Con la publicación de la Recomendación 1/2026, la Autoridad Independiente de Protección del Informante (AIPI) ha dado un paso decisivo en la consolidación del sistema de protección del informante previsto en la Ley 2/2023. No se trata de una norma sancionadora ni de un texto meramente técnico: es una hoja de ruta clara sobre cómo deben diseñarse y gestionarse los Sistemas Internos de Información para que cumplan realmente su función preventiva.
Aquí puedes tener acceso a la Recomendación: Recomendación 1/2026
El mensaje de fondo es inequívoco: el canal de denuncias ya no puede concebirse como un simple buzón, sino como una pieza central de la gobernanza ética y del cumplimiento normativo en las organizaciones.
El Sistema Interno de Información como pilar de la integridad corporativa
La AIPI insiste en una idea clave: el Sistema Interno de Información (SII) no es un elemento aislado ni accesorio. Es una infraestructura organizativa básica, que debe ser aprobada por el órgano de administración y que conecta directamente con la cultura de integridad de la entidad.
Desde esta perspectiva, el sistema cumple varias funciones esenciales: permite detectar infracciones antes de que se consoliden, facilita la adopción de medidas correctoras internas, refuerza la responsabilidad compartida dentro de la organización y reduce los espacios de impunidad. Bien diseñado, el SII se convierte en una herramienta de aprendizaje organizacional y de prevención real de riesgos legales y reputacionales.
A quién obliga
La Recomendación recuerda que la obligación de disponer de un SII afecta a un amplio abanico de entidades, tanto del sector privado como del sector público. En el ámbito empresarial, el umbral general se sitúa en las empresas con cincuenta o más trabajadores, computados con criterios amplios y rigurosos, incluyendo contratos temporales, fijos discontinuos y personal desplazado o teletrabajando desde el extranjero.
Además, existen sectores obligados con independencia del número de empleados, y reglas específicas para grupos de empresas, donde cada sociedad mantiene su obligación individual, aunque pueda integrarse en sistemas comunes correctamente adaptados a la Ley española.
Cómo debe estar diseñado el canal
Uno de los aportes más relevantes de la Recomendación es la concreción de criterios de diseño del canal interno de información. La AIPI deja claro que el sistema debe garantizar, entre otros principios:
- Accesibilidad real para un amplio espectro de informantes, no solo empleados.
- Confidencialidad estricta y protección efectiva frente a represalias.
- Posibilidad de comunicación escrita y verbal, incluyendo reuniones presenciales.
- Admisión del anonimato.
- Gestión centralizada bajo una “ventana única”: todos los canales de denuncias existentes deben simplificarse en un uno solo.
- Seguridad técnica y control de accesos.
El Responsable del Sistema: una figura clave
La Recomendación dedica especial atención al Responsable del Sistema Interno de Información (RSII), al que considera la pieza central del modelo. Este responsable —persona física u órgano colegiado— debe actuar con plena independencia, sin recibir instrucciones del órgano de administración y con medios suficientes para ejercer su función.
Su nombramiento y cese deben comunicarse a la AIPI, y su posición debe estar diseñada para evitar conflictos de interés. La Autoridad es clara: sin un responsable independiente y creíble, el sistema pierde legitimidad y eficacia desde su origen.
Procedimientos, plazos y garantías: el debido proceso interno
Otro aspecto esencial es la exigencia de un procedimiento de gestión formalizado, con plazos claros (acuse de recibo en siete días, respuesta en tres meses ampliable a otros tres), respeto a la presunción de inocencia, derecho de defensa de las personas afectadas y protección de datos personales.
La AIPI subraya que una investigación interna mal gestionada puede ser tan dañina como la propia infracción. De ahí la importancia de la trazabilidad, la documentación adecuada y la separación de funciones en la tramitación de las informaciones recibidas .
De la obligación reactiva a la prevención proactiva
El mensaje final de la Recomendación es nítido: el Sistema Interno de Información debe permitir que la organización sea la primera en conocer y corregir las irregularidades que se producen en su seno. No como reacción a una denuncia externa o a una sanción, sino como parte de una estrategia preventiva de cumplimiento y buen gobierno.
En un contexto en el que la AIPI ya ha anunciado una aplicación progresivamente más intensa de sus potestades supervisoras y sancionadoras, no adaptar correctamente el sistema supone asumir un riesgo innecesario.
Conclusión
La Recomendación 1/2026 no introduce nuevas obligaciones legales, pero sí fija el estándar con el que la Autoridad evaluará el cumplimiento de la Ley 2/2023. Para las empresas y entidades obligadas, el mensaje es claro: tener un canal de denuncias ya no es suficiente. Lo relevante es cómo se diseña, cómo se gestiona y qué cultura de integridad lo sostiene.
Anticiparse, revisar los sistemas existentes y profesionalizar su gestión es hoy una cuestión de seguridad jurídica, reputación y responsabilidad de los órganos de administración.
El Blog de Derecho de Alejandro Pérez 