La Autoridad Independiente de Protección del Informante: Nuevo pilar en la lucha contra la corrupción y la protección del informante

¿Qué es la A.A.I.?

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, Ley 2/2023), por la que se incorpora la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en adelante, Directiva 2019/1937), en su título VIII, dota al sistema normativo de un nuevo mecanismo institucional para garantizar y reforzar la seguridad jurídica y la confianza en los sistemas de denuncia, asegurando una respuesta eficaz frente a conductas contrarias al ordenamiento jurídico.

De esta forma surge la A.A.I., autoridad administrativa independiente, dotada de personalidad jurídica propia, autonomía y plena independencia respecto del Gobierno y del sector público. Su misión principal es garantizar la protección efectiva de los informantes frente a cualquier tipo de represalia, así como gestionar el canal externo de comunicaciones sobre infracciones.

¿Cuáles son sus funciones?

Entre sus funciones podemos destacar las siguientes:

• Gestión del canal externo de información: Tramitación de las informaciones que se reciban a través del canal externo regulado en el título III de la Ley 2/2023, en su ámbito de competencias y ajustándose al procedimiento previsto para ello. 
• Protección y apoyo al informante: Implementación de medidas de protección frente a represalias, discriminación o consecuencias adversas derivadas de la comunicación. 
• Potestad sancionadora: En el ámbito de sus competencias tomará la iniciativa, instrucción y resolución de procedimientos sancionadores por infracciones de la Ley 2/2023.
• Asesoramiento y consulta: Emisión de recomendaciones, circulares y buenas prácticas en materia de protección del informante para el correcto funcionamiento de la Autoridad, así como de modelos de prevención de delitos.
• Coordinación institucional: Colaboración con autoridades autonómicas y sectoriales para asegurar una respuesta coherente y eficaz en todo el territorio nacional.

Nuevos retos para el Sector Público y Privado

La A.A.I extiende su ámbito de actuación a todas las entidades del sector público y privado que estén obligadas a disponer de sistemas internos de información. Así, conforme con lo dispuesto legalmente, entre los obligados a disponer de un sistema de información podemos encontrar:

• Las personas jurídicas del sector privado con 50 o más trabajadores y las que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refiere la Directiva 2019/1937.
• Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
• Asimismo, las administraciones públicas, organismos, universidades, sociedades y fundaciones públicas, y corporaciones de derecho público deben contar con un sistema interno de información, sin excepción por tamaño. 

Estos sistemas de información deben cumplir una serie de requisitos, de los que destacamos:

• La obligación de garantizar la confidencialidad, de permitir denuncias anónimas y asegurar la protección de datos y la independencia del responsable del sistema. 
• El canal debe ser accesible, seguro y permitir la presentación de denuncias tanto por escrito como verbalmente. 
• Se debe informar a los potenciales informantes sobre la existencia del canal externo de la A.A.I.

En línea con lo anterior, la puesta en marcha de la A.A.I supone un reto para las organizaciones, que deben adaptar sus sistemas internos y procesos de compliance a los nuevos estándares.   

De esta forma:

• Las empresas y órganos públicos deben notificar a la A.A.I el nombramiento y cese del responsable del sistema interno de información. 
  • En este sentido, la Ley 2/2023 indica que tanto el nombramiento como el cese de la persona física individualmente designada, así como de las integrantes del órgano colegiado deberán ser notificados a la A.A.I., o a las autoridades u órganos competentes de las comunidades autónomas en su caso, en el plazo de los diez días hábiles siguientes.
  • Sin embargo, de acuerdo con la Disposición Transitoria Única del Real Decreto 1101/2024, de 29 de octubre, los nombramientos y ceses, tanto de las personas físicas como de las personas integrantes del órgano colegiado que hayan sido designadas como Responsables del Sistema interno de información, desde la entrada en vigor de la Ley 2/2023 deberán ser notificados a la A.A.I., en un plazo de dos meses a partir de la fecha de puesta en funcionamiento de dicha Autoridad.
• La A.A.I puede requerir colaboración, documentación o información a las empresas y entidades públicas. 
• La A.A.I puede imponer sanciones por incumplimiento de las obligaciones legales relativas a los canales de información, la protección del informante o la comisión de represalias. 

Sin embargo, también representa una oportunidad para fortalecer la cultura ética, prevenir riesgos legales y reputacionales, y posicionarse como entidades comprometidas con la integridad y la buena gobernanza.

Es por ello que, la entrada en funcionamiento de esta nueva figura independiente supone un avance decisivo para el ecosistema de compliance, al reforzar la cultura de integridad en las organizaciones y ofrecer un respaldo institucional independiente que genera confianza en los sistemas de denuncia y en la protección efectiva de los informantes.