Ir al contenido
Volver al Mapa de Procesos Volver al Recurso

Gestión de Denuncias (Whistleblowing)

Instancia única: helpdesk.ticket (Expediente de Denuncia) · Acciones integradas de sign · documents · mail.activity · mail.template · Ley 2/2023 · Sistema Enterprise

Campos Personalizados (Requiere Parametrización): El seguimiento íntegro de la Ley 2/2023 se apoya en campos personalizados como la fecha de retención y eliminación (x_retention_date) o las clasificaciones de anonimato. Esto requiere añadir campos adicionales mediante herramientas de parametrización del sistema.
Necesidades Empresariales

Obligaciones legales y objetivos de negocio que justifican el Canal de Denuncias.

  • Cumplir con la obligación de disponer de un Sistema Interno de Información para empresas de 50 o más trabajadores (Ley 2/2023 — ya en vigor desde diciembre de 2023).
  • Gestionar todo el ciclo de vida de la denuncia en una única instancia (Expediente) con trazabilidad completa y acceso restringido.
  • Emitir el acuse de recibo al denunciante en ≤ 7 días naturales y comunicar el seguimiento en ≤ 3 meses, con actividades automáticas que alerten antes del vencimiento del plazo.
  • Garantizar la confidencialidad de la identidad del denunciante mediante control de acceso estricto y código de seguimiento para denuncias anónimas.
  • Solicitar y obtener la firma electrónica del Acuerdo de Confidencialidad al investigador asignado directamente desde el expediente.
  • Archivar todo el expediente (formulario, acuse, informes, informe de resolución firmado) en un entorno documental con acceso restringido, vinculado a la denuncia.
  • Proteger al denunciante de represalias y registrar cualquier acción adversa detectada.
  • Mantener el Libro-Registro del canal como evidencia ante la AIPI (Autoridad Independiente de Protección del Informante).
Capacidades de Aplicación 👆 Interactivo

Capa 1 Essential. Selecciona una tarjeta para resaltar los pasos y servicios relacionados.

Recepción y Apertura
Crear el ticket restringido con código de seguimiento para denuncias anónimas.
Admisión, Firma y Acuse
Admitir a trámite, firmar confidencialidad, crear carpeta y enviar acuse (≤ 7 días).
Investigación Unificada
Actividades, comunicaciones, archivado documental y comunicación de seguimiento (≤ 3 meses).
Resolución y Cierre
Informe de resolución firmado, comunicación al denunciante y archivo del expediente.
Flujo Funcional — Un único Expediente de Denuncia 👆 Interactivo

Cada paso ocurre sobre el mismo ticket. Los demás módulos se invocan como acciones desde la vista principal, nunca en expedientes separados. Pulsa cualquier paso para ver la lógica.

Denunciante
Presentar Denuncia
Nueva Denuncia
Responsable
Decidir Admisión
Admisión a Trámite
Sistema / Resp.
Emitir Acuse y Firmar
Acuse de Recibo
Investigador
Investigar Hechos
En Investigación
Responsable
Firmar y Resolver
Acciones y Resolución
Sistema / Resp.
Cerrar Expediente
Cerrado

Lógica de funcionamiento

Modelos involucrados
Campos clave
Servicio responsable (Capa 2)
Servicios de Aplicación 👆 Interactivo

Capa 2 Essential: componentes funcionales del sistema. Todos actúan sobre el mismo helpdesk.ticket.

Asistencia
Servicio de Canal de Denuncias
  • • Equipo "Canal de Denuncias" (Privado)
  • • Etapas del pipeline con SLAs de 7d y 3m
  • • Alias de email + formulario web del equipo
  • • Código de seguimiento anónimo
Asistencia + Mail
Servicio de Admisión y Acuse
  • • Decisión de admisión con registro
  • • Envío de Acuse de Recibo (≤ 7 días)
  • • Notificación de no admisión motivada
  • • Actividad de SLA generada automáticamente
Firma
Servicio de Firma Electrónica
  • • Solicitud de firma directa desde el ticket
  • • Acuerdo de Confidencialidad Investigador
  • • Firma del Informe de Resolución final
  • • Certificados integrados en el expediente
Documentos
Servicio de Expediente Seguro
  • • Carpeta de expediente con acceso restringido
  • • Archivo de acuses, evidencias y firmas
  • • Trazabilidad de accesos al expediente
  • • Retención según normativa vigente y RGPD
Actividades
Servicio de Actividades y Alertas SLA
  • • Actividad auto "Acuse" a T+6 días
  • • Actividad auto "Seguimiento" a T+80 días
  • • Reuniones, llamadas y To-Dos manuales
  • • Seguimiento de peticiones de firma
Mail
Servicio de Plantillas de Correo
  • • 1. Acuse de Recibo — Denuncia Recibida
  • • 2. Actualización de Seguimiento (3 meses)
  • • 3. Resolución del Expediente
  • • 4. Denuncia No Admitida a Trámite
Vistas de Información y Reporting

