Ir al contenido
Volver al Mapa de Procesos

Gestión de Denuncias (Whistleblowing)

Instancia única: helpdesk.ticket (Expediente de Denuncia) · Acciones integradas de sign · documents · mail.activity · mail.template · Ley 2/2023 · Odoo 19 Enterprise

Necesidades Empresariales

Obligaciones legales y objetivos de negocio que justifican el Canal de Denuncias.

  • Cumplir con la obligación de disponer de un Sistema Interno de Información para empresas de 50 o más trabajadores (Ley 2/2023 — ya en vigor desde diciembre de 2023).
  • Gestionar todo el ciclo de vida de la denuncia en una única instancia (helpdesk.ticket) con trazabilidad completa y acceso restringido.
  • Emitir el acuse de recibo al denunciante en ≤ 7 días naturales y comunicar el seguimiento en ≤ 3 meses, con actividades automáticas que alerten antes del vencimiento del plazo.
  • Garantizar la confidencialidad de la identidad del denunciante mediante control de acceso estricto y código de seguimiento para denuncias anónimas.
  • Solicitar y obtener la firma electrónica (eIDAS) del Acuerdo de Confidencialidad al investigador asignado directamente desde el ticket (actividad tipo Request Signature).
  • Archivar todo el expediente (formulario, acuse, informes, informe de resolución firmado) en una carpeta de Documents con acceso restringido, vinculada al ticket.
  • Proteger al denunciante de represalias y registrar en el chatter cualquier acción adversa detectada.
  • Mantener el Libro-Registro del canal como evidencia ante la AIPI (Autoridad Independiente de Protección del Informante).
Capacidades de Aplicación 👆 Interactivo

Capa 1 Essential. Pulsa para resaltar los pasos y servicios relacionados.

Recepción y Apertura del Expediente
Crear el ticket Helpdesk restringido con código de seguimiento para denuncias anónimas.
Admisión, Firma y Acuse
Admitir a trámite, firmar confidencialidad (Sign), crear carpeta y enviar acuse (Mail, 7 días).
Investigación desde el Ticket
Actividades, comunicaciones, archivado en Documents y comunicación de seguimiento (3 meses).
Resolución, Informe Firmado y Cierre
Informe de resolución firmado (Sign), comunicación al denunciante y archivo del expediente.
Flujo Funcional — Un único helpdesk.ticket (Expediente de Denuncia) 👆 Interactivo

Cada paso ocurre sobre el mismo ticket. Los módulos Sign, Documents, Activities y Mail se invocan como acciones desde el chatter o el formulario del ticket, nunca en expedientes separados. Pulsa cualquier paso para ver la lógica, los modelos y los campos exactos.

Denunciante
Presentar Denuncia
Nueva Denuncia
Responsable
Decidir Admisión
Admisión a Trámite
Sistema / Resp.
Emitir Acuse y Firmar
Acuse de Recibo
Investigador
Investigar Hechos
En Investigación
Responsable
Firmar y Resolver
Acciones y Resolución
Sistema / Resp.
Cerrar Expediente
Cerrado

Lógica de funcionamiento

Modelos involucrados
Campos clave
Servicio responsable (Capa 2)
Servicios de Aplicación 👆 Interactivo

Capa 2 Essential: componentes funcionales del sistema. Todos actúan sobre el mismo helpdesk.ticket.

Helpdesk
Servicio de Canal de Denuncias
  • • Equipo "Canal de Denuncias" · visibilidad Solo invitados
  • • 6 etapas del pipeline con SLAs de 7d y 3m
  • • Alias de email + formulario web del equipo
  • • Código de seguimiento anónimo (x_tracking_code)
Helpdesk + Mail
Servicio de Admisión y Acuse
  • • Decisión de admisión a trámite con registro
  • • Plantilla "Acuse de Recibo" (≤ 7 días)
  • • Plantilla "Denuncia No Admitida" con motivación
  • • Actividad SLA 7d generada automáticamente
Sign
Servicio de Firma Electrónica (eIDAS)
  • • Actividad "Solicitar Firma" desde el chatter
  • • Plantilla "Acuerdo de Confidencialidad Investigador"
  • • Plantilla "Informe de Resolución"
  • • Certificado eIDAS adjunto al ticket y en Documents
Documents
Servicio de Expediente Seguro
  • • Carpeta EXP-DEN-NNN con acceso restringido
  • • Archivar formulario, acuse, evidencias, firmas
  • • Trazabilidad de accesos al expediente
  • • Retención según art. 33 Ley 2/2023 + RGPD
Activities
Servicio de Actividades y Alertas SLA
  • • (*) Actividad auto "Acuse" a T+6 días
  • • (*) Actividad auto "Seguimiento" a T+80 días
  • • Reuniones, llamadas y To-Dos manuales
  • • Solicitar Firma (tipo nativo en Odoo Sign)
Mail
Servicio de Plantillas de Correo
  • • 1. Acuse de Recibo — Denuncia Recibida
  • • 2. Actualización de Seguimiento (3 meses)
  • • 3. Resolución del Expediente
  • • 4. Denuncia No Admitida a Trámite
Vistas de Información y Reporting

