Mapa de cobertura de la Directiva 2019/1937 #
EthicsPortal está diseñado para mantener a su organización en cumplimiento con la Directiva (UE) 2019/1937, su transposición nacional en su país y el RGPD. Cada función se corresponde directamente con un requisito legal.
Esta página es el mapa de función a requisito: cada artículo de la Directiva se asocia con la capacidad específica de EthicsPortal que lo aborda. Para saber cómo EthicsPortal interpreta las disposiciones ambiguas de esos artículos —el umbral de 50 trabajadores, qué se considera «seguimiento diligente», las justificaciones de conservación, la base jurídica del RGPD, la supremacía del Derecho nacional— consulte las interpretaciones por separado.
Los 27 Estados miembros de la UE han transpuesto la Directiva a su Derecho nacional. Su organización debe cumplir la ley nacional de su país de operación: consulte nuestra referencia de leyes de protección del informante por país para conocer los nombres concretos de las leyes, las sanciones y las autoridades de aplicación. Entre las principales leyes nacionales se incluyen la Loi Waserman (Francia), la HinSchG (Alemania), el D.Lgs. 24/2023 (Italia), la Ley 2/2023 (España) y la Ley de 14 de junio de 2024 (Polonia).
Última actualización: 2026-05-17.
§1. Canales de denuncia (art. 8) #
Las organizaciones con 50 o más empleados deben establecer canales internos de denuncia seguros.
| Requisito | Cómo lo gestiona EthicsPortal |
|---|---|
| Canal seguro para comunicar | Portal web cifrado con URL única por organización |
| Confidencialidad de la identidad del informante | Cifrado de extremo a extremo de todos los datos personales, sin registro de IP, eliminación automática de metadatos de los archivos subidos |
| Accesible para todos los trabajadores | Portal basado en web que funciona en cualquier dispositivo, sin instalación de aplicación ni cuenta |
| Personalizable para la organización | Categorías, logotipo y mensaje de bienvenida configurables |
§2. Procedimientos de denuncia (art. 9) #
| Requisito | Artículo | Cómo lo gestiona EthicsPortal |
|---|---|---|
| Designar a una persona o departamento imparcial | Art. 9(1)(c) | Sistema de asignación de casos con acceso basado en roles: solo los gestores autorizados ven las comunicaciones |
| Acusar recibo en un plazo de 7 días | Art. 9(1)(b) | Seguimiento automático de plazos con notificaciones por correo a los gestores cuando el plazo de 7 días se acerca o se incumple |
| Seguimiento diligente por la persona designada | Art. 9(1)(d) | Gestión de casos con flujo de estados (recibido, acusado recibo, en investigación, cerrado), notas internas para la colaboración entre gestores y registro de auditoría completo |
| Dar respuesta en un plazo de tres meses | Art. 9(1)(f) | Seguimiento automático del plazo de 3 meses con alertas de vencimiento a todos los administradores de la organización. Los informantes ven la cronología en el portal y pueden consultar el estado en cualquier momento usando su identificador del expediente y su código de acceso |
| Permitir la comunicación verbal (por teléfono, mensaje de voz o reunión presencial a petición) | Art. 9(2) | Número de teléfono configurable mostrado en el portal; los gestores pueden registrar comunicaciones por teléfono, en persona y por carta directamente en el sistema |
| Informar sobre las opciones de comunicación externa | Art. 9(1)(g) | El portal muestra información sobre el derecho del informante a contactar con las autoridades nacionales competentes, citando la Directiva 2019/1937 |
§3. Ámbito de protección (art. 4) #
La directiva protege no solo a los empleados, sino también a contratistas, proveedores, accionistas y otros terceros.
EthicsPortal muestra orientaciones claras en el portal indicando que la comunicación está abierta a empleados, contratistas, proveedores y cualquier otro tercero.
El formulario de admisión también pregunta al informante —de forma opcional— por su relación con la organización (empleado actual o antiguo, contratista, proveedor, candidato a un empleo, accionista u otro), reflejando las categorías de ámbito personal del art. 4, de modo que los gestores puedan confirmar que la protección le ampara. La pregunta es omisible, por lo que el anonimato nunca se condiciona a responderla.
