Verificado contra normativa oficial AIPI
Cómo cumple Cumplecanal la Ley 2/2023 punto por punto
Diseñado contra la Ley 2/2023 (LPI), la Recomendación 1/2026 v2 de la Autoridad Independiente de Protección del Informante (AIPI) y el FAQ v4 del 14 de abril de 2026. Esto es lo que Cumplecanal hace, dónde lo dice la norma, y qué todavía no cumplimos hoy.
Última auditoría interna: 2026-05-23. Fuentes verificadas: Ley 2/2023 (BOE), AIPI — Recomendación 1/2026 v2, AIPI — FAQ RSII v4 (14/04/2026).
1 Elementos mínimos del Sistema Interno de Información
El art. 5.2 LPI enumera 10 requisitos obligatorios. La Recomendación II.1.3 (p. 9-13) los desarrolla. Esto es lo que cubrimos:
| Requisito legal | Cómo lo cumple Cumplecanal | Cita |
|---|---|---|
| a) Ámbito e inclusiónAcceso para todas las personas del art. 3 LPI | Canal abierto a trabajadores, ex-trabajadores, candidatos, autónomos, contratistas, proveedores y becarios. Sin login obligatorio para presentar. | Art. 5.2.a · Rec. II.1.3 p9 |
| b) Seguridad y confidencialidadPlataforma cifrada, accesos restringidos | TLS 1.3 en tránsito · pgcrypto (PGP simétrico) para campos sensibles en BD · MinIO cifrado at-rest para adjuntos · acceso por rol con JWT firmado · cookie de sesión HttpOnly+Secure. |
Art. 5.2.b · Rec. II.1.3 p9-10 |
| c) Accesibilidad y omnicanalidadPor escrito y verbalmente | Vía escrita: formulario web seguro /denuncia. Vía verbal: parcial — pendiente N1 (línea telefónica del RSII + reunión presencial ≤7 días). | Art. 5.2.c · Rec. II.3.2 p18 |
| d) Unificación y gestión centralizadaVentana única para todos los canales internos | Cumplecanal es la "ventana única". Documentación en onboarding para que el cliente integre buzones sectoriales (acoso, etc.) bajo el mismo RSII. | Art. 5.2.d · Rec. II.1.3 p10-11 |
| e) Efectividad y proactividadTratamiento eficaz y plazos respetados | Recordatorios automáticos al RSII antes de cada plazo (acuse 7d, tramitación 3m, prórroga 3m). Dashboard con alertas de plazo vencido (rojo) y próximo (ámbar). | Art. 5.2.e · Rec. II.1.3 p11 |
| f) Independencia funcionalDiferenciación de otros SII | Cada cliente recibe su propia instancia containerizada con BD propia, MinIO propio y subdominio identificado: tu-empresa.cumplecanal.es. Sin riesgo cross-tenant. |
Art. 5.2.f · Rec. II.1.3 p11 |
| g) RSII designadoResponsable independiente del órgano de gobierno | Modelo de Acta de Designación firmable gratuita en /herramientas/designar-rsii. Roles internos titular + suplente con regla de abstención automática. Soporte de órgano colegiado: pendiente N12. | Art. 5.2.g · Art. 8 · Rec. II.2 |
| h) Política o estrategia publicadaDefensa del informante difundida | Política tipo entregada en el paquete legal: vigente y publicada en cada canal. Plantilla embebible para la web corporativa del cliente. | Art. 5.2.h · Rec. II.1.3 p12 |
| i) Procedimiento de gestión escritoProtocolo formal con plazos | Procedimiento documentado en el paquete legal con flujo completo (recepción → acuse → tramitación → resolución → archivo). Detalle en sección 4. | Art. 5.2.i · Rec. II.1.3 p12 |
| j) Garantías contra represaliasCompromiso interno + listado | Plantilla de política con cláusulas anti-represalia, derecho de audiencia para personas afectadas, sanciones internas por incumplimiento. | Art. 5.2.j · Art. 9 · Cap. VI LPI |
2 Canal Interno (CII) — características de diseño
Detalladas en el art. 7 LPI y la Recomendación II.3 (p. 17-20):
| Requisito | Estado en Cumplecanal | Cita |
|---|---|---|
| Integración formal en el SII | El canal es el front del mismo sistema que gestiona el RSII. Sin componentes desacoplados ni "buzones huérfanos". | Art. 7.1 |
| Admisión de comunicaciones anónimas | Checkbox en el formulario. Sin IP ni User-Agent registrados (middleware AntiForensic). Strip EXIF/Office en adjuntos. |
