El 20 de febrero de 2023, el Boletín Oficial del Estado publicó la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. La norma traspuso al ordenamiento español la Directiva europea 2019/1937, conocida como Directiva Whistleblowing, y estableció una obligación que muchas pymes españolas todavía no han incorporado plenamente: implantar un canal de denuncias interno gestionado conforme a estándares definidos por la propia ley.

La obligación afecta a empresas de 50 o más empleados. Las que superan los 249 empleados tuvieron plazo hasta el 13 de junio de 2023. Las que tienen entre 50 y 249 dispusieron hasta el 1 de diciembre de 2023. Han pasado dos años desde el primer plazo, año y medio desde el segundo. Y, según los profesionales que cubren el segmento mediano, una proporción significativa de pymes obligadas todavía no cumple en términos sustantivos.

La diferencia entre cumplir formalmente y cumplir sustantivamente es la pieza clave del análisis. Y la consecuencia operativa de no cumplir bien tiene consecuencias que muchos administradores subestiman.

Qué exige la Ley 2/2023 realmente

La ley no se limita a “tener un canal de denuncias”. Establece requisitos específicos que muchas implementaciones improvisadas no cumplen.

Independencia del responsable del sistema. La persona o entidad que gestione el canal debe ser independiente del órgano que pudiera ser objeto de denuncia. En pymes pequeñas donde el administrador es también socio único, esta independencia es difícil de garantizar internamente. La solución habitual es externalizar la gestión a un despacho especializado, lo que asegura la independencia pero introduce coste recurrente.

Confidencialidad técnica auditable. El canal debe garantizar que la identidad del informante no sea conocida por personas que no estén autorizadas. Esto exige plataforma técnica con cifrado, registro de accesos, y protocolos de gestión que la mayoría de los buzones de correo o formularios web genéricos no cumplen. Una caja de sugerencias física o un email corporativo no son canales conformes.

Plazo de respuesta de 7 días para acuse de recibo y de 3 meses para investigación, salvo excepciones justificadas. La empresa debe poder demostrar que cumple ambos plazos cuando reciba denuncias reales, lo que implica protocolos internos documentados y trazables.

Protección efectiva del informante. La empresa debe garantizar que no se produzcan represalias contra quien denuncie. Esto incluye no solo represalias directas (despido, sanción) sino indirectas (cambio de funciones, exclusión de promociones). La carga de la prueba en caso de litigio recae sobre la empresa: ha de demostrar que el cambio negativo experimentado por el informante no tiene relación con la denuncia.

Registro de denuncias. Debe llevarse un registro donde figuren todas las denuncias recibidas, su tramitación y resolución. Este registro puede ser requerido por la autoridad correspondiente en caso de investigación.

Sanciones por incumplimiento. La ley establece sanciones que oscilan entre los 10.000 y el millón de euros, con tres niveles según gravedad. Una empresa que no haya implementado el canal cuando le correspondía está expuesta a sanción administrativa.

Sede del Boletín Oficial del Estado en Madrid, edificio acristalado con escudo institucional
Sede del BOE en Madrid. La Ley 2/2023 se publicó aquí el 20 de febrero de 2023; los plazos para implantar canal de denuncias en pymes vencieron el 1 de diciembre de ese mismo año. Foto: Zarateman · CC0

El estado de cumplimiento real en pyme española

Las cifras concretas sobre adopción son difíciles de obtener porque no existe registro público centralizado. Las estimaciones que circulan en el sector profesional —despachos de compliance, consultoras especializadas en cumplimiento normativo— sitúan el grado de implementación efectiva en el rango del 15% al 30% de las empresas obligadas, dependiendo del tamaño y sector.

La distribución es desigual. Las empresas grandes (más de 250 empleados) suelen tener canales operativos por dos motivos: la presión regulatoria es mayor y los recursos para implementar correctamente están disponibles. Las empresas medianas-grandes (entre 100 y 249 empleados) están en una franja intermedia: muchas han implementado, pero la calidad de la implementación varía considerablemente.

Las empresas medianas-pequeñas (entre 50 y 99 empleados) son donde el cumplimiento se queda más rezagado. Muchos administradores de empresas en este tamaño desconocen siquiera la obligación. Otros la conocen pero la han postergado, a la espera de que el primer requerimiento administrativo “active” la urgencia. La estrategia es legítima pero arriesgada.

La conexión con la responsabilidad penal del administrador

Aquí entra el dato que muchos administradores no terminan de procesar: el canal de denuncias no es solo una obligación administrativa aislada. Es un componente del sistema de prevención de delitos que la persona jurídica debe tener para limitar la responsabilidad penal de sus administradores.

Desde la reforma del Código Penal en 2010 y posteriores ajustes, las personas jurídicas pueden ser responsables penales de delitos cometidos en su seno por administradores, empleados o terceros. La ley contempla, sin embargo, una eximente: si la empresa demuestra que tenía un sistema de prevención de delitos efectivo, la responsabilidad puede limitarse o excluirse.

El sistema de prevención debe incluir, entre otras piezas, un canal de denuncias interno. La Ley 2/2023 no inventó esa exigencia: la consolidó y la hizo aplicable también a empresas que antes no estaban obligadas.

La consecuencia práctica es que, ante una investigación penal por un delito cometido en una empresa mediana, la ausencia o defectuosa implementación del canal de denuncias se interpretará como prueba de que la empresa no tenía un sistema efectivo de prevención. Esa interpretación puede mover la diferencia entre que el administrador responda penalmente o no.

