🇪🇸 Spain compliance
Canal de denuncias para España
En España, la Ley 2/2023 de protección informantes transpone la Directiva UE 2019/1937 y obliga a las empresas con 50+ empleados a habilitar un canal interno de información confidencial. Las denuncias deben acusarse en un plazo de 7 días y recibir respuesta motivada en 3 meses. Las sanciones administrativas por incumplimiento pueden alcanzar €1,000,000.
Confidly is a GDPR-compliant whistleblowing channel built for companies in Spain (España) operating under Ley 2/2023 de protección informantes (Ley 2/2023). The intake form is auto-configured with the categories and disclosures Ley 2/2023 requires. Reporters can attach audio or video oral statements to a web submission; a native phone-hotline or voicemail channel is on roadmap. The mandatory 7-day acknowledgement and 3-month feedback updates are automated. Set up in 15 minutes. Hosted in the EU. Used by compliance teams from 50 to 5,000 employees.
| Law | Ley 2/2023 de protección informantes |
| In force since | 13 March 2023 |
| Who must comply | 50+ employees |
| Enforcement | Autoridad Independiente de Protección al Informante |
| Max fine | €1,000,000 |
| Companies affected | ~30,000 companies with 50+ employees |
What Ley 2/2023 requires you to do
Ley 2/2023 de protección informantes transposes the EU Whistleblower Directive 2019/1937 into Spain national law. The core obligations for companies above the threshold (50+ employees):
- Maintain a confidential internal reporting channel
- Acknowledge every report within 7 days
- Provide feedback to the reporter within 3 months
- Designate a person or unit to handle reports
- Protect the reporter from retaliation
- Keep records for the case duration + the audit window
In Spain, enforcement sits with Autoridad Independiente de Protección al Informante. Maximum fines for non-compliance reach €1,000,000.
Estimate your exposure under Ley 2/2023 with the fines calculator.
How Confidly covers Ley 2/2023
- Country-specific intake template for Ley 2/2023: the form is auto-configured with the categories, disclosures and fields the Spain transposition requires. No manual setup per channel.
- Anonymous intake available where Spain law permits. Reporters get a server-issued case code and their own 6-digit secret. No email, no IP, no identifier stored.
- Oral-statement attachments on every plan: reporters upload audio or video oral statements directly into the web form, with EXIF/metadata stripping. A staffed phone hotline or AI-transcribed voicemail channel is on roadmap, in support of the oral-reporting requirement that Ley 2/2023 carries from EU Directive 2019/1937 Art. 16.
- Form pre-translated into ES, EN. AI translates incoming reports to your working language on the admin side.
- Auto reporter status updates at 7 days (acknowledgement) and 3 months (status), in the reporter's language. Ley 2/2023 feedback obligation satisfied by default.
- AI investigation copilot (Pro): AI summarises, classifies severity, drafts neutral replies, and clusters multi-reporter patterns to surface systemic issues.
- Append-only audit log required for Autoridad Independiente de Protección al Informante audits. Every action recorded with actor, timestamp and metadata.
- EU data residency: all data stored in EU data centres. Per-channel residency on Enterprise (data for Spain entities stays in Spain). No third-country transfers.
- Native HRIS sync (Pro): Personio, BambooHR. Auto-revoke channel access on offboarding; flag when a named-in-report person leaves the company.
What does Confidly cost in Spain?
Three plans, EUR-priced (VAT reverse-charged for EU B2B). Pick a tier by company size; everything else is included.
Frequently asked questions: Ley 2/2023
- ¿Qué Ley regula el canal de denuncias?
- En Spain, el canal de denuncias está regulado por la Ley 2/2023 de protección informantes (Ley 2/2023), que transpone al ordenamiento jurídico español la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. La Ley entró en vigor el 13 de marzo de 2023 y obliga a las entidades con 50+ empleados a habilitar un sistema interno de información. Autoridad Independiente de Protección al Informante es la autoridad competente para supervisar el cumplimiento e imponer sanciones que pueden alcanzar €1,000,000.
- ¿Qué garantiza la Ley 2 de 2023 a las personas denunciantes?
- La Ley 2/2023 garantiza a las personas denunciantes (informantes) cinco protecciones clave: (1) confidencialidad sobre su identidad y sobre cualquier tercero mencionado en la denuncia; (2) prohibición expresa de represalias (despido, sanciones disciplinarias, traslado forzoso, denegación de promoción, evaluaciones negativas, etc.); (3) inversión de la carga de la prueba: corresponde al empleador demostrar que cualquier medida adversa no es represalia; (4) acuse de recibo en 7 días y respuesta motivada en 3 meses; (5) medidas de apoyo (asesoramiento jurídico gratuito y, en su caso, asistencia psicológica y financiera) a través de Autoridad Independiente de Protección al Informante. La protección alcanza también a familiares y compañeros del denunciante que sufran represalias por asociación.
- ¿Cuándo es obligatorio tener un canal de denuncias?
- Yes. For companies with 50+ employees in Spain, an internal whistleblowing channel is legally mandatory under Ley 2/2023 de protección informantes (Ley 2/2023). The law has been in force long enough that Autoridad Independiente de Protección al Informante now actively investigates non-compliance, with maximum administrative fines of €1,000,000.
- ¿Es obligatorio el canal de denuncias en España?
- Sí. Desde la entrada en vigor de la Ley 2/2023 de protección informantes (Ley 2/2023), las empresas con 50+ empleados están obligadas a habilitar un canal interno de información confidencial. Autoridad Independiente de Protección al Informante supervisa el cumplimiento e impone sanciones administrativas que pueden alcanzar €1,000,000 por la ausencia de canal o por represalias contra el informante. Confidly cumple los requisitos de la Ley 2/2023: confidencialidad, anonimato, acuse en 7 días y respuesta motivada en 3 meses.
- ¿Qué garantías da el Canal de denuncias?
- El canal de denuncias regulado por la Ley 2/2023 garantiza: confidencialidad de la identidad del informante y de los terceros mencionados; posibilidad de denuncia anónima cuando la organización lo permita; acuse de recibo en un máximo de 7 días; respuesta motivada al informante en un plazo máximo de 3 meses; conservación de la información durante el plazo necesario; y registro de todas las actuaciones en un libro-registro accesible solo al responsable del sistema. Confidly implementa los seis requisitos por defecto y los acredita mediante el registro de auditoría exigible por Autoridad Independiente de Protección al Informante.
- Is a whistleblowing channel mandatory in Spain?
- Yes. Ley 2/2023 de protección informantes (Ley 2/2023), the Spain transposition of EU Directive 2019/1937, requires companies with 50+ employees to operate a confidential internal whistleblowing channel. The law has been in force since 13 March 2023.
- What are the fines for non-compliance with Ley 2/2023?
- Maximum administrative fines under Ley 2/2023 reach €1,000,000. Enforcement is carried out by Autoridad Independiente de Protección al Informante. Fines apply both for failing to establish a channel and for retaliation against reporters.
- Does Ley 2/2023 require anonymous reporting?
- Ley 2/2023 permits anonymous reporting where Spain national law allows. Confidly's reporter UI issues a server-side case code and reporter-only secret (no email, IP address, or browser identifier is stored), so reporters can submit and follow up entirely anonymously.