Canal de denuncias en asesorías: qué tener en cuenta en 2026

El canal de denuncias en asesorías ha evolucionado de forma significativa desde la entrada en vigor de la Ley 2/2023. Lo que inicialmente se planteaba como una obligación normativa más, se ha convertido en un elemento clave dentro de los sistemas de cumplimiento de los despachos profesionales y las empresas. 

En 2026, además, se incorporan nuevas exigencias, especialmente en relación con la Autoridad Independiente de Protección del Informante (AIPI), que refuerzan el control y la supervisión sobre estos sistemas. 

Desde AECEM, a través del webinar impartido por Rafael Suñer, CEO BsCert y miembro de AECEM, analizamos estas novedades con un enfoque práctico, resolviendo dudas frecuentes y trasladando recomendaciones útiles para asesores y sus clientes. 

Entidades obligadas a contar con canal de denuncias 

La Ley 2/2023 establece la obligación de implantar un canal de denuncias para empresas con 50 o más trabajadores, así como para determinadas entidades que operan en sectores específicos como el financiero o el de prevención del blanqueo de capitales.  

Además, la Ley 2/2023 extiende esta obligación a determinadas entidades del sector público, partidos políticos, sindicatos, organizaciones empresariales y fundaciones vinculadas que gestionen fondos públicos.  

También conviene tener en cuenta el caso de los grupos de empresas, que pueden compartir responsable, pero deben realizar la notificación de forma individual por cada sociedad obligada. 

En este marco, el caso de las asesorías ha generado cierto debate sobre si deben considerarse directamente obligadas. Aquí la interpretación requiere ciertos matices. 

¿Deben las asesorías contar con canal de denuncias?

Dado que muchas asesorías y despachos profesionales son sujetos obligados en materia de prevención del blanqueo de capitales, en la práctica se ha entendido que deben contar con canal de denuncias.  

No obstante, en esta obligación uno de los puntos clave es la distinción entre personas jurídicas y personas físicas. Aunque muchos despachos profesionales están sujetos a normativa de prevención del blanqueo de capitales, la Ley 2/2023, al extender la obligación del canal de denuncias, se refiere expresamente a personas jurídicas. 

Esto implica que, en una interpretación estricta, los autónomos quedarían fuera de la obligación. Así lo ha trasladado la AIPI en consultas realizadas, si bien es necesario indicar que estas respuestas no tienen carácter vinculante. 

A pesar de ello, desde AECEM recomendamos adoptar un enfoque prudente. Aunque en determinados casos no exista obligación clara, la implantación del canal de denuncias resulta aconsejable desde el punto de vista del cumplimiento, especialmente teniendo en cuenta el régimen sancionador y la evolución de los criterios interpretativos. 

 

Requisitos del canal de denuncias 

Más allá de las obligaciones formales, es importante que el canal que implanten los despachos cumpla con una serie de características que garanticen su eficacia y eviten riesgos de incumplimiento. 

Anonimato y confidencialidad 

El canal debe asegurar la protección del informante, permitiendo la presentación de denuncias anónimas y garantizando la confidencialidad de toda la información gestionada. Este aspecto es esencial para generar confianza en el sistema y fomentar su utilización, tal y como exigen la Ley 2/2023 y la Directiva europea 2019/1937. 

Seguridad y privacidad 

La herramienta utilizada debe garantizar un tratamiento seguro de la información. Esto implica cumplir con la normativa de protección de datos, así como asegurar el almacenamiento adecuado de la información y evitar accesos no autorizados. 

Gestión en plazo

El cumplimiento de los plazos es uno de los aspectos más críticos. El sistema debe incorporar alertas y mecanismos de control que permitan gestionar las comunicaciones dentro de los tiempos establecidos, evitando así posibles sanciones. 

Accesibilidad

El canal debe ser accesible tanto para trabajadores como para terceros. Además, debe permitir la presentación de comunicaciones de forma sencilla, ya sea mediante texto o incluso mediante grabación de voz, garantizando siempre la seguridad y facilidad de uso. 

  

El Responsable del Sistema Interno de Información (RSII): funciones, nombramiento y comunicación 

El Responsable del Sistema Interno de Información (RSII) es una de las figuras centrales dentro del canal de denuncias. No se trata de un nombramiento meramente formal, sino de una pieza clave para que el sistema funcione de verdad y cumpla con las exigencias de la Ley 2/2023. 