Todos los informes deben generarse anonimizados antes de compartirse externamente.

Cumplimiento Plazos Legales
% de acuses emitidos en ≤ 7 días y seguimientos comunicados en ≤ 3 meses. KPI crítico de cumplimiento Ley 2/2023. Meta: 100% en ambos indicadores.
Libro-Registro AIPI (Anonimizado)
Exportación de todos los tickets del equipo Canal de Denuncias con datos anonimizados: referencia, fecha, tipo, resultado y fecha de cierre. Evidencia ante la AIPI.
Estado del Pipeline
Kanban del equipo con número de expedientes en cada etapa. Alertas de SLA en rojo para tickets que se acercan o han superado los plazos legales.
Firmas de Confidencialidad
Estado de las sign.request del Acuerdo de Confidencialidad: pendientes, firmadas y en qué expedientes. Ningún investigador debe acceder sin firma completada.
Distribución por Tipo de Infracción
Categorías de las denuncias recibidas (laboral, corrupción, datos, contratación) anonimizadas. Para identificar áreas de riesgo y mejorar los programas de compliance.
Expedientes con Documentación Completa
Tickets cerrados con informe de resolución firmado en Documents vs. total cerrados. Meta: 100%. Evidencia de investigación formal para la AIPI.
Arquitectura de Datos y Módulos

Todo converge en helpdesk.ticket. Los demás módulos actúan como herramientas invocadas desde él.

helpdesk (Asistencia)
INSTANCIA ÚNICA — EL EXPEDIENTE
helpdesk.ticket (Expediente de Denuncia) helpdesk.team (Canal Denuncias · Solo invitados) helpdesk.sla (Políticas SLA 7d / 3m) helpdesk.stage (6 etapas del pipeline)
sign (Firma)
INVOCADO DESDE EL CHATTER
sign.request (Solicitud de Firma) sign.template (Plantillas) Actividad tipo: Request Signature
documents (Documentos)
VINCULADO AL TICKET
documents.folder (EXP-DEN-NNN) documents.document (Archivos)
mail / activities
EN EL CHATTER DEL TICKET
mail.activity (SLA auto + manuales) mail.template (4 plantillas) mail.message (Chatter privado)
Lista de Verificación de Configuración

Pasos mínimos para que el canal sea conforme con la Ley 2/2023.

1. Equipo Helpdesk con visibilidad Solo invitados (PRIVADO) Asistencia → Equipos → Canal de Denuncias. Visibilidad = "Solo usuarios internos invitados (privado)". El Responsable del Sistema es el único seguidor permanente del equipo.
2. SLA de 7 días y 3 meses con actividades automáticas Crear las dos políticas SLA. Verificar que al crear un ticket se genera la actividad de acuse a T+6 días y, al admitirlo, la de seguimiento a T+80 días.
3. Dos plantillas en Odoo Sign Firma → Plantillas: (1) "Acuerdo de Confidencialidad — Investigador" y (2) "Informe de Resolución — Canal de Denuncias". Ambas con trazabilidad eIDAS activada.
4. Carpeta raíz en Documents con acceso restringido Documents → Carpetas → "Expedientes de Denuncias". Solo el Responsable del Sistema tiene acceso. Cada expediente creará una subcarpeta individual con acceso adicional al investigador del caso.
5. Cuatro plantillas de correo creadas Ajustes → Técnico → Plantillas de correo: Acuse de Recibo, Actualización de Seguimiento, Resolución del Expediente y No Admitida. Remitente: dirección confidencial del canal.
6. Designar formalmente al Responsable del Sistema El órgano de administración debe designar por escrito al Responsable del Sistema con autonomía funcional. En Odoo: único usuario con rol de administrador del equipo Helpdesk del canal.
Marco Regulatorio — Ley 2/2023 · Directiva UE 2019/1937 · RGPD

El canal de denuncias debe cumplir simultáneamente la Ley 2/2023 (BOE-A-2023-4513), la Directiva Whistleblowing UE 2019/1937 y el RGPD / LOPDGDD. La AIPI (Autoridad Independiente de Protección del Informante) está operativa desde 2024. Fuente: BOE (www.boe.es).

