Recomendaciones de la AIPI para el diseño e implementación de un SII

La Autoridad Independiente de Protección del Informante (AIPI) publicó el 15 de enero tres recomendaciones clave relativas al diseño, gestión e implementación del Sistema Interno de Información (SII), con el objetivo de ofrecer criterios interpretativos y resolver dudas frecuentes detectadas en la aplicación práctica de la Ley 2/2023.

Las tres recomendaciones publicadas son:

• Recomendación 1/2025/, relativa a la gestión del sistema interno de información en los partidos políticos.
• Recomendación 1/2026, dirigida al diseño e implementación del Sistema Interno de Información, con vocación general.
• Recomendación 2/2026, específica para el diseño e implementación del Sistema Interno de Información en la Administración Local.

Todas las recomendaciones tienen como objetivo fijar criterios interpretativos y pautas prácticas para el diseño e implementación del Sistema Interno de Información (SII), en cumplimiento del artículo 51 de la Ley 2/2023.

Sin perjuicio de lo anterior, en la presente Nota nos centraremos en la Recomendación 1/2026 (en adelante la “Recomendación”) que, se configura como una guía estructural para entidades del sector público y privado, precisando aspectos operativos donde la Ley deja margen o genera dudas. A continuación, se resumen los aspectos más relevantes de la Recomendación:

1. Sujetos obligados

En el ámbito del sector privado se recuerda su aplicación a entidades con más de 50 trabajadores o que actúen en sectores regulados, en línea con el artículo 10 de la Ley 2/2023.

Adicionalmente, la AIPI indica que para el cómputo del umbral de 50 personas trabajadoras, aplicable en el sector privado:

• Se toma como criterio orientativo el modelo del RD 901/2020 (Planes de Igualdad).
• Se computa toda la plantilla independientemente de modalidad contractual o centro de trabajo.
• El personal a tiempo parcial cuenta como una persona.
• Se incluye personal extinguido en los últimos seis meses (contratos temporales).
• Se contabilizan 100 días trabajados como una persona adicional.
• Se incluyen teletrabajadores y desplazados en el extranjero.
• El cómputo debe realizarse al menos el último día de junio y diciembre. 
• Se computan en España los teletrabajadores que prestan servicios desde el extranjero y los trabajadores desplazados al extranjero (expatriados).

En el ámbito del sector público se menciona el ámbito de aplicación descrito en el artículo 13 de la Ley 2/2023.

2. Elementos clave del sistema

La Recomendación analiza los diferentes elementos mínimos, características y principios del SII, aportando implicaciones prácticas respecto a estos. Se destacan los siguientes:

• Ámbito de aplicación abierto a terceros.
• Seguridad y confidencialidad. Destaca la mención a que el SII “deberá operar mediante una plataforma segura y cifrada de extremo a extremo” lo que, en la práctica implica la implantación de un software o herramienta, bien sea desarrollada internamente o soportada en un proveedor de software.
• Principio de accesibilidad y omnicanalidad. Posibilidad de comunicación verbal y por escrito.
• Principio de unificación y gestión centralizada. Convergencia de los diferentes buzones o canales existentes (acoso, laboral, etc.) en el SII actuando como “ventana única”.
• Efectividad y proactividad. Esto es, la agilidad y eficacia en los tiempos.
• Independencia funcional. Principio aplicable a aquellos casos en los que se permite la compartición de recursos del SII por entidades públicas o privadas, por lo que se debe configurar como un sistema propio y claramente identificable.
• Liderazgo y responsabilidad. Lo que implica la independencia y estatus de la figura del Responsable del Sistema Interno de Información.
• Transparencia y divulgación. Aprobación de un documento público que establezca los principios generales que rigen el funcionamiento y garantías del SII.
• Debido proceso, contando con un procedimiento de gestión de informaciones escrito y formalizado.
• Protección contra represalias. Se debe incluir en la normativa interna del SII o en su política, el compromiso y lista de garantías contra represalias ante comunicantes de buena fe.

3. Responsable del Sistema Interno de Información (RSII)

La AIPI insiste en las características a cumplir por parte del RSII, esto es, independencia real, autonomía y jerarquía dentro de la organización.

En el caso del sector privado se permite que la persona designada no sea un directivo, siempre y cuando la naturaleza o dimensión de las actividades de la entidad no lo justifiquen. Mientras que, en el sector público, se indica que, deberá ser nombrado un empleado público por ser quienes ofrecen mayores garantías.

Asimismo, la AIPI recomienda que, en pro de la operatividad de los órganos colegiados que actúan como RSII, el número máximo de miembros sea de cinco y, en todo caso, siempre haya un miembro interno de la entidad obligada, sin especificar si este miembro interno debe ser la persona física en quien se delegan las facultades de gestión y tramitación.

4. Lista de verificación

En el último apartado de la Recomendación, la AIPI hace un listado de cuestiones que deben ser verificadas en la implantación de un Sistema Interno de Información:

• Consulta previa a la representación sindical.
• Acuerdo del Órgano de Gobierno aprobando el Sistema y la Política.
• Designación formal del Responsable del Sistema (RSII).
• Notificación del nombramiento a la AIPI/Autoridad autonómica.
• Implementación técnica del Canal (Software/Buzón seguro).
• Aprobación del Procedimiento de Gestión de Informaciones.
• Publicidad del canal en la página web (acceso visible y fácil).
• Formación al personal sobre el uso del canal.

Asimismo, llama la atención, la referencia a un software en lo que respecta a la implementación técnica del SII, término al que se hace referencia, también, en los apartados II1.3 Elementos mínimos, características y principios del SII, indicando en sus implicaciones prácticas relativas a la seguridad y confidencialidad que “se deberá operar mediante una plataforma segura y cifrada de extremo a extremo…” II.3.2. Vías de comunicación, lo que, si bien no se recomienda de forma taxativa, sí que da a entender la conveniencia de contar con este tipo de herramientas para dar respuesta a todas las exigencias de la Ley 2/2023 en términos de trazabilidad, confidencialidad, anonimato y posibilidad de comunicación con el informante, inclusive el anónimo, entre otras.

5. Otras cuestiones de interés

a. Comunicaciones verbales

La Recomendación, incide en la necesidad de que las comunicaciones verbales (teléfono, voz o presencial) sean documentadas bien mediante grabación o transcripción, dando la oportunidad, en el caso de la transcripción, de que se ofrezca al Informante la oportunidad de rectificar y aceptar la misma mediante firma.

b. Comunicación a la persona afectada

El artículo 9.2 de la Ley 2/2023 indica la obligatoriedad de comunicar a la Persona Afectada las acciones u omisiones que se les atribuyen, algo sobre lo que la propia AIPI insiste en recoger dentro de las obligaciones mínimas del procedimiento de gestión que las entidades deben elaborar, calificándola como “garantía procesal esencial que el RSII debe gestionar de forma imparcial”. 

6. Conclusiones

Las recomendaciones, si bien no son vinculantes, dan una orientación práctica de utilidad en la propia implantación y gestión del SII.

Se debe tener en cuenta que se trata del primer paso dado por la AIPI en lo que respecta a la interpretación de la Ley 2/2023, norma que, recordemos, resulta, en ocasiones, ambigua y adolece de falta de claridad. Por ello, en aras de una mayor seguridad jurídica en la materia, es de esperar que la AIPI continue con su labor interpretativa ampliando dichas recomendaciones o emitiendo unas nuevas.

Se tratan de las primeras recomendaciones elaboradas por la AIPI. No obstante, estas podrán actualizarse a lo largo del tiempo conforme se consolidan los criterios interpretativos de la propia AIPI.

Nota informativa elaborada por el área de Compliance de ECIJA Madrid.