Su papel es garantizar la correcta gestión del canal, supervisar la tramitación de las comunicaciones y asegurar que todo el procedimiento se desarrolla con las debidas garantías de confidencialidad, objetividad e independencia. En la práctica, es la figura que vela por que el sistema no se convierta en un simple buzón, sino en una herramienta real de cumplimiento dentro de la organización. 

¿Quién puede ser el RSII? 

El órgano de administración debe designar a un responsable que puede ser una persona física o incluso un órgano colegiado, siempre que en este último caso la gestión ordinaria se delegue de forma efectiva en una persona concreta. 

En la práctica, una de las recomendaciones habituales es que esta función recaiga en un perfil con capacidad de supervisión y conocimiento interno de la entidad. Puede ser, por ejemplo, el Compliance Officer, siempre que cumpla con los requisitos exigidos y no exista conflicto de interés. 

Más allá de quién sea designado, hay una exigencia especialmente importante: el RSII debe ejercer su cargo con plena independencia respecto del órgano de administración. Por eso, en muchas organizaciones se recomienda reforzar esta figura con mecanismos internos de supervisión o con estructuras colegiadas que reduzcan los conflictos de interés. Esta cuestión resulta especialmente sensible cuando la denuncia puede afectar a personas con responsabilidad dentro de la propia entidad o incluso al propio responsable del canal. 

¿Es obligatorio que el RSII resida en España? 

Otra de las dudas abordadas en la sesión fue si el RSII debe residir necesariamente en España. Suñer fue claro: no. La normativa no exige que esta persona viva en territorio español. Ahora bien, que no exista este requisito no significa que pueda relajarse el cumplimiento.   

¿Qué funciones tiene el RSII? 

El RSII asume funciones relevantes dentro del sistema interno de información. Entre las principales, destacan las siguientes: 

Gestión del sistema

Le corresponde velar por el buen funcionamiento general del canal de denuncias y por su gestión ordinaria. Esto implica supervisar que el sistema esté operativo, que resulte accesible para quienes deban utilizarlo y que responda a los requisitos legales y organizativos establecidos. 

Tramitación de las comunicaciones

También es responsable de la recepción, clasificación y seguimiento de las comunicaciones recibidas. Su intervención resulta clave para asegurar que cada caso se tramite conforme al procedimiento interno, dentro de plazo y con las debidas garantías. 

Confidencialidad

Una de sus obligaciones esenciales es garantizar la confidencialidad de la identidad del informante y de las personas afectadas. Esta protección es uno de los pilares del sistema y condiciona tanto la seguridad jurídica como la confianza en el canal. 

Investigación

El RSII debe supervisar las investigaciones internas que se deriven de las comunicaciones recibidas. Esa supervisión debe realizarse con imparcialidad y objetividad, evitando interferencias y asegurando que las actuaciones se desarrollen con rigor. 

Protección del informante

Además, debe velar por la prohibición de represalias y por la aplicación de las medidas de protección previstas en la Ley 2/2023. Esta función no es accesoria: forma parte del núcleo del sistema y conecta directamente con la finalidad de la norma. 

 

¿Cómo se comunica el nombramiento del RSII? 

Además del nombramiento interno del RSII, una de las principales novedades en 2026 es la obligación de comunicarlo a la Autoridad Independiente de Protección del Informante (AIPI), así como de documentar adecuadamente el acuerdo adoptado. 

Esta comunicación debe realizarse por vía electrónica, mediante certificado digital, y afecta tanto a nuevos nombramientos como a ceses o modificaciones. Supone un paso más en el control efectivo por parte de la autoridad, que ya cuenta con capacidad de supervisión real sobre los sistemas implantados. 

Plazos clave que tener en cuenta  

El cumplimiento de los plazos es especialmente relevante en esta nueva obligación. 

El plazo inicial para comunicar el nombramiento del RSII finaliza el 10 de abril de 2026. A partir de esa fecha, cualquier cambio deberá notificarse en un plazo de diez días hábiles desde que se produzca. 

Tipos de comunicación en Sede Electrónica

• Alta: sirve para comunicar el nombramiento del RSII.  
• Cese: permite informar de su sustitución o finalización, debiendo indicar el motivo.  
• Baja: queda reservada a la corrección de errores materiales en una notificación previa, por lo que no debe utilizarse para comunicar ceses.

 

DPO y canal de denuncias: relación, funciones y posibles solapamientos 

La implantación del canal de denuncias no puede analizarse de forma aislada. Uno de los puntos que más dudas genera en la práctica es la relación entre el Delegado de Protección de Datos (DPO) y el Responsable del Sistema Interno de Información (RSII). 

