Introducción
La Recomendación 1/2026 de la Autoridad de Protección al Informante para el diseño e implementación de un Sistema Interno de Información
La Autoridad Independiente de Protección al informante (A.I.P.I) es un organismo público creado por la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, Ley 2/2023), que entró en funcionamiento en septiembre de 2025.
La puesta en marcha de la A.I.P.I ha suscitado una serie de dudas interpretativas acerca del diseño e implementación del Sistema Interno de Información.
Es por ello que, en base a la facultad conferida por el artículo 51 de la Ley 2/2023, la A.I.P.I ha publicado las siguientes tres recomendaciones (Circulares, Recomendaciones y guías):
La publicación de la Recomendación 1/2026 responde a la necesidad de unificar criterios, con el objetivo de reforzar la correcta implantación y funcionamiento de los Sistemas Internos de Información, todo ello en consonancia con la Ley 2/2023.
En este contexto, nos centraremos en el análisis de la Recomendación 1/2026, dictada por la Autoridad Independiente de Protección del Informante, relativa al diseño e implementación de los Sistemas Internos de Información. Debe señalarse que esta recomendación tiene carácter no vinculante; no obstante, resulta de especial relevancia tenerla en cuenta de cara a posibles actuaciones inspectoras sobre los sistemas internos, ya que refleja el criterio interpretativo que la AIPI mantiene respecto de la aplicación de la citada Ley.
Estas preguntas y respuestas pueden ayudarte a revisar los puntos clave, identificar posibles mejoras y asegurarte de que el sistema protege al informante, cumple con la ley y funciona correctamente en la práctica.
¿Quién decide implantar el Sistema Interno de Información?
Aunque la Ley ya establecía que antes de la implantación debe informarse a la representación legal de los trabajadores o a los sindicatos, la Recomendación recuerda que la decisión final corresponde al órgano de gobierno de la entidad, aunque se deba consultar previamente con sindicatos y/o representación legal de los trabajadores.
¿Qué tipo de infracciones debe permitir comunicar el sistema?
El sistema interno debe permitir la comunicación de todas las infracciones previstas en la Ley 2/2023, es decir: Delitos penales, Infracciones administrativas graves y muy graves, Infracciones del Derecho de la Unión Europea.
Además, y este punto es especialmente relevante en la práctica, el sistema puede habilitarse también para recibir otro tipo de informaciones, como por ejemplo infracciones del código de conducta, siempre al amparo del artículo 7.4 de la Ley.
Esto resuelve una duda habitual de muchas entidades sobre el uso del canal para este tipo de comunicaciones.
¿Quiénes pueden utilizar el Sistema Interno de Información?
El catálogo de personas legitimadas se amplía notablemente. Podrán utilizar el sistema, entre otros –y añade autónomos y profesionales independientes–:
¿Cómo pueden presentarse las comunicaciones?
Las comunicaciones podrán presentarse:
Se recomienda que se soporte ambos métodos de entrada.
La Recomendación deja muy abierta la forma de presentación, siempre que se respeten las garantías legales.
¿Es válido un correo electrónico como buzón de denuncias?
No. La Recomendación es tajante en este punto.
El sistema no puede consistir en un simple correo electrónico, sino que debe operar mediante:
La confidencialidad se extiende no solo a la identidad del informante, sino también al contenido de las comunicaciones y a cualquier dato que pueda permitir inferirla, previniendo activamente usos indebidos o represalias.
¿Deben integrarse los distintos canales internos de información?
Sí. La entidad debe integrar todos los canales internos de información.
La Recomendación subraya especialmente la importancia de unificar los buzones de los protocolos de acoso laboral y/o sexual, estableciendo claramente que el buzón debe ser el mismo.
¿Qué implica el principio de unificación y gestión centralizada?
Si la entidad dispone de múltiples buzones o canales sectoriales (por ejemplo, acoso laboral, sexual, etc.) que reciban comunicaciones del artículo 2 de la Ley 2/2023, todos deben converger bajo la supervisión del Responsable del Sistema Interno de Información (RSII).
El objetivo es ofrecer una “ventana única” de recepción, garantizando una aplicación uniforme de:
¿Qué exige la Recomendación en materia de transparencia y divulgación?
La entidad debe contar con una política o estrategia que enuncie los principios generales en materia de Sistemas Internos de Información y de protección del informante, y que dicha política debe ser debidamente publicitada dentro de la organización.
