Protocolo de gestión de denuncias internas: pasos legales y plantilla 2026
La Ley 2/2023, que traspone la Directiva de Protección de Denunciantes (Whistleblowing), ha hecho obligatorio para muchas empresas contar con un protocolo de gestión de denuncias internas y un canal ético. Pero tener el canal no basta: necesitas un procedimiento documentado que garantice confidencialidad, plazos y respuesta al denunciante. En este artículo te explico los pasos legales para crear ese protocolo y te ofrezco una plantilla actualizada a 2026.
En Audidat somos colaboradores oficiales del canal ético de Valencia y te ayudamos a cumplir la ley. Solicita tu Diagnóstico Express gratuito de 45 minutos y, si decides contratar, el inicio en menos de 48h hábiles desde firma de contrato.
¿Qué empresas están obligadas a tener protocolo de gestión de denuncias?
La Ley 2/2023 obliga desde 2023 a empresas con 50+ empleados. Desde diciembre de 2024, también a las de 10 a 49 empleados (con plazos simplificados). Además, si tu facturación anual supera los 10M€ o eres partido político, sindicato, etc., estás obligada sin umbral. El protocolo debe ser parte del Sistema Interno de Información.
Contenido mínimo del protocolo según la ley
El artículo 10 de la Ley 2/2023 exige que el protocolo (o política de gestión de denuncias) incluya:
- Procedimiento para presentar denuncias internas (por escrito, verbal, presencial).
- Plazos máximos de acuse de recibo: 7 días naturales.
- Plazo máximo de resolución: 3 meses desde la recepción.
- Medidas de confidencialidad: prohibición de desvelar la identidad del denunciante.
- Prohibición de represalias y protección frente a ellas.
- Responsable del Sistema (Persona Responsable del Canal).
- Derecho a denunciar externamente ante la Autoridad Independiente.
Pasos legales para implantar el protocolo (HowTo)
Sigue estos pasos para tener un protocolo completo y legalmente válido.
Paso 1: Designar al Responsable del Sistema
Nombra a una persona física (no basta un buzón sin responsable). Debe ser imparcial y tener formación en protección de datos y cumplimiento normativo. Puede ser interno o externo (como Audidat). La designación debe ser por escrito.
Paso 2: Redactar el protocolo siguiendo la plantilla oficial
Elabora un documento con las secciones obligatorias: objeto, ámbito, definiciones, procedimiento paso a paso (cómo denunciar, plazos, investigación), medidas de confidencialidad, no represalias, tratamiento de datos personales, y archivo de denuncias (plazo de 3 meses después de finalizar instrucción).
Paso 3: Aprobar el protocolo por la dirección
El órgano de administración (Consejo de Administración, administrador único) debe aprobar formalmente el protocolo y el canal. Se levantará acta o documento equivalente.
Paso 4: Comunicar e implantar el canal y protocolo entre la plantilla
Informa a todos los empleados mediante circular, email, intranet. Forma a los mandos intermedios en cómo reaccionar ante una denuncia (no tomar represalias, derivar al responsable).
Paso 5: Configurar el canal ético técnicamente
El canal debe permitir denuncias anónimas y por escrito/verbal. Debe estar alojado en servidores seguros, con cifrado y acceso restringido al responsable. Si usas software HR (Lucca, Factorial), verifica que cumple los requisitos.
Paso 6: Establecer procedimiento de investigación
Crea un flujo cerrado: recepción → acuse recibo (7 días) → investigación confidencial (máx 3 meses) → medidas de subsanación → comunicación al denunciante → archivo. Documenta cada fase.
Paso 7: Revisión y mejora anual
Revisa el protocolo cada año, analizando denuncias recibidas, tiempos de respuesta y posibles mejoras. Adáptalo a cambios legales (por ejemplo, modificaciones de la Ley 2/2023 previstas para 2026).
¿Necesitas una plantilla actualizada a 2026? En nuestro servicio de canal ético incluimos el protocolo personalizado para tu empresa, con revisión legal incluida.
Preguntas frecuentes sobre el protocolo de denuncias internas
¿Cuánto tiempo tengo para contestar al denunciante?
La ley exige acuse de recibo en 7 días naturales y resolución provisional o final en 3 meses desde la recepción. Si se necesita más tiempo por complejidad, se informa al denunciante dentro de esos 3 meses.
¿Puedo externalizar la gestión del protocolo y el canal?
Sí, es muy recomendable. El responsable puede ser una persona externa (abogado, consultora). Nosotros en Audidat actuamos como Responsable Externo del Canal, garantizando independencia y confidencialidad.
¿Qué pasa si no tengo protocolo pero tengo canal ético?
Incumples la ley. El canal es un medio, pero el protocolo es el procedimiento que lo regula. Sin protocolo, el canal no es legalmente válido y puedes ser sancionado.
¿Las denuncias anónimas obligan a investigar?
Sí, si los hechos denunciados son verosímiles y tienen fundamento. La ley no distingue entre denuncias nominativas y anónimas en cuanto a la obligación de investigar.
¿Qué sanción hay por no tener protocolo de gestión de denuncias?
Infracción grave, multa de 30.001€ a 300.000€ para empresas de 50+ empleados. Para empresas de 10-49 empleados, el importe se reduce pero puede llegar a 60.000€. Además, posibles sanciones de la AEPD por violación de datos.
¿Necesito registar el protocolo en algún sitio?
No es necesario registrarlo oficialmente, pero debe estar a disposición de la Autoridad Independiente de Protección del Denunciante (A.A.I.) y de los empleados. Guarda copia firmada y evidencia de comunicación a la plantilla.