Ambas figuras conviven dentro del sistema de cumplimiento de la organización, pero tienen funciones diferenciadas que es importante delimitar correctamente. 

El DPO: supervisión en materia de protección de datos

Esta figura es el responsable de supervisar el cumplimiento de la normativa de protección de datos personales dentro de la organización. El DPO no gestiona el canal, sino que vela porque el uso de este cumpla con la normativa de protección de datos. 

El RSII: gestión del canal y de las comunicaciones

Por su parte, el RSII es quien asume la gestión directa del canal de denuncias. Se trata, por tanto, de una función operativa y de control interno, directamente vinculada al sistema de información. 

¿Pueden coincidir DPO y RSII? 

Desde un punto de vista práctico, la recomendación general es que DPO y RSII sean personas distintas, con el objetivo de evitar conflictos de interés y reforzar la independencia del sistema. 

En entidades de menor tamaño, donde los recursos son más limitados, la normativa permite cierta flexibilidad. Puede admitirse que una misma persona asuma varias funciones, incluyendo DPO, compliance y RSII. No obstante, en estos casos es especialmente importante: 

• Documentar adecuadamente la asignación de funciones  
• Establecer mecanismos de control interno  
• Minimizar los posibles conflictos de interés  

Para Suñer, la recomendación es que en empresas pequeñas se apueste por la figura de un responsable de vigilancia normativa que lleve todo el cumplimiento. 

 

Régimen sancionador del canal de denuncias: riesgos económicos y reputacionales 

El régimen sancionador previsto en la Ley 2/2023 es uno de los aspectos que mayor impacto puede tener para las empresas y entidades obligadas a contar con un canal de denuncias. 

No se trata únicamente de una cuestión formal. La normativa introduce un sistema de sanciones que combina impacto económico, consecuencias legales y efectos reputacionales, lo que obliga a abordar el cumplimiento con un enfoque serio y estructurado. 

Tipos de infracciones y cuantías económicas 

La ley distingue entre infracciones leves, graves y muy graves, con un escalado sancionador significativo. 

En el caso de las personas jurídicas, las sanciones pueden alcanzar: 

• Hasta 100.000 euros en infracciones leves  
• Entre 100.001 y 600.000 euros en infracciones graves  
• Hasta 1.000.000 de euros en infracciones muy graves  

Por su parte, las personas físicas (incluyendo administradores o responsables) también pueden ser sancionadas: 

• Hasta 10.000 euros en infracciones leves  
• Entre 10.001 y 30.000 euros en infracciones graves  
• Hasta 300.000 euros en infracciones muy graves  

Este punto es especialmente relevante para despachos profesionales, donde puede existir responsabilidad directa de la persona que gestiona o supervisa el sistema. 

¿Qué se considera incumplimiento? 

Más allá de las cifras, es importante entender qué situaciones pueden dar lugar a sanción. 

No disponer de un canal de denuncias cuando existe obligación puede considerarse una infracción muy grave. Pero no es el único riesgo. 

También pueden derivar en sanción: 

• La falta de designación del Responsable del Sistema (RSII)  
• Un funcionamiento inadecuado del canal  
• El incumplimiento de los plazos de gestión de las denuncias  
• La ausencia de garantías de confidencialidad  
• Deficiencias en la accesibilidad del canal  

Incluso aspectos aparentemente menores, como una incorrecta visibilidad del canal en la web corporativa, pueden ser objeto de sanción si impiden su uso efectivo.

 

Consecuencias más allá de la sanción económica 

Uno de los elementos más relevantes del régimen sancionador es que sus efectos van más allá de la multa. La ley prevé medidas adicionales que pueden tener un impacto directo en la actividad de la empresa: 

• Amonestación pública, con el consiguiente daño reputacional  
• Prohibición de contratar con el sector público durante un periodo de hasta tres años  
• Pérdida de subvenciones o beneficios fiscales  
• Responsabilidad personal de administradores y directivos  

En muchos casos, estas consecuencias pueden ser más perjudiciales que la propia sanción económica, especialmente en sectores donde la confianza y la reputación son clave. 

 

El canal de denuncias en asesorías: una cuestión de buena gobernanza 

En un contexto de mayor supervisión y con nuevas obligaciones ya en marcha, el canal de denuncias deja de ser una cuestión meramente formal para convertirse en una herramienta clave de cumplimiento.  

Desde AECEM seguiremos acompañando a los asesores en este proceso, aportando claridad y criterio práctico ante un marco normativo cada vez más exigente para los despachos y para sus clientes.  ​