CONFIGURACIÓN, OBLIGACIONES Y RÉGIMEN SANCIONADOR.

Funcionamiento Operativo de la Autoridad Independiente de Protección del Informante (AIPI). – La entrada en funcionamiento de la Autoridad Independiente de Protección del Informante (AIPI) ha consolidado definitivamente el marco institucional previsto en la Ley 2/2023, imponiendo a los sujetos obligados no solo la implantación efectiva del Sistema Interno de Información (SII), sino también la obligación expresa de comunicar el nombramiento de su responsable dentro de los plazos legalmente establecidos.

Obligación de nombrar y designar al responsable del sistema interno de información. Plazo máximo 10 de abril de 2026.

Esta exigencia adquiere una dimensión especialmente relevante en el actual contexto, en el que se ha fijado como fecha límite el 10 de abril de 2026 para la comunicación inicial del responsable del Sistema Interno de Información (RSII), configurándose como un hito crítico desde la perspectiva de cumplimiento normativo.

Obligación de comunicación en comunidades autónomas con autoridades específicas en materia de protección de informantes y lucha contra la corrupción, en el que se debe hacer la comunicación. A tal efecto se reseñan:
Cataluña: Oficina Antifraude de Catalunya;
Comunidad Valenciana: Agencia Valenciana Antifraude;
Andalucía: Oficina Andaluza Antifraude;
Castilla y León: Autoridad Independiente en materia de corrupción;
Castilla-La Mancha: Consejo Regional de Transparencia y Buen Gobierno;
Galicia: Autoridad Gallega de Protección de la Persona Informante;
Navarra: Oficina de Buenas Prácticas y Anticorrupción.

Naturaleza jurídica de la Autoridad Independiente de Protección del Informante, A.A.I. (AIPI). – Se configura como un ente de derecho público con personalidad jurídica propia, dotado de autonomía orgánica y funcional, y plena independencia respecto del poder ejecutivo y de las entidades sometidas a su supervisión.

Su creación responde a la necesidad de articular un sistema institucional sólido de protección del informante, en cumplimiento de la Directiva (UE) 2019/1937, integrando en un único organismo la función de canal externo de información y la supervisión del cumplimiento normativo en esta materia.

Competencias de la AIPI. – La AIPI ejerce un conjunto de competencias que pueden sistematizarse en cuatro grandes ejes:

1.- La recepción y tramitación de comunicaciones a través del canal externo, incluyendo su admisión, instrucción e investigación;

2.- La protección efectiva del informante, garantizando la confidencialidad, el anonimato y la adopción de medidas frente a represalias;

3.- La función supervisora y de orientación mediante la emisión de guías, recomendaciones y criterios técnicos; y,

4.- La potestad sancionadora frente a los incumplimientos de la Ley 2/2023.

El Sistema Interno de Información (SII) constituye el núcleo operativo de la Ley 2/2023. – Es un conjunto estructurado de canales, procedimientos y órganos internos destinados a la recepción, gestión e investigación de informaciones relativas a infracciones normativas.

Sistema de control interno. – Es un subsistema de control interno, integrado en los modelos de compliance y orientado a la detección temprana de riesgos, la protección del informante y la preservación de la integridad organizativa.

En relación con las obligaciones formales. – La Ley 2/2023 establece la necesidad de comunicar a la AIPI el nombramiento del responsable del Sistema Interno de Información. Esta comunicación presenta una doble dimensión temporal: una notificación inicial que debe realizarse en el plazo de dos meses desde la activación del sistema —habiéndose concretado operativamente en el periodo que finaliza el 10 de abril de 2026— y, con carácter ordinario, la obligación de comunicar cualquier nombramiento o cese en un plazo máximo de diez días hábiles desde su adopción. Esta exigencia permite a la autoridad supervisora garantizar la trazabilidad y control del sistema.

El régimen sancionador previsto en la Ley 2/2023 refuerza el carácter imperativo del Sistema Interno de Información. Se tipifican como infracciones graves y muy graves conductas como la ausencia de sistema cuando resulta obligatorio, la falta de designación o comunicación del responsable del Sistema, la vulneración de la confidencialidad del informante o la adopción de represalias. Estas conductas pueden ser objeto de sanciones significativas, que en el caso de las personas jurídicas pueden alcanzar hasta 1.000.000 de euros, además de medidas accesorias de especial impacto reputacional y operativo.

Elemento estructural del modelo de Compliance. – En términos de compliance, el Sistema Interno de Información es un elemento estructural del modelo de prevención de riesgos penales y de buen gobierno corporativo.

Madurez del Modelo de Compliance. – Su adecuada implantación, gestión y comunicación se aprecia como la madurez del sistema de integridad de la organización, así como un instrumento esencial para la detección temprana de irregularidades y la protección efectiva del interés general.

Rafael Garzón Ruiz