Art. 7.3 |
| Identificación visible de la entidad titular | Logo + razón social en cada página del canal. Subdominio dedicado (cliente.cumplecanal.es). |
Rec. II.1.3 p11 |
| Información sobre canales externos | Listado en /canal/autoridades: AIPI estatal + las 8 autoridades autonómicas (Cataluña, Galicia, Andalucía, C. Valenciana, Castilla-La Mancha, Navarra, Madrid, Castilla y León) e instituciones UE. | Art. 9.2.b · Rec. II.3.3 p19 |
| Vía escrita | Formulario web seguro. Roadmap N1 incluye también email dedicado y correo postal documentado. | Art. 7.2 · Rec. II.3.2 |
| Vía verbal (telefónica + reunión presencial ≤7d) | Pendiente — N1 + N2 del roadmap. Hoy se cubre vía RSII directo del cliente, no integrado en plataforma. | Art. 7.2 · Rec. II.3.2 p18 |
| Libro-registro (art. 26) | Pública en /canal/libro-registro con: fecha de recepción, objeto, estado y fecha de cierre por cada comunicación. | Art. 26 · Rec. II.3.4 p19 |
3 Responsable del Sistema (RSII)
Definido en el art. 8 LPI y la Recomendación II.2 (p. 14-17) + FAQ Q3-Q9:
- Designación dual (titular + suplente) como buena práctica con regla de abstención automática cuando una denuncia afecte al titular.
- Independencia funcional: no recibe instrucciones del órgano de administración. Cumplecanal aísla las acciones del RSII del admin de la entidad: el admin no ve contenido de denuncias (separación de poderes art. 8.4).
- Acta de designación: generador gratuito en /herramientas/designar-rsii que produce el PDF firmable conforme art. 8 + art. 11.
- Notificación a la AIPI o autoridad autonómica: paquete de comunicación incluido. Plazo legal: 10 días hábiles desde el nombramiento (FAQ Q22).
- Compatible con Compliance Officer existente (FAQ Q5) — la persona que ya ejerce funciones de cumplimiento puede asumir el RSII si cumple los requisitos.
- Órgano colegiado (hasta 5 miembros, ≥1 interno): pendiente — N12 del roadmap.
4 Procedimiento de gestión (art. 9 LPI)
| Obligación legal | Cómo lo automatiza Cumplecanal | Cita |
|---|---|---|
| Identificación del canal asociado | Cada denuncia registra canal_entrada (formulario_web hoy; teléfono, correo postal y presencial cuando se complete N1). |
Art. 9.2.a |
| Información de canales externos al informante | Enlazado desde el formulario y desde la pantalla de seguimiento del informante. | Art. 9.2.b |
| Acuse de recibo en 7 días naturales | Recordatorio programado al RSII 5 días antes del vencimiento + alerta roja en el dashboard al pasar el plazo. Acuse con un clic desde el detalle. | Art. 9.2.c |
| Plazo máximo 3 meses (ampliable 3 más) | Tracking automático desde la fecha de recepción. Notificación de prórroga al informante mediante el código de seguimiento. | Art. 9.2.d |
| Comunicación segura con el informante | Sistema de seguimiento por código de 24 caracteres sin identificar al informante. Permite ampliar la comunicación sin revelar identidad. | Art. 9.2.e |
| Derecho de audiencia de la persona afectada | Flujo en el panel del RSII para registrar la comunicación a la persona afectada en tiempo y forma adecuados, sin frustrar la investigación. | Art. 9.2.f |
| Remisión a Fiscalía si hay indicios de delito | Estado "remitido_a_fiscalia" con fecha + acta. Plantilla de oficio. Si afecta a intereses UE, se notifica también a Fiscalía Europea. | Art. 9.2.j |
| Confidencialidad en la tramitación | Solo rsii_titular y rsii_suplente ven contenido. Cada apertura queda registrada en acceso_log (quién, qué denuncia, cuándo, acción). |
Art. 9.2.g · Art. 8.4 |
5 Garantías de protección contra represalias
Cap. VI LPI (arts. 35-40) y Rec. II.1.3 p13:
- Anonimato técnico real: no se registra IP, User-Agent ni huellas del navegador en el lado público. Strip de metadatos EXIF/Office en adjuntos. Código de seguimiento de 24 caracteres sin PII.
