Principales claves de gobernanza, cumplimiento y ámbito laboral en la Recomendación 1/2026 sobre los Sistemas Internos de Información

Informes9 de febrero de 2026

La Autoridad Independiente de Protección del Informante activa el formulario de comunicación del Responsable del Sistema Interno de Información y publica su primera Recomendación general, reforzando las exigencias en materia de gobernanza, cumplimiento normativo y gestión laboral de los canales internos.

Puesta en marcha del Formulario

En cumplimiento de la previsión recogida en el art. 8 de la Ley 2/2023 de 20 de febrero, la Autoridad Independiente de Protección del Informante ha puesto en marcha el formulario para la comunicación de los Responsables de los Sistemas Internos de Información.

Así las cosas, tal y como prevé el Real Decreto 1101/2024, de 29 de octubre, por el que se aprobaba el Estatuto de la citada Autoridad, las entidades obligadas del sector privado y del sector público disponen, desde este momento, de un plazo de 2 meses para efectuar la comunicación del Responsable de cada sistema interno de información a la citada Autoridad.

Enlace al formulario: https://sede.proteccioninformante.gob.es/login/index/idp/1

Junto con el formulario, la Autoridad pone a disposición de los interesados, además, un Manual para cumplimentar el formulario de comunicación del RSII, así como una dirección de correo electrónico a través de la que informar sobre posibles incidencias en la comunicación del Responsable.

Enlace al Manual: https://sede.proteccioninformante.gob.es/procedimientos/index/categoria/1
Correo electrónico de incidencias: incidenciasformulario@proteccioninformante.es

Recomendaciones Autoridad Independiente de Protección al Informante

Asimismo, recientemente, la Autoridad Independiente de Protección al Informante (AINPI) publicó, el pasado 16 de enero de 2026, sus tres primeras Recomendaciones sobre los sistemas internos de información regulados en la Ley 2/2023, de 20 de febrero, una de carácter general, de aplicación a la totalidad de los sistemas internos de información del sector privado y público, así como dos específicas, para Partidos Políticos y la Administración Local.

A continuación, exponemos las principales claves respecto de la Recomendación de carácter general, esto es, la Recomendación 1/2026 de la AINPI, desde las perspectivas de gobernanza, cumplimiento y laboral.

Principales claves de la Recomendación 1/2026 en materia de gobernanza

En primer lugar, cabe destacar la contextualización que la AINPI hace del Sistema Interno de Información, definiéndolo como una infraestructura básica sobre la que se asienta una gobernanza ética moderna. En este sentido, incide en varias ocasiones en la importancia de que la aprobación final y responsabilidad última de la implantación del sistema recaigan, en todo caso, en el órgano de administración de la entidad.

Desde esta perspectiva, adicionalmente, la Recomendación incide en tres ideas fundamentales:

La definición del Sistema Interno de Información como una infraestructura de integridad que debe ser aprobada por el Órgano de Administración o equivalente de la entidad.
La necesidad de autonomía e independencia del Responsable del Sistema en relación con el Órgano de Administración o de otros directivos, reforzando, así, las exigencias de liderazgo y responsabilidad de esta función.
El ejercicio de su función con autonomía e independencia, que implica, además, la necesidad de garantizar la ausencia de conflictos de intereses.

En los casos de grupos de empresas, si bien se mantiene la posibilidad de establecer un sistema interno de información común para las entidades del grupo, la Recomendación incide en que la existencia de un sistema único no transforma al grupo en un único sujeto obligado ni altera la naturaleza individual de la obligación prevista en el artículo 10.

En esta misma línea, destaca la importancia de adaptar el sistema a las exigencias de la normativa española, con independencia de que el mismo sea único para todo un grupo internacional: si el sistema utilizado por la matriz no está configurado para cumplir estas exigencias, o si su diseño impide garantizar la autonomía operativa de la filial, entonces la entidad española no podrá utilizarlo como SII válido a efectos del cumplimiento del artículo 10. Cabe recordar que entre las empresas del sector privado obligadas se incluyen también, además de aquellas que tengan presencia o establecimiento permanente en España, las sucursales, agentes o incluso aquellas que presten servicios en España sin establecimiento permanente.

Además, en relación con la figura del Responsable del SII único para el grupo de empresas, la Recomendación incide en que éste no debe entenderse como sujeto abstracto, sino que se permite que la misma estructura personal u orgánica asuma la condición de responsable respecto de varias sociedades, designada y comunicada en los términos de la ley. Cada sociedad tiene su propio responsable, pero, en este caso, sería la misma persona para las diversas sociedades del grupo. Será necesario un acuerdo expreso de la entidad obligada designando al RSII.

