Responsable del canal de denuncias en la AIPI: lo que debes saber (y lo que nadie está explicando bien)
En las últimas semanas estamos recibiendo muchas consultas de clientes sobre una misma cuestión:
¿Quién tiene que darse de alta como responsable del sistema interno de información en la AIPI?
Y lo cierto es que no es raro que haya dudas.
La normativa existe, pero la interpretación práctica no siempre es tan evidente.
En este artículo vamos a explicarlo de forma clara, directa y sin rodeos.
¿Qué ha cambiado?
Con la puesta en marcha de la Autoridad Independiente de Protección del Informante (AIPI), se ha introducido una nueva obligación:
Comunicar quién es el Responsable del Sistema Interno de Información (SII)
Este trámite se realiza a través de su sede electrónica y aplica a muchas empresas, especialmente aquellas sujetas a:
- Más de 50 empleados
- Actividades reguladas en materia de Prevención de Blanqueo de Capitales y Financiación del Terrorismo (PBC/FT), como asesorías, despachos profesionales, auditorías o servicios financieros
- Otras entidades que, aun no estando obligadas a comunicar el RSII ante la AIPI, pueden estar obligadas a disponer de canales internos por normativa laboral (por ejemplo, protocolos de acoso e igualdad), en función de su tamaño y de las obligaciones que les resulten aplicables
El error más habitual
Aquí es donde empiezan los problemas.
Muchos piensan que quien gestiona el canal (por ejemplo, un proveedor externo) debe ser el responsable.
Pero esto no es así.
La clave: responsabilidad ≠ gestión
Hay que separar dos conceptos:
| Concepto | Quién |
|---|---|
| Responsable del SII | La empresa |
| Gestión del canal | Puede ser externa |
Es decir:
- El responsable del SII, con carácter general, es la propia empresa (habitualmente el gerente o administrador)
- Pero la gestión puede estar externalizada
Esto no solo es válido, sino que en muchos casos es la mejor opción.
¿Por qué externalizar la gestión?
Especialmente en pymes, es muy habitual que:
- No haya estructura interna suficiente
- No exista formación específica
- No se pueda garantizar imparcialidad
Y aquí aparece un problema importante
Muchas empresas optan por soluciones simples como habilitar un correo electrónico. Sin embargo, esto plantea una cuestión clave:
¿realmente un email garantiza la confidencialidad, la seguridad y la imparcialidad que exige la normativa?
En la mayoría de los casos, la respuesta es no.
Un correo electrónico difícilmente permite controlar accesos, garantizar la trazabilidad de las actuaciones o evitar que personas no autorizadas accedan a la información. Además, no ofrece mecanismos adecuados para gestionar conflictos de interés ni para proteger la identidad del informante.
Por tanto, aunque pueda cumplir formalmente con un procedimiento interno, en la práctica no suele ser suficiente para garantizar un sistema robusto.
¿Qué pasa si la denuncia es contra el propio responsable?
Imagina esta situación:
- El responsable del canal es el gerente
- La denuncia es contra el gerente
¿Quién gestiona eso?
Aquí entra en juego un concepto clave: el conflicto de interés
Y es precisamente en estos casos donde un modelo mal planteado puede fallar.
La solución correcta
Para que un sistema funcione de verdad (no solo "cumpla"), debe garantizar:
- Confidencialidad del informante
- Imparcialidad
- Independencia en la gestión
- Seguridad en el tratamiento de la información
- Trazabilidad y control de accesos
- Uso de herramientas tecnológicas adecuadas que permitan una gestión segura y estructurada de las comunicaciones
Y esto, en la práctica, se consigue con un modelo mixto:
- Responsable --> la empresa
- Gestión --> externa e independiente
No se trata únicamente de disponer de un canal, sino de que este esté respaldado por una infraestructura que garantice la seguridad, la confidencialidad y la correcta gestión de la información desde el primer momento.
¿Qué dice la AIPI en la práctica?
A partir de la experiencia práctica y consultas realizadas, hay varios puntos clave:
- El alta del responsable se realiza únicamente mediante formulario
- Puede presentarlo cualquier persona debidamente autorizada
- El sistema se limita a registrar la presentación, sin entrar a valorar el contenido de la información aportada
Es decir: la responsabilidad es de la empresa, pero la operativa puede delegarse correctamente.
Entonces... ¿qué debes hacer?
- Designar formalmente al responsable del sistema y una estructura de gestión que permita una adecuada distribución de funciones, dejando constancia documental de dicha designación y de los mecanismos de supervisión y separación de responsabilidades.
- Definir cómo se gestiona el canal
- Realizar la comunicación en la AIPI
- Asegurar que el sistema funciona de verdad (no solo en papel)
Conclusión
El verdadero problema no es el trámite.
Es hacerlo bien.
Porque un canal de denuncias no es solo cumplir una ley: es garantizar que, cuando pase algo, el sistema funcione.
¿Tienes dudas?
Si estás en este proceso y no lo tienes claro, es completamente normal.
En DAXIA llevamos tiempo trabajando con este tipo de sistemas, tanto a nivel técnico como en la gestión operativa, y podemos ayudarte a:
- estructurar correctamente tu sistema
- evitar errores en el alta
- y garantizar que cumples... de verdad
Contactanos y vemos tu caso concreto sin compromiso.