La A.A.I. refuerza su infraestructura TIC: qué cambia para empresas obligadas por la Ley de Informantes

Datos clave

El organismo que vigila el cumplimiento de la Ley 2/2023 de protección de informantes acaba de ganar músculo tecnológico. Desde el 6 de mayo de 2026, el Ministerio de Presidencia, Justicia y Relaciones con las Cortes presta los servicios de tecnologías de la información y comunicaciones a la Autoridad Independiente de Protección al Informante (A.A.I.), según la Resolución de la Subsecretaría publicada en el BOE el 12 de mayo de 2026.

Para las empresas obligadas a tener canal interno de denuncia, este movimiento no es un trámite administrativo menor: consolida la operatividad del supervisor y acelera su capacidad de actuar.

¿Qué establece esta normativa?

La resolución publica el acuerdo de encomienda de gestión entre el Ministerio de Presidencia y la A.A.I. Una encomienda de gestión es una figura del derecho administrativo que permite que un organismo delegue tareas materiales o técnicas en otro, sin transferir la titularidad de la competencia. Es decir: la A.A.I. sigue siendo el organismo supervisor independiente con todas sus competencias intactas, pero ahora cuenta con el soporte tecnológico del Ministerio para operar.

El objeto concreto del acuerdo es la prestación de servicios de tecnologías de la información y comunicaciones (TIC) por parte del Ministerio a favor de la A.A.I. Esto incluye, en términos generales, la infraestructura tecnológica necesaria para que el organismo funcione: sistemas de gestión, plataformas de recepción de denuncias, seguridad informática y soporte técnico.

La resolución es firmada por la Subsecretaría y publicada en el BOE como requisito de transparencia y eficacia administrativa, tal y como exige la normativa de procedimiento administrativo para este tipo de acuerdos interadministrativos.

Impacto económico y operativo

Este acuerdo no genera costes directos para las empresas privadas. Sin embargo, tiene un impacto operativo indirecto muy relevante: la A.A.I. pasa a tener una infraestructura tecnológica más robusta y estable, lo que se traduce en mayor capacidad para:

• Recibir y gestionar denuncias de forma eficiente.
• Tramitar expedientes sancionadores contra empresas incumplidoras.
• Coordinar con otros organismos públicos en investigaciones.
• Operar con continuidad y sin dependencia de recursos propios limitados.

Para las empresas que aún no han implantado su canal interno de denuncia o que lo tienen de forma deficiente, esto supone un incremento real del riesgo de detección y sanción. La A.A.I. ya no es un organismo en rodaje: es un supervisor con infraestructura consolidada y respaldo ministerial.

Las sanciones previstas por la Ley 2/2023 para el incumplimiento de las obligaciones de implantación y gestión de canales internos pueden ser significativas. Si bien los importes concretos de las sanciones no forman parte de los datos de esta resolución específica, el refuerzo operativo del supervisor hace más urgente revisar el estado de cumplimiento.

¿A quién afecta?

Este acuerdo afecta directamente a todos los sujetos obligados por la Ley 2/2023 de protección de informantes, que incluye:

• Empresas privadas con 50 o más trabajadores: obligadas a implantar y gestionar un canal interno de denuncia.
• Empresas de sectores regulados (servicios financieros, seguridad del transporte, protección medioambiental, entre otros) independientemente de su tamaño.
• Partidos políticos, sindicatos y organizaciones empresariales que reciban financiación pública.
• Fundaciones y entidades sin ánimo de lucro con financiación pública.
• Entidades del sector público: administraciones, organismos autónomos, empresas públicas.
• Asesores y consultores de compliance que gestionen canales de denuncia para sus clientes.
• CFOs y directores de RRHH responsables del cumplimiento normativo interno.

Ejemplo práctico

Una empresa de distribución con 120 empleados implantó su canal interno de denuncia en 2023 utilizando un buzón de correo electrónico genérico, sin protocolo de gestión documentado, sin garantías de confidencialidad y sin responsable designado. En ese momento, la A.A.I. aún estaba en fase de arranque y con recursos tecnológicos limitados.

A partir de mayo de 2026, con la infraestructura TIC del Ministerio de Presidencia respaldando a la A.A.I., el organismo tiene mayor capacidad para recibir denuncias de empleados de esa empresa, tramitar el expediente y requerir a la empresa que acredite el correcto funcionamiento de su canal. Si la empresa no puede demostrar que su canal cumple los requisitos de la Ley 2/2023, se expone al inicio de un procedimiento sancionador.

La conclusión práctica: tener un canal de denuncia nominal o deficiente ya no es una zona de bajo riesgo. El supervisor tiene ahora los medios para actuar.

¿Qué deben hacer las empresas ahora?

1. Verifica si tu empresa está obligada: Si tienes 50 o más trabajadores o perteneces a un sector regulado, la Ley 2/2023 te aplica. Confirma tu situación antes de cualquier otra acción.
2. Audita el estado de tu canal interno de denuncia: Comprueba que cumple los requisitos legales: confidencialidad, plazo de acuse de recibo (7 días), plazo de respuesta (3 meses), responsable designado y protección del informante frente a represalias.
3. Documenta el funcionamiento del canal: La A.A.I. puede requerir evidencias. Ten preparada la documentación que acredite la implantación, los procedimientos y los casos gestionados.
4. Revisa los procedimientos internos de gestión de denuncias: Un canal técnicamente implantado pero sin procedimiento operativo real es tan vulnerable como no tenerlo.
5. Forma a los responsables internos: El responsable del canal debe conocer sus obligaciones, los plazos y cómo prot