¿CÓMO HAGO PUBLICIDAD PARA MENORES ESTAS NAVIDADES?
Legaltech to offer more efficient legal services