Recomanacions de l'AIPI per al disseny i la implementació d'un SII

El 15 de gener, l'Autoritat Independent de Protecció del Denuncient (AIPI) va publicar tres recomanacions clau sobre el disseny, la gestió i la implementació del Sistema Intern d'Informació (SII), amb l'objectiu de proporcionar criteris d'interpretació i resoldre preguntes freqüents detectades en l'aplicació pràctica de la Llei 2/2023.

Les tres recomanacions publicades són:

• Recomanació 1/2025/, relativa a la gestió del sistema intern de denúncies en els partits polítics.
• Recomanació 1/2026, adreçada al disseny i la implementació del Sistema d'Informació Interna, amb un abast general.
• Recomanació 2/2026, específica per al disseny i la implementació del Sistema d'Informació Interna a l'Administració Local.

Totes les recomanacions tenen com a objectiu establir criteris interpretatius i directrius pràctiques per al disseny i la implementació del Sistema d'Informació Interna (SII), d'acord amb l'article 51 de la Llei 2/2023.

Sense perjudici de l'anterior, en aquesta Nota ens centrarem en la Recomanació 1/2026 (d'ara endavant, la «Recomanació»), que es configura com una guia estructural per a les entitats del sector públic i privat, especificant aspectes operatius on la Llei deixa marge a la interpretació o planteja dubtes. A continuació, es resumeixen els aspectes més rellevants de la Recomanació:

1. Entitats obligades

En el sector privat, cal recordar que la Llei s'aplica a les entitats amb més de 50 treballadors o a les que operen en sectors regulats, d'acord amb l'article 10 de la Llei 2/2023.

A més, l'AIPI indica que per al càlcul del llindar de 50 treballadors, aplicable al sector privat:

• El model establert en el RD 901/2020 (Pla d'igualtat) es pren com a guia.
• Es compta tota la plantilla, independentment del tipus de contracte o del lloc de treball.
• El personal a temps parcial compta com una sola persona.
• S'inclouen els treballadors que han marxat en els darrers sis mesos (contractes temporals).
• 100 dies treballats es compten com una persona addicional.
• S'inclouen els teletreballadors i el personal destinat a l'estranger.
• El càlcul s'ha de fer com a mínim l'últim dia de juny i de desembre.
• Els teletreballadors que presten serveis des de l'estranger i els treballadors destinats a l'estranger (expatriats) es compten a Espanya.

En el sector públic, s'esmenta l'àmbit d'aplicació descrit a l'article 13 de la Llei 2/2023.

2. Elements clau del sistema

La Recomanació analitza els diferents elements mínims, característiques i principis de l'SII, i n'ofereix implicacions pràctiques. S'hi destaquen els següents:

• Àmbit d'aplicació obert a tercers.
• Seguretat i confidencialitat. Cal destacar la menció que l'IIS "ha d'operar a través d'una plataforma segura amb xifratge de fi a fi", la qual cosa en la pràctica implica la implementació de programari o una eina, ja sigui desenvolupada internament o recolzada per un proveïdor de programari.
• Principi d'accessibilitat i comunicació omnicanal. Possibilitat de comunicació verbal i escrita.
• Principi d'unificació i gestió centralitzada. Convergència de les diferents bústies o canals existents (assetjament, ocupació, etc.) a l'SII, que actua com una "taula única".
• Efectivitat i proactivitat. És a dir, agilitat i eficiència en termes de temps.
• Independència funcional. Principi aplicable als casos en què es permet el compartir recursos del SII per entitats públiques o privades, per la qual cosa s'ha de configurar com un sistema separat i clarament identificable.
• Lideratge i responsabilitat. Això implica la independència i la condició del Responsable del Sistema d'Informació Intern.
• Transparència i divulgació. Aprovació d'un document públic que estableixi els principis generals que regeixen el funcionament i les garanties de l'SII.
• Dret a un procés degut, amb un procediment formalitzat i per escrit de gestió de la informació.
• Protecció contra represàlies. La normativa interna del SII o la seva política ha d'incloure un compromís i una llista de garanties contra les represàlies contra els denunciants que actuïn de bona fe.