Todos los informes deben generarse anonimizados antes de compartirse externamente.

Cumplimiento Plazos Legales
% de acuses emitidos en ≤ 7 días y seguimientos comunicados en ≤ 3 meses. KPI crítico de cumplimiento. Meta: 100% en ambos indicadores.
Libro-Registro AIPI (Anonimizado)
Exportación de todos los expedientes del Canal de Denuncias con datos anonimizados: referencia, fecha, tipo, resultado y fecha de cierre. Evidencia ante la autoridad.
Estado del Pipeline
Kanban del equipo con número de expedientes en cada etapa. Alertas de SLA en rojo para tickets que se acercan o han superado los plazos legales.
Firmas de Confidencialidad
Estado de las solicitudes de firma del Acuerdo de Confidencialidad: pendientes, firmadas y en qué expedientes. Ningún investigador debe acceder sin firma.
Distribución por Tipo de Infracción
Categorías de las denuncias recibidas (laboral, corrupción, datos, contratación) anonimizadas. Para identificar áreas de riesgo y mejorar los programas de compliance.
Expedientes con Documentación Completa
Tickets cerrados con informe de resolución firmado vs. total cerrados. Meta: 100%. Evidencia de investigación formal.
Arquitectura de Datos y Módulos

Todo converge en el Expediente. Los demás módulos actúan como herramientas invocadas desde él.

helpdesk (Asistencia)
INSTANCIA ÚNICA — EL EXPEDIENTE
helpdesk.ticket (Expediente) helpdesk.team (Canal Denuncias) helpdesk.sla (Políticas) helpdesk.stage (Etapas)
sign (Firma)
INVOCADO DESDE EL CHATTER
sign.request (Solicitud) sign.template (Plantillas)
documents (Documentos)
VINCULADO AL EXPEDIENTE
documents.folder (Carpeta EXP) documents.document (Archivos)
mail / activities
EN EL CHATTER DEL TICKET
mail.activity (SLAs) mail.template (Plantillas) mail.message (Privado)
Lista de Verificación de Configuración

Pasos mínimos para que el canal sea conforme con la Ley 2/2023.

1. Equipo Helpdesk con visibilidad restringida (PRIVADO) Crear equipo "Canal de Denuncias". Visibilidad obligatoria = "Solo usuarios internos invitados (privado)". El Responsable del Sistema es el único seguidor permanente.
2. SLA de 7 días y 3 meses con actividades automáticas Crear las dos políticas SLA. Verificar que al crear un ticket se genera la actividad de acuse a T+6 días y, al admitirlo, la de seguimiento a T+80 días.
3. Dos plantillas de Firma Electrónica Configurar plantillas: (1) "Acuerdo de Confidencialidad — Investigador" y (2) "Informe de Resolución — Canal de Denuncias". Ambas con trazabilidad activada.
4. Carpeta raíz documental con acceso restringido Crear carpeta "Expedientes de Denuncias". Solo el Responsable del Sistema tiene acceso. Cada expediente creará una subcarpeta individual para el investigador.
5. Cuatro plantillas de correo creadas Configurar plantillas de comunicación: Acuse de Recibo, Actualización de Seguimiento, Resolución y No Admitida. El remitente debe ser la dirección confidencial del canal.
6. Designar formalmente al Responsable del Sistema El órgano de administración debe designar por escrito al Responsable del Sistema con autonomía funcional, siendo el único administrador del equipo del canal.
Marco Regulatorio — Ley 2/2023 · Directiva UE 2019/1937 · RGPD

El canal de denuncias debe cumplir simultáneamente la Ley 2/2023 (que transpone al ordenamiento jurídico la Directiva Whistleblowing UE 2019/1937, siendo esta última una referencia de interpretación) y el RGPD / LOPDGDD. La AIPI (Autoridad Independiente de Protección del Informante) supervisa el cumplimiento. Fuente principal: BOE (www.boe.es).

