Ley 2/2023: obligaciones para empresas

¿Qué es la Ley 2/2023?

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone al derecho español la Directiva (UE) 2019/1937. Entró en vigor el 13 de marzo de 2023 y establece la obligación de disponer de canales internos de información, fija los plazos de tramitación y protege al informante frente a cualquier tipo de represalia.

La ley crea también la Autoridad Independiente de Protección del Informante (AIPI), organismo que gestiona el canal externo y supervisa el cumplimiento del sistema por parte de las organizaciones obligadas. El portal externo de la AIPI es accesible en proteccioninformante.gob.es.

Empresas obligadas

El art. 10 delimita el ámbito subjetivo de obligación. Están obligadas:

• Empresas del sector privado con 50 o más trabajadores. El cómputo se realiza sobre la plantilla media del año natural anterior. Los grupos de empresas pueden compartir un canal único.
• Empresas de cualquier tamaño del sector financiero, asegurador, de servicios de inversión y sujetos obligados por la Ley 10/2010 de prevención del blanqueo de capitales, independientemente de su número de empleados.
• Sector público en su totalidad: Administración General del Estado, Comunidades Autónomas, Entidades Locales, organismos autónomos, universidades públicas, sociedades mercantiles públicas, partidos políticos, sindicatos y fundaciones con financiación pública.

Los municipios de menos de 10.000 habitantes pueden articular su canal de forma mancomunada con otros municipios o a través de la Diputación Provincial.

Personas físicas obligadas

La obligación no recae solo en personas jurídicas. Están obligadas como personas físicas todos los sujetos obligados de la Ley 10/2010 que operen de forma unipersonal, entre otros:

• Corredores de seguros y reaseguros unipersonales (persona física que ejerce la mediación por cuenta propia, sin sociedad interpuesta).
• Agentes de seguros exclusivos y vinculados que actúen como personas físicas, incluidos los operadores de banca-seguros unipersonales.
• Mediadores de seguros que operen individualmente y estén inscritos en el registro de la DGSFP.
• Otros sujetos obligados por la Ley 10/2010 que actúen como personas físicas: asesores financieros no vinculados (EAF unipersonales), gestores de activos individuales, y quienes presten servicios de inversión sin forma societaria.

La ausencia de forma jurídica no exime de la obligación: el canal debe existir, ser accesible para las personas vinculadas a la actividad y cumplir los mismos requisitos técnicos y organizativos que para cualquier empresa obligada. La AIPI aplica el mismo régimen sancionador independientemente de si el obligado es persona física o jurídica.

Plazos de cumplimiento y tramitación

La Ley 2/2023 establece dos tipos de plazos: los de implantación del sistema y los de tramitación de cada expediente.

• Plazo de implantación (ya vencido): las empresas de 250 o más trabajadores debían tener el canal operativo antes del 13 de junio de 2023. Las empresas de 50 a 249 trabajadores tuvieron de plazo hasta el 1 de diciembre de 2023.
• Acuse de recibo: 7 días naturales desde la recepción de la comunicación (art. 17).
• Plazo máximo de resolución: 3 meses desde el acuse de recibo, ampliable a 6 meses en casos de especial complejidad (art. 17). El incumplimiento de los plazos puede constituir infracción grave.

El Responsable del Sistema de Información Interna (RSII)

El art. 8 obliga a designar una persona física como Responsable del Sistema de Información Interna (RSII). Es la figura central del canal:

• Recibe, tramita e investiga las comunicaciones, o supervisa la tramitación si está externalizada.
• Actúa con plena independencia, sin recibir instrucciones sobre casos concretos de ningún órgano de la empresa.
• Puede ser una persona de la empresa (p. ej., el Compliance Officer) o un tercero externo.
• Su designación debe comunicarse a la plantilla y reflejarse en la política interna del canal.

En el modelo externalizado de Snich, el RSII es designado por la empresa cliente y accede a un panel propio donde revisa el estado de los expedientes y aprueba las resoluciones propuestas por el equipo de Snich.

Obligaciones de confidencialidad

El art. 32 establece obligaciones estrictas de confidencialidad:

• La identidad del informante no puede revelarse sin su consentimiento expreso, salvo que sea imprescindible para el ejercicio de la acción penal.
• Los datos del informante y de los terceros mencionados solo pueden ser tratados por las personas autorizadas que los necesiten para la investigación.
• El plazo máximo de conservación de los datos es de 10 años desde la recepción de la comunicación.
• Las comunicaciones y los datos tratados están sujetos al RGPD y a la LOPDGDD.

Libro-registro (art. 26)

Toda organización obligada debe mantener un libro-registro de las informaciones recibidas. Este registro debe contener, para cada expediente:

• Número de identificación y fecha de recepción.
• Canal de recepción (escrito, verbal, presencial).
• Resumen objetivo de los hechos comunicados, sin datos identificativos del informante.
• Estado de la tramitación y resolución adoptada.
• Actuaciones de investigación realizadas.

El libro-registro debe estar disponible para su revisión por la AIPI en caso de inspección. Snich genera automáticamente el libro-registro exportable en formato PDF y CSV conforme al art. 26.

Sanciones por incumplimiento

El régimen sancionador (arts. 63–71) distingue infracciones muy graves, graves y leves. Las sanciones más relevantes para empresas:

• No disponer de canal de denuncias (obligación incumplida): infracción muy grave, multa de hasta 1.000.000 € para personas jurídicas.
• Represalias contra el informante: infracción muy grave, multa de hasta 1.000.000 €.
• Incumplimiento de plazos o del libro-registro: infracción grave, multa de hasta 300.000 €.

Consulta el desglose completo en Sanciones Ley 2/2023: guía completa.

Cómo cumplir: opciones para las empresas

Existen tres vías principales de cumplimiento:

• Canal interno gestionado por la propia empresa. La empresa designa al RSII, habilita un buzón (email, formulario o teléfono), investiga internamente y mantiene el libro-registro. Requiere recursos jurídicos propios y puede generar desconfianza en los informantes.
• Canal externalizado a un tercero especializado. La empresa contrata a un proveedor como Snich que recibe, investiga y propone la resolución. El RSII designado por la empresa aprueba el resultado. La externalización está expresamente permitida por el art. 6 y garantiza independencia real.
• Canal tecnológico autogestionado. La empresa usa la plataforma tecnológica de un proveedor pero gestiona las investigaciones con su propio equipo interno. Válido para empresas con departamentos de compliance o auditoría interna robustos.

Consulta los planes de Snich para encontrar la modalidad que mejor se adapta a tu empresa.