La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, introduce una figura central en el artículo 8: el Responsable del Sistema de Información. Esta persona física debe actuar como garante del funcionamiento del canal interno de información, velando tanto por la protección frente a represalias como por el fortalecimiento de la cultura de la integridad en las organizaciones.[1]
El artículo 8 de la Ley 2/2023:
El artículo 8 es el que regula la figura central del Responsable del Sistema de Información. La Ley establece lo siguiente:
1. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el competente para la designación de la persona física responsable de la gestión de dicho sistema o «Responsable del Sistema», y de su destitución o cese.
2. Si se optase por que el Responsable del Sistema fuese un órgano colegiado, este deberá delegar en uno de sus miembros las facultades de gestión del Sistema interno de información y de tramitación de expedientes de investigación.
3. Tanto el nombramiento como el cese de la persona física individualmente designada, así como de las integrantes del órgano colegiado deberán ser notificados a la Autoridad Independiente de Protección del Informante, A.A.I., o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas, en el ámbito de sus respectivas competencias, en el plazo de los diez días hábiles siguientes, especificando, en el caso de su cese, las razones que han justificado el mismo.
4. El Responsable del Sistema deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo.
5. En el caso del sector privado, el Responsable del Sistema persona física o la entidad en quien el órgano colegiado responsable haya delegado sus funciones, será un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma. Cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible el desempeño ordinario de las funciones del puesto o cargo con las de Responsable del Sistema, tratando en todo caso de evitar posibles situaciones de conflicto de interés.
6. En las entidades u organismos en que ya existiera una persona responsable de la función de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación, podrá ser esta la persona designada como Responsable del Sistema, siempre que cumpla los requisitos establecidos en esta ley.
En organizaciones de mayor tamaño, la incorporación del Responsable del Sistema resulta más sencilla, ya que la estructura organizativa y la disponibilidad de recursos permiten asignar esta función a una persona ajena a las áreas operativas. En cambio, en empresas medianas o pequeñas, donde los recursos humanos suelen ser limitados, será necesario realizar un ejercicio de ingeniería organizativa, similar al que se observa en la designación de la función de Compliance, para compatibilizar esta responsabilidad con otras funciones existentes sin comprometer la independencia ni la eficacia del sistema.
Implicaciones prácticas: ¿qué deben tener en cuenta las organizaciones?
Designación formal del responsable del sistema
El requerimiento de que el nombramiento sea realizado por el órgano de gobierno subraya que el canal interno de información no es un simple trámite administrativo, sino una pieza clave del sistema de cumplimiento normativo. Esta designación refuerza el principio de tone from the top y evidencia el compromiso real de la alta dirección con la cultura de integridad.
El legislador persigue dos objetivos fundamentales:
-
Refuerzo del liderazgo ético: Al exigir que la designación emane del órgano de máxima autoridad, se busca implicar directamente a los administradores y directivos, reafirmando que no pueden delegar su responsabilidad sobre el buen funcionamiento del sistema. Asimismo, se establece la necesidad de que el Responsable del Sistema rinda cuentas de manera directa ante dicho órgano.
-
Claridad en la responsabilidad: Al exigir que sea una persona física quien asuma la gestión del sistema y la tramitación de expedientes, se asegura una mayor transparencia en la asignación de responsabilidades. Esta medida contribuye a evitar posibles conflictos de interés y reduce el riesgo de filtraciones o pérdidas de información sensible.
Notificación del nombramiento ante la AAI
El nombramiento y el cese del Responsable del Sistema deben ser comunicados a la Autoridad Independiente de Protección del Informante (AAI) o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas, según corresponda en función del ámbito territorial.
La AAI dispone de un plazo de un año desde la entrada en vigor de la Ley para aprobar su Estatuto, por lo que las organizaciones deberán estar atentas a su publicación para conocer con precisión el procedimiento y los canales oficiales para realizar estas notificaciones. A 2025, este proceso está actualmente en marcha y la AAI designó a su Presidente; sin embargo, las funciones han sido asumidas en la práctica por las oficinas antifraude de las Comunidades Autónomas. En el caso de Catalunya, le ha correspondido a la Oficina Antifrau.
En todo caso, esta obligación guarda similitud con otros ámbitos del cumplimiento normativo, como la prevención del blanqueo de capitales o la protección de datos personales, donde también se exige la designación formal de un responsable ante una autoridad administrativa.
Independencia y Autonomía del Responsable del Sistema de Información
Al igual que ocurre con figuras como la función de Compliance o el Delegado de Protección de Datos, el Responsable del Sistema de Información debe ejercer sus funciones con plena independencia y autonomía. Esto implica que debe gestionar expedientes e investigaciones sin recibir instrucciones, presiones ni restricciones por parte de la organización.
Este requisito supone uno de los principales desafíos para las pequeñas y medianas empresas, donde los recursos humanos y materiales suelen ser limitados. No basta con una designación formal: es necesario acreditar que el Responsable del Sistema cuenta con la capacidad real para investigar y con los medios adecuados para desempeñar sus funciones, incluyendo la protección efectiva de los informantes y la integridad de la información tratada.
La credibilidad del sistema dependerá, en gran medida, de que esa independencia y autonomía no sean meramente teóricas. Si bien puede cumplirse formalmente con el nombramiento y con la mención de su independencia, si en la práctica no se le asigna un presupuesto específico, se restringe su acceso a la información o se le niegan recursos clave, el sistema podría considerarse ineficaz y el Responsable, una figura sin verdadera capacidad de actuación.
El Responsable del Sistema de Información, un directivo de la organización.
Por norma general, en el ámbito privado, el Responsable del Sistema debe ser un directivo de la organización, entendido como aquella persona con capacidad para liderar equipos o áreas estratégicas, ubicada en la parte más alta del organigrama, justo por debajo del órgano de gobierno. En todo caso, este Responsable debe ser independiente del órgano de gobierno, garantizando su objetividad en la gestión del canal y sus expedientes.
No obstante, la Ley introduce una excepción razonable para aquellas entidades cuya naturaleza o dimensión no justifique la creación de una función directiva separada. En estos casos, permite que las funciones del Responsable del Sistema se compatibilicen con las del puesto que esa persona ya desempeñe, siempre que se tomen medidas para evitar conflictos de interés.
Este enfoque introduce cierta flexibilidad —a diferencia del artículo 31 bis del Código Penal, que exige con más rigidez la separación de funciones en materia de supervisión y vigilancia— y se adapta mejor a la realidad del tejido empresarial, mayoritariamente compuesto por PYMES. Es previsible, por tanto, que surjan modelos híbridos donde el Responsable del Sistema comparta funciones con otras áreas como Cumplimiento Normativo, Recursos Humanos o Calidad.
Este modelo híbrido plantea desafíos importantes, especialmente cuando el Responsable del Sistema también dirige Recursos Humanos. En tales casos, se incrementa el riesgo de conflicto de interés, sobre todo cuando las comunicaciones traten temas laborales, ya que coincidirían en una misma persona la gestión del expediente y la ejecución de posibles medidas disciplinarias.
Por otra parte, la Ley prevé que, en entidades donde ya exista una persona encargada del cumplimiento normativo, ésta pueda ser designada como Responsable del Sistema de Información, siempre que cumpla con los requisitos legales: designación por parte del órgano de gobierno, independencia, autonomía funcional, condición de persona física (o delegado dentro de un órgano colegiado) y rango directivo.
Esta posibilidad no solo se presenta como la más operativa y eficaz en muchos contextos, sino que también refuerza la conexión natural entre el sistema de cumplimiento y la gestión del canal de información, tal como reconoce el propio Preámbulo de la Ley.
Necesidad de revisión del sistema de Compliance en virtud de la Ley de Protección al Informante.
Aunque muchos sistemas de Compliance alineados con estándares internacionales (como la UNE 19601, ISO 37001, ISO 37301 o ISO 37002) probablemente ya cumplen con buena parte de las exigencias de la Ley 2/2023, resulta altamente recomendable revisar su grado de adecuación, especialmente en lo relativo a los aspectos formales y, en particular, al nombramiento del Responsable del Sistema de Información.
Por otro lado, las organizaciones que aún no hayan implementado un sistema de gestión de riesgos de Compliance y se encuentren dentro del ámbito de aplicación de la norma —es decir, entes del sector público o empresas con 50 o más personas trabajadoras— deberán, como mínimo, contar con un sistema de gestión de información.
En Ethical Strategists acompañamos a las organizaciones en la revisión e implementación de sistemas de cumplimiento eficaces, ayudándolas a construir modelos de gobierno basados en la ética, la responsabilidad y la sostenibilidad. Promovemos una cultura de integridad con herramientas que generan evidencias reales de cumplimiento.
[1] La STS de fecha 29 de febrero de 2016 ya contemplaba la relevancia de la cultura de cumplimiento y de respeto a derecho, siendo la cultura de la información un elemento esencial del sistema: “Así, la determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal, ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquélla, ha sido posible o facilitado por la ausencia de una cultura de respeto al derecho como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas jurídicas que la integran, que habría de manifestarse en alguna clase de formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos tendentes a la evitación de la comisión por éstos de los delitos”.