Arts. 5 y 7 Ley 2/2023
Obligación de Implantar el Sistema Interno
  • Obligatorio para empresas de 50 o más trabajadores (en vigor desde diciembre de 2023).
  • También para entidades del sector financiero independientemente del tamaño.
  • El órgano de administración debe designar formalmente al Responsable del Sistema con autonomía funcional.
  • Incumplimiento: infracción muy grave con sanción económica elevada.
  • La AIPI supervisa el cumplimiento y puede inspeccionar el sistema.
Ver Arts. 5 y 7 en BOE
Arts. 16 y 18 Ley 2/2023
Confidencialidad y Plazos de Respuesta
  • La confidencialidad de la identidad del denunciante es absoluta e irrenunciable durante todo el ciclo.
  • Solo el Responsable del Sistema puede conocer la identidad del denunciante.
  • Acuse de recibo al denunciante en máximo 7 días naturales desde la recepción.
  • Informar al denunciante del seguimiento en máximo 3 meses (extensible a 6 meses con justificación).
  • Quiebra de confidencialidad o incumplimiento de plazos acarrea sanciones de diferentes gravedades.
Ver Arts. 16 y 18 en BOE
Art. 14 Ley 2/2023
Requisitos Técnicos del Sistema
  • Diseñado para proteger la confidencialidad del denunciante y de los terceros mencionados.
  • Admitir comunicaciones escritas, orales y presenciales.
  • Admitir denuncias anónimas con posibilidad de seguimiento por código.
  • Registro y trazabilidad de todas las comunicaciones recibidas (Libro-Registro).
  • Accesible a empleados, proveedores, clientes, candidatos y cualquier persona vinculada.
Ver Art. 14 en BOE
Arts. 21-31 Ley 2/2023
Protección del Denunciante — Anti-Represalia
  • Prohibición absoluta de cualquier represalia laboral contra el denunciante de buena fe.
  • Carga de la prueba invertida: la empresa debe demostrar que el trato adverso no está relacionado con la denuncia.
  • Represalias prohibidas: despido, degradación, no renovación, exclusión de formación, acoso.
  • Represalias: constituye una infracción grave con sanciones aplicables.
  • El denunciante tiene derecho a medidas cautelares y asistencia ante la AIPI.
Ver Arts. 21-31 en BOE
Art. 33 Ley 2/2023 + RGPD
Protección de Datos y Retención
  • Los datos del denunciante son datos sensibles. Base jurídica del tratamiento: obligación legal.
  • Conservación máxima: 3 años desde el cierre del expediente (salvo acciones judiciales activas).
  • Incluir el canal de denuncias en el Registro de Actividades de Tratamiento (RAT).
  • Informar al denunciante de sus derechos RGPD en el acuse de recibo y en la resolución.
  • Requiere parametrización de campos para gestionar la fecha de eliminación programada.
Ver Art. 33 en BOE
Arts. 62-70 Ley 2/2023
Régimen Sancionador — AIPI
  • No implantar el canal: infracción muy grave sancionable económicamente.
  • Quiebra de confidencialidad del denunciante: infracción muy grave.
  • Represalias contra el denunciante: infracción grave.
  • Incumplimiento de plazos de acuse o seguimiento: infracción leve.
  • Infracciones adicionales: posible suspensión de contratos públicos y prohibición de contratar.
Ver régimen sancionador en BOE
Recursos de Implementación

Entregables del kit de implementación para este flujo.

Plantilla de Importación
XLSX con el Libro-Registro AIPI anonimizado, SLAs, plantillas de correo y actividades programadas.
Descargar Plantilla
Documentación del Proceso
Documento Word SGC (PR-COM-001) con las 7 secciones normalizadas y regulación de la Ley 2/2023.
Descargar Documentación
Formulario de Diagnóstico
Cuestionario para identificar el Responsable del Sistema, las categorías de infracciones y los canales de entrada del cliente.
Próximamente