Desde julio de 2023, las empresas con 50 o más empleados deben operar un canal de denuncia interno. Explicamos los requisitos técnicos de la HinSchG, el marco de protección de datos y comparamos las soluciones de software habituales.
Denuncia por aplicación: qué exige técnicamente la Ley alemana de Protección al Denunciante
Una infracción de compliance en la contabilidad, un indicio de corrupción en el departamento de compras o la sospecha de una vulneración de la protección de datos: quien destapa tales irregularidades necesita protección. Exactamente esa protección es la que debe garantizar la Ley de Protección al Denunciante (Hinweisgeberschutzgesetz -- HinSchG), en vigor desde el 2 de julio de 2023. Pero más allá del marco jurídico, la ley también impone requisitos técnicos concretos a las empresas: ¿quién debe establecer un canal de denuncia? ¿Qué canales son admisibles? ¿Y cómo se elige la solución de software adecuada? Este artículo ofrece una visión de conjunto orientada a la práctica.
Antecedentes: de la directiva europea a la ley alemana
La HinSchG transpone la Directiva europea 2019/1937 sobre la protección de los denunciantes al derecho alemán. Alemania no fue precisamente pionera: la directiva debería haberse transpuesto antes del 17 de diciembre de 2021. Solo tras un procedimiento de mediación entre el Bundestag y el Bundesrat y un procedimiento de infracción de la Comisión Europea, la ley entró finalmente en vigor a mediados de 2023. En marzo de 2025, el TJUE condenó a Alemania al pago de una multa de 34 millones de euros por la transposición tardía. El texto completo de la ley está disponible en gesetze-im-internet.de.
¿Quién debe establecer un canal de denuncia interno?
El umbral de 50 empleados (§ 12 HinSchG)
Conforme al § 12 HinSchG, los empleadores con, por regla general, al menos 50 trabajadores están obligados a establecer y operar una oficina de denuncia interna. Se aplican las siguientes particularidades:
- Los trabajadores cedidos por ETT cuentan si se utilizan de forma regular
- Son posibles las soluciones de grupo: una empresa del grupo puede operar la oficina de denuncia interna para todas las filiales (§ 14, ap. 1 HinSchG)
- Los municipios con menos de 10.000 habitantes pueden establecer una oficina de denuncia conjunta
Calendario
La obligación se aplica a las empresas de 250 o más empleados desde el 2 de julio de 2023. Las empresas de 50 a 249 empleados debían cumplir antes del 17 de diciembre de 2023.
Requisitos técnicos del canal de denuncia (§ 16 HinSchG)
Canales obligatorios: oral, escrito y presencial
El § 16 HinSchG prescribe que la oficina de denuncia interna debe poder recibir denuncias de forma oral o en forma textual. En concreto, esto significa:
- Forma textual (escrita): un sistema de denuncia digital, un buzón o una dirección de correo electrónico dedicada. No obstante, según la opinión dominante, una simple dirección de correo electrónico se considera insuficiente, ya que no puede garantizarse adecuadamente la confidencialidad.
- Oral: por teléfono o mediante otro medio de transmisión de voz (p. ej., mensaje de voz a través de un sistema digital).
- Presencial: a solicitud del denunciante, debe facilitarse un encuentro personal en un plazo razonable.
Deber de confidencialidad (§ 8 HinSchG)
La ley exige que la identidad de la persona denunciante y de las personas objeto de la denuncia se trate de forma confidencial. En términos técnicos, esto significa:
- Restricción de acceso: solo las personas responsables del tratamiento pueden acceder a las denuncias entrantes (§ 16, ap. 2 HinSchG)
- Cifrado: la transmisión y el almacenamiento de datos deben estar cifrados de extremo a extremo
- Registro de auditoría: los accesos al sistema deben documentarse de forma inalterable
- Separación organizativa: la oficina de denuncia debe estar separada organizativamente del resto de la empresa
Anonimato: recomendado pero no obligatorio
La HinSchG no impone una posibilidad de denuncia anónima. Sin embargo, el § 16, ap. 1, frase 5 establece que las oficinas de denuncia internas también deben tramitar las denuncias recibidas de forma anónima. En la práctica, los canales anónimos aumentan considerablemente la disposición a denunciar.
Marco de protección de datos
El cumplimiento del RGPD como requisito fundamental
La operación de un sistema de denuncias implica necesariamente el tratamiento de datos personales. El Reglamento General de Protección de Datos (RGPD) constituye, por tanto, el marco superior.