§4. Antirrepresalias (art. 6, 19-21) #
Debe informarse a los informantes de que las represalias están prohibidas por ley.
EthicsPortal muestra un aviso antirrepresalias en cada página del portal, citando la Directiva 2019/1937, antes de que el informante presente la comunicación.
El formulario de admisión permite además al informante señalar, de forma opcional, si teme represalias o ya las afronta. Cuando se marca, la comunicación lleva una distintiva insignia de urgencia en la vista del gestor, de modo que un caso de protección reforzada sea visible de un vistazo.
§5. Confidencialidad de la identidad (art. 16) #
| Requisito | Cómo lo gestiona EthicsPortal |
|---|---|
| Identidad no revelada más allá del personal autorizado | Control de acceso basado en roles: solo los administradores, el asignatario principal y los participantes añadidos expresamente (p. ej., jurídico, RR. HH.) pueden ver una comunicación. Los gestores no administradores solo ven los casos a los que están asignados o como participantes |
| Anonimato del gestor frente al informante | Los informantes ven «Gestor del caso» en los mensajes, nunca el nombre real ni el correo del gestor |
| Datos sensibles cifrados | Los nombres de los informantes, los datos de contacto, las descripciones de las comunicaciones y los cuerpos de los mensajes se cifran en reposo mediante cifrado no determinista |
Sin procesamiento de IA del contenido de las comunicaciones. La confidencialidad conforme al Art. 16 se extiende a qué terceros ven la comunicación. EthicsPortal no transmite el contenido de las comunicaciones, la identidad del informante ni las comunicaciones del caso a ningún gran modelo de lenguaje o servicio de inferencia de IA: ni para categorizar, ni para resumir, ni para traducir. Ningún proveedor de IA (OpenAI, Anthropic, Google, Mistral u otro) es subencargado del tratamiento. Esto elimina una categoría de divulgación de subencargados del tratamiento de su DPA y elimina las consideraciones del Art. 22 (decisiones automatizadas) de su EIPD. Consulte la lista de subencargados del tratamiento para ver la entrada correspondiente.
Dos razones adicionales por las que esta es una decisión de nivel de confidencialidad, no una preferencia de función:
- Sin alucinaciones en la cadena de pruebas de cumplimiento. Los grandes modelos de lenguaje producen resultados probabilísticos. Un resumen que diga «esta comunicación no parece urgente» es una probabilidad, no un hecho, y no puede reproducirse ni auditarse. EthicsPortal registra de forma determinista el actor, la acción y la marca de tiempo: el registro de auditoría es prueba, no una conjetura.
- Sin superficie de ataque de inyección de instrucciones en las comunicaciones de los informantes. La entrada del informante no es de confianza por definición. Encaminarla a través de un LLM crea una categoría de ataque en la que las instrucciones incrustadas en el texto de la comunicación pueden manipular el resultado dirigido al gestor (respuestas sugeridas, resúmenes, categorización). EthicsPortal elimina por completo esa superficie al no realizar inferencia sobre el contenido de las comunicaciones.