Esto supone la necesidad de aprobar un documento formal y específico que recoja, al menos:
Esta política debe ser fácilmente accesible y correctamente difundida, de forma que todas las personas con una relación laboral o profesional con la entidad conozcan:
¿Es obligatorio contar con un procedimiento de gestión de las informaciones?
Sí. La Recomendación exige expresamente contar con un procedimiento formal de gestión de las informaciones recibidas, que garantice el debido proceso en todas las fases. La entidad debe disponer de un protocolo de actuación escrito, que regule de manera clara:
Este procedimiento debe asegurar en todo momento:
Asimismo, debe evitarse cualquier retraso injustificado o uso indebido del sistema, reforzando así la credibilidad y eficacia del canal interno.
¿Qué exige la Recomendación en materia de protección frente a represalias?
La Recomendación 1/2026 establece la obligación de prever expresamente garantías de protección para las personas informantes, dentro del ámbito de la propia entidad u organismo, respetando en todo caso lo dispuesto en el artículo 9 de la Ley 2/2023.
¿Puede externalizarse la gestión del Sistema Interno de Información?
Sí. La Recomendación recuerda que la gestión del Sistema Interno de Información puede externalizarse a un tercero, en los términos previstos en el artículo 6 de la Ley 2/2023.
¿Puede un grupo de empresas contar con un único Sistema Interno de Información?
Sí permite que el grupo disponga de un único Sistema Interno de Información común, siempre que las sociedades que lo integran se adhieran voluntariamente y se respeten dos límites esenciales:
La autonomía e independencia de cada sociedad, subgrupo o entidad integrante, conforme a su sistema de gobierno corporativo.
La adaptación del sistema a la normativa específica aplicable en cada caso.
En este marco, corresponde a la sociedad dominante aprobar una política general en materia de Sistema Interno de Información y protección del informante, y velar por la aplicación de sus principios en todas las entidades del grupo, sin que ello transforme al grupo en un único sujeto obligado ni altere el carácter individual de la obligación legal.
¿Quién puede ser Responsable del Sistema Interno de Información (RSII)?
El Responsable del Sistema puede ser una persona física o un órgano colegiado, tanto en el sector privado como en el público, siempre que se garantice su independencia y ausencia de conflictos de interés.
En el sector privado, puede ser:
- Un directivo de la entidad
- La adecuada separación de funciones
- Excepcionalmente, puede compatibilizar el cargo con otras funciones si la dimensión de la entidad lo justifica y no existen conflictos de interés
- En el sector público, debe designarse preferentemente entre empleados públicos, evitando cargos electos o responsables políticos, para preservar la neutralidad del sistema
El RSII también puede configurarse como un órgano colegiado, que:
En todos los casos, el RSII debe actuar con plena independencia del órgano de administración o gobierno.
Tanto el nombramiento como el cese del RSII deben ser notificados a la Autoridad Independiente de Protección del Informante (A.A.I.) o, en su caso, a las autoridades u órganos competentes de las Comunidades Autónomas, en el plazo de diez días hábiles, especificando, en el caso del cese, las razones que han justificado el mismo.
No obstante, lo anterior, la Disposición Transitoria Única. 4, del Estatuto de la Autoridad Independiente de Protección del Informante, A.A.I., aprobado por Real Decreto 1101/2024, de 29 de octubre, establece un plazo de dos meses para comunicar el nombramiento del Responsable del Sistema interno de información.
A estos efectos, dicho plazo comenzará a computarse desde el momento en que se publique en el portal web de la AIPI (www.proteccioninformante.gob.es
) el formulario específico de notificación del responsable del canal interno.
¿Debe informarse también sobre los canales externos de denuncia?
Sí. La entidad debe proporcionar información clara, accesible y fácilmente comprensible sobre la existencia de los canales externos de información ante las Autoridades Competentes, como la Autoridad Independiente de Protección del Informante (AIPI) o las autoridades autonómicas correspondientes, así como, en su caso, ante las instituciones de la Unión Europea.
Esta información debe ponerse a disposición de las personas potencialmente informantes junto con la relativa al canal interno, permitiendo que conozcan todas las vías disponibles para comunicar posibles irregularidades.
¿Qué debe incluir obligatoriamente el Libro-Registro?
Deben registrarse todas las comunicaciones recibidas a través del canal interno, así como las investigaciones internas que se deriven de ellas, en un libro-registro seguro, con acceso restringido y garantizando en todo momento la confidencialidad.
Como mínimo, el registro debe contener:
¿Cuál es el plazo para dar respuesta a una comunicación?
El plazo máximo es de tres meses desde la recepción de la información o desde el vencimiento del plazo de siete días (si no se remitió acuse). Este plazo puede ampliarse hasta seis meses en casos de especial complejidad.
El RSII es responsable de la gestión temporal y debe notificar al informante cualquier prórroga que se aplique.
¿Cómo se mantiene la comunicación con el informante durante la instrucción?
El sistema debe permitir una comunicación segura con el informante y la posibilidad de solicitar información adicional para la correcta instrucción del caso. Este es un requisito funcional del canal interno para apoyar la fase de instrucción y comprobación.
¿Cómo se garantiza el derecho de audiencia y defensa de la persona afectada?
El RSII debe informar a la persona afectada sobre los hechos que se le atribuyen y garantizar su derecho a ser oída.
La comunicación debe realizarse en tiempo y forma adecuados para no frustrar la investigación.
Se trata de una garantía procesal esencial, que debe gestionarse de forma imparcial.
¿Qué obligaciones de confidencialidad deben cumplirse durante la tramitación?
Todo el personal que reciba la comunicación por error debe:
Esto protege la identidad del informante desde el momento inicial.
¿Qué principios deben respetarse durante la instrucción?
Respetar la presunción de inocencia y el honor de las personas afectadas.
Cumplir con las normas de protección de datos personales, según el Título VI de la Ley 2/2023.
¿Cuándo debe remitirse información a la Fiscalía?
La información debe enviarse inmediatamente al Ministerio Fiscal cuando los hechos sean indiciariamente constitutivos de delito. Si la información afecta a intereses de la Unión Europea, se remitirá a la Fiscalía Europea.
- Introducción
- ¿Quién decide implantar el Sistema Interno de Información?
- ¿Qué tipo de infracciones debe permitir comunicar el sistema?
- ¿Quiénes pueden utilizar el Sistema Interno de Información?
- ¿Cómo pueden presentarse las comunicaciones?
- ¿Es válido un correo electrónico como buzón de denuncias?
- ¿Deben integrarse los distintos canales internos de información?
- ¿Qué implica el principio de unificación y gestión centralizada?
- ¿Qué exige la Recomendación en materia de transparencia y divulgación?
- ¿Es obligatorio contar con un procedimiento de gestión de las informaciones?
- ¿Qué exige la Recomendación en materia de protección frente a represalias?
- ¿Puede externalizarse la gestión del Sistema Interno de Información?
- ¿Puede un grupo de empresas contar con un único Sistema Interno de Información?
- ¿Quién puede ser Responsable del Sistema Interno de Información (RSII)?
- ¿Debe informarse también sobre los canales externos de denuncia?
- ¿Qué debe incluir obligatoriamente el Libro-Registro?
- ¿Cuál es el plazo para dar respuesta a una comunicación?
- ¿Cómo se mantiene la comunicación con el informante durante la instrucción?
- ¿Cómo se garantiza el derecho de audiencia y defensa de la persona afectada?
- ¿Qué obligaciones de confidencialidad deben cumplirse durante la tramitación?
- ¿Qué principios deben respetarse durante la instrucción?
- ¿Cuándo debe remitirse información a la Fiscalía?
¿Cumple tu entidad con el listado de verificación del sistema interno de información?
Comprueba que tu entidad cumple con estos elementos clave
Comprueba que tu entidad cumple con estos elementos clave:
- Consulta previa a la representación sindica
- Acuerdo del Órgano de Gobierno aprobando el Sistema y la Política
- Designación formal del Responsable del Sistema (RSII).
- Notificación del nombramiento a la AIPI o autoridad autonómica correspondiente
- Implementación técnica del Canal (software o buzón seguro)
- Aprobación del Procedimiento de Gestión de Informaciones
- Publicidad del canal en la página web, con acceso visible y fácil.
- Formación al personal sobre el uso del canal y las garantías del sistema.
Contacta con nosotros compliance@delorenzoabogados.com
y te asesoramos para que tu sistema cumpla todos los requisitos legales.