Principales claves de la Recomendación 1/2026 desde la perspectiva de cumplimiento

Desde la perspectiva de cumplimiento, la se destacan las siguientes ideas esenciales:

Se desarrolla la exigencia de contar con una política o estrategia que enuncie los principios generales del sistema, requiriéndose, ahora, la aprobación de un documento específico y formal (una política), adecuadamente difundido, que incluya un listado de garantías que aseguren que no se sufrirán consecuencias negativas o represalias por haber comunicado de buena fe.
La Recomendación amplía el contenido del Procedimiento de gestión para incluir, más allá de lo estipulado en el artículo 9 de la Ley, la regulación de cada una de sus fases operativas.
Continuando con la figura del Responsable del SII, la Recomendación, en relación con los órganos colegiados, indica que, para ser operativo, el número de miembros no debería superar los cinco, debiendo siempre delegar en uno de ellos las facultades de gestión y tramitación de expedientes de investigación. No será exigible que todos ellos formen parte de la organización, pero en todo caso, el órgano debe contar con, al menos, un miembro interno de la entidad obligada. El órgano colegiado será el responsable del Sistema de dicha entidad, con independencia del origen de sus integrantes.
Al respecto de la recepción de otras categorías de comunicaciones no previstas en la Ley, la Recomendación introduce la siguiente precisión: “El canal puede estar habilitado para recibir otras comunicaciones ej. infracciones del código de conducta, actuaciones que sin ser delito ni infracciones administrativas graves o muy graves supongan o amparen actuaciones fraudulentas, etc. pero debe advertirse claramente que estas quedan fuera del ámbito de protección de la Ley”.
Se incluye la obligación de que el sistema opere mediante una plataforma segura y cifrada de extremo a extremo que impida la identificación directa o indirecta del informante, con accesos estrictamente restringidos y trazabilidad controlada, extendiéndose la confidencialidad no solo a la identidad de las personas implicadas, sino también al contenido de las comunicaciones y a cualquier dato que permita inferirla, y previniendo activamente usos indebidos del sistema o represalias de cualquier tipo.
Un punto que resulta controvertido, por su diferencia respecto de lo establecido en la propia Ley, es el relativo a la doble vía de recepción de comunicaciones (verbal y escrita). En este sentido, como buena práctica para maximizar la eficacia del canal, se recomienda que éste soporte ambos métodos de entrada.

Principales claves de la Recomendación 1/2026 desde la perspectiva laboral

Finalmente, desde la perspectiva laboral destacan los siguientes aspectos:

Se establece la determinación de los criterios para el cómputo del umbral de cincuenta o más personas trabajadoras. En estos casos, la Recomendación menciona como criterio orientativo el artículo 3 del Real Decreto 901/2020, de 13 de febrero, por el que se regulan los Planes de Igualdad (con independencia del nº de centros de trabajo o la modalidad de la contratación laboral; computo de un trabajador temporal por cada 100 días; cómputo, al menos, en el último día de los meses de junio y diciembre, etc.), computándose también a estos efectos a estos efectos, los teletrabajadores que prestan servicios desde el extranjero y los trabajadores desplazados al extranjero.
Otro de los aspectos de especial interés por parte de las entidades obligadas es el relativo a los canales de prevención del acoso. A este respecto, la Recomendación indica que “Si la entidad posee múltiples buzones o canales de denuncia sectoriales que reciban comunicaciones del artículo 2 de la Ley 2/2023 (ej., Acoso Laboral, sexual, etc.), todos deben converger bajo la supervisión del RSII” con el objetivo de ofrecer una “ventana única” para la recepción de dichas informaciones y la aplicación uniforme de las garantías legales (confidencialidad, seguridad, información al informante, plazos, etc.). Además, el procedimiento de gestión deberá prever la referencia expresa a todos los canales que compongan el sistema interno de información, entre los que se encuentra el canal que pudiera estar regulado en el protocolo de prevención del acoso.
Del mismo modo, la implementación de las exigencias y novedades ya referidas en la presente Nota trae como consecuencia o recomendación adicional aparejada, la necesidad de formación al personal sobre el uso del canal, como elemento fundamental de verificación básica para el diseño e implementación de un sistema interno de información.

Lista de verificación básica para el diseño e implementación del Sistema Interno de Información

Como conclusión, la Recomendación 1/2026 aporta una lista de verificación básica para el diseño e implementación de un sistema interno de información compuesta por los siguientes elementos esenciales:

Consulta previa a la representación sindical.
Acuerdo del Órgano de Gobierno aprobando el Sistema y la Política.
Designación formal del Responsable del Sistema (RSII).
Notificación del nombramiento a la AIPI/Autoridad autonómica.
Implementación técnica del Canal (Software/Buzón seguro).
Aprobación del Procedimiento de Gestión de Informaciones.
Publicidad del canal en la página web (acceso visible y fácil).
Formación al personal sobre el uso del canal.

Enlace a las referidas Recomendaciones: https://www.proteccioninformante.gob.es/circulares-recomendaciones-y-guias

Nota informativa escrita por el área de Gobernanza y Compliance y Laboral de ECIJA Madrid.

Una vista vertical de un rascacielos moderno entre edificios de cristal.

¿Qué estás buscando?