Última revisión
20/01/2026
Recomendación 1/2026 AIPI sobre diseño e implementación de un Sistema Interno de Información
La Autoridad Independiente de Protección del Informante (AIPI) ha publicado su Recomendación n.º 1/2026, un esperado y detallado manual que aclara cómo deben diseñarse, implementarse y gestionarse los Sistemas Internos de Información (SII) y el Canal de Denuncias conforme a la Ley 2/2023, de 20 de febrero, normativa que transpone la Directiva Europea de protección del informante. El documento llega tras meses de incertidumbre e interpretaciones divergentes entre empresas y administraciones, y pretende ser el estándar de referencia para el cumplimiento efectivo, seguro y garantista de las nuevas obligaciones legales.
Guía práctica y técnica para los canales de denuncias
El texto de la Recomendación responde a la avalancha de consultas que la AIPI ha recibido desde su puesta en funcionamiento en septiembre de 2025, así como al reconocimiento explícito en la Ley 2/2023, de 20 de febrero, del mandato de la presidenta de la Autoridad para emitir circulares y recomendaciones técnicas.
Su vocación es doble: servir como guía técnica en materia de cumplimiento —abarcando desde cuestiones puramente procedimentales hasta obligaciones materiales y organizativas—, y fomentar de forma transversal la cultura de la integridad y la información en organizaciones públicas y privadas. Tal como destaca el propio manual, la pretensión es transformar el SII de “mera obligación reactiva” en “herramienta preventiva proactiva” al servicio del interés público y del buen gobierno.
¿A quiénes obliga la Ley y bajo qué condiciones?
La Recomendación aclara el alcance de la obligación para el sector privado: todas las personas físicas o jurídicas con presencia organizada en España están obligadas a disponer de un SII si cuentan con 50 o más trabajadores, computándose la plantilla según el criterio del Real Decreto 901/2020 sobre planes de igualdad. Se incluye a fijos, temporales, trabajadores de ETT, parciales (uno por persona, con independencia de horas) y hasta eventuales cuyas relaciones se extingan en los seis meses anteriores. El cómputo debe realizarse, al menos, dos veces al año.
Además, determinados operadores (sector financiero, prevención de blanqueo, partidos políticos y sindicatos que gestionen fondos públicos, según ley y directiva) estarán obligados cualesquiera que sea su volumen de plantilla.
En el sector público, la obligación recae sobre todas las administraciones estatales, autonómicas y locales, organismos dependientes, universidades públicas, corporaciones de derecho público, fundaciones públicas y sociedades mercantiles con mayoría pública.
Características exigidas al Sistema Interno de Información
El SII debe constituir una verdadera infraestructura de integridad, estructurada bajo los siguientes principios y elementos esenciales:
- Universalidad: permitir la comunicación de infracciones por parte de empleados, extrabajadores, contratistas, candidatos y prácticamente cualquier persona con relación profesional relevante.
- Confidencialidad y seguridad: la herramienta debe asegurar la confidencialidad de la identidad del informante y de terceros, implementar plataformas cifradas, y restringir el acceso a personal autorizado, previniendo todo uso indebido o represalia.
- Accesibilidad y omnicanalidad: admitirse comunicaciones tanto por escrito (formulario, correo electrónico, correo postal) como verbalmente (teléfono, reuniones presenciales a petición, grabaciones o transcripciones).
- Gestión centralizada y “ventana única”: todos los canales internos de la organización (por ejemplo, para acoso laboral, ético, etc.) deben gestionarse bajo la supervisión del Responsable del Sistema (RSII), asegurando el cumplimiento uniforme de garantías.
- Proactividad y efectividad: respuesta ágil (acuse de recibo en 7 días, resolución en máximo 3 meses), confianza y capacidad institucional para corregir irregularidades interna y preventivamente.
- Independencia funcional: el sistema debe ser autónomo aunque se compartan recursos técnicos. El responsable ha de ostentar independencia y autoridad.
- Transparencia: existencia y publicidad de una política o estrategia institucional para la defensa del informante, principios del SII y las garantías.
- Debido proceso: protocolo escrito y formal para la gestión, trazabilidad, garantía de separaciones de funciones y derechos de defensa y audiencia de los afectados.
- Protección frente a represalias: garantías internas que impidan cualquier medida adversa contra el informante y obligaciones expresas en el reglamento o política.
Procedimientos y sujetos responsables
El RSII (Responsable del Sistema Interno de Información) se erige como figura clave en el tratamiento confiable, imparcial e independiente. Puede ser un directivo o empleado con autonomía, o un órgano colegiado de hasta cinco personas, pero siempre con independencia real frente a los órganos de dirección. El nombramiento y cese del RSII debe notificarse a la AIPI o autoridad autonómica en 10 días hábiles, especificando causas en caso de destitución.
En grupos empresariales, aunque puede haber sistemas y responsables comunes, la responsabilidad jurídica es individual para cada sociedad. El sistema compartido será válido solo si cumple materialmente todos los requisitos de la ley española respecto a la autonomía de la filial española afectada.
Canal de Denuncias: diseño, funcionamiento y protección
El canal debe ser accesible, garantizar el anonimato, estar habilitado tanto para infracciones legales como, si así se decide, otras conductas (con la debida advertencia legal sobre el tipo de protección aplicable). Debe soportar documentación y registro seguro de todas las comunicaciones, así como informar expresamente al comunicante sobre tratamiento de datos, canales externos disponibles y derechos.
La documentación de las comunicaciones verbales será obligatoria, bien mediante grabación (con consentimiento), bien mediante transcripción (firma y rectificación incluida).
Obligaciones y procedimientos garantistas
El protocolo de gestión debe respetar la presunción de inocencia y el honor de personas afectadas, garantizar la confidencialidad, protección de datos (RGPD y LOPDGDD), imparcialidad, celeridad y diligencia. Entre las garantías clave se establece:
- Identificación de los canales y notificación de los canales externos disponibles.
- Acuse de recibo en 7 días (salvo riesgo para la confidencialidad).
- Resolución en máximo 3 meses, prorrogables excepcionalmente a 6 por complejidad.
- Trazabilidad y acceso seguro para el informante a información adicional y estado de tramitación.
- Derecho de audiencia de la persona afectada en el momento procesal idóneo.
- Remisión inmediata a Fiscalía cuando se detecten indicios de delito.
El registro de denuncias –obligatorio para todas las entidades– debe dejar constancia segura y confidencial de cada caso, preservando los derechos de todos los implicados.
Verificación y checklist para la implantación
La Recomendación concluye con una lista de verificación básica para la implementación del SII, subrayando fases esenciales como la consulta previa a representación sindical, la aprobación formal por el órgano de gobierno de la entidad, la designación y notificación del RSII, la configuración técnica del canal, la publicidad de la herramienta y la formación del personal.
Conclusión: hacia una nueva cultura de la integridad organizacional
La publicación de la Recomendación 1/2026 de la AIPI marca un antes y un después en la implementación práctica de los canales internos de denuncia en el ecosistema jurídico y empresarial español. Dotando de certeza técnica y jurídica a la aplicación de la Ley 2/2023, refuerza la protección del informante y la transparencia institucional, situando al SII como eje vertebrador de toda estrategia de cumplimiento normativo y prevención de la corrupción. La consolidación de estos estándares es el primer paso hacia la implantación efectiva de una cultura de la legalidad y la responsabilidad compartida, en beneficio de las organizaciones y de la sociedad en su conjunto.