- Cifrado de campos sensibles con pgcrypto (PGP simétrico). Un volcado de Postgres sin la clave maestra no descifra hechos, identidad ni adjuntos.
- Acceso restringido por rol: el admin de la entidad no ve contenido de denuncias (separación de poderes).
- Plantilla legal de defensa del informante incluida — política con cláusulas anti-represalia que el órgano de gobierno aprueba al implantar el SII.
6 Integridad técnica auditable — nuestro diferenciador
Esto va más allá de lo exigido por la Ley pero es lo que un inspector AEPD/AAI valorará especialmente si recibís una inspección:
- Audit log inmutable. Cada acción relevante (denuncia creada, RSII notificado, acuse, cambio de estado, descarga de expediente, etc.) se registra en una cadena de eventos. El DDL bloquea UPDATE y DELETE sobre la tabla mediante trigger.
- Cadena SHA-256 verificable. Cada evento incluye
hash_prevyhash_actual = sha256(hash_prev + timestamp + actor + evento + payload). Modificar cualquier fila rompe la cadena de todas las posteriores. - Exportación del expediente como ZIP con: PDF formateado, JSON completo con la cadena de eventos y fichero
integrity.txtcon los SHA-256 del PDF y del JSON. - Verificación matemática reproducible: cualquier auditor con la cadena puede recomputar los hashes en su propio entorno y verificar que ningún evento ha sido alterado.
7 RGPD y retención de datos
Conforme al RGPD (Reglamento UE 2016/679), la LOPDGDD (Ley Orgánica 3/2018) y el art. 32 LPI:
- Bases jurídicas claras: interés público para la gestión del canal (art. 6.1.e RGPD); obligación legal de la Ley 2/2023.
- Cifrado en BD con pgcrypto (pgp_sym_encrypt). Cifrado at-rest en MinIO para adjuntos (SSE-S3).
- Retención automática 90 días (configurable) para datos personales si no se abre expediente. Audit log se conserva por interés legítimo de defensa ante inspecciones.
- Contrato de Encargo de Tratamiento (art. 28 RGPD) firmable con cada cliente. Modelo público aquí.
- Derechos del interesado (acceso, rectificación, supresión, limitación, oposición, portabilidad) atendibles a través del DPD del cliente.
8 Lagunas que reconocemos honestamente
Preferimos contar lo que todavía no hacemos a vender una conformidad que no es completa. Estas brechas están en el backlog público con responsable y fecha objetivo:
| ID | Brecha | Fuente normativa | Fecha objetivo |
|---|---|---|---|
N1 |
Vía verbal completa: teléfono dedicado integrado + formulario de solicitud de reunión presencial con plazo ≤7 días. | Rec. II.3.2 p18 · FAQ Q2 | Q3 2026 |
N2 |
Transcripción rectificable: workflow para que el informante revise, rectifique y firme la transcripción de su comunicación verbal. | Rec. II.3.3 p19 | Q3 2026 |
N12 |
Órgano colegiado como RSII (hasta 5 miembros, ≥1 interno, uno delegado para gestión). | Rec. II.2 · FAQ Q4 | Q4 2026 |
N5 |
Wizard "¿A qué autoridad notifico mi RSII?" según CCAA del domicilio y presencia en otras CCAA. | FAQ Q10-Q17 | Q3 2026 |
¿Necesitas hoy una de estas funciones para una inspección o auditoría inminente? Habla con nosotros y la priorizamos contigo en el contrato.
Fuentes normativas verificadas
- Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas (LPI) — BOE
- Directiva (UE) 2019/1937, de 23 de octubre de 2019
- AIPI — Recomendación 1/2026 v2 (enero 2026)
- AIPI — FAQ RSII v4 (14/04/2026)
- Real Decreto 1101/2024, Estatuto de la AIPI
Este documento se actualiza cada vez que la AIPI publica una nueva versión de su Recomendación o FAQ, o cuando se cierra alguna brecha del roadmap (§8). Última comparación contra texto oficial: 2026-05-23.
Cumplir la Ley 2/2023 sin sustos, con transparencia
Mira los planes desde 149 €/año o habla con nosotros si tu empresa tiene casuística especial.