Talents & New Work 10.05.2026

Brecha de denunciantes: Primeras multas para PYMES

5 Min. Tiempo de lectura

La Ley de Protección al Denunciador está en vigor desde diciembre de 2023, la segunda fase para empresas con 50 o más empleados desde diciembre de 2023, y el período de gracia de dos años para la corrección sin sanciones expiró en primavera de 2026. Las primeras multas de hasta 50.000 euros afectan a empresas medianas que nunca han establecido un canal de denuncia interno o lo han desactivado silenciosamente después de una breve fase de consultoría. Los directivos responden personalmente, la Oficina Federal de Justicia verifica en segundo plano y la Ley de Inteligencia Artificial de la UE impone obligaciones adicionales en el mismo centro de denuncias.

10.05.2026

Lo más importante en resumen

Multas de hasta 50.000 euros se imponen: Quien, como empresa con 50 o más empleados, no opera un canal de denuncia interno, arriesga una multa de hasta 50.000 euros según el párrafo 40 de la Ley de Protección al Denunciador. Los canales mal o superficialmente establecidos se tratan igual que su renuncia completa.
El centro de denuncias externo es la Oficina Federal de Justicia: Los denunciadores pueden utilizar en cualquier momento la Oficina Federal de Justicia en Bonn, en lugar de elegir el canal interno. Quien hace que el camino interno sea poco atractivo, ve sus casos directamente en la autoridad, incluyendo todas las consecuencias para la reputación y la comunicación de supervisión.
La Ley de Inteligencia Artificial de la UE amplía el centro de denuncias: A partir del segundo trimestre de 2026, los sistemas internos de denuncia de irregularidades también deben incluir infracciones a las reglas de inteligencia artificial. Quien restringe el canal solo a la corrupción y la discriminación, ya lo ha superado de facto.

Relacionado:DORA-TLPT: Pruebas de estrés que los bancos no están superando / Brecha en la pila de Microsoft en las empresas medianas

Lo que el período de gracia de dos años realmente ha ocultado

¿Qué es un canal de denuncia de irregularidades protegido? Un canal de denuncia de irregularidades protegido es un camino interno confidencial a través del cual los empleados y terceros externos pueden denunciar indicios de infracciones legales sin temor a represalias. La ley de protección de denunciantes obliga a las empresas con 50 o más empleados desde diciembre de 2023 a establecer dicho canal y confirmar las denuncias en un plazo de siete días.

Los primeros dos años han sido aprovechados por muchas empresas medianas para comprar una plataforma, colocar un enlace de buzón de denuncias en la página de carreras y marcar el tema como completado. Lo que rara vez se hizo debajo fue la segunda mitad de la obligación: capacitaciones para los responsables de las oficinas de denuncias, caminos de procesamiento documentados, una verdadera separación de las estructuras de personal y recursos humanos y, sobre todo, la auditoría anual que demuestra que el canal funciona. Las autoridades han tolerado esto durante el período de gracia. Desde la primavera de 2026 no.

En concreto, hay tres caminos de escalada que se ejecutan en paralelo. Denuncias directas ante la Oficina Federal de Justicia, que desembocan en procedimientos de multa. Empleados que, tras una denuncia interna infructuosa, acuden a los tribunales laborales para reclamar una indemnización por daños y perjuicios. Y las autoridades de supervisión de los estados, que en el marco de sus inspecciones también solicitan el cumplimiento de las oficinas de denuncias, por ejemplo, en auditorías de protección de datos, inspecciones de la cadena de suministro o auditorías fiscales específicas.

50.000 €

La multa máxima según el párrafo 40 de la Ley de Protección de Denunciantes para empresas que no han establecido un canal de denuncia interna. Además, 20.000 euros por obstaculizar intencionalmente una denuncia y responsabilidad personal de la dirección en casos de indemnización por daños.

Fuente: Ley de Protección de Denunciantes, párrafo 40, estado de mayo de 2026

Quién es el próximo en entrar en el punto de mira

Tres perfiles son especialmente visibles en las prácticas de consultoría en este momento. Empresas familiares con 80 a 250 empleados, cuya función de cumplimiento históricamente se ha ubicado en el departamento de personal y no puede separar realmente la oficina de denuncias. Bancos y aseguradoras del sector de las cooperativas y cajas de ahorros, que están ocupados paralelamente con la implementación de DORA y han subestimado la protección de denunciantes como una segunda línea de cumplimiento. Y empresas medianas de tecnología sanitaria y farmacéutica, cuyas denuncias ante la Oficina Federal de Justicia procedentes de contextos de pacientes y estudios han aumentado.

A esto se suma una cuarta categoría que rara vez aparece en los artículos sobre cumplimiento. Proveedores de servicios de TI y proveedores de SaaS con 50 a 200 empleados, cuyos clientes solicitan explícitamente la estructura del canal de denuncias en la auditoría de proveedores. Quien atienda a un cliente importante en el sector público o en una industria regulada deberá demostrar el cumplimiento de la oficina de denuncias; de lo contrario, será eliminado del grupo de proveedores.

