Fecha de inicio de actividades de la Autoridad Independiente de Protección del Informante en casos de corrupción
Skip to main content
Seleccionar ubicación Spain (ES)
  • Actualidad
  • Fecha de inicio de actividades de la Autoridad Independiente de Protección del Informante (AIPI)
Insight

Fecha de inicio de actividades de la Autoridad Independiente de Protección del Informante (AIPI)

Javier Cuairán
03/10/2025
Rafael Sánchez
 

El pasado 12 de agosto de 2025 se publicó en el BOE la Orden PJC/908/2025, dando luz verde al funcionamiento efectivo de la Autoridad Independiente de Protección del Informante (AIPI) a partir del 1 de septiembre de 2025 en su lucha activa contra la corrupción.

A partir de este momento, las empresas obligadas por la Ley 2/2023, de Protección al Informante (la “Ley 2/2023”), que no hayan implementado un Sistema Interno de Información (comúnmente “canal de denuncias”) y designado y comunicado antes del 1 de noviembre de 2025 a la AAI un responsable de su gestión, o no hayan adaptado a esta normativa sus antiguos canales de denuncia, podrán ser sancionadas con multas de hasta 1.000.0000 de euros, además de otras sanciones adicionales como la prohibición de contratar con el sector público u obtener subvenciones.

1. ¿Quiénes están obligados?

La obligación afecta a un espectro muy amplio de empresas, bien en función de su actividad, bien por su número de empleados:

  • En función de su actividad:
    • Empresas sujetas a la normativa de prevención de blanqueo de capitales y financiación del terrorismo (entidades financieras, aseguradoras, inmobiliarias, auditores, asesores legales y fiscales, notarios, registradores, casinos, fundaciones, proveedores de servicios de criptomonedas, etc.).
    • Empresas de sectores regulados en servicios, productos, mercados financieros, seguridad del transporte y protección medioambiental.
    • Empresas que desarrollen su actividad a través de sucursales o agentes o mediante la prestación de servicios sin establecimiento permanente que desarrollen su actividad en España, aunque no tengan su domicilio en el país.
  • En función de su número de empleados:
    • Toda empresa o entidad con 50 o más empleados, sea cual sea su sector de actividad.
    • Igualmente, se encuentran obligadas todas aquellas sociedades filiales españolas que cumplan con alguno de los anteriores requisitos, a pesar de que cuente con una sociedad matriz radicada en uno de los Estados Miembros de la UE y ésta haya implementado en aquel territorio un Sistema Interno de Información conforme a la legislación de su país. Por tanto, la filial española deberá, además de contar con una Política y Procedimiento propios y específicos adaptados a la legislación española, asegurarse que el Sistema Interno de Información que implemente cumple con los requisitos legales y técnicos exigidos por la Ley 2/2023.

2. ¿Cuál es el plazo para la notificación del Responsable del Sistema Interno de Información a la AIPI?

Con la entrada en vigor de la AIPI, las empresas que ya hubieran designado internamente a un responsable del Sistema Interno de Información deberán comunicarlo a la AIPI, con independencia de que ya lo hubieran hecho ante cualquier otra autoridad autonómica, en el plazo extraordinario que finaliza el 1 de noviembre de 2025. A partir de esa fecha, cualquier nombramiento o cese deberá ser comunicado a la AIPI dentro de los diez días hábiles siguientes a su adopción, conforme al artículo 8.3 de la Ley.

3. ¿Cómo debe realizarse la notificación?

Por el momento, ninguna de las disposiciones aprobadas en esta materia (ni la propia Ley, ni el Estatuto de la AIPI ni la reciente Orden) ha concretado el procedimiento específico para formalizar el nombramiento o cese del responsable del Sistema Interno de Información.

No obstante, y de forma provisional, la Autoridad Nacional ha habilitado una dirección de correo accesible desde su web para realizar la comunicación del Responsable del Sistema Interno de Información específicamente designado por las compañías: aipi@proteccioninformante.es.

Aún no se han publicado instrucciones detalladas o formularios específicos para este trámite, por lo que recomendamos estar atentos a la próxima actualización oficial de la AIPI, que se espera antes del 1 de noviembre de 2025.

De nuevo, resaltamos que este registro ante la AIPI es de carácter obligatorio, sin perjuicio, de las comunicaciones que se hayan efectuado a alguno de los diversos organismos públicos autonómicos -tales como la Oficina Antifraude en Cataluña, el Consejo de Transparencia y Protección de Datos en la Comunidad de Madrid, la Oficina Andaluza contra el Fraude y la Corrupción en Andalucía, la Agencia de Prevención y Lucha contra el Fraude y la Corrupción de la Comunidad Valenciana, o la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra, entre otras- que ya venían ejerciendo funciones como Autoridad Independiente de Protección al Informante (AIPI) y disponían de canales telemáticos habilitados para notificar la designación y nombramiento del responsable de Sistema Interno de Información.

Adicionalmente, la AIPI ha facilitado otras dos direcciones de correo electrónico en función del objeto de la comunicación, que necesariamente habrán de incluirse en la política del SII que las compañías deban publicar en un lugar visible de su página web:

  • Para asuntos relacionados con el Canal Externo de Información, canal.externo@proteccioninformante.es (que deberá omitir cualquier dato personal de terceros por razones de confidencialidad)
  • Para asuntos relacionados con el Canal Interno de Información, canal.interno@proteccioninformante.es (que también deberá omitir cualquier dato personal de terceros por razones de confidencialidad).

4. Recomendaciones para un cumplimiento eficaz

Mientras tanto –y con vistas a minimizar riesgos– las empresas obligadas deben llevar a cabo una hoja de ruta básica para garantizar el cumplimiento:

  • Revisar y documentar que la designación del responsable (o responsables) del sistema interno de información es válida y conforme a la Ley.
  • Preparar toda la información necesaria para su comunicación inmediata a la AAI cuando se habilite el registro.
  • Asegurarse de que tanto el Sistema Interno de Información que se implemente como sus políticas y sus procedimientos de gestión de las comunicaciones cumplen con todos los requisitos legales y técnicos impuestos por la Ley 2/2023, especialmente en materia de confidencialidad y protección frente a represalias.
  • Formalizar y comunicar internamente la política y procedimiento operativo del sistema, asegurando que todos los empleados han recibido información adecuada y accesible, y que su tramitación interna ha cumplido con la normativa laboral vigente en la materia (trámite de audiencia del art. 64 del Estatuto de los Trabajadores).
  • Implementar medidas técnicas y organizativas que garanticen la protección de la identidad del informante y la correcta conservación de la información.
  • Verificar la transparencia en la web corporativa, esto es, la existencia de un acceso sencillo y visible al canal, así como toda la información exigida por la Ley 2/2023.

En conclusión, la puesta en marcha efectiva de la AIPI exige en este momento a las empresas pasar de la mera adecuación formal a la verdadera cultura de cumplimiento, siendo aconsejable la revisión de sus políticas y procedimientos, designar a los responsables de sus Sistemas Internos de Información y anticipar su registro, para lo que Fieldfisher Spain pone a disposición de todas aquellas empresas que deban hacerlo a su equipo de profesionales especializados en materia de Compliance, Whistleblowing e Investigaciones Internas, quienes podrán ayudarles y asesorarles en tales tareas.

Áreas de especialización

Corporate Compliance
Penal