Punts clau sobre governança, compliment normatiu i l'àmbit laboral a la Recomanació 1/2026 sobre els sistemes d'informació interns

Llançament del formulari 

D'acord amb les disposicions de l'article 8 de la Llei 2/2023, de 20 de febrer, l'Autoritat Independent de Protecció dels Denuncients ha llançat el formulari per a la comunicació dels responsables dels sistemes d'informació interns.

Així, tal com es preveu en el Reial Decret 1101/2024, de 29 d'octubre, pel qual s'aprova l'Estatut de l'esmentada Autoritat, les entitats subjectes a aquesta obligació dels sectors privat i públic disposen ara d'un termini de dos mesos per comunicar a l'esmentada Autoritat la persona responsable de cada sistema d'informació interna.

• Enllaç al formulari: https://sede.proteccioninformante.gob.es/login/index/idp/1

Juntament amb el formulari, l'Autoritat també posa a disposició de les parts interessades un manual per omplir el formulari de notificació RSII, així com una adreça de correu electrònic a través de la qual comunicar qualsevol incidència en la comunicació de la persona responsable.

• Enllaç al manual: https://sede.proteccioninformante.gob.es/procedimientos/index/categoria/1
• Adreça de correu electrònic per a incidents: incidenciasformulario@proteccioninformante.es

Recomanacions de l'Autoritat Independent de Protecció dels Denunciants

De la mateixa manera, el 16 de gener de 2026, l'Autoritat Independent de Protecció dels Denunciants (AINPI) va publicar les seves tres primeres Recomanacions sobre els sistemes interns de denúncia regulats per la Llei 2/2023, de 20 de febrer, una de caràcter general, aplicable a tots els sistemes interns de denúncia dels sectors privat i públic, i dues de específiques per a partits polítics i administració local.

A continuació, exposem els punts principals de la recomanació general, és a dir, la Recomanació 1/2026 de l'AINPI, des de les perspectives de governança, compliment normatiu i laboral.

Punts clau de la Recomanació 1/2026 sobre governança

En primer lloc, cal destacar la contextualització que fa l'AINPI del Sistema d'Informació Interna, definint-lo com una infraestructura bàsica sobre la qual es fonamenta la governança ètica moderna. En aquest sentit, subratlla repetidament la importància que l'aprovació final i la responsabilitat última de la implementació del sistema recaiguin, en tots els casos, en l'òrgan d'administració de l'entitat.

Des d'aquesta perspectiva, la Recomanació també destaca tres idees fonamentals:

• La definició del Sistema d'Informació Interna com una infraestructura d'integritat que ha de ser aprovada per l'Òrgan d'Administració de l'entitat o l'equivalent.
• La necessitat d'autonomia i independència del gestor del sistema en relació amb l'òrgan d'administració o altres directius, reforçant així els requisits de lideratge i responsabilitat d'aquesta funció.
• L'exercici de la seva funció amb autonomia i independència, la qual cosa també implica la necessitat de garantir l'absència de conflictes d'interessos.

En el cas dels grups d'empreses, tot i que encara és possible establir un sistema d'informació interna comú per a les entitats del grup, la Recomanació emfatitza que l'existència d'un sistema únic no transforma el grup en una única entitat d'informació ni altera la naturalesa individual de l'obligació prevista a l'article 10.

En la mateixa línia, destaca la importància d'adaptar el sistema als requisits de la normativa espanyola, independentment de si es tracta d'un sistema únic per a tot un grup internacional: si el sistema utilitzat per la societat matriu no està configurat per complir aquests requisits, o si el seu disseny impedeix garantir l'autonomia operativa de la filial, l'entitat espanyola no el podrà utilitzar com a SII vàlid a l'efecte del compliment de l'article 10. Cal assenyalar que, a més de les empreses amb presència o establiment permanent a Espanya, les empreses del sector privat subjectes a aquesta obligació també inclouen sucursals, agents i fins i tot aquelles que presten serveis a Espanya sense establiment permanent.

A més, pel que fa a la figura del gestor únic de l'SII per al grup d'empreses, la Recomanació emfatitza que no s'ha d'entendre com un subjecte abstracte, sinó que la mateixa estructura personal o organitzativa pot assumir l'estatus de gestor per a diverses empreses, designat i comunicat d'acord amb els termes de la llei. Cada empresa té la seva pròpia persona responsable, però en aquest cas seria la mateixa persona per a les diferents empreses del grup. Serà necessari un acord exprés de l'entitat obligada que designi el RSII.

Punts clau de la Recomanació 1/2026 des de la perspectiva de compliment normatiu

Des d'una perspectiva de compliment normatiu, destaquen les idees clau següents:

• Es desenvolupa el requisit de disposar d'una política o estratègia que estableixi els principis generals del sistema, que ara requereix l'aprovació d'un document específic i formal (una política), difós adequadament, que inclogui una llista de garanties que asseguri que no hi haurà conseqüències negatives ni represàlies per fer una denúncia de bona fe.
• La Recomanació amplia el contingut del Procediment de Gestió per incloure, més enllà de les disposicions de l'article 9 de la Llei, la regulació de cadascuna de les seves fases operatives.
• Continuant amb la figura del gestor de l'SII, la Recomanació, en relació amb els òrgans col·legiats, indica que, per ser operatius, el nombre de membres no hauria de superar els cinc, i les facultats de gestió i tramitació dels expedients d'investigació sempre s'han de delegar en un d'ells. No serà necessari que tots en formin part, però en qualsevol cas, l'òrgan ha de tenir com a mínim un membre intern de l'entitat obligada. L'òrgan col·legiat serà responsable del sistema d'aquesta entitat, independentment de l'origen dels seus membres.
• Pel que fa a la recepció d'altres categories de comunicacions no previstes a la Llei, la Recomanació introdueix la següent aclaració: «El canal es pot habilitar per rebre altres comunicacions, per exemple, incompliments del codi de conducta, accions que, sense ser delictes o infraccions administratives greus o molt greus, impliquin o encobreixin accions fraudulentes, etc., però s'ha d'especificar clarament que aquestes queden fora de l'abast de protecció de la Llei».
• El sistema ha d'operar a través d'una plataforma segura amb xifratge de fi a fi que impedeixi la identificació directa o indirecta del denunciant, amb un accés estrictament restringit i una traçabilitat controlada. La confidencialitat s'estén no només a la identitat de les persones implicades, sinó també al contingut de les comunicacions i a qualsevol dada que pugui conduir a la seva identificació, i prevenir activament l'ús indegut del sistema o les represàlies de qualsevol mena.
• Un punt controvertit, a causa de la seva diferència respecte a les disposicions de la pròpia Llei, és el que fa referència als mitjans duts de recepció de comunicacions (verbals i escrites). En aquest sentit, com a bona pràctica per maximitzar l'eficàcia del canal, es recomana que doni suport a ambdós mètodes d'aportació.

Punts clau de la Recomanació 1/2026 des de la perspectiva laboral

Finalment, des d'una perspectiva laboral, els aspectes següents són dignes de menció:

• S'estableixen els criteris per al càlcul del llindar de cinquanta o més treballadors. En aquests casos, la Recomanació esmenta com a criteri orientatiu l'article 3 del Reial Decret 901/2020, de 13 de febrer, pel qual es regula el pla d'igualtat (independentment del nombre de centres de treball o del tipus de contracte laboral; càlcul d'un treballador temporal per cada 100 dies; càlcul, com a mínim, l'últim dia de juny i desembre, etc.), comptant també a aquests efectes els teletreballadors que presten serveis des de l'estranger i els treballadors destacats a l'estranger.
• Un altre aspecte d'interès particular per a les entitats concernides és el que es refereix als canals per a la prevenció de l'assetjament. A aquest efecte, la Recomanació estableix que «Si l'entitat té múltiples bústies o canals sectorials de denúncia que reben comunicacions en virtut de l'article 2 de la Llei 2/2023 (p. ex., assetjament laboral, assetjament sexual, etc.), totes elles han de convergir sota la supervisió de l'RSII" amb l'objectiu d'oferir una " finestreta única" per a la recepció d'aquesta informació i l'aplicació uniforme de les garanties legals (confidencialitat, seguretat, informació al denunciant, terminis, etc.). A més, el procediment de gestió ha de preveure una referència expressa a tots els canals que conformen el sistema d'informació interna, inclòs el canal que es pugui regular en el protocol de prevenció de l'assetjament.
• De la mateixa manera, la implementació dels requisits i les novetats ja esmentats en aquesta Nota té com a conseqüència o recomanació addicional la necessitat de formar el personal en l'ús del canal, com a element fonamental de la verificació bàsica per al disseny i la implementació d'un sistema intern de denúncies.

Llista de comprovació bàsica per al disseny i la implementació del Sistema d'Informació Interna

En conclusió, la Recomanació 1/2026 proporciona una llista de comprovació bàsica per al disseny i la implementació d'un sistema d'informació intern, que consta dels elements essencials següents:

• Consulta prèvia amb els representants sindicals.
• Acord de l'Òrgan de Govern que aprova el Sistema i la Política.
• Nomenament formal del Gestor del Sistema (RSII).
• Notificació del nomenament a l'AIPI/autoritat regional.
• Implementació tècnica del Canal (programari/bústia segura).
• Aprovació del procediment de gestió de la informació.
• Publicitat del canal al lloc web (visible i d'accés fàcil).
• Formació del personal en l'ús del canal.

Enllaç a les recomanacions esmentades: https://www.proteccioninformante.gob.es/circulares-recomendaciones-y-guias

Nota informativa redactada pel Departament de Governança, Compliment Normatiu i Laboral d'ECIJA Madrid.