Lo que comparten los cuatro perfiles es el error típico. Se compró una plataforma externa, se nombró a un responsable en el departamento de personal, se realizó una capacitación y luego el tema siguió bajo el radar. La supervisión examina hoy precisamente donde se encuentra la transición del departamento de compras a operaciones y rara vez la encuentra debidamente documentada.

Qué hacer de inmediato y qué hasta verano

De inmediato

Verificar si el canal de denuncia está activamente accesible (teléfono, correo electrónico, plataforma). Los enlaces muertos y los correos electrónicos no entregados son el hallazgo de auditoría más común.
Verificar los plazos de confirmación y respuesta: 7 días para la confirmación de recepción, 3 meses para la respuesta sustantiva son legales.
Dejar constancia por escrito de la separación de la oficina de denuncias de las decisiones disciplinarias y de personal, y resolver el doble papel del jefe de recursos humanos.

Hasta verano

Documentar la formación de los responsables de la oficina de denuncias, con repetición al menos anual.
Incluir explícitamente las infracciones de la Ley de Inteligencia Artificial de la UE como motivo de denuncia, ampliando la lista de categorías en el documento interno.
Establecer una auditoría anual que refleje de forma anónima el número de denuncias, los tiempos de tramitación y las escaladas.
Actualizar los cuestionarios para proveedores y preparar pruebas de cumplimiento propias.

Un plan de 60 días para la dirección

Quien comience a reparar ahora, no necesita una consultoría costosa, sino una evaluación honesta.

Plan de 60 días: protección de denunciantes en el nivel de auditoría

Semana 1 a 2

Evaluación del estado actual. ¿Qué canal existe, qué buzón de correo recibe, quién es el responsable, hay un protocolo de tramitación documentado de los últimos 12 meses? Enviar una denuncia de prueba anónima y medir el tiempo de reacción.

Semana 3 a 5

Reparación estructural. Separación por escrito de personal frente a oficina de denuncias, regulación de suplencia, definir la ruta de escalada a la dirección. Incluir categorías de la Ley de Inteligencia Artificial.

Semana 6 a 8

Refresco de formación, plantilla de documentación, informe anual anónimo a la dirección. Preparar pruebas para preguntas de proveedores.

a partir del día 60

Revisión trimestral, en la que los temas de cumplimiento de la Ley de Inteligencia Artificial de la contabilidad y la protección de denunciantes se consideran en paralelo, en lugar de en silos separados.

Preguntas frecuentes

¿Se aplican las multas de forma retroactiva, es decir, también para el período de gracia?

No, las autoridades no trabajan de forma retroactiva. Se evalúa la situación en el momento de la inspección. Quien no tenga un canal funcional en el verano de 2026, arriesga la multa completa según el párrafo 40 de la Ley HinSchG. Quien documente y mejore, se libra con un plazo y una condición, esa es la práctica administrativa habitual.

¿Es suficiente una plataforma externa o debe nombrarse una persona interna?

Ambas opciones son admisibles, pero incluso con una plataforma externa debe nombrarse una persona interna responsable de la tramitación, que envíe confirmaciones y realice el informe. La plataforma en sí es una herramienta, no el cumplimiento de la obligación. En la auditoría, se examina a la persona, no la herramienta.

¿Qué papel juega la Ley de Inteligencia Artificial de la UE para el canal de denuncias a partir del segundo trimestre de 2026?

La Ley de Inteligencia Artificial de la UE amplía la lista de infracciones denunciables para incluir incidentes relacionados con sistemas de inteligencia artificial de alto riesgo, aplicaciones manipuladoras y procedimientos biométricos inadmisibles. Las empresas que utilicen inteligencia artificial en la contratación, la calificación crediticia o la supervisión de empleados deben abrir explícitamente el canal de denuncias para tales casos. Por lo general, basta con actualizar la lista de categorías en la política interna.

¿Se responsabiliza personalmente la dirección si el canal falla?

En caso de represalias contra los denunciantes, la dirección puede ser responsable personalmente de daños y perjuicios, además de la multa para la empresa. En el seguro D&O, esta es un área de exclusión clásica si se determina un incumplimiento intencional. La responsabilidad personal es la razón por la que la Ley HinSchG aterriza cada vez más en las reuniones de la junta directiva en lugar de solo en el departamento de recursos humanos.

Sobre la autora

Angelika Beierlein es COO de Evernine. Conoce las realidades de la sala de juntas de varias industrias y escribe regularmente sobre los lugares donde los temas de cumplimiento realmente se configuran, en lugar de simplemente tacharlos. Valora poco las frases de empoderamiento y mucho las estructuras que resisten el estrés.

Más del network de medios de MBF

cloudmagazin

Cloudflare Containers: Cuando los Workers son demasiado pequeños

mybusinessfuture

SAP-BPC: La puerta trasera SQL en el balance trimestral

digital-chiefs

La pregunta del 40%: De dónde viene realmente el presupuesto de IA

securitytoday

Auditoría NIS2: Donde la lista de proveedores se rompe en dos horas

Fuente de la imagen del título: Generada con IA con Google Imagen 4 Fast, verificada con SynthID

Fuente de imagen: generada por IA (mayo de 2026), certificado C2PA integrado en la imagen

También disponible en