3. Cap del Sistema d'Informació Intern (RSII)

L'AIPI insisteix en les característiques que ha de complir el RSII, és a dir, independència real, autonomia i jerarquia dins de l'organització.

En el cas del sector privat, la persona designada no pot ser un directiu, sempre que la naturalesa o la dimensió de les activitats de l'entitat no ho justifiqui. En el sector públic, en canvi, s'indica que s'hauria de nomenar un funcionari, ja que ofereix més garanties.

De la mateixa manera, l'AIPI recomana que, per garantir l'eficàcia dels òrgans col·legiats que actuen com a RSII, el nombre màxim de membres sigui de cinc i, en qualsevol cas, sempre hi hagi un membre intern de l'entitat obligada, sense especificar si aquest membre intern ha de ser la persona física a qui es deleguen les facultats de gestió i tractament.

4. Llista de comprovació

A l'última secció de la Recomanació, l'AIPI enumera qüestions que s'han de verificar en implementar un Sistema d'Informació Interna:

• Consulta prèvia amb els representants sindicals.
• Acord de l'òrgan de govern que aprova el sistema i la política.
• Nomenament formal del Gestor del Sistema (RSII).
• Notificació del nomenament a l'AIPI/autoritat regional.
• Implementació tècnica del canal (programari/bústia segura).
• Aprovació del procediment de gestió de la informació.
• Publicitat del canal al lloc web (visible i d'accés fàcil).
• Formació del personal sobre l'ús del canal.

També és remarcable la referència al programari en relació amb la implementació tècnica del SII, un terme que també es fa servir a les seccions II1.3 Elements mínims, característiques i principis del SII, on s'indica, en les seves implicacions pràctiques relatives a la seguretat i la confidencialitat, que «ha d'operar mitjançant una plataforma segura amb xifratge de fi a fi...» II.3.2. Canals de comunicació, que, tot i que no es recomana estrictament, sí que implica la conveniència de disposar d'aquest tipus d'eina per tal de complir tots els requisits de la Llei 2/2023 pel que fa a la traçabilitat, la confidencialitat, l'anonimat i la possibilitat de comunicar-se amb l'informant, inclosos els informants anònims, entre d'altres.

5. Altres qüestions d'interès

a. Comunicacions verbals

La Recomanació emfatitza la necessitat que les comunicacions verbals (telefòniques, de veu o presencials) es documentin mitjançant una gravació o una transcripció, donant a l'alertador l'oportunitat, en el cas de la transcripció, de rectificar-la i acceptar-la mitjançant la seva signatura.

b. Comunicació a la persona afectada

L'article 9.2 de la Llei 2/2023 indica l'obligació de comunicar a la persona interessada les accions o omissions que se li atribueixen, un fet que l'AIPI mateix insisteix a incloure dins de les obligacions mínimes del procediment de gestió que les entitats han de desenvolupar, descrivint-ho com «una garantia processal essencial que l'RSII ha de gestionar de manera imparcial».

6. Conclusions

Tot i que les recomanacions no són vinculants, proporcionen orientacions pràctiques útils sobre la implementació i la gestió de l'SII.

Cal tenir en compte que aquest és el primer pas que fa l'AIPI pel que fa a la interpretació de la Llei 2/2023, una normativa que, cal recordar, de vegades és ambigua i li falta claredat. Per tant, en interès d'una major seguretat jurídica en aquesta matèria, cal esperar que l'AIPI continuï el seu treball d'interpretació ampliant aquestes recomanacions o emetent-ne de noves.

Aquestes són les primeres recomanacions elaborades per l'AIPI. No obstant això, es poden anar actualitzant amb el temps a mesura que es consoliden els propis criteris interpretatius de l'AIPI.

Nota informativa elaborada pel Departament de Compliment Normatiu d'ECIJA Madrid.