Resumen
La Directiva 2019/1937 está en plena vigencia. Esto es lo que su organización debe tener en su lugar: canales de reporte seguros, mantenimiento de registros, protecciones contra represalias, y un procedimiento de respuesta que se mantiene bajo control regulatorio.
- Lo que el flujo de trabajo de cumplimiento necesita probar.
- Que controles y compradores de pruebas deben comprobar.
- Cómo encaja HubSecure sin sustituir el asesoramiento jurídico.
Directiva de denuncia de irregularidades de la UE: Guía de cumplimiento para empresas reguladas: Todo lo que las empresas reguladas necesitan saber sobre la Directiva de denuncia de irregularidades de la UE (2019/1937): quién debe cumplir, canales de denuncia seguros,...
HubSecure es relevante cuando los equipos necesitan registros de clientes seguros, recopilación de documentos, propiedad del flujo de trabajo, acceso basado en roles y evidencia lista para auditoría en un espacio de trabajo gobernado.
La Directiva UE de denuncia (Directiva 2019/1937/EU) requiere que cualquier organización con 50 o más empleados operen un canal de reporte interno confidencial. Las pequeñas empresas reguladas, en particular en los servicios financieros, sanitarios y jurídicos, tienen la misma obligación, independientemente de la contabilidad. Los plazos de transposición nacional han pasado ahora en todos los Estados miembros de la UE. Si aún no cumples, ya estás en riesgo.
Esta guía cubre los requisitos básicos de la directiva, errores comunes de implementación y una lista práctica de verificación de cumplimiento de 12 pasos.
Relacionados HubSecure
CRM CRM guía CRM cumplimiento CRM para empresas crecientes CRM módulo HubSpot cumplimiento de la comparación CRM guía guía Guía Biblioteca reservar un flujo de trabajo
Seguridad relacionada, privacidad y recursos de gobernanza
Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.
Caso de uso relacionado
Esta guía pertenece al grupo de guías de consolidación de herramientas y alternativas de espacio de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.
Alcance: ¿Quién debe cumplir?
La directiva tiene un amplio alcance. Los canales de denuncia internos obligatorios se aplican a:
Organizaciones del sector privado
- Más de 50 empleados: obligaciones completas que incluyen procedimientos escritos, plazos de respuesta y retención de registros
- De 10 a 49 empleados: pueden compartir canales con otras PYME según la legislación nacional, pero se aplican protecciones básicas
- Menos de 50 empleados en sectores regulados (AML, servicios financieros, aviación, nuclear): obligaciones completas independientemente del tamaño
- Todas las entidades jurídicas en servicios financieros sujetas a los actos enumerados en la Parte II del Anexo
Para la mayoría de las firmas de abogados, fintechs, contadores y organizaciones de atención médica, la exclusión del "sector regulado" significa que el umbral de empleados es irrelevante: usted está dentro del alcance desde el primer día.
Los siete requisitos básicos
Canal de información seguro y confidencial
El canal debe permitir la presentación por escrito (electrónica o papel) y, si se solicita, verbalmente. Los canales deben proteger la identidad del reportero y de los terceros mencionados. Las líneas telefónicas deben ser no registradas a menos que el reportero consienta; las llamadas registradas deben ser transcritas y puestas a disposición para su revisión.
Manillador designado e imparcial
Debe designarse a una persona o departamento imparcial para recibir, dar seguimiento y comunicarse con el reportero. El manejador puede ser interno (por ejemplo, Oficial de Cumplimiento, Jefe de Asuntos Jurídicos) o un tercero externo, pero debe ser independiente de la gestión operacional.
Reconocimiento dentro de 7 días
Los reporteros deben recibir reconocimiento por escrito dentro de 7 días calendario. Es un plazo difícil. La mayoría de las organizaciones fallan aquí simplemente porque carecen de un flujo de trabajo para activar el reconocimiento automáticamente.
Seguimiento y retroalimentación en un plazo de 3 meses
Debe darse un seguimiento diligente, y debe proporcionarse información sobre las medidas adoptadas (o por qué no se tomó) dentro de los 3 meses siguientes al reconocimiento. La retroalimentación debe ser tan detallada como la confidencialidad permite.
Información clara sobre canales externos
Los periodistas deben ser informados sobre los canales de presentación de informes externos: autoridades nacionales competentes, instituciones de la UE y, en los casos apropiados, la divulgación pública. Proporcionar esta información no renuncia a la presentación de informes internos; es un requisito de directiva.
