Saltar al contenido principal Exigido por el Derecho de la UE para las organizaciones con 50 o más empleados

Interpretaciones de la Directiva 2019/1937 #

Este documento recoge cómo interpreta EthicsPortal las disposiciones de la Directiva (UE) 2019/1937 que admiten más de una lectura razonable. Está dirigido a responsables de cumplimiento, delegados de protección de datos y asesores jurídicos que deben adoptar decisiones operativas defendibles en ausencia de orientaciones interpretativas autorizadas de la Comisión Europea o del Tribunal de Justicia.

Es un documento vivo. Cuando el Tribunal de Justicia, el Comité Europeo de Protección de Datos o una autoridad nacional competente emita una interpretación vinculante que difiera de las posiciones siguientes, este documento se revisa y la posición anterior se conserva en el registro de revisiones.

Para el mapa de función a requisito —qué capacidad de EthicsPortal satisface cada disposición de la Directiva— consulte el mapa de cobertura de la Directiva 2019/1937 . Los dos documentos son complementarios: el mapa de cobertura documenta lo que hace el producto; este documento documenta cómo leemos la ley.

Última actualización: abril de 2026.

§1. Ámbito y fuentes #

Esta metodología aborda la Directiva 2019/1937 tal como se ha transpuesto al Derecho nacional de los 27 Estados miembros de la UE. Cuando la transposición nacional es más estricta que la Directiva, la norma nacional prevalece para las organizaciones que operan en esa jurisdicción (véase §9).

Fuentes autorizadas, por orden de precedencia:

  1. El propio texto de la Directiva: Directiva (UE) 2019/1937, de 23 de octubre de 2019, incluidos sus considerandos.
  2. Las leyes nacionales de transposición: vinculantes dentro de cada Estado miembro. Véanse las leyes de protección del informante por país para conocer los nombres concretos de las leyes y las autoridades de aplicación.
  3. Las sentencias del Tribunal de Justicia de la Unión Europea: vinculantes en toda la Unión.
  4. Las orientaciones del Comité Europeo de Protección de Datos: para los aspectos de protección de datos (artículos 17, capa del RGPD).
  5. Las orientaciones de las autoridades nacionales competentes: persuasivas dentro del Estado que las emite.

Este documento es metodología operativa. No constituye asesoramiento jurídico. Las organizaciones deben validar las interpretaciones con asesores jurídicos competentes en su jurisdicción antes de basarse en ellas en una auditoría o un litigio.

§2. Convenciones #

La Directiva dispone introduce una afirmación de lo que exige el texto de la Directiva.

En la práctica, esto significa introduce la interpretación de EthicsPortal allí donde el texto permite más de una lectura.

EthicsPortal lo implementa introduce cómo se manifiesta la interpretación en el producto. Los operadores que elijan una interpretación distinta pueden necesitar ajustar la configuración o los procedimientos en consecuencia.

Todas las referencias a artículos lo son a la Directiva 2019/1937, salvo indicación en contrario.

§3. El umbral de 50 trabajadores (art. 8) #

La cuestión. El artículo 8, apartado 3, obliga a las entidades con «50 o más trabajadores» a establecer canales internos de denuncia. La Directiva no define cómo se calcula la plantilla, cómo cuentan los trabajadores a tiempo parcial y temporales, ni si el umbral se aplica por entidad jurídica o por grupo empresarial.

La Directiva dispone que «las entidades jurídicas del sector privado con 50 o más trabajadores» deben cumplir (art. 8, apartado 3). El considerando 48 aclara que el umbral se calcula «de conformidad con el Derecho nacional que transpone el Derecho de la Unión pertinente».

En la práctica, esto significa que el cálculo sigue las normas de recuento de plantilla existentes en cada Estado miembro a efectos laborales y de seguridad social. Estas normas varían:

El umbral se calcula por entidad jurídica, no por grupo empresarial. Una matriz y una filial son entidades separadas a efectos del artículo 8, salvo que el Derecho nacional disponga otra cosa. El artículo 8, apartado 6, permite compartir recursos dentro de un grupo de hasta 249 trabajadores, pero la obligación de establecer un canal sigue activándose por entidad por encima del umbral de 50 trabajadores.