Arts. 5 y 7 Ley 2/2023 · BOE-A-2023-4513
Obligación de Implantar el Sistema Interno
  • Obligatorio para empresas de 50 o más trabajadores (en vigor desde diciembre de 2023)
  • También para entidades del sector financiero independientemente del tamaño
  • El órgano de administración debe designar formalmente al Responsable del Sistema con autonomía funcional
  • Incumplimiento: infracción muy grave de 600.001 € a 1.000.000 €
  • La AIPI supervisa el cumplimiento y puede inspeccionar el sistema en cualquier momento
Ver Arts. 5 y 7 en BOE
Arts. 16 y 18 Ley 2/2023 · BOE-A-2023-4513
Confidencialidad y Plazos de Respuesta
  • La confidencialidad de la identidad del denunciante es absoluta e irrenunciable durante todo el ciclo
  • Solo el Responsable del Sistema puede conocer la identidad del denunciante
  • Acuse de recibo al denunciante en máximo 7 días naturales desde la recepción
  • Informar al denunciante del seguimiento en máximo 3 meses (extensible a 6 meses con justificación)
  • Quiebra de confidencialidad: infracción muy grave hasta 1.000.000 €
  • Incumplimiento de plazos: infracción leve hasta 10.000 €
Ver Arts. 16 y 18 en BOE
Art. 14 Ley 2/2023 · BOE-A-2023-4513
Requisitos Técnicos del Sistema
  • Diseñado para proteger la confidencialidad del denunciante y de los terceros mencionados
  • Admitir comunicaciones escritas, orales y presenciales
  • Admitir denuncias anónimas con posibilidad de seguimiento por código
  • Registro y trazabilidad de todas las comunicaciones recibidas (Libro-Registro)
  • Accesible a empleados, proveedores, clientes, candidatos y cualquier persona con relación con la organización
Ver Art. 14 en BOE
Arts. 21-31 Ley 2/2023 · BOE-A-2023-4513
Protección del Denunciante — Anti-Represalia
  • Prohibición absoluta de cualquier represalia laboral contra el denunciante de buena fe
  • Carga de la prueba invertida: la empresa debe demostrar que el trato adverso no está relacionado con la denuncia
  • Represalias prohibidas: despido, degradación, cambio forzoso de puesto, no renovación, exclusión de formación, acoso
  • Represalias: infracción grave de 10.001 € a 300.000 €
  • El denunciante tiene derecho a medidas cautelares y asistencia ante la AIPI
Ver Arts. 21-31 en BOE
Art. 33 Ley 2/2023 + RGPD · BOE-A-2023-4513
Protección de Datos y Retención
  • Los datos del denunciante son datos sensibles. Base jurídica del tratamiento: obligación legal
  • Conservación máxima: 3 años desde el cierre del expediente (salvo acciones judiciales activas)
  • Incluir el canal de denuncias en el Registro de Actividades de Tratamiento (RAT)
  • Informar al denunciante de sus derechos RGPD en el acuse de recibo y en la resolución
  • El campo x_retention_date en el ticket gestiona la fecha de eliminación programada
Ver Art. 33 en BOE
Arts. 62-70 Ley 2/2023 · BOE-A-2023-4513
Régimen Sancionador — AIPI
  • No implantar el canal: infracción muy grave de 600.001 € a 1.000.000 €
  • Quiebra de confidencialidad del denunciante: infracción muy grave hasta 1.000.000 €
  • Represalias contra el denunciante: infracción grave de 10.001 € a 300.000 €
  • Incumplimiento de plazos de acuse o seguimiento: infracción leve hasta 10.000 €
  • Infracciones adicionales: posible suspensión de contratos públicos y prohibición de contratar hasta 3 años
Ver régimen sancionador en BOE
Recursos de Implementación

Entregables del kit de implementación para este flujo.

Plantilla de Importación
XLSX con el Libro-Registro AIPI anonimizado, SLAs, plantillas de correo y actividades programadas.
Descargar Plantilla
Documentación del Proceso
Documento Word SGC (PR-COM-001) con las 7 secciones normalizadas y regulación Ley 2/2023.
Descargar Documentación
Formulario de Diagnóstico
Cuestionario para identificar el Responsable del Sistema, las categorías de infracciones y los canales de entrada del cliente.
Próximamente