Protección contra las represalias
Toda forma de represalia contra un reportero —despido, democión, acoso, revisión negativa del desempeño, acción disciplinaria— está prohibida y debe ser revertida. La carga de la prueba cambia al empleador: usted debe mostrar cualquier acción adversa no estaba vinculada al informe.
Servicio de grabación durante 5 años
Todos los informes, las medidas de seguimiento y las comunicaciones deben mantenerse durante al menos 5 años. Los registros deben almacenarse de forma segura, controlar el acceso y estar disponibles para la auditoría. No deben conservarse más tiempo de lo necesario: lograr un equilibrio entre la retención mínima y la minimización de datos en el RGPD.
La intersección del RGPD
Ejecutar un canal de denuncia significa procesar datos personales — a menudo datos confidenciales sobre presunta falta de conducta. Esto crea un conflicto directo entre su obligación de investigar a fondo y su obligación de minimizar el procesamiento de datos personales.
Obligaciones clave del RGPD para los canales de denuncia
- Base legal: El artículo 6 1) c) - obligación jurídica - abarca tanto el establecimiento obligatorio como el funcionamiento del canal
- Datos especiales de la categoría: Si los informes entrañan denuncias penales, salud o actividad sindical, se aplica el artículo 9 2) b) o g)
- Derechos de sujeto de datos: Los sospechosos (personas informadas) tienen derechos limitados, no nulos. Puede retrasar la divulgación de información si pone en peligro la investigación
- Retención: mínimo de 5 años bajo la directiva; GDPR requiere que usted no retenga más de lo necesario. Documente su justificación de retención explícitamente
- DPA notification: Several national DPAs (including the Dutch AP and the French CNIL) have issued specific guidance requiring DPIA for whistleblowing systems
Sanciones por incumplimiento
| Violación | Exposición penal | Quien impone |
|---|---|---|
| No establecer un canal | Derecho nacional, por lo general $ 10K–$1M+ | Autoridad nacional competente |
| Retaliation against a reporter | Responsabilidad civil, reincorporación, daños | Tribunales laborales + autoridad competente |
| Breach of confidentiality | Responsabilidad penal en algunos Estados miembros | Servicio de fiscalía |
| Presentación de un informe (obstrucción) | Multas penales / administrativas | Autoridad competente |
| Incumplimiento del RGPD (manejo de canal) | Hasta 20M / 4% de la facturación global | Data Protection Authority |
Errores comunes de implementación
1. Usar el correo electrónico como canal de presentación de informes. El correo electrónico no garantiza la confidencialidad, crea problemas de retención mixtos y no puede hacer cumplir los controles de acceso. La mayoría de los DPA nacionales han marcado cajas genéricas de correo electrónico no compatibles.
2. Nombrar sólo al CEO o al director de Recursos Humanos como manejador. Los reporteros no utilizarán un canal si creen que se alimenta de nuevo a la administración. El manejador debe ser genuinamente imparcial — idealmente el Oficial de Cumplimiento o un proveedor externo.
3. No se ha publicado ninguna política escrita al personal. Los empleados deben ser informados de la existencia del canal, cómo utilizarlo, y las protecciones disponibles para ellos. Una política enterrada en el manual de empleados no satisface esto. Debe ser comunicada activamente.
4. Falta el reconocimiento de 7 días. Este plazo a menudo se pierde porque no hay flujo de trabajo automatizado que desencadena un reconocimiento. Un único plazo perdido es un incumplimiento de directiva provable.
5. No documentar resultados de "ninguna acción". Si un informe se considera infundado y no se adoptan medidas, debe documentarse con razonamiento. Un registro en blanco implica que el informe fue ignorado.
Denuncias anónimas: ¿hay que aceptarlas?
La directiva no requiere que las organizaciones acepten informes anónimos. Sin embargo, el derecho nacional varía:
- Francia: La tradición Sapin II significa que los informes anónimos deben ser aceptados y manejados
- Alemania (HinSchG): canales anónimos recomendados pero no obligatorios
- Países Bajos: Los informes anónimos deben manejarse "en lo posible"
- Ireland, UK (post-Brexit PIDA): Declaraciones anónimas aceptadas pero reducidas protecciones
La mejor práctica es aceptar informes anónimos, tratarlos con la misma diligencia de seguimiento, y documentar que el reportero decidió permanecer anónimo. Si un informe no puede ser investigado significativamente sin más información, documente por qué.
Lista de verificación de cumplimiento de 12 pasos
Lista de verificación de la aplicación
Módulo de bloqueo integrado
HubSecure incluye un canal de bloqueo compatible con el GDPR con envíos cifrados, reconocimiento automatizado de 7 días, seguimiento de 3 meses y retención de 5 años de auditoría, sin necesidad de una herramienta.