Base jurídica del tratamiento de datos
Las siguientes bases jurídicas son especialmente relevantes:
- Art. 6, ap. 1, letra c) del RGPD (obligación legal): para empresas de 50 o más empleados que están legalmente obligadas a establecer un sistema
- Art. 6, ap. 1, letra f) del RGPD (interés legítimo): para empresas por debajo del umbral que operan voluntariamente un sistema
Obligaciones esenciales de protección de datos
Según las FAQ del Delegado de Protección de Datos de Baden-Wurtemberg, las empresas deben observar especialmente los siguientes requisitos:
- Evaluación de impacto relativa a la protección de datos (EIPD): generalmente necesaria debido al alto riesgo para las personas afectadas
- Obligaciones de información: los empleados y los denunciantes externos deben ser informados conforme a los artículos 13 y 14 del RGPD
- Plazos de supresión: las denuncias y la documentación asociada deben eliminarse como máximo tres años después de la conclusión del procedimiento (§ 11, ap. 5 HinSchG)
- Contrato de encargo de tratamiento: cuando se recurre a un proveedor externo, debe celebrarse un contrato conforme al artículo 28 del RGPD
- Minimización de datos: solo pueden recogerse los datos necesarios para el tratamiento de la denuncia (artículo 5, ap. 1, letra c) del RGPD)
Comparación de soluciones de software
Panorama del mercado
El mercado de software para denunciantes ha crecido considerablemente en los últimos años. Las tres soluciones siguientes se han consolidado especialmente en el ámbito germanoparlante:
Sistema BKMS (EQS Group)
El sistema BKMS es una solución para grandes corporaciones e instituciones públicas que ofrece:
- Anonimato altamente seguro mediante un sistema especial de buzón sin rastreo de IP
- Certificación ISO 27001 y SOC 2
- Soporte multilingüe en más de 80 idiomas
- Especialmente adecuado para: grandes empresas y administraciones públicas
Hintbox
Hintbox se posiciona como una solución fácil de usar orientada a la pyme alemana:
- Cifrado de extremo a extremo y autenticación de dos factores
- Alojamiento con certificación ISO 27001 en Alemania
- Registro de auditoría inalterable de todas las operaciones
- Especialmente adecuado para: empresas medianas de 50 a 1.000 empleados
LegalTegrity
LegalTegrity se presenta como socio de compliance para pymes y ofrece opciones de externalización:
- OmbuTegrity: externalización completa de la función de oficina de denuncia
- Automatización inteligente de flujos de trabajo para la gestión de casos
- Más de 2.500 organizaciones utilizan ya la solución
- Especialmente adecuado para: empresas que desean operar la oficina de denuncia de forma externa
Una comparación exhaustiva está disponible en OMR Reviews.
La oficina de denuncia externa en el BfJ
Además del canal de denuncia interno, los denunciantes también pueden dirigirse a la oficina de denuncia externa de la Federación en la Oficina Federal de Justicia (BfJ). Los denunciantes tienen un libre derecho de elección entre el canal interno y el externo.
Guía de implementación: cinco pasos hacia un sistema de denuncia
Paso 1: inventario y planificación
- Determinar el número de empleados y verificar la obligación
- Definir el ámbito material de aplicación
- Decidir si la oficina de denuncia se operará interna o externamente
Paso 2: organización de la oficina de denuncia
- Designar a los responsables de la oficina de denuncia (internos o externos)
- Garantizar la competencia y la independencia (§ 15 HinSchG)
- Obtener compromisos escritos de confidencialidad
Paso 3: implementación técnica
- Seleccionar e implementar la solución de software
- Establecer los canales de denuncia (digital, telefónico, presencial)
- Realizar una evaluación de impacto relativa a la protección de datos
- Celebrar un contrato de encargo de tratamiento con el proveedor de software
Paso 4: documentación y procesos
- Elaborar un reglamento de procedimiento para la oficina de denuncia
- Definir los plazos de tramitación: acuse de recibo en 7 días, respuesta en 3 meses (§ 17 HinSchG)
- Establecer procedimientos de escalado para infracciones graves
Paso 5: comunicación y formación
- Informar a todos los empleados sobre la oficina de denuncia y los canales disponibles
- Formar a los responsables en técnicas de entrevista y gestión de casos
- Publicar la información en el sitio web de la empresa y en la intranet
Sanciones por incumplimiento (§ 40 HinSchG)
Las empresas que no cumplan con sus obligaciones se exponen a multas significativas:
- Hasta 50.000 euros por no establecer un canal de denuncia interno
- Hasta 50.000 euros por represalias contra personas denunciantes
- Hasta 20.000 euros por vulneración del deber de confidencialidad
En la práctica, las represalias representan un riesgo de responsabilidad especialmente elevado, ya que las personas afectadas también pueden reclamar indemnización por daños y perjuicios (§ 37 HinSchG).
Conclusión
La Ley de Protección al Denunciante plantea a las empresas un doble desafío: no solo deben cumplir con el marco jurídico, sino también implementar una solución técnicamente robusta y conforme a la protección de datos. La buena noticia: el mercado ofrece actualmente soluciones de software maduras para todos los tamaños de empresa. Lo decisivo es no considerar la implementación como una obligación gravosa, sino como una oportunidad para fomentar una cultura de compliance abierta. Un sistema de denuncia bien implementado no solo protege a los denunciantes, sino a toda la empresa.
En compleneo le apoyamos en la implementación jurídicamente segura de su sistema de denuncia -- desde la selección del software adecuado, pasando por la documentación en materia de protección de datos, hasta la formación de los responsables de su oficina de denuncia. Póngase en contacto con nosotros.