Los contratistas, los trabajadores de empresas de trabajo temporal y los becarios cuentan, en general, para el umbral cuando entran en la definición nacional de «trabajador», que es más amplia que la de «empleado» en el Derecho de la UE. El Tribunal de Justicia ha sostenido de forma reiterada que el concepto de «trabajador» del Derecho de la UE incluye a toda persona que realice servicios para otra y bajo su dirección a cambio de una remuneración (véase Lawrie-Blum, C-66/85).

EthicsPortal lo implementa al no restringir el acceso por el número de empleados. Cualquier organización puede implementar un portal con independencia de su tamaño. Las organizaciones por debajo del umbral de 50 trabajadores operan portales con frecuencia de forma voluntaria: por gestión de riesgos, porque el Derecho nacional aplica un umbral más bajo a su sector (p. ej., los servicios financieros) o porque la política del grupo lo exige.

§4. El plazo de acuse de recibo (art. 9(1)(b)) #

La cuestión. El artículo 9, apartado 1, letra b), exige acusar recibo «en un plazo de siete días a partir de la recepción». La Directiva no especifica si se trata de días naturales o hábiles, ni cuándo empieza a contar el plazo para las comunicaciones recibidas fuera del horario laboral.

La Directiva dispone el acuse de recibo «en un plazo de siete días a partir de la recepción». No se da ninguna otra precisión.

En la práctica, esto significa siete días naturales, contados desde el momento en que la comunicación entra en el canal. Esto sigue el principio general de que los plazos del Derecho de la Unión corren en días naturales salvo que se indique expresamente otra cosa (Reglamento (CEE, Euratom) n.º 1182/71, art. 3). Los Estados miembros que han transpuesto la Directiva han tratado de forma reiterada el plazo de siete días como días naturales (HinSchG §17(1)2; D.Lgs. 24/2023 art. 5(1)(d); Loi Waserman art. 8).

Una comunicación presentada a las 23:59 de un domingo es una comunicación recibida ese domingo. El plazo de siete días empieza al día siguiente (día 1 = lunes) y vence al final del séptimo día. Esto sigue el artículo 3, apartado 1, del Reglamento 1182/71, que dispone que, cuando un plazo se expresa en días, el día del hecho desencadenante no cuenta.

El acuse de recibo no es lo mismo que la respuesta sustantiva. El acuse de recibo es una confirmación de que la comunicación se ha recibido y registrado. No necesita contener ninguna valoración del fondo de la comunicación, ni el nombre de la persona que la gestiona.

EthicsPortal lo implementa enviando un acuse de recibo automático al informante en el momento de la presentación, mostrado en el portal y (cuando se facilitan datos de contacto) por correo electrónico. El acuse de recibo incluye la referencia del caso y el plazo legal de tres meses para la respuesta. Las organizaciones configuradas para el acuse de recibo manual reciben alertas de plazo 48 horas antes de la marca de los siete días y el día del vencimiento.

§5. El plazo de respuesta (art. 9(1)(f)) #

La cuestión. El artículo 9, apartado 1, letra f), exige dar respuesta «en un plazo no superior a tres meses a partir del acuse de recibo o, si no se envió un acuse de recibo al denunciante, a partir del transcurso del plazo de siete días desde que se efectuó la denuncia». La Directiva no define qué se considera «respuesta».

La Directiva dispone que por «respuesta» se entiende «la información facilitada al denunciante sobre las medidas previstas o adoptadas como seguimiento y sobre los motivos de tal seguimiento» (art. 5, punto 13).

En la práctica, esto significa que la respuesta es sustantiva. Un nuevo acuse de recibo o una declaración de que la comunicación está «en revisión» no constituye una respuesta a efectos del artículo 9, apartado 1, letra f). El informante tiene derecho a saber, antes de la marca de los tres meses, qué medidas pretende adoptar (o ha adoptado) la organización y el razonamiento que las sustenta.

La respuesta no tiene por qué ser una resolución definitiva. Una organización puede declarar que el asunto sigue en investigación, siempre que también indique qué se ha hecho hasta ahora, qué medidas adicionales están previstas y cuándo cabe esperar una nueva actualización. Lo que se exige es información suficiente para que el informante pueda evaluar si la organización está gestionando la comunicación con seriedad.

El plazo de tres meses corre desde la fecha del acuse de recibo, no desde la fecha de presentación de la comunicación. Cuando el acuse de recibo se demora, la ventana de respuesta se acorta en consecuencia: la última fecha permisible para la respuesta es tres meses y siete días después de que se efectuó la comunicación.

