¿Cómo implementar el software de denuncia de irregularidades?
La Directiva de la UE sobre denuncias de irregularidades ya es ley en toda Europa. Las empresas ya no se preguntan si necesitan un canal de denuncia; en su lugar, comprueban si su sistema actual cumple con las normas. La implantación de estos canales implica tres pasos claros: planificación, creación y funcionamiento. Estos pasos son ahora una realidad cotidiana para las empresas.
Puntos clave
- Cualquier empleador privado con 50 o más empleados debe disponer de un canal de denuncia interna.
- Las sociedades holding no pueden compartir un único buzón entre diferentes entidades legales.
- Debe acusar recibo de las denuncias en un plazo de 7 días y dar una respuesta en un plazo de 3 meses.
- Los denunciantes obtienen protección legal desde el momento en que se manifiestan por primera vez.
- Las multas por vulnerar la confidencialidad o por represalias pueden alcanzar los 50.000 € por caso.
Mapear la entidad antes de redactar el procedimiento
En primer lugar, debe mapear su empresa. El número de empleados es lo más importante. Cualquier empleador privado con 50 empleados o más ha tenido que gestionar un canal desde finales de 2023. La estructura del grupo también influye. Las sociedades holding no pueden limitarse a usar un buzón compartido. Un informe de julio de 2024 de la Comisión concluyó que esto suele incumplir las normas.
Una sociedad holding con muchas unidades debe mantener los datos separados. La Comisión Europea afirma que los buzones compartidos son un error común. Cada entidad legal necesita sus propios límites para proteger al informante.
Compruebe qué sistemas tiene ya. Puede que utilice una vía de RR. HH. o un portal de código de conducta. Puede mantenerlos, pero solo si cumplen el alto nivel de exigencia de la Directiva. Debe contar con una lista clara de canales y receptores imparciales. También necesita un alcance que indique qué leyes cubre el canal.
Lo que el canal interno debe hacer realmente
El Artículo 9 de la Directiva tiene dos reglas principales. Debe responder en un plazo de 7 días y dar una respuesta completa en un plazo de 3 meses. El canal debe admitir denuncias por escrito y de forma oral. Esto incluye llamadas telefónicas o reuniones. Si se salta estos pasos, su programa fracasará.
| Aspecto | Canal interno | Canal externo (regulador) |
|---|---|---|
| Gestionado por | Unidad imparcial del empleador o persona designada | Autoridad nacional designada por la ley de transposición |
| Acuse de recibo | En un plazo de 7 días | En un plazo de 7 días |
| Respuesta sustancial | En un plazo de 3 meses | En un plazo de 3 meses |
| Elección del informante | Primera vía, pero no obligatoria | Puede utilizarse directamente sin pérdida de protección |
Su canal debe ser fácil de usar. Debe aceptar denuncias por teléfono, buzón de voz o en persona. Debe mantener un registro seguro de cada denuncia. También debe nombrar un equipo neutral para gestionarlas. Informe a su personal de quiénes son estas personas para que sepan en quién confiar.
Mantener en secreto el nombre del informante es vital. Si lo comparte sin consentimiento, está incumpliendo la ley. Algunos países imponen ahora multas de hasta 50.000 € por este único error.
Puesta en marcha: personas, formación e ISO 37002
Ahora debe convertir su plan sobre el papel en una herramienta real. Debe seleccionar y formar a las personas que revisarán las denuncias. No basta con un empleado de RR. HH. que lo haga como trabajo extra. También debe formar a todos los directivos. La protección comienza en el momento en que un empleado se manifiesta, incluso si no rellena un formulario.
La norma ISO 37002:2021 es una excelente guía para ello. No es una insignia que se gane, pero muestra cómo es un buen programa. Abarca el riesgo, la recepción y cómo investigar. Encaja bien con otras normas ISO que su empresa ya podría estar siguiendo.
Convivir con el sistema: supervisión, represalias y RGPD
Una vez que el sistema está en funcionamiento, tres cosas lo mantienen en marcha. La supervisión consiste en comprobar los tiempos de respuesta y los archivos de registro cada trimestre. Las normas sobre represalias significan que debe demostrar que cualquier acción contra un informante fue justa. Las normas del RGPD se aplican a cada dato que recopile.
La supervisión es algo más que contar denuncias. Si una línea directa permanece en silencio durante dieciocho meses, algo va mal. Suele significar que la gente no confía en el sistema o no sabe que existe.
Las normas sobre represalias cambian el funcionamiento de los RR. HH. Si una persona denuncia una infracción, no se la puede despedir o trasladar sin más. Cualquier movimiento negativo se presume que es una represalia. La carga de la prueba recae sobre usted para demostrar que el movimiento fue justo. Esto debe condicionar cada decisión de RR. HH. que afecte a un informante.
Las normas de datos no son opcionales. Cada denuncia contiene datos personales sujetos al RGPD. Debe utilizar el cifrado y limitar quién puede ver los archivos. También necesita una razón clara para conservar los datos. Son las mismas obligaciones que se aplican a cualquier herramienta de RR. HH.
El coste de equivocarse
El coste del fracaso es alto. Muchos países multan a las empresas por represalias o por vulnerar el secreto. Estas multas suelen oscilar entre los 30.000 € y los 50.000 € por caso. Cinco países que tardaron en actuar fueron incluso multados con un total de 40 millones de euros en 2025.
Las multas son solo el principio. La Comisión también está vigilando cómo las empresas gestionan el secreto y las represalias. Han señalado estas dos áreas para realizar comprobaciones más exhaustivas en el futuro.
El mapa de Europa sigue siendo diferente en cada país. Eslovaquia mantuvo su oficina de denunciantes tras las presiones de la UE. Alemania sigue poniendo a prueba sus normas en los tribunales. Polonia puso en vigor su ley el 25 de septiembre de 2024.
Puede gestionar estos sistemas usted mismo, pero no es fácil ni barato. Cumplir con el plazo de 7 días y mantener el registro limpio es donde la mayoría de las empresas fallan. WeMoral es un software de denuncias gestionado que se encarga de este trabajo por usted. Le ayudamos con los planes, el canal y los registros de auditoría que necesitan los inspectores.
Especialista en cumplimiento centrado en políticas y flujo interno de información. Escribe sobre normativa de la UE, casos célebres y sistemas de denuncia.