Sanciones por no tener canal de denuncias: cuánto puede costarte y por qué ya no puedes esperar

Sanciones por no tener canal de denuncias: cuánto puede costarte y por qué ya no puedes esperar

Por el equipo de Lexlon · Mayo 2026 · 8 min de lectura

La AIPI ya está sancionando. No es una amenaza futura.

Desde septiembre de 2025, la Autoridad Independiente de Protección del Informante (AIPI) está plenamente operativa con capacidad para instruir expedientes sancionadores e imponer multas. No es un organismo que "entrará en funcionamiento próximamente". Lleva meses activo, ha publicado ya su primera Recomendación técnica (enero 2026), y ha abierto y cerrado el plazo para el registro de responsables de canal (febrero–abril 2026).

Cada semana que pasa sin tener el canal de denuncias correctamente implantado es una semana de exposición real a sanción. Este artículo explica exactamente cuánto puedes llegar a pagar, qué infracciones llevan aparejadas las multas más altas, y qué ha pasado con el régimen sancionador en los últimos meses.

¿Tienes canal de denuncias? Si no estás seguro de si estás obligado, compruébalo en 2 minutos en nuestro test de elegibilidad

El régimen sancionador: Título IX, artículos 60 a 68 de la Ley 2/2023

La Ley 2/2023 establece tres niveles de infracción con cuantías distintas para personas jurídicas (la empresa) y personas físicas (el directivo o administrador responsable). Las dos sanciones son independientes y pueden imponerse simultáneamente.

Infracciones muy graves — sanciones más elevadas

No disponer de un Sistema Interno de Información (canal de denuncias) cuando se está legalmente obligado se tipifica expresamente como infracción muy grave en el artículo 63.1.a) de la Ley 2/2023.

Para la persona jurídica: entre 600.001 y 1.000.000 euros. Para la persona física responsable: entre 30.001 y 300.000 euros.

Infracciones graves

Incluyen incumplir los plazos legales (acuse de recibo superior a 7 días, resolución superior a 3 meses), vulnerar las garantías de confidencialidad del informante, o no designar un responsable del sistema con las garantías de independencia que exige el artículo 8.

Para la persona jurídica: entre 100.001 y 600.000 euros. Para la persona física responsable: entre 10.001 y 30.000 euros.

Infracciones leves

Incumplimientos formales o procedimentales de menor gravedad.

Para la persona jurídica: hasta 100.000 euros. Para la persona física responsable: hasta 10.000 euros.

Las sanciones accesorias que nadie menciona

Además de las multas, las infracciones muy graves llevan aparejadas sanciones accesorias que en muchos casos son más dañinas que la propia multa. Por ejemplo:

• Prohibición de contratar con el sector público hasta 3 años. Si tu empresa tiene o aspira a tener contratos públicos, esta sanción puede ser devastadora para el negocio.

• Pérdida de subvenciones, ayudas públicas o beneficios fiscales hasta 4 años. Afecta a empresas que reciben cualquier tipo de financiación pública.

• Amonestación pública con publicación del nombre del infractor. La AIPI puede publicar en su web y en el BOE el nombre de la empresa sancionada. El daño reputacional es difícil de cuantificar pero puede superar ampliamente la multa económica.

Un dato nuevo que la mayoría de empresas desconoce: el registro del responsable

En febrero de 2026, la AIPI abrió un trámite nuevo: la obligación de comunicar la designación del Responsable del Sistema Interno de Información (RSII) ante la autoridad. El plazo para hacerlo fue del 10 de febrero al 10 de abril de 2026.

Ese plazo ya ha vencido. No comunicar el nombramiento dentro del plazo puede considerarse infracción independientemente de si el canal está o no implantado. Es decir: una empresa que tiene el canal pero no ha registrado al responsable ante la AIPI puede estar igualmente expuesta.

Si no has realizado este trámite, debes hacerlo a la mayor brevedad posible a través de la sede electrónica de la AIPI en proteccioninformante.gob.es.

¿Necesitas activar tu canal y registrar tu responsable? → Actívalo ahora aquí

Lo que la Recomendación 1/2026 de la AIPI deja claro

En enero de 2026, la AIPI publicó su primera Recomendación técnica. Fija los criterios interpretativos que la AIPI usará en sus inspecciones y expedientes sancionadores. Los mensajes más relevantes son estos:

• El canal no puede ser un simple buzón de correo electrónico. La Recomendación establece que el canal debe implantarse mediante una plataforma segura, accesible y cifrada. Un email corporativo tipo denuncia@empresa.es no cumple los requisitos técnicos.

• La confidencialidad debe estar integrada en el diseño del sistema desde el origen, no añadida como parche posterior. Esto implica cifrado de datos, control de acceso restringido al responsable, y ausencia de registro de datos identificativos del informante que no haya autorizado expresamente.

• El responsable del sistema debe tener independencia real, no nominal. Un responsable que depende jerárquicamente de la persona denunciada no cumple el requisito de independencia del artículo 8.

La AIPI recibió una avalancha de consultas desde su puesta en marcha en septiembre de 2025, lo que confirma que hay miles de empresas que saben que tienen un problema pero no saben cómo resolverlo.

Por qué un correo electrónico no es suficiente

Es el error más frecuente que cometen las empresas que intentan "solucionar" la obligación de forma rápida y barata. Habilitar una dirección de correo tipo canal.denuncias@empresa.es no cumple los requisitos de la Ley 2/2023 por varias razones:

• No garantiza el anonimato real. El servidor de correo registra la IP del remitente. Si el informante envía desde su ordenador del trabajo, puede ser identificado.

• No permite comunicación bidireccional anónima. Para responder al informante anónimo necesitas su email, lo que rompe el anonimato.

• No genera automáticamente el acuse de recibo con fecha registrada. Si hay una inspección, debes poder demostrar que el acuse se envió en menos de 7 días.

• No tiene registro inmutable de las comunicaciones. Un email puede borrarse o modificarse. El artículo 13 exige un registro con garantías de integridad.

No tiene responsable designado con acceso controlado. Cualquier persona con acceso a la bandeja de entrada puede leer las denuncias.

El coste real de no cumplir: más allá de la multa

La multa es el coste más visible pero no el único. Una empresa que recibe una sanción de la AIPI enfrenta además:

• El coste del procedimiento sancionador , el tiempo de los directivos y abogados dedicado a la defensa, honorarios de letrado, y el proceso administrativo que puede durar meses.

• El daño reputacional. Si la sanción se hace pública (y la AIPI tiene potestad para publicarla), clientes, proveedores y empleados lo sabrán. En sectores donde la confianza es clave (por ejemplo, asesorías, abogados, corredurías de seguros, entidades financieras) el impacto puede ser irreparable.

• La pérdida de contratos públicos. Ésto es especialmente relevante para empresas que trabajan con administraciones.

• La responsabilidad personal del administrador. La multa al directivo responsable sale de su patrimonio personal, no de la empresa.

Cuánto cuesta cumplir vs. cuánto cuesta no cumplir

La comparación es simple:

• Cumplir con Lexlon: desde 39 €/mes (468 €/año). Sin permanencia. Alta en 5 minutos.

• No cumplir: exposición a multa de entre 600.001 y 1.000.000 euros para la empresa, más entre 30.001 y 300.000 euros para el administrador personalmente, más sanciones accesorias.

El ROI de cumplir es matemáticamente irrefutable. El canal de denuncias es probablemente la inversión de menor coste y mayor retorno en términos de gestión de riesgo legal que puede hacer una empresa obligada.

Activa tu canal hoy → Contratalo ahora aquí

Preguntas frecuentes

¿La AIPI ya ha impuesto sanciones concretas a empresas? La AIPI está operativa desde septiembre de 2025 con plena potestad sancionadora. Las resoluciones firmes se publican en su web (proteccioninformante.gob.es) y en el BOE. Los expedientes sancionadores pueden tardar meses en resolverse desde su inicio, por lo que las primeras sanciones públicas y firmes se esperan para el segundo semestre de 2026.

¿Las sanciones se aplican también a empresas pequeñas? Sí. El principio de proporcionalidad hace que las multas tiendan al tramo bajo para empresas pequeñas, pero la infracción existe con independencia del tamaño. Una joyería SL con 3 empleados que está obligada por la Ley 10/2010 y no tiene canal puede recibir una sanción.

¿Puedo evitar la sanción si implemento el canal después de recibir el expediente? La implementación posterior al inicio del expediente es una circunstancia atenuante pero no exonerante. El artículo 66 de la Ley 2/2023 prevé como atenuante la subsanación voluntaria, pero la sanción puede imponerse igualmente, aunque en su tramo mínimo.

¿Qué pasa si tengo el canal pero no he registrado al responsable ante la AIPI? Desde febrero de 2026 existe la obligación de comunicar la designación del RSII ante la AIPI. No haberlo hecho dentro del plazo (10 de febrero – 10 de abril de 2026) puede ser considerado infracción independiente. Debes realizarlo a la mayor brevedad posible.

No esperes a recibir el expediente sancionador. El coste de cumplir son 39€ /mes. El coste de no cumplir puede ser un millón. Comprueba ahora si deberías tenerlo implementado aquí

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Lexlon es una herramienta de software. Cada organización es responsable de verificar que su implementación cumple con todos los requisitos legales aplicables a su sector y circunstancias particulares.