EthicsPortal lo implementa mediante el seguimiento de ambos plazos (7 días para el acuse de recibo, 3 meses para la respuesta) por caso y mostrando alertas de vencimiento a todos los administradores de la organización. La respuesta al informante se entrega a través del canal de mensajería bidireccional del portal, que preserva el anonimato del informante cuando no ha revelado su identidad.

§6. Seguimiento diligente (art. 9(1)(d)) #

La cuestión. El artículo 9, apartado 1, letra d), exige un «seguimiento diligente por parte de la persona o el departamento designados a que se refiere la letra c)». «Diligente» no se define.

La Directiva dispone que el seguimiento es «toda acción emprendida por el destinatario de una denuncia o cualquier autoridad competente para valorar la exactitud de las alegaciones realizadas en la denuncia y, en su caso, para resolver la infracción denunciada» (art. 5, punto 12).

En la práctica, esto significa que el seguimiento diligente tiene tres componentes operativos mínimos:

  1. Valoración. Una evaluación documentada de si las alegaciones, de ser ciertas, constituirían una infracción dentro del ámbito material de la Directiva (art. 2) o de la transposición nacional.
  2. Investigación proporcionada a la alegación. Medidas de investigación acordes con la gravedad de la infracción alegada, la solidez de las pruebas y el posible perjuicio. No toda comunicación justifica una investigación completa; una comunicación sin ningún detalle concreto puede valorarse y cerrarse con una justificación documentada. Una comunicación con detalles específicos y corroborados justifica más.
  3. Registro contemporáneo. Las medidas adoptadas, las decisiones tomadas y su razonamiento deben registrarse en el momento en que se producen. Un seguimiento diligente que no deja rastro es indistinguible de la ausencia de seguimiento.

«Diligente» es un estándar objetivo. No se satisface únicamente con la buena fe subjetiva. Una organización que cierra de forma rutinaria comunicaciones sin valoración, o que tarda meses en abrir un expediente, no es diligente aunque crea serlo.

EthicsPortal lo implementa proporcionando un flujo de trabajo de gestión de casos con transiciones de estado (recibido, acusado recibo, en investigación, cerrado), notas internas para la colaboración entre gestores y un registro de auditoría en modo solo anexión que registra cada acción con marca de tiempo y actor. El registro de auditoría es la prueba principal de diligencia en una auditoría o revisión normativa.

§7. Confidencialidad de la identidad (art. 16) #

La cuestión. El artículo 16, apartado 1, exige que la identidad del informante no se revele a nadie más allá de los miembros del personal autorizados. La Directiva no especifica si la «identidad» se extiende a los metadatos que podrían identificar al informante (direcciones IP, huellas digitales del navegador, metadatos de autoría de los archivos, patrones de marcas de tiempo).

La Directiva dispone que «no se revele la identidad del denunciante a ninguna persona que no sea un miembro autorizado del personal competente para recibir o seguir denuncias, sin el consentimiento expreso de esa persona» (art. 16, apartado 1).

En la práctica, esto significa que la «identidad» se lee de forma funcional: incluye cualquier información que, por sí sola o en combinación, permita identificar al informante. Esta lectura está en línea con la definición de datos personales del RGPD (Reglamento (UE) 2016/679, art. 4, punto 1) y con la posición reiterada del Comité Europeo de Protección de Datos de que la identificabilidad depende del contexto.

Se tratan como información de identidad los siguientes elementos:

Las organizaciones que conservan las direcciones IP de los informantes, o que aceptan archivos subidos sin eliminar los metadatos, quedan expuestas a un fallo de confidencialidad que es técnicamente una infracción del artículo 16 aunque el nombre del informante nunca se revele.

EthicsPortal lo implementa al no almacenar nunca las direcciones IP de los informantes (la limitación de tasa usa hashes unidireccionales irreversibles), eliminar los metadatos EXIF y de documento de todos los archivos subidos antes de su almacenamiento, y cifrar en reposo los campos de identidad del informante mediante cifrado no determinista (de modo que ni siquiera el acceso total a la base de datos permita una búsqueda masiva por nombre).

§8. Plazo de conservación (art. 18) #

La cuestión. El artículo 18, apartado 1, exige que los registros de las comunicaciones se conserven «durante un período de tiempo no superior al que sea necesario y proporcionado para cumplir los requisitos impuestos por la presente Directiva, o por otros requisitos impuestos por el Derecho de la Unión o nacional». La Directiva no especifica un período máximo.

La Directiva dispone un estándar de «necesario y proporcionado», anclado a fines de cumplimiento.

En la práctica, esto significa que la conservación debe justificarse por referencia a un fin legal u operativo concreto, estar limitada en el tiempo y documentarse en los registros de protección de datos de la organización (art. 30 del RGPD). En ausencia de una investigación, un litigio o un requisito legal específico en curso, la conservación más allá del cierre del caso resulta cada vez más difícil de justificar.

Justificaciones habituales y sus duraciones típicas:

FinalidadConservación típica
Caso activo (de la recepción al cierre)Duración del caso
Investigación o litigio posteriorHasta la resolución definitiva
Registro de auditoría normativaPlazo fijado por la normativa sectorial (habitualmente 5 años para los servicios financieros)
Protección frente a reclamaciones por represalias (art. 21)Plazo de prescripción nacional de las reclamaciones laborales (habitualmente 2-5 años)
Información estadística conforme al art. 27, apartado 2Solo datos anonimizados; los datos personales deben minimizarse o suprimirse

La transposición nacional puede fijar plazos específicos. Ejemplos:

Un plazo de conservación generalizado elegido por conveniencia («lo conservamos todo durante 10 años») no es conforme ni con el artículo 18 ni con el artículo 5, apartado 1, letra e), del RGPD. La conservación debe estar vinculada a una finalidad.

EthicsPortal lo implementa proporcionando plazos de conservación configurables (12, 24, 36, 60 meses) con eliminación automática de las comunicaciones cerradas al final del período configurado. El ajuste predeterminado es el plazo más corto que satisface los requisitos de transposición nacional más comunes. Los operadores de sectores con obligaciones legales de conservación más largas configuran el período para que coincida.

§9. Base jurídica para el tratamiento (interacción con el RGPD) #

La cuestión. El artículo 17 de la Directiva exige que el tratamiento de datos personales cumpla el RGPD. La propia Directiva no es una base jurídica conforme al artículo 6 del RGPD: el responsable del tratamiento debe identificar qué base específica se aplica.

La Directiva dispone que el tratamiento «se llevará a cabo de conformidad con el Reglamento (UE) 2016/679» (art. 17).

En la práctica, esto significa que la base jurídica es el artículo 6, apartado 1, letra c), del RGPD: obligación legal, cuando la organización está sujeta a una obligación legal de establecer y operar un canal de denuncias. Para las organizaciones por encima del umbral de 50 trabajadores (o por debajo de él cuando la normativa sectorial imponga la obligación), el artículo 6, apartado 1, letra c), es la base correcta y suficiente. No se requiere el consentimiento del informante, y no debe solicitarse: tratar el tratamiento como basado en el consentimiento sería engañoso y crearía un derecho teórico de retirada que el responsable del tratamiento no puede honrar.

Para las organizaciones que operan un canal de denuncias de forma voluntaria (por debajo del umbral de 50 trabajadores y no sujetas a un mandato sectorial), la base jurídica es el artículo 6, apartado 1, letra f): interés legítimo, con sujeción a una ponderación documentada. El interés legítimo en prevenir y detectar irregularidades dentro de la organización está bien establecido y ha sido reconocido en las orientaciones nacionales de los Estados miembros.

Categorías especiales de datos personales (art. 9 del RGPD) pueden aparecer de forma incidental en las comunicaciones: una comunicación de discriminación puede revelar información de salud u origen étnico. La base jurídica para los datos del artículo 9 es habitualmente el artículo 9, apartado 2, letra g): interés público esencial, siempre que el tratamiento sea proporcionado y vaya acompañado de salvaguardias específicas. Las comunicaciones que revelen infracciones penales (art. 10 del RGPD) se tratan conforme a la base correspondiente del artículo 10 en el Derecho nacional.

EthicsPortal lo implementa documentando el artículo 6, apartado 1, letra c), como la base jurídica predeterminada en el contrato de encargado del tratamiento y el aviso de privacidad. Los operadores por debajo del umbral legal ajustan el aviso de privacidad para reflejar el artículo 6, apartado 1, letra f), y registran su ponderación por separado.

§10. Supremacía del Derecho nacional (art. 25) #

La cuestión. El artículo 25, apartado 1, dispone que los Estados miembros pueden introducir o mantener disposiciones «más favorables a los derechos de los denunciantes» que las establecidas en la Directiva. La Directiva no aborda cómo deben resolver los operadores los conflictos cuando el Derecho nacional es más estricto.

La Directiva dispone en el artículo 25, apartado 1, que «los Estados miembros podrán introducir o mantener disposiciones más favorables a los derechos de los denunciantes que las establecidas en la presente Directiva, sin perjuicio del artículo 22 [derechos de las personas afectadas] y del artículo 23, apartado 2 [sanciones por denuncias deliberadamente falsas]».

En la práctica, esto significa que, cuando la transposición nacional es más estricta que la Directiva, el Derecho nacional prevalece para las organizaciones que operan en esa jurisdicción. No existe la opción de basarse en el mínimo de la Directiva cuando la norma local es más estricta. La Directiva fija un suelo, no un techo.

Ejemplos prácticos de normas nacionales más estrictas:

Para los operadores multipaís, la regla operativa es: en cada jurisdicción, aplicar el más estricto de entre (Directiva, Derecho nacional). Esto a veces significa que una política de grupo establece un estándar alto uniforme que se corresponde con la norma nacional más estricta de cualquier país de operación. Esto suele ser preferible a mantener políticas paralelas por jurisdicción, lo que aumenta la carga administrativa y el riesgo de aplicar la norma equivocada.

EthicsPortal lo implementa estableciendo por defecto el denominador común más estricto de los 27 Estados miembros: las ventanas de acuse de recibo y respuesta más cortas, el plazo de conservación más reducido y el aviso antirrepresalias más completo. Los operadores de una sola jurisdicción pueden relajar ajustes predeterminados específicos para que coincidan con las normas nacionales, pero la base se calibra por encima del mínimo de la Directiva en cada artículo en el que las leyes nacionales de transposición lo superan.

§11. Comunicación anónima (art. 6(2), art. 9(1)(e)) #

La cuestión. ¿Debe una organización aceptar comunicaciones anónimas?

La Directiva dispone en el artículo 6, apartado 2, que «no afecta a la facultad de los Estados miembros de decidir si las entidades jurídicas […] están obligadas a aceptar las denuncias anónimas y a seguirlas». El artículo 9, apartado 1, letra e), exige «un seguimiento diligente, cuando así lo disponga el Derecho nacional, en lo que respecta a las denuncias anónimas».

En la práctica, esto significa que el Derecho nacional decide. Dos posturas:

Tres consecuencias.

Una vez aceptada, vinculante. Una organización que publica «aceptamos comunicaciones anónimas» ha activado el artículo 9, apartado 1, letra e). La obligación se vincula a la política, no a la comunicación individual.

La protección antirrepresalias solo se aplica desde la identificación. El artículo 21 no puede proteger a una persona desconocida. Las acciones adoptadas durante el período anónimo no quedan cubiertas con efecto retroactivo.

El anonimato es un estándar técnico, no una promesa. Un formulario que recopila un correo electrónico no es anónimo. Un canal que registra direcciones IP no es anónimo. La confidencialidad del artículo 16 protege una identidad conocida frente a la revelación; el anonimato impide la identificación.

EthicsPortal lo implementa aceptando comunicaciones anónimas de forma predeterminada. No se requieren datos de contacto. Las direcciones IP nunca se almacenan (la limitación de tasa usa hashes unidireccionales irreversibles). Los metadatos de los archivos se eliminan antes de su almacenamiento. Los operadores pueden configurar el portal para exigir datos de contacto cuando el Derecho nacional imponga comunicaciones identificadas. Las comunicaciones anónimas aceptadas siguen el mismo flujo de trabajo del caso, los mismos plazos y el mismo estándar de seguimiento diligente que las identificadas.

Registro de revisiones #

Correcciones y consultas #

Este documento está pensado para ser citado y para servir de base. Si detecta un error, una posición que entre en conflicto con una sentencia del Tribunal de Justicia, un dictamen del Comité Europeo de Protección de Datos o una orientación nacional vinculante, contacte con legal@ethicsportal.eu . Las correcciones se publican en el registro de revisiones con la fecha y un resumen del cambio.

Para preguntas sobre cómo se aplica una interpretación concreta a las circunstancias de su organización, este documento no sustituye al asesoramiento jurídico. Contacte con asesores jurídicos competentes en su jurisdicción.

Última actualización: