https://ethicsportal.eu/es/EthicsPortal is a secure, anonymous whistleblower reporting platform that helps organizations comply with EU Directive 2019/1937.es-ESThu, 18 Jun 2026 20:09:21 +0000https://ethicsportal.eu/images/logo.svghttps://ethicsportal.eu/https://ethicsportal.eu/es/whistleblower-laws/spain/Wed, 10 Jun 2026 00:00:00 +0000https://ethicsportal.eu/es/whistleblower-laws/spain/La Ley 2/2023 de España: el umbral del sector privado, el alcance del sector público, el matiz de las autoridades autonómicas y las autoridades oficiales de denuncia españolas.<h1 id="ley-de-protección-del-informante-en-españa"> Ley de protección del informante en España <a href="#ley-de-protecci%c3%b3n-del-informante-en-espa%c3%b1a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>España implementó la Directiva (UE) 2019/1937 a través de la <strong>Ley 2/2023, de 20 de febrero</strong>. El marco español combina el umbral estándar del sector privado de <strong>50 trabajadores</strong> con una amplia obligación para el sector público y una significativa capa de autoridades autonómicas.</p> <h2 id="ley-aplicable"> Ley aplicable <a href="#ley-aplicable" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023 — texto oficial del BOE</a> </li> <li><a href="https://www.proteccioninformante.gob.es/sistema-de-informacion-canal-externo" rel="nofollow">AIPI — canal externo de información</a> </li> </ul> <h2 id="quién-debe-establecer-un-canal-interno"> Quién debe establecer un canal interno <a href="#qui%c3%a9n-debe-establecer-un-canal-interno" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Las <strong>entidades del sector privado con 50 o más trabajadores</strong> deben mantener un sistema interno de información (<em>Sistema interno de información</em>).</li> <li><strong>Todas las entidades del sector público.</strong></li> <li>Las <strong>entidades financieras / de prevención del blanqueo de capitales, medioambientales y de seguridad en el transporte</strong>, con independencia del número de trabajadores.</li> </ul> <p>Plazos por fases: <strong>13 de junio de 2023</strong> para 250 o más empleados, <strong>1 de diciembre de 2023</strong> para 50-249. Los municipios de menos de 10 000 habitantes pueden compartir medios; las entidades de 50-249 pueden compartir recursos.</p> <h2 id="sanciones-y-aplicación"> Sanciones y aplicación <a href="#sanciones-y-aplicaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>España tiene la <strong>sanción por carencia de canal más severa de la UE</strong>. No disponer de un sistema interno de información es una infracción <em>muy grave</em> conforme al <strong>art. 63.1.g</strong> — textualmente, <em>«Incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley»</em>.</p> <table> <thead> <tr> <th>Categoría de la infracción (art. 65)</th> <th>Personas jurídicas</th> <th>Personas físicas</th> </tr> </thead> <tbody> <tr> <td>Leve</td> <td>hasta 100 000 €</td> <td>1001-10 000 €</td> </tr> <tr> <td>Grave</td> <td>100 001-600 000 €</td> <td>10 001-30 000 €</td> </tr> <tr> <td><strong>Muy grave</strong> (incl. <strong>ausencia de sistema interno</strong>, represalias, vulneración de la confidencialidad, obstrucción)</td> <td><strong>600 001-1 000 000 €</strong></td> <td>30 001-300 000 €</td> </tr> </tbody> </table> <p>Para las infracciones <em>muy graves</em> la autoridad puede añadir (art. 65.2): <strong>amonestación pública</strong>, la prohibición de obtener subvenciones / beneficios fiscales durante un máximo de 4 años y la prohibición de contratar con el sector público durante un máximo de 3 años.</p> <p><strong>Una valoración honesta de la aplicación.</strong> Dos cosas diferencian a España del resto de la región. Primero, el titular es real: <strong>hasta 1 000 000 €</strong> por el mero hecho de no disponer de un sistema conforme. Segundo, <strong>la aplicación está empezando a activarse de verdad</strong>: la autoridad nacional (<strong>AIPI</strong>) solo comenzó a operar el <strong>1 de septiembre de 2025</strong> y activó la supervisión de los canales en torno a febrero de 2026, y en diciembre de 2025 dio su primer paso público: derivó un asunto de mala gestión de un canal (el caso PSOE/Salazar) a su Departamento de Seguimiento y Sanciones. Eso es una <em>derivación</em>, todavía no una multa firme —ninguna empresa ha sido multada hasta la fecha—, pero España es la señal más clara de «la aplicación está llegando» de todos los mercados que seguimos.</p> <h2 id="autoridad-externa-de-denuncia"> Autoridad externa de denuncia <a href="#autoridad-externa-de-denuncia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El canal externo nacional lo gestiona la <a href="https://www.proteccioninformante.gob.es/sistema-de-informacion-canal-externo" rel="nofollow">Autoridad Independiente de Protección del Informante</a> . Las autoridades de las comunidades autónomas pueden tramitar asuntos regionales y locales dentro de su territorio, salvo que un convenio los asigne a la autoridad nacional.</p> <h2 id="autoridad-de-protección-de-datos"> Autoridad de protección de datos <a href="#autoridad-de-protecci%c3%b3n-de-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Para reclamaciones en materia de RGPD y orientación sobre privacidad, la autoridad competente es la <a href="https://www.aepd.es/" rel="nofollow">Agencia Española de Protección de Datos (AEPD)</a> .</p> <h2 id="puntos-clave-de-cumplimiento"> Puntos clave de cumplimiento <a href="#puntos-clave-de-cumplimiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>La obligación española para el sector público es más amplia que la simple regla del sector privado de 50 trabajadores.</li> <li>El sistema externo nacional admite expresamente presentaciones escritas y verbales.</li> <li>La capa de autoridades autonómicas importa en la práctica, especialmente para asuntos locales o de una sola región.</li> </ul> <h2 id="fuentes-oficiales"> Fuentes oficiales <a href="#fuentes-oficiales" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023 — texto oficial del BOE</a> </li> <li><a href="https://www.proteccioninformante.gob.es/sistema-de-informacion-canal-externo" rel="nofollow">AIPI — canal externo de información</a> </li> <li><a href="https://www.proteccioninformante.gob.es/quienes-somos" rel="nofollow">AIPI — quiénes somos</a> </li> <li><a href="https://www.proteccioninformante.gob.es/procedimiento-sancionador-detalle" rel="nofollow">AIPI — procedimiento sancionador</a> </li> <li><a href="https://www.antifrau.cat/en/who-is-independent-whistleblower-protection-authority-catalonia" rel="nofollow">Oficina Antifrau de Catalunya — autoridad de protección del informante</a> </li> <li><a href="https://www.aepd.es/" rel="nofollow">AEPD</a> </li> </ul> <hr> <p><a href="/pricing/">Active su canal de denuncias →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/about/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/about/EthicsPortal proporciona un canal interno de denuncias seguro, creado en Europa, alojado en Alemania y diseñado para la Directiva 2019/1937.<h1 id="acerca-de-ethicsportal"> Acerca de EthicsPortal <a href="#acerca-de-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Última actualización: 2026-05-24.</p> <p>La Directiva (UE) 2019/1937 obliga a toda organización con 50 o más trabajadores a operar un canal interno de denuncias seguro y confidencial. EthicsPortal es ese canal.</p> <hr> <h2 id="qué-ofrecemos"> Qué ofrecemos <a href="#qu%c3%a9-ofrecemos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Comunicación anónima y confidencial que cumple todos los artículos de la Directiva</li> <li>Almacenamiento de datos cifrado, alojado en Hetzner en Núremberg, Alemania</li> <li>Seguimiento automático de los plazos de 7 días para el acuse de recibo y de 3 meses para la respuesta</li> <li>Registro de auditoría en modo solo anexión para revisión normativa</li> <li>Comunicación bidireccional segura entre informantes y gestores del caso</li> <li>Soporte multilingüe para organizaciones transfronterizas</li> <li>Exportación de expedientes en PDF para auditores y revisión jurídica</li> </ul> <hr> <h2 id="dónde-operamos"> Dónde operamos <a href="#d%c3%b3nde-operamos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal se opera desde Polonia, y los datos centrales de las comunicaciones se alojan dentro de la UE. Nuestro <a href="/directive-coverage/">mapa completo de cobertura de la Directiva 2019/1937</a> , la <a href="/security/">arquitectura de seguridad</a> , la <a href="/subprocessors/">lista de subencargados del tratamiento</a> , el <a href="/dpa/">contrato de encargado del tratamiento</a> y la página de <a href="/trust/">confianza</a> están publicados y disponibles para su revisión.</p> <ul> <li>Sin analítica de terceros ni cookies de seguimiento en el portal de denuncias</li> <li>Exportación completa de los datos en cualquier momento (PDF + CSV)</li> <li><a href="https://secure.ethicsportal.eu /up">Estado del servicio</a> </li> <li><a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">Canal interno de denuncias</a> para plantear inquietudes sobre EthicsPortal conforme a la Directiva 2019/1937</li> </ul> <hr> <h2 id="datos-de-la-empresa"> Datos de la empresa <a href="#datos-de-la-empresa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal se opera como una actividad empresarial registrada en Varsovia, Polonia.</p> <ul> <li><strong>Operador:</strong> Yaroslav Shmarov</li> <li><strong>Domicilio registrado:</strong> ul. Obrzeżna 1A, 02-691 Varsovia, Polonia</li> <li><strong>Número de identificación fiscal (NIP):</strong> 5272755790</li> <li><strong>Contacto comercial:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> </ul> <p>Los datos completos de la parte contratante, las pruebas registrales y los documentos firmados se publican en la <a href="/trust/">página de confianza</a> y se facilitan a petición durante el proceso de compras.</p> <hr> <h2 id="contacto"> Contacto <a href="#contacto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>Correo electrónico:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Normalmente respondemos en un día laborable.</p> <p><a href="https://secure.ethicsportal.eu /session/new" class="btn btn-primary btn-lg">Active su canal interno de denuncias →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/sla/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/sla/Objetivo de disponibilidad mensual de los portales del informante y del operador de EthicsPortal, cómo se mide y qué queda excluido.<h1 id="acuerdo-de-nivel-de-servicio"> Acuerdo de nivel de servicio <a href="#acuerdo-de-nivel-de-servicio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>EthicsPortal se compromete a un objetivo de disponibilidad mensual para los portales del informante y del operador. Esta página establece el objetivo, cómo se mide y qué queda excluido.</p> <p>Última actualización: 2026-05-17.</p> <hr> <h2 id="objetivo-de-disponibilidad"> Objetivo de disponibilidad <a href="#objetivo-de-disponibilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>99,5 % de disponibilidad mensual</strong> para:</p> <ul> <li>El portal de denuncias del informante: la superficie donde los informantes presentan comunicaciones y hacen su seguimiento.</li> <li>El portal del operador y del gestor: la superficie donde los gestores designados acceden a los casos y los trabajan.</li> </ul> <p>El 99,5 % mensual permite aproximadamente 3 horas y 36 minutos de inactividad no planificada por mes natural.</p> <p>El sitio web de presentación y la documentación se prestan con el mejor esfuerzo posible y no están cubiertos.</p> <hr> <h2 id="medición"> Medición <a href="#medici%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La disponibilidad se mide mensualmente como el porcentaje de minutos durante los cuales las superficies cubiertas responden a las solicitudes HTTP con un estado sin error. La medición se toma de un servicio de monitorización externo, no autodeclarada.</p> <hr> <h2 id="qué-cuenta-contra-la-disponibilidad"> Qué cuenta contra la disponibilidad <a href="#qu%c3%a9-cuenta-contra-la-disponibilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Caídas de la infraestructura de la aplicación de EthicsPortal.</li> <li>Caídas de un subencargado del tratamiento (alojamiento, correo electrónico, almacenamiento de objetos) que degraden una superficie cubierta.</li> <li>Incidentes de seguridad que requieran poner fuera de línea una superficie cubierta.</li> </ul> <p>Las caídas de los subencargados del tratamiento no quedan excluidas. El compromiso refleja lo que los operadores y los informantes experimentan realmente.</p> <hr> <h2 id="exclusiones"> Exclusiones <a href="#exclusiones" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La disponibilidad se mide excluyendo:</p> <ul> <li><strong>Mantenimiento planificado</strong> anunciado con al menos 48 horas de antelación. Programado fuera del horario laboral europeo y normalmente de menos de 30 minutos.</li> <li><strong>Fuerza mayor</strong>: interrupciones regionales de internet, desastres naturales, fallos de DNS o de autoridades de certificación ajenas a nuestra cadena de proveedores.</li> <li><strong>Uso no autorizado o abuso</strong> que requiera medidas de protección como la limitación de tasa o la suspensión de cuentas.</li> </ul> <hr> <h2 id="objetivos-de-recuperación"> Objetivos de recuperación <a href="#objetivos-de-recuperaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>En un escenario de recuperación ante desastres, EthicsPortal se fija como objetivo:</p> <ul> <li><strong>Objetivo de punto de recuperación (RPO): 24 horas.</strong> Los datos escritos en las 24 horas previas a un fallo catastrófico pueden perderse.</li> <li><strong>Objetivo de tiempo de recuperación (RTO): 4 horas.</strong> Las superficies cubiertas se restablecen a un estado operativo en un plazo de cuatro horas desde un incidente declarado.</li> </ul> <p>El mecanismo de copia de seguridad, la ubicación de almacenamiento, la conservación y la cadencia de las pruebas de restauración se documentan en la <a href="/security/#backups-and-restore">página de seguridad</a> .</p> <hr> <h2 id="divulgación-de-la-inactividad"> Divulgación de la inactividad <a href="#divulgaci%c3%b3n-de-la-inactividad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La disponibilidad en directo de las superficies cubiertas se publica en <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> .</p> <p>Las caídas materiales se registran en el <a href="/incidents/">registro de incidentes</a> . Toda caída superior a dos horas en una superficie cubierta da lugar a una entrada en el registro.</p> <p>Las cifras de disponibilidad mensual están a disposición de los operadores a petición.</p> <hr> <h2 id="créditos-de-servicio"> Créditos de servicio <a href="#cr%c3%a9ditos-de-servicio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Los planes estándar no incluyen créditos de servicio monetarios. Los remedios por incumplimientos materiales o reiterados se establecen en los <a href="/terms/">Términos del servicio</a> y el <a href="/dpa/">contrato de encargado del tratamiento</a> . En la máxima medida permitida por la ley, las reclamaciones que se deriven de este SLA o se relacionen con él forman parte del mismo límite de responsabilidad agregado que se aplica al Servicio.</p> <hr> <h2 id="preguntas"> Preguntas <a href="#preguntas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Para preguntas sobre la disponibilidad o para solicitar las cifras de disponibilidad mensual, contacte con <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/product/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/product/Implemente un canal interno de denuncias seguro para el cumplimiento de la Directiva (UE) 2019/1937, con configuración del portal, gestión de casos y exportaciones de auditoría incluidas.<h1 id="cómo-funciona-ethicsportal"> Cómo funciona EthicsPortal <a href="#c%c3%b3mo-funciona-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <h2 id="flujo-de-implementación"> Flujo de implementación <a href="#flujo-de-implementaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="1-configure-su-portal"> 1. Configure su portal <a href="#1-configure-su-portal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cree la cuenta de la organización y, a continuación, configure:</p> <ul> <li><strong>Nombre y logotipo de la organización:</strong> su portal, su identidad</li> <li><strong>Categorías de comunicación:</strong> fraude, acoso, seguridad o defina las suyas propias</li> <li><strong>Período de conservación de los datos:</strong> 12, 24, 36 o 60 meses; después se eliminan automáticamente</li> </ul> <p>Al portal se le asigna una URL única en cuanto se guarda la configuración.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-edit.png" alt="Pantalla de configuración del portal" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="2-comparta-el-enlace"> 2. Comparta el enlace <a href="#2-comparta-el-enlace" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cada portal obtiene un <strong>enlace para compartir</strong> y un <strong>código QR</strong>. Coloque el código QR en las salas de descanso, los aseos, el manual del empleado o los paquetes de incorporación. Los empleados acceden al portal desde cualquier navegador. No se requiere ninguna aplicación, cuenta ni red corporativa.</p> <p>Vea el propio canal de denuncias de EthicsPortal en producción: <a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">secure.ethicsportal.eu/p/BiPdmk</a> .</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-public-desktop.png" alt="Compartir el enlace del portal y el código QR" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="3-gestione-el-flujo-de-trabajo-de-los-casos"> 3. Gestione el flujo de trabajo de los casos <a href="#3-gestione-el-flujo-de-trabajo-de-los-casos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cuando llega una comunicación, recibe una notificación por correo electrónico. Desde el panel, gestione cada caso en una sola vista:</p> <ul> <li><strong>Asigne y clasifique:</strong> dirija los casos al gestor adecuado</li> <li><strong>Filtre y busque:</strong> localice casos por estado, categoría o plazo</li> <li><strong>Registre comunicaciones externas:</strong> ¿ha recibido una comunicación por teléfono, correo electrónico o en persona? Créela manualmente para que todo esté en un mismo lugar</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-reports.png" alt="Panel de comunicaciones con lista de casos, filtros y estado" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <p>Abra un caso para gestionarlo de principio a fin:</p> <ul> <li><strong>Lea la comunicación completa:</strong> descripción, categoría, respuestas estructuradas de admisión y archivos subidos. Las comunicaciones que señalan un temor a represalias llevan una distintiva insignia de urgencia (art. 19 de la Directiva)</li> <li><strong>Acuse recibo:</strong> la Directiva lo exige en un plazo de 7 días. EthicsPortal hace el seguimiento del plazo y señala automáticamente los casos vencidos</li> <li><strong>Comuníquese con el informante:</strong> mensajería bidireccional segura mediante código de acceso. El informante permanece anónimo y los nombres de sus gestores nunca se revelan</li> <li><strong>Dé respuesta:</strong> la Directiva lo exige en un plazo de 3 meses. Se hace el seguimiento automáticamente</li> <li><strong>Añada notas internas:</strong> notas invisibles para el informante, visibles para su equipo</li> <li><strong>Exporte a PDF:</strong> genere un expediente completo del caso para revisión jurídica, auditores o documentación de cumplimiento</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-report.png" alt="Vista de un caso individual con mensajería segura, plazos y registro de auditoría" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="qué-experimentan-los-informantes"> Qué experimentan los informantes <a href="#qu%c3%a9-experimentan-los-informantes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La experiencia del informante importa porque determina si las personas realmente utilizan el canal.</p> <ul> <li><strong>Sin cuenta, sin aplicación, sin inicio de sesión.</strong> Solo un navegador en cualquier dispositivo, incluido un teléfono personal con datos móviles</li> <li><strong>Totalmente anónimo de forma predeterminada.</strong> Sin registro de IP. Los metadatos de los archivos (EXIF, GPS, autor) se eliminan automáticamente antes de su almacenamiento</li> <li><strong>Revelación de identidad opcional.</strong> Los informantes pueden compartir su nombre si así lo deciden. Nunca es obligatorio</li> <li><strong>Preguntas guiadas opcionales.</strong> Un conjunto breve y omisible de preguntas alineadas con la Directiva —relación con la organización (art. 4), cómo lo saben, cuándo ocurrió, si se comunicó antes y si temen represalias (art. 19)— ayuda a los gestores a clasificar. Todas las preguntas son opcionales, de modo que el anonimato nunca se ve comprometido por una respuesta obligatoria</li> <li><strong>Acceso al caso con dos factores.</strong> El informante elige un código de acceso de 6 dígitos al presentar la comunicación y recibe un identificador del expediente (<code>WB-XXXX-XXXX</code>). Ambos son necesarios para volver a consultar las actualizaciones y responder a los mensajes del gestor</li> <li><strong>Los nombres de los gestores nunca se muestran.</strong> El informante ve «Gestor del caso» y nada más</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-new-report-desktop.png" alt="Formulario de comunicación anónima" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <p>Cuando los informantes regresan para consultar su caso, introducen su identificador del expediente y su código de acceso de 6 dígitos y ven solo lo que necesitan: el estado, los mensajes del gestor y cualquier archivo que hayan subido. Las identidades de los gestores permanecen ocultas tras una etiqueta genérica de «Gestor del caso».</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-public-report-desktop.png" alt="Vista del informante de su caso presentado con mensajería bidireccional segura" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="qué-hay-bajo-el-capó"> Qué hay bajo el capó <a href="#qu%c3%a9-hay-bajo-el-cap%c3%b3" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Cada decisión técnica sirve a un único propósito: mantenerle en cumplimiento y proteger a sus informantes.</p> <ul> <li><strong>Cifrado en reposo.</strong> Todos los datos de las comunicaciones están cifrados en la base de datos</li> <li><strong>Análisis antivirus.</strong> Todos los archivos subidos se analizan en busca de malware en el lado del servidor. Los archivos infectados se eliminan automáticamente</li> <li><strong>Registro de auditoría en modo solo anexión.</strong> Cada acción queda registrada. Las entradas no pueden modificarse tras su creación. Los auditores obtienen quién hizo qué y cuándo</li> <li><strong>Autenticación de dos factores.</strong> 2FA basada en TOTP para las cuentas de gestores y administradores, mediante cualquier aplicación de autenticación estándar. Los informantes también se autentican con dos factores: el identificador del expediente más un código de acceso de 6 dígitos elegido por el informante (almacenado únicamente como un resumen bcrypt)</li> <li><strong>Seguimiento automático de plazos.</strong> Plazos de 7 días para el acuse de recibo y de 3 meses para la respuesta, con notificaciones de vencimiento</li> <li><strong>Datos de las comunicaciones alojados en la UE.</strong> Los datos centrales de las comunicaciones se almacenan en servidores de Hetzner en Núremberg, Alemania. El sitio web de presentación se entrega a través de Cloudflare (CDN, Estados Unidos); el portal de denuncias y el portal de los gestores no. Las salvaguardias de transferencia se documentan en la lista publicada de subencargados del tratamiento</li> <li><strong>Sin seguimiento.</strong> Sin registro de IP, sin cookies de analítica, sin scripts de terceros en el portal de denuncias</li> </ul> <hr> <p>Para el mapa artículo por artículo de cómo cada función satisface la Directiva, consulte el <a href="/directive-coverage/">mapa de cobertura de la Directiva 2019/1937</a> . Para conocer las posiciones interpretativas sobre las disposiciones ambiguas de la Directiva, consulte las <a href="/directive-interpretations/">interpretaciones de la Directiva 2019/1937</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/trust/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/trust/Parte contratante, residencia de los datos, certificaciones y materiales de compras de EthicsPortal.<h1 id="confianza"> Confianza <a href="#confianza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Todo lo que un revisor de compras, un delegado de protección de datos o un equipo jurídico necesita para evaluar EthicsPortal.</p> <p>Última actualización: 2026-05-24.</p> <hr> <h2 id="parte-contratante"> Parte contratante <a href="#parte-contratante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>Nombre del servicio:</strong> EthicsPortal</li> <li><strong>Operador:</strong> Yaroslav Shmarov</li> <li><strong>Domicilio registrado:</strong> ul. Obrzeżna 1A, 02-691 Varsovia, Polonia</li> <li><strong>Número de identificación fiscal (NIP):</strong> 5272755790</li> <li><strong>Firmante autorizado para acuerdos comerciales, DPA y cuestionarios de seguridad:</strong> Yaroslav Shmarov</li> <li><strong>Contacto comercial:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Contacto de seguridad:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Contacto de privacidad y protección de datos:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> </ul> <p>Las pruebas registrales y los documentos de contratación firmados se facilitan a petición durante el proceso de compras.</p> <hr> <h2 id="residencia-de-los-datos-y-relación-de-encargo-del-tratamiento"> Residencia de los datos y relación de encargo del tratamiento <a href="#residencia-de-los-datos-y-relaci%c3%b3n-de-encargo-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>En el modelo de suscripción estándar, el cliente es el responsable del tratamiento y EthicsPortal actúa como encargado del tratamiento de los datos de las comunicaciones del cliente.</p> <p>Los datos centrales de las comunicaciones de los informantes, incluidos la aplicación, la base de datos y el almacenamiento de archivos, se alojan en Núremberg, Alemania, en <a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> . El correo electrónico transaccional se gestiona a través de Mailjet (Francia). El sitio de presentación usa un subencargado del tratamiento no perteneciente a la UE designado, Cloudflare (CDN), enumerado en su totalidad en la página de <a href="/subprocessors/">subencargados del tratamiento</a> . El portal de denuncias y el portal de los gestores no cargan Cloudflare.</p> <hr> <h2 id="continuidad-y-personal"> Continuidad y personal <a href="#continuidad-y-personal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>Los datos del cliente son recuperables con independencia de la disponibilidad del operador.</strong> En cualquier momento durante la relación y a la salida del contrato, las organizaciones cliente tienen derecho a una exportación completa y legible por máquina de sus datos, además de un período definido de cese de actividad para migrar a un proveedor alternativo. Estas disposiciones figuran en el <a href="/dpa/">contrato de encargado del tratamiento</a> y se desarrollan en el <a href="/policies/business-continuity/">plan de continuidad de negocio</a> , que define los desencadenantes de activación, <strong>RPO de 24 horas / RTO de 4 horas</strong> y el procedimiento de incapacidad del operador.</p> <p><strong>Copias de seguridad.</strong> Volcados cifrados diarios de PostgreSQL a Hetzner Object Storage (UE, conservación de 7 días) más instantáneas a nivel de servidor de Hetzner (conservación de 7 días). Última prueba de restauración: 2026-05-14.</p> <p><strong>Alcance del personal.</strong> Todos los datos del cliente los trata el operador designado. No hay otros empleados ni contratistas: una decisión de alcance deliberada que elimina del modelo de amenazas los riesgos de personal del lado del proveedor (lagunas en la verificación de antecedentes, fugas en altas/bajas, proliferación de contratistas). Los controles de acceso privilegiado del operador designado están documentados y disponibles durante la revisión de compras.</p> <hr> <h2 id="estado-de-certificación"> Estado de certificación <a href="#estado-de-certificaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal no reclama actualmente una certificación acreditada ISO 27001 en este sitio. Una prueba de penetración externa independiente no consta actualmente en registro. Cuando cualquiera de las dos cambie, se publicará aquí el nombre de la certificación (o el alcance, la fecha y el resumen de subsanación de la prueba).</p> <p>En lugar de una certificación acreditada, EthicsPortal publica una autoevaluación estructurada con arreglo a los mismos conjuntos de controles que evaluaría una auditoría externa:</p> <ul> <li>Un <a href="/iso-27001/">mapa de controles del Anexo A de la ISO/IEC 27001:2022</a> que cubre los 93 controles, con su estado (Implementado / Autoevaluado / No aplicable / Control compensatorio) e indicadores de prueba para cada uno.</li> <li>Un <a href="/iso-37002/">mapa de alineación con las orientaciones de la ISO 37002:2021</a> que cubre el ciclo de vida de la gestión de denuncias cláusula por cláusula, con la frontera software/operador indicada. (La ISO 37002 es una norma de directrices: ninguna organización puede certificarse con arreglo a ella; la alineación es la única afirmación honesta que cualquier proveedor puede hacer.)</li> <li>Documentos de política designados en <a href="/policies/">/policies/</a> : <a href="/policies/information-security/">política de seguridad de la información</a> , <a href="/policies/business-continuity/">plan de continuidad de negocio</a> , <a href="/policies/risk-register/">registro de riesgos</a> .</li> <li>Un <a href="/caiq/">cuestionario alineado con CAIQ ya cumplimentado</a> para las preguntas cuyas respuestas ya están documentadas públicamente.</li> </ul> <p>La autoevaluación es la sustancia que una acreditación atestiguaría. EthicsPortal la publica directamente para que un revisor de compras pueda evaluar las mismas pruebas sin esperar a un auditor.</p> <hr> <h2 id="ciclo-de-vida-operativo"> Ciclo de vida operativo <a href="#ciclo-de-vida-operativo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Pregunta</th> <th>Respuesta</th> </tr> </thead> <tbody> <tr> <td>Disponibilidad en directo</td> <td>Publicada en <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> para las superficies cubiertas. Consulte el <a href="/sla/">acuerdo de nivel de servicio</a> para la metodología de medición y las exclusiones.</td> </tr> <tr> <td>Ciclo de vida de la sesión y del acceso</td> <td>Las sesiones expiran automáticamente tras 14 días de inactividad y se barren cada noche. Los usuarios pueden revisar y revocar sus propias sesiones en cualquier momento. Cada sesión registra <code>last_seen_at</code>, de modo que los dispositivos obsoletos son identificables. La desactivación de un miembro corta el acceso en la frontera de la solicitud, anula las asignaciones de comunicaciones abiertas y elimina las participaciones, preservando el historial de auditoría. Consulte <a href="/security/#access-control">Seguridad</a> .</td> </tr> <tr> <td>Copias de seguridad y restauración</td> <td>Volcados cifrados diarios de PostgreSQL a Hetzner Object Storage (UE, conservación de 7 días) más instantáneas a nivel de servidor de Hetzner (conservación de 7 días). <strong>RPO de 24 horas, RTO de 4 horas.</strong> Última prueba de restauración: 2026-05-14. Consulte <a href="/security/#backups-and-restore">Seguridad</a> .</td> </tr> <tr> <td>Gestión de dependencias y parches</td> <td>SCA continuo en CI (Brakeman, bundler-audit, importmap audit) más actualizaciones semanales de Dependabot. Sin componentes al final de su vida útil desplegados. Consulte <a href="/security/#dependency-and-patch-management">Seguridad</a> .</td> </tr> <tr> <td>Exportación y supresión</td> <td>La exportación de expedientes en PDF está disponible en la aplicación para cada caso (descripción, mensajes, registro de auditoría, adjuntos). La exportación masiva y legible por máquina del conjunto completo de datos de la organización está disponible a petición a la salida del contrato. Los compromisos contractuales figuran en el <a href="/dpa/">contrato de encargado del tratamiento</a> .</td> </tr> <tr> <td>Objetivos de recuperación</td> <td>Consulte el <a href="/sla/#recovery-objectives">acuerdo de nivel de servicio</a> .</td> </tr> </tbody> </table> <hr> <h2 id="posiciones-contractuales"> Posiciones contractuales <a href="#posiciones-contractuales" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Una única fuente de verdad para las preguntas contractuales que con más frecuencia plantean los equipos de compras empresariales. Cada fila enlaza con el documento que rige.</p> <table> <thead> <tr> <th>Elemento</th> <th>Posición de EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Límite de responsabilidad agregado</td> <td>12 meses de tarifas abonadas en los 12 meses anteriores al hecho que dé lugar a la reclamación (<a href="/terms/">Términos §11</a> ). El contrato de encargado del tratamiento, el acuerdo de nivel de servicio y la indemnización por propiedad intelectual se integran en el mismo límite agregado.</td> </tr> <tr> <td>Indemnización por infracción de la propiedad intelectual</td> <td>El operador defenderá al Responsable del tratamiento frente a reclamaciones de terceros por derechos de autor, marcas o patentes derivadas del uso del Servicio de conformidad con los Términos, con sujeción a las exclusiones estándar (modificaciones del cliente, uso no autorizado, combinaciones no autorizadas) y al límite de responsabilidad agregado. Consulte <a href="/terms/">Términos §12</a> .</td> </tr> <tr> <td>Plazo de notificación de violaciones de la seguridad</td> <td>Sin dilación indebida y, en todo caso, en un plazo de 72 horas desde que se tiene conocimiento (<a href="/dpa/">DPA §6.6</a> ), en línea con el <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 33</a> del RGPD. No se ofrece contractualmente un plazo más corto en los planes estándar, porque los plazos más cortos arriesgan una notificación prematura y entran en conflicto con el umbral forense exigido por el RGPD.</td> </tr> <tr> <td>Derechos de auditoría</td> <td>Conforme al <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 28(3)(h)</a> del RGPD, con un preaviso de al menos 30 días y durante el horario laboral normal (<a href="/dpa/">DPA §6.9</a> ). El Encargado del tratamiento responderá a los cuestionarios de seguridad por escrito en lugar de una auditoría in situ cuando la revisión del Responsable del tratamiento pueda satisfacerse de ese modo.</td> </tr> <tr> <td>Créditos de servicio</td> <td>Los planes estándar no incluyen créditos de servicio monetarios. Los remedios por fallos de disponibilidad materiales o reiterados se rigen por el límite de responsabilidad agregado (<a href="/sla/">SLA</a> ).</td> </tr> <tr> <td>Claves de cifrado gestionadas por el cliente (BYOK / KMS externo)</td> <td>No admitidas. Se requieren claves gestionadas por el Encargado del tratamiento para mantener la frontera de claves informante-gestor y la garantía de supresión de extremo a extremo. Consulte <a href="/dpa/">DPA §6.11</a> .</td> </tr> <tr> <td>Depósito en custodia del código fuente (escrow)</td> <td>No se ofrece. La continuidad se gestiona a través de las disposiciones de incapacidad del operador del <a href="/policies/business-continuity/">plan de continuidad de negocio</a> y de los derechos de exportación y supresión de datos del Responsable del tratamiento conforme al <a href="/dpa/">DPA §6.8</a> .</td> </tr> <tr> <td>Aviso de cambio de subencargado del tratamiento</td> <td>Al menos 30 días antes de añadir o sustituir a un subencargado del tratamiento; el Responsable del tratamiento puede oponerse y resolver si no se alcanza una solución (<a href="/dpa/">DPA §6.4</a> ).</td> </tr> <tr> <td>Exportación y supresión de datos a la salida</td> <td>Exportación de expedientes en PDF en autoservicio dentro del producto, más exportación masiva y legible por máquina a petición a la salida, más supresión en un plazo de 30 días desde la terminación de la suscripción a petición por escrito (<a href="/dpa/">DPA §6.8</a> ).</td> </tr> <tr> <td>Seguro de responsabilidad cibernética</td> <td>En revisión. El importe de la cobertura y la aseguradora se publicarán aquí cuando estén en vigor.</td> </tr> <tr> <td>Prueba de penetración externa independiente</td> <td>Ninguna consta actualmente en registro. El alcance, la fecha y el resumen de subsanación se publicarán aquí cuando se realice una.</td> </tr> <tr> <td>Ley aplicable y jurisdicción</td> <td>Leyes de Polonia; tribunales de Varsovia (<a href="/terms/">Términos §13</a> ). Los consumidores de la UE conservan el derecho a entablar acciones en su país de residencia.</td> </tr> </tbody> </table> <p>Estas posiciones se reflejan en los <a href="/terms/">Términos del servicio</a> , el <a href="/dpa/">contrato de encargado del tratamiento</a> y el <a href="/sla/">acuerdo de nivel de servicio</a> publicados. No se conceden desviaciones materiales en los planes estándar.</p> <hr> <h2 id="documentos-públicos"> Documentos públicos <a href="#documentos-p%c3%bablicos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Todo lo que un revisor de compras necesita se publica abiertamente. Agrupado por lo que hace el documento.</p> <h3 id="contractuales"> Contractuales <a href="#contractuales" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Lo que rige la relación entre EthicsPortal y el cliente.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalidad</th> </tr> </thead> <tbody> <tr> <td><a href="/terms/">Términos del servicio</a> </td> <td>Términos de suscripción, cancelación, reembolsos, límite de responsabilidad, indemnización por PI</td> </tr> <tr> <td><a href="/dpa/">Contrato de encargado del tratamiento</a> </td> <td>Términos de encargo del tratamiento conforme al art. 28 del RGPD</td> </tr> <tr> <td><a href="/sla/">Acuerdo de nivel de servicio</a> </td> <td>Objetivo de disponibilidad y medición</td> </tr> <tr> <td><a href="/privacy/">Política de privacidad</a> </td> <td>Cómo se tratan los datos personales</td> </tr> </tbody> </table> <h3 id="operativos"> Operativos <a href="#operativos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cómo funciona el Servicio en el día a día y quién más interviene.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalidad</th> </tr> </thead> <tbody> <tr> <td><a href="/security/">Seguridad</a> </td> <td>Medidas técnicas y organizativas</td> </tr> <tr> <td><a href="/subprocessors/">Subencargados del tratamiento</a> </td> <td>Subencargados del tratamiento designados y su alcance</td> </tr> <tr> <td><a href="/incidents/">Registro de incidentes</a> </td> <td>Incidentes materiales que afectan a datos personales</td> </tr> <tr> <td><a href="/accessibility/">Accesibilidad</a> </td> <td>Estado de conformidad con la EAA / EN 301 549</td> </tr> </tbody> </table> <h3 id="referencia-de-la-directiva"> Referencia de la Directiva <a href="#referencia-de-la-directiva" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cómo se corresponde EthicsPortal con la Directiva (UE) 2019/1937, y cómo la lee.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalidad</th> </tr> </thead> <tbody> <tr> <td><a href="/directive-coverage/">Mapa de cobertura de la Directiva 2019/1937</a> </td> <td>Mapa de función a artículo de la Directiva 2019/1937</td> </tr> <tr> <td><a href="/directive-interpretations/">Interpretaciones de la Directiva 2019/1937</a> </td> <td>Posiciones interpretativas sobre las disposiciones ambiguas de la Directiva</td> </tr> <tr> <td><a href="/whistleblower-laws/">Leyes de protección del informante por país</a> </td> <td>Transposiciones nacionales, autoridades de aplicación</td> </tr> <tr> <td><a href="/penalties/">Sanciones por país</a> </td> <td>Multas y responsabilidad penal por Estado miembro</td> </tr> </tbody> </table> <h3 id="autoevaluación"> Autoevaluación <a href="#autoevaluaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Documentos de política designados y las correspondencias de controles que evaluaría una auditoría externa.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalidad</th> </tr> </thead> <tbody> <tr> <td><a href="/policies/information-security/">Política de seguridad de la información</a> </td> <td>Declaración de intenciones, alcance, roles, compromisos de control</td> </tr> <tr> <td><a href="/policies/business-continuity/">Plan de continuidad de negocio</a> </td> <td>Desencadenantes de activación, objetivos de recuperación, divulgación de incapacidad del operador</td> </tr> <tr> <td><a href="/policies/risk-register/">Registro de riesgos</a> </td> <td>Principales riesgos, tratamiento, posición residual</td> </tr> <tr> <td><a href="/iso-27001/">Mapa de controles del Anexo A de la ISO/IEC 27001:2022</a> </td> <td>Autoevaluación estructurada con arreglo a los 93 controles</td> </tr> <tr> <td><a href="/caiq/">Cuestionario alineado con CAIQ</a> </td> <td>Evaluación de seguridad del proveedor ya cumplimentada (estructura de dominios CSA CAIQ v4)</td> </tr> </tbody> </table> <hr> <h2 id="disponible-durante-la-revisión-de-compras"> Disponible durante la revisión de compras <a href="#disponible-durante-la-revisi%c3%b3n-de-compras" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Los siguientes materiales se comparten en divulgación controlada en lugar de publicarse abiertamente:</p> <ul> <li>DPA firmado</li> <li>Extracto registral y prueba del NIP / fiscal</li> <li>Cuestionario de seguridad cumplimentado</li> <li>Resumen del acceso privilegiado a producción</li> <li>Resumen de respuesta a incidentes</li> <li>Respuestas de continuidad de negocio, salida y exportación del cliente</li> <li>Resumen de la prueba de penetración externa (cuando conste en registro)</li> </ul> <p>Para solicitarlos, escriba a <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Para preguntas de revisión de seguridad, escriba a <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/contact/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/contact/Contacte con el equipo de EthicsPortal para resolver dudas sobre el cumplimiento europeo en materia de protección del informante.<h1 id="contacto"> Contacto <a href="#contacto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>¿Tiene dudas sobre EthicsPortal o sobre el cumplimiento europeo en materia de protección del informante? Escríbanos directamente.