§6. Conservación de registros (art. 18) #
| Requisito | Cómo lo gestiona EthicsPortal |
|---|---|
| Mantener registros de cada comunicación | Registro de auditoría completo de todas las acciones: presentaciones, cambios de estado, mensajes, asignaciones y visualizaciones de comunicaciones |
| Registros almacenados de forma segura | Todos los campos sensibles cifrados en reposo |
| Registros recuperables | Exportación completa del expediente a PDF, incluidos metadatos, hilo de mensajes, lista de adjuntos y registro de auditoría. PDF de informe de cumplimiento a nivel de organización disponible para auditores: incluye la lista de comprobación de la directiva, las métricas del SLA y un resumen de protección de datos sin exponer datos sensibles de las comunicaciones |
| Suprimir registros cuando ya no sean necesarios | Período de conservación de datos configurable (12, 24, 36 o 60 meses) con eliminación automática de las comunicaciones cerradas caducadas |
§7. Cumplimiento del RGPD #
| Requisito | Artículo | Cómo lo gestiona EthicsPortal |
|---|---|---|
| Base jurídica para el tratamiento | Art. 6(1)(c) | El tratamiento es necesario para el cumplimiento de la Directiva (UE) 2019/1937 |
| Información sobre el tratamiento de datos | Art. 13/14 | Aviso de privacidad mostrado en el formulario de presentación de la comunicación antes de que el informante la presente |
| Minimización de datos | Art. 5(1)(c) | Solo se recopilan los campos esenciales; el nombre y el contacto del informante son opcionales |
| Limitación del plazo de conservación | Art. 5(1)(e) | Período de conservación configurable por organización con eliminación automática |
| Integridad y confidencialidad | Art. 5(1)(f) | Cifrado en reposo de todos los datos sensibles; sin registro de IP en las rutas del portal; metadatos de los archivos eliminados automáticamente |
| Derecho de supresión | Art. 17 | Eliminación automática basada en la conservación; eliminación manual disponible para los administradores |
§8. Medidas de seguridad #
| Medida | Detalle |
|---|---|
| Cifrado en reposo | Todas las descripciones de las comunicaciones, los nombres de los informantes, los datos de contacto y los cuerpos de los mensajes se cifran mediante cifrado no determinista |
| Sin registro de IP | Las direcciones IP de los informantes nunca se almacenan: la limitación de tasa usa hashes unidireccionales irreversibles |
| Eliminación de metadatos de los archivos | Los datos EXIF (coordenadas GPS, modelo de cámara, información del autor) se eliminan automáticamente de las imágenes subidas antes de su almacenamiento |
| Identidad anónima del gestor | Los informantes nunca ven el nombre real del gestor: los mensajes muestran «Gestor del caso» |
| Limitación de tasa | Los puntos de acceso del portal público están sujetos a limitación de tasa para prevenir abusos |
| Control de acceso | Los permisos basados en roles garantizan que solo los gestores autorizados puedan ver las comunicaciones; los gestores no administradores solo ven los casos a los que están asignados o como participantes |
| Registro de auditoría | Cada acción se registra con marca de tiempo, actor y tipo de acción: en modo solo anexión y siempre disponible para revisión normativa |
§9. Lo que su organización aún debe hacer #
EthicsPortal gestiona los requisitos técnicos. Su organización es responsable de:
- Designar a un responsable de la denuncia: asignar al menos a una persona responsable de la gestión de las comunicaciones
- Política interna: adoptar una política de protección del informante y comunicarla a los empleados
- Formación: asegurarse de que los gestores designados comprendan las obligaciones de confidencialidad
- Aplicación de la prohibición de represalias: asegurarse de que la dirección comprenda que las represalias son una infracción legal
- Consentimiento para la revelación de identidad: si la identidad de un informante debe compartirse más allá de los gestores autorizados (p. ej., con las fuerzas del orden), obtener primero el consentimiento expreso del informante (Art. 16(2) )
- Informar a los trabajadores: compartir la URL del portal con los empleados (EthicsPortal proporciona un enlace para compartir y un código QR)
¿Preguntas? #
Los administradores pueden descargar un PDF de informe de cumplimiento directamente desde la página de configuración del portal. Incluye una lista de comprobación completa de la Directiva (UE) 2019/1937, las métricas del SLA, las medidas de protección de datos y un resumen del registro de auditoría, listo para entregar a un auditor sin exponer datos sensibles de las comunicaciones.
Para conocer los requisitos específicos de cada país (sanciones, plazos de conservación, autoridades de aplicación), consulte nuestra referencia de leyes de protección del informante por país .
Para saber cómo EthicsPortal interpreta las disposiciones ambiguas de la Directiva (el umbral de 50 trabajadores, qué se considera «seguimiento diligente», las justificaciones de conservación, la base jurídica del RGPD), consulte las interpretaciones de la Directiva 2019/1937 .
Si necesita ayuda para demostrar el cumplimiento ante su equipo jurídico o su regulador, contacte con nosotros en legal@ethicsportal.eu .
Última actualización: