La AIPI publica la Recomendación 1/2026 sobre el Sistema Interno de Información

Desde la puesta en funcionamiento de la Autoridad Independiente de Protección del Informante (AIPI) en septiembre de 2025, han surgido numerosas dudas interpretativas en relación con el diseño y la implementación del Sistema Interno de Información (SII) regulado en la Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

La AIPI ha publicado tres recomendaciones técnicas de carácter no vinculante con el objetivo de dar respuesta a estas dudas y establecer criterios claros y homogéneos. Entre ellas, la Recomendación 1/2026, concebida como un manual de cumplimiento técnico para el diseño e implementación de un SII, cuyo contenido se analiza a continuación.

Claves prácticas de funcionamiento del SII

La Recomendación 1/2026 ofrece una guía interpretativa de carácter transversal sobre el diseño e implementación del SII, abordando desde el alcance subjetivo de la obligación hasta los requisitos del canal, el procedimiento de gestión y su articulación en grupos de empresas.

¿Quién debe cumplir?

La obligación de disponer de un SII afecta a toda persona física o jurídica del sector privado que cuente con presencia organizada o establecimiento en España y con 50 o más trabajadores.

Para determinar si se alcanza el umbral de 50 personas trabajadoras, la recomendación toma como referencia el criterio orientativo del Real Decreto 901/2020 sobre planes de igualdad. En la práctica, esto implica que debe computarse el conjunto de la plantilla en España, con independencia del centro de trabajo al que estén adscritas o de la modalidad contractual.

Requisitos técnicos y organizativos

• Soporte tecnológico. La AIPI sitúa en el centro del sistema una plataforma digital segura y cifrada de extremo a extremo, que garantice la confidencialidad (y, en su caso, el anonimato) tanto de las personas implicadas como del contenido de las comunicaciones.
• Canales de comunicación. El SII debe ser multicanal, permitiendo denuncias: por escrito (formulario online seguro, correo electrónico específico o correo postal), y de forma verbal (teléfono, sistema de mensajes de voz y reunión presencial a petición del informante en un plazo máximo de siete días). Las comunicaciones orales deben registrarse íntegramente, mediante grabación segura o transcripción completa, dando al informante la opción de revisar el contenido, solicitar cambios y validarlo con su firma, conforme al art. 7.2 de la Ley 2/2023.
• “Ventana única”. Todos los canales internos que puedan recibir informaciones cubiertas por la Ley (ética, acoso, Compliance, etc.) deben canalizarse bajo la coordinación del Responsable del Sistema Interno de Información (RSII), que asume una función central de supervisión y seguimiento.
• Plazos de gestión. El periodo de tres meses para resolver (prorrogable de forma excepcional hasta seis) se interpreta como plazo tope, siendo deseable cerrar los expedientes en menos tiempo cuando sea razonable por la naturaleza del caso.
• Modelo de RSII. Se destaca la posibilidad de designar un órgano colegiado como Responsable del SII (hasta cinco miembros, con al menos uno interno), como vía para reforzar la independencia, minimizar conflictos de interés y generar mayor confianza en el sistema.

Grupos de empresas

En materia de grupos de sociedades, la Recomendación 1/2026 insiste en que la obligación de disponer de un SII es estrictamente individual: cada sociedad debe analizar si reúne los requisitos del artículo 10 de la Ley 2/2023 y, en su caso, aprobar su propio SII y designar formalmente a su RSII. La sociedad dominante puede fijar una política general sobre SII y protección del informante, pero respetando siempre la autonomía de cada sociedad y la necesidad de adaptar el sistema a su realidad.

La recomendación admite, no obstante, que el grupo cuente con un SII operativo único para varias entidades o que una misma persona u órgano actúe como RSII en distintas sociedades, siempre que cada una adopte un acuerdo expreso de adhesión o designación y se preserve su autonomía, independencia y capacidad de adaptación. En ningún caso la existencia de un sistema o responsable comunes convierte al grupo en un único sujeto obligado ni altera el carácter individual de las obligaciones de la Ley 2/2023.

Cuando la matriz tenga su domicilio fuera de España, ello no impide utilizar un SII único de grupo. La normativa española no exige un sistema “específico” para España, pero sí exige que el sistema común, en lo que respecta a la entidad española, cumpla íntegramente las condiciones materiales, procedimentales y organizativas previstas en la Ley 2/2023. En caso contrario, será necesario adaptar el sistema global o implantar un SII propio conforme a la normativa nacional.

Comentario de Osborne Clarke

La Recomendación 1/2026 constituye un avance significativo en la medida en que aporta seguridad técnica, homogeneiza criterios interpretativos y ofrece a las organizaciones una hoja de ruta clara para diseñar, implantar y gestionar un SII fiable y alineado con una cultura de integridad.

Pese a su carácter no vinculante, se perfila como el estándar práctico de supervisión que aplicará la AIPI para evaluar el cumplimiento de la Ley 2/2023 y, en su caso, decidir la apertura de expedientes sancionadores. Por ello, resulta esencial que las organizaciones revisen la configuración de sus políticas internas a fin de adecuarlas a los estándares fijados en dicha recomendación.