Es un cambio de marco. Antes de 2023, muchas pymes consideraban que la responsabilidad penal corporativa era un tema “de grandes empresas”. Tras la Ley 2/2023, la documentación del cumplimiento es operativamente exigible a partir de 50 empleados. Y los administradores que no la han preparado están más expuestos personalmente de lo que probablemente saben.

Sede de la Audiencia Nacional en la calle de Goya, Madrid, fachada y entrada lateral
Audiencia Nacional, Madrid. Tribunal con competencia sobre delitos económicos relevantes — el escenario donde la responsabilidad penal de la persona jurídica se decide en función de si el sistema de prevención existía y funcionaba. Foto: Midir · Public Domain

Casos que enseñan

Aunque la jurisprudencia sobre Ley 2/2023 es todavía escasa por la juventud de la norma, algunos casos en grandes corporaciones ilustran cómo se ha tratado la obligación previa.

Las sentencias del Tribunal Supremo de los últimos años han reiterado que el sistema de prevención debe ser real, no formal. No basta con tener un manual de compliance archivado; debe demostrarse que funciona, que se aplica y que se actualiza. Una empresa con manual pero sin auditoría interna, sin formación regular al personal y sin canal operativo no tiene sistema efectivo a efectos jurídicos.

En grandes empresas, esta interpretación ha llevado a sentencias contradictorias en casos donde el administrador alegaba sistema de prevención que el tribunal no consideró suficiente. La extrapolación a pymes —donde los recursos son menores y la documentación más informal— sugiere que el listón de “lo que se considera suficiente” es alto.

Sede del Tribunal Supremo de España en la Plaza de la Villa de París, Madrid, fachada neoclásica
Tribunal Supremo, Madrid. Su Sala Segunda ha consolidado la doctrina de que el sistema de prevención de delitos debe ser real, no formal: ni manual archivado ni canal de papel sirven sin evidencia de aplicación. Foto: Wikimedia · CC-BY-SA

Cómo implementar bien con presupuesto razonable

Para administradores de pyme que quieran cumplir sin desplegar estructura desproporcionada, la operación tiene un coste y una dinámica relativamente acotada.

Externalización del canal. El mercado de despachos especializados ha desarrollado servicios específicos para pyme con tarifas que oscilan entre 100 y 400 euros mensuales según volumen y servicios incluidos. La opción es preferible al canal interno gestionado por un empleado de RRHH, porque garantiza la independencia exigida por la ley.

Formación al equipo. El personal debe conocer la existencia del canal, cómo usarlo y qué protección tiene como informante. Una sesión inicial al implantar el sistema y refresco anual son los mínimos razonables. La empresa debe tener evidencia de que la formación se ha realizado (asistencia, contenidos).

Política de prevención de delitos formalizada. Documento de unas 20-30 páginas adaptado al perfil de la empresa que recoge los riesgos de delito específicos de su actividad y las medidas para mitigarlos. Puede prepararse con asesor especializado en plazo de un mes y revisarse anualmente.

Auditoría interna periódica. Una revisión externa anual del cumplimiento del sistema de prevención. Coste anual entre 1.500 y 5.000 euros para pyme mediana. Es la pieza que cierra el ciclo y proporciona evidencia ante la autoridad correspondiente.

El coste agregado para una pyme de 80 empleados se sitúa típicamente entre 5.000 y 12.000 euros anuales en compliance básico bien implementado. Es un coste recurrente, no irrelevante para empresas con margen ajustado, pero reducido en relación con el riesgo que mitiga.

La asimetría informativa del sector

Una observación que conviene hacer: el sector de despachos y consultoras especializadas en compliance ha tendido a comunicar la obligación con énfasis en el riesgo —sanciones, responsabilidad penal—, lo que en algunos casos ha generado adopciones apresuradas con servicios sobredimensionados.

La pyme mediana no necesita el mismo paquete de compliance que una multinacional cotizada. Necesita el cumplimiento sustantivo de la Ley 2/2023, una política de prevención adecuada a su perfil de riesgo y un sistema de control interno proporcionado. Más allá de eso, el coste es deuda técnica innecesaria.

Identificar el proveedor adecuado es probablemente el ejercicio más relevante para el administrador que aborda el cumplimiento por primera vez. Pedir referencias, comparar al menos tres ofertas, preguntar específicamente por experiencia en empresas de tamaño y sector similares. El sector tiene profesionales serios y operadores oportunistas; distinguirlos requiere algo de criterio.

El balance a 2026

Tres años después de la publicación de la Ley 2/2023, el escenario para la pyme española es claro pero todavía no se ha asentado del todo.

La obligación legal está vigente desde diciembre de 2023 para todas las empresas con 50 o más empleados. Las sanciones administrativas pueden activarse en cualquier momento ante denuncia de empleado, requerimiento de inspección o investigación judicial. La responsabilidad penal de los administradores se ve afectada directamente por la calidad del sistema de prevención.

Sin embargo, la actividad sancionadora administrativa todavía no se ha desplegado masivamente. Las autoridades competentes han priorizado en estos primeros años empresas grandes y sectores especialmente sensibles (financiero, sanitario, contratación pública). La pyme mediana opera todavía en una zona de gracia que probablemente se cerrará progresivamente.

El administrador prudente entiende que la pregunta no es si activar el cumplimiento sino cuándo. Hacerlo proactivamente ahora, con tiempo y presupuesto medido, es mejor que reaccionar tras un primer requerimiento o, peor aún, tras una investigación penal donde la ausencia del sistema se interpretará como agravante. Cumplir es operación de orden, no de pánico. Y cuanto antes se haga, menos costoso resulta.

Fuentes consultadas: