El canal interno de información debe proteger simultáneamente a informantes, personas afectadas y terceros. La Ley 2/2023 aporta la base y reglas específicas, pero no convierte el sistema en un archivo ilimitado. La empresa debe limitar accesos, separar recepción e investigación, informar sin revelar la identidad del informante, controlar plazos y documentar cada cesión.
Sistema interno, canal y expediente
La Ley 2/2023 distingue el sistema interno de información, el canal de recepción y el procedimiento de gestión. Desde la perspectiva de privacidad conviene separar cada pieza:
- Buzón/canal: recibe la comunicación.
- Registro restringido: conserva metadatos y estado.
- Investigación: expediente con acceso por necesidad.
- Medidas posteriores: disciplinarias, legales o de mejora.
- Evidencias bloqueadas: cuando proceda por responsabilidades.
No todo lo recibido debe circular por el expediente ni conservarse con el mismo plazo.
Responsable y gobierno
La entidad obligada suele ser responsable del tratamiento. El órgano de administración implanta el sistema y designa a la persona responsable del sistema en los términos de la Ley.
Deben definirse con claridad los siguientes roles:
| Función | Responsabilidad |
|---|---|
| Órgano de gobierno | Política, recursos e independencia |
| Responsable del sistema | Gestión diligente y acceso controlado |
| Instructor | Investigación del caso asignado |
| DPO | Asesoramiento y supervisión independiente |
| IT/seguridad | Plataforma, accesos e incidentes |
| Proveedor | Operación por cuenta de la entidad si es encargado |
El DPO no debe ser automáticamente instructor de todos los casos: podría comprometer su independencia o su capacidad.
Base jurídica y datos sensibles
El artículo 30 de la Ley 2/2023 regula el tratamiento de datos personales en el sistema interno de información. Según el sujeto obligado y el contexto, la base jurídica se vincula al cumplimiento de una obligación legal o al interés público. No debe presentarse el consentimiento como fundamento de un canal de carácter obligatorio.
Las comunicaciones pueden contener datos de salud, afiliación sindical, orientación, datos penales o información íntima. Debe evitarse solicitar categorías de datos innecesarias y aplicar una protección reforzada a las que resulten inevitables.
Los datos que manifiestamente no sean pertinentes para tramitar una información no deben conservarse. Si llegan por iniciativa del informante, se evalúan y se eliminan cuando no sean necesarios.
Información y transparencia
La política del canal debe explicar, como mínimo:
- Identidad del responsable.
- Finalidades y base jurídica.
- Personas que pueden informar.
- Canales interno y externo disponibles.
- Confidencialidad y anonimato.
- Destinatarios y proveedores.
- Plazos de conservación.
- Derechos y sus límites.
- Contacto del DPO.
- Protección frente a represalias.
La información debe ser clara y accesible. No debe prometerse un anonimato absoluto si la configuración técnica o la investigación no pueden sostenerlo.
Confidencialidad de la identidad
El acceso a la identidad del informante se limita a las personas autorizadas. No se comunica a la persona afectada como parte del derecho de acceso. Cualquier revelación legalmente necesaria debe restringirse al mínimo imprescindible y documentarse.
Las notificaciones, los calendarios y los nombres de los archivos pueden revelar indirectamente la identidad. La confidencialidad debe abarcar también los metadatos, la voz, el estilo de redacción, el puesto y el contexto.
Accesos mínimos
- Cuentas individuales y autenticación multifactor (MFA).
- Perfiles separados entre administración e investigación.
- Prohibición de cuentas compartidas.
- Logs de lectura, descarga y cambio.
- Acceso temporal por caso.
- Revisión trimestral de permisos.
- Cifrado y copias restringidas.
- Baja inmediata al finalizar la necesidad de acceso.
La dirección no debe tener acceso general por jerarquía. Solo deben acceder las personas previstas por la ley y por el procedimiento, según necesidad.
Recepción y acuse
El canal debe permitir comunicaciones escritas o verbales en los términos aplicables. Si se graba una comunicación, debe informarse previamente y protegerse el registro. También puede documentarse mediante transcripción completa y exacta, ofreciendo a la persona informante la posibilidad de comprobarla, rectificarla y aceptarla según prevé la Ley.
El acuse de recibo y las comunicaciones posteriores no deben exponerse por correo ordinario. Debe utilizarse un buzón seguro o un identificador de caso.
Admisión e investigación
La evaluación inicial determina el ámbito, la pertinencia, los posibles conflictos, la urgencia y las medidas de protección necesarias. Si se inadmite la comunicación, se conserva solo la evidencia necesaria de la decisión durante el plazo procedente.
Durante la investigación:
- Se define el objeto de la investigación.
- Se limita la información a los hechos relevantes.
- Se preserva la presunción de inocencia.
- Se protege el derecho de defensa.
- Se evita la difusión interna del caso.
- Se registra la fuente y la cadena de custodia.
- Se controla la copia y la descarga de documentación.
La persona investigada recibe información en el momento y en la forma que no frustren la investigación, respetando la Ley y sus derechos.
Conservación
La Ley establece reglas específicas para los datos del sistema. La información puede mantenerse en el canal solo durante el tiempo imprescindible para decidir si se inicia una investigación, con el límite legal aplicable; después debe suprimirse del canal, sin que ello impida conservarla en el expediente de investigación cuando sea necesaria.
El régimen de conservación debe diferenciar, al menos:
- Comunicaciones no admitidas.
- Comunicaciones admitidas y trasladadas.
- Evidencias de funcionamiento del sistema.
- Investigaciones.
- Medidas disciplinarias o judiciales.
- Datos bloqueados.
No se aplica un plazo único ni una conservación indefinida. Antes de publicar cifras concretas conviene verificar el artículo vigente y el procedimiento interno.
Derechos
El derecho de acceso no permite conocer la identidad del informante. Los derechos de rectificación o supresión pueden limitarse por obligaciones legales, por necesidades de la investigación o por defensa. Cada solicitud debe analizarse y responderse de forma motivada.
La plataforma debe permitir localizar los datos afectados sin entregar el expediente completo de terceros.
Proveedores
Si una plataforma opera por cuenta de la empresa, necesita un contrato conforme al artículo 28 del RGPD. Deben revisarse, entre otros aspectos:
- Alojamiento y soporte.
- Subencargados.
- Cifrado y gestión de claves.
- Logs y administradores.
- Anonimato técnico.
- Exportación de datos.
- Borrado y devolución al finalizar el contrato.
- Gestión de incidentes.
- Transferencia internacional de datos.
La plataforma no sustituye al procedimiento ni a la persona responsable del sistema.
Grupos de empresas
La Ley permite determinadas fórmulas compartidas, pero cada entidad del grupo debe definir su propia responsabilidad, acceso y tratamiento. Un canal de grupo no justifica que la matriz acceda de forma indiscriminada a los casos de sus filiales.
Deben existir reglas claras de asignación de casos, gestión de conflictos, transferencias internas y uso de equipos comunes.
Seguridad e incidentes
Entre las amenazas habituales destacan:
- Acceso indebido de la persona denunciada.
- Notificaciones que revelan la identidad del informante.
- Descarga local de información sin cifrar.
- Proveedores con administradores con permisos excesivos.
- Enlaces de seguimiento predecibles.
- Grabaciones sin control adecuado.
- Ransomware o borrado malicioso.
El plan de gestión de brechas debe considerar el riesgo especial de represalias. Debe preservar la evidencia, revocar accesos, evaluar a las personas afectadas y decidir sobre la notificación.
Plan de implantación
1. Gobierno
Política, responsable del sistema, DPO, gestión de conflictos y recursos.
2. Diseño
Canales, accesos, anonimato, procedimiento, conservación y derechos.
3. Proveedor
Due diligence, contrato y configuración segura.
4. Pruebas
Comunicación anónima, gestión de conflictos, control de accesos, investigación, cierre, exportación y borrado.
5. Operación
Formación, métricas, auditoría y revisión periódica.
Métricas prudentes
- Tiempos de acuse y de tramitación.
- Casos por estado.
- Accesos no justificados.
- Conflictos reasignados.
- Datos no pertinentes eliminados.
- Incidentes de seguridad.
- Medidas adoptadas y mejoras aplicadas.
No deben publicarse estadísticas que permitan la reidentificación en organizaciones pequeñas.
Errores frecuentes
- Usar un correo compartido.
- Dar acceso a toda la dirección.
- Pedir consentimiento como base del canal.
- Prometer un anonimato que no está garantizado.
- Conservar todo en el buzón sin depurar.
- Revelar la identidad por metadatos.
- Confundir el canal con el expediente.
- Contratar una plataforma sin procedimiento.
- No gestionar los conflictos de interés.
- Ignorar los derechos de la persona afectada.
Checklist
- Responsable y roles definidos.
- Política y procedimiento aprobados.
- Información clara y accesible.
- Confidencialidad y anonimato probados.
- Accesos mínimos con logs.
- Canal separado del expediente.
- Conservación por categoría.
- Derechos gestionados sin revelar al informante.
- Proveedor y subencargados evaluados.
- Brechas, conflictos y continuidad ensayados.
Preguntas frecuentes
¿Puede ser anónimo?
Sí, el sistema debe permitir comunicaciones anónimas en los términos de la Ley. La plataforma y el procedimiento deben protegerlo técnicamente.
¿Puede conocer la identidad la persona denunciada?
El derecho de acceso no incluye revelar la identidad del informante.
¿Cuánto se conserva la información?
Depende de la fase y la finalidad. El canal y la investigación deben separarse y aplicarse los límites específicos que marcan la Ley y las responsabilidades del caso.
¿Puede gestionarlo un tercero?
Sí, con contrato, garantías y sin que ello desplace la responsabilidad de la entidad.
Fuentes oficiales consultadas
- Ley 2/2023.
- AEPD: informe jurídico 0054/2023.
- AEPD: procedimiento de gestión de informaciones.
- RGPD.
Summum Consultoría puede revisar el gobierno, la privacidad, el proveedor y el procedimiento del canal sin asumir decisiones reservadas a la persona responsable del sistema.