🇪🇸 España · Ley 2/2023
Canal de denuncias para empresas españolas
En España, la Ley 2/2023 obliga a empresas con 50+ personas trabajadoras y a todas las entidades del sector público a disponer de un canal interno de denuncias. La autoridad externa es la AAI. Las sanciones administrativas alcanzan 1.000.000 € para personas jurídicas en casos muy graves.
| Ley | Ley 2/2023, de 20 de febrero |
| En vigor desde | 13 jun 2023 (250+); 1 dic 2023 (50-249) |
| Umbral | Privado 50+ empleados; público todos los tamaños |
| Autoridad | Autoridad Independiente de Protección del Informante (AAI) |
| Sanciones | Hasta 1.000.000 € (personas jurídicas, casos muy graves) |
| Empresas afectadas | ~36.000 empresas con 50+ empleados |
Qué exige la Ley 2/2023
- Establecer un canal interno de denuncias confidencial.
- Acuse de recibo en 7 días.
- Respuesta sustantiva al denunciante en 3 meses (prorrogables a 6).
- Designar a un responsable interno imparcial.
- Garantizar la confidencialidad de la identidad del denunciante y de terceros mencionados (art. 32).
- Proteger al denunciante frente a represalias (art. 37) con inversión de la carga de la prueba (art. 38).
- Negociar la implantación con la representación legal de las personas trabajadoras (art. 5(2)).
- Conservar los datos: hasta 10 años en casos con procedimiento penal; 3 años en casos cerrados.
Sanciones AAI con detalle
El art. 23 establece tres bandas de sanciones:
- Infracciones leves: hasta 1.000 € (personas físicas), hasta 10.000 € (entidades).
- Infracciones graves: 1.001 a 10.000 € (físicas), 10.001 a 100.000 € (entidades).
- Infracciones muy graves: 10.001 a 300.000 € (físicas), 100.001 a 1.000.000 € (entidades).
Las sanciones publicadas hasta 2026 han variado entre 40.000 € y 400.000 €. El techo de 1.000.000 € no se ha alcanzado todavía en un caso individual pero está reservado para casos acumulativos o de represalia agravada.
Cómo Confidly cumple con la Ley 2/2023
- Plantilla de intake específica para la Ley 2/2023: categorías, avisos y campos precumplimentados según la normativa española.
- Denuncias anónimas: código de caso emitido por servidor, PIN de 6 dígitos, sin correo ni IP.
- Intake de voz: línea telefónica UE, transcripción automática con verificación del denunciante.
- Interfaz traducida al español y al gallego, catalán, euskera y otros 23 idiomas. Traducción AI automática de denuncias entrantes para el administrador.
- Recordatorios automáticos de los plazos de 7 días y 3 meses, en el idioma del denunciante.
- Copilot AI (Pro): la IA resume las denuncias, clasifica la gravedad y redacta respuestas.
- Audit log inmutable, exportable para inspección AAI.
- Alojamiento exclusivamente UE, sin transferencias a terceros países.
- Plantilla de política en español, lista para negociación con representantes legales.
Precios para empresas españolas
Tres planes en euros, IVA en inversión del sujeto pasivo para B2B intra-UE. Elija por número de personas trabajadoras; el resto está incluido.
Preguntas frecuentes: Ley 2/2023
- ¿Qué empresas están obligadas por la Ley 2/2023?
- Empresas privadas con 50+ personas trabajadoras en los 12 meses anteriores y todas las entidades del sector público, con independencia de su tamaño (con excepciones para municipios de menos de 10.000 habitantes en algunas funciones). El umbral se calcula por persona jurídica.
- ¿Desde cuándo está en vigor la obligación de canal interno?
- Empresas privadas con 250+ empleados: desde el 13 de junio de 2023. Empresas privadas con 50-249 empleados: desde el 1 de diciembre de 2023. Entidades públicas obligadas desde el 13 de junio de 2023.
- ¿Cuál es la autoridad competente?
- La Autoridad Independiente de Protección del Informante (AAI), con sede en Madrid. La AAI recibe denuncias externas, supervisa los canales internos e impone sanciones administrativas. Trabaja en coordinación con la AEPD en cuestiones de protección de datos.
- ¿Cuáles son las sanciones más altas en la UE?
- Sí. España fija el techo de sanción administrativa más alto de la UE: hasta 1.000.000 € para personas jurídicas en casos muy graves (represalia, vulneración deliberada de confidencialidad, obstrucción sistémica). Las sanciones publicadas en 2024-2025 oscilan entre 40.000 y 400.000 €.
- ¿Se admiten denuncias anónimas?
- Sí. La Ley 2/2023 exige que los canales internos acepten denuncias anónimas. La AAI también acepta denuncias anónimas en su canal externo. La protección frente a represalias se activa cuando el denunciante anónimo es identificado posteriormente.
- ¿Hay que negociar con la representación de las personas trabajadoras?
- Sí. El art. 5(2) de la Ley 2/2023 obliga a negociar el procedimiento interno con la representación legal de las personas trabajadoras (art. 64 ET). La AAI considera la falta de negociación una deficiencia, citada en aproximadamente el 20% de las inspecciones.
- ¿Cuánto tiempo se conservan los datos?
- 10 años si la denuncia da lugar a procedimientos penales; 3 años en casos cerrados sin actuación adicional. El registro de auditoría se conserva 7 años para demostrar la conformidad con el art. 18 de la Directiva.