</p> <hr> <ul> <li><strong>General:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Privacidad / derechos RGPD:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> <li><strong>Delegado de protección de datos:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> </li> <li><strong>Comunicaciones de seguridad:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Jurídico / DPA:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </li> <li><strong>Accesibilidad:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> </ul> <p>Normalmente respondemos en un día laborable.</p> <hr> <h2 id="preguntas-frecuentes"> Preguntas frecuentes <a href="#preguntas-frecuentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>«¿Cuánto cuesta?»</strong> 60 €/mes o 500 €/año. Todo incluido. Consulte los <a href="/pricing/">precios</a> .</p> <p><strong>«¿Podemos revisar la plataforma antes de implementarla?»</strong> Sí. Cree la cuenta de la organización en <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">ethicsportal.eu</a> para revisar y configurar el portal. La operación en producción requiere un plan activo.</p> <p><strong>«¿Cumple con la Directiva (UE) 2019/1937?»</strong> Sí. Consulte nuestro <a href="/directive-coverage/">mapa de cobertura de la Directiva 2019/1937</a> para ver un desglose artículo por artículo.</p> <p><strong>«¿Dónde se almacenan mis datos?»</strong> Los datos centrales de las comunicaciones se alojan en la infraestructura de Hetzner en Núremberg, Alemania. El sitio web de presentación se entrega a través de Cloudflare (Estados Unidos); el portal de denuncias y el portal de los gestores no. Consulte nuestras páginas de <a href="/dpa/">DPA</a> y <a href="/subprocessors/">subencargados del tratamiento</a> .</p> <p><strong>«¿Ofrecen un DPA?»</strong> Sí. Consulte nuestro <a href="/dpa/">contrato de encargado del tratamiento</a> o escríbanos para obtener un PDF firmado.</p> <p><strong>«¿Quién es la parte contratante?»</strong> Consulte nuestra página de <a href="/trust/">confianza</a> para conocer los datos de la parte contratante y de contratación.</p> <p><strong>«¿Pueden apoyar una revisión de compras?»</strong> Sí. El DPA firmado, las pruebas registrales y materiales adicionales de revisión de compras están disponibles a petición. Consulte la página de <a href="/trust/">confianza</a> .</p> <hr> <p><strong>LinkedIn:</strong> <a href="https://www.linkedin.com/company/ethicsportal" rel="nofollow">linkedin.com/company/ethicsportal</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/dpa/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/dpa/Contrato de encargado del tratamiento conforme al artículo 28 del RGPD para los clientes de EthicsPortal. Cubre el alcance, las medidas de seguridad, los subencargados del tratamiento y las transferencias internacionales.<h1 id="contrato-de-encargado-del-tratamiento"> Contrato de encargado del tratamiento <a href="#contrato-de-encargado-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p><strong>Fecha de entrada en vigor:</strong> 22 de abril de 2026</p> <p>Este contrato de encargado del tratamiento («DPA») forma parte del acuerdo entre el cliente («Responsable del tratamiento») y EthicsPortal («Encargado del tratamiento») para la prestación de la plataforma de denuncias EthicsPortal («Servicio»).</p> <blockquote> <p><strong>¿Necesita una copia firmada?</strong> Contacte con <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> para solicitar una versión en PDF firmada de este DPA para sus archivos.</p> </blockquote> <hr> <h2 id="1-partes"> 1. Partes <a href="#1-partes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>Responsable del tratamiento:</strong> la organización que se suscribe a EthicsPortal y determina los fines y medios del tratamiento de los datos personales a través del Servicio.</p> <p><strong>Encargado del tratamiento:</strong> EthicsPortal, operado por Yaroslav Shmarov, registrado en ul. Obrzeżna 1A, 02-691 Varsovia, Polonia. Contacto: <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p> <hr> <h2 id="2-alcance-y-finalidad-del-tratamiento"> 2. Alcance y finalidad del tratamiento <a href="#2-alcance-y-finalidad-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El Encargado del tratamiento trata los datos personales por cuenta del Responsable del tratamiento únicamente para prestar el Servicio, lo que incluye:</p> <ul> <li>Recibir y almacenar comunicaciones de informantes</li> <li>Permitir la comunicación segura entre informantes y gestores del caso</li> <li>Gestionar los flujos de trabajo de los casos (asignación, seguimiento del estado, resolución)</li> <li>Generar registros de auditoría y registros de cumplimiento</li> <li>Enviar notificaciones por correo electrónico transaccional a los gestores del caso y a los administradores de la organización</li> <li>Procesar los pagos del Servicio</li> </ul> <p>El Encargado del tratamiento no trata datos personales para ninguna finalidad distinta de la prestación del Servicio según las instrucciones del Responsable del tratamiento.</p> <hr> <h2 id="3-tipos-de-datos-personales-tratados"> 3. Tipos de datos personales tratados <a href="#3-tipos-de-datos-personales-tratados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Categoría de datos</th> <th>Ejemplos</th> <th>Cifrado en reposo</th> </tr> </thead> <tbody> <tr> <td>Identidad del informante (opcional)</td> <td>Nombre, dirección de correo electrónico, número de teléfono</td> <td>Sí (no determinista)</td> </tr> <tr> <td>Contenido de la comunicación</td> <td>Descripción de la inquietud comunicada</td> <td>Sí (no determinista)</td> </tr> <tr> <td>Contenido de las comunicaciones</td> <td>Mensajes entre el informante y el gestor del caso</td> <td>Sí (no determinista)</td> </tr> <tr> <td>Archivos adjuntos</td> <td>Documentos, imágenes, audio, vídeo subidos por los informantes</td> <td>Almacenados con los metadatos eliminados</td> </tr> <tr> <td>Códigos de acceso</td> <td>Códigos únicos usados por los informantes para acceder a sus comunicaciones</td> <td>Sí</td> </tr> <tr> <td>Datos de gestores y administradores</td> <td>Nombre, dirección de correo electrónico, rol, pertenencia a la organización</td> <td>No (datos operativos)</td> </tr> <tr> <td>Entradas del registro de auditoría</td> <td>Marcas de tiempo, identidad del actor, tipo de acción</td> <td>No (registros críticos para la integridad)</td> </tr> <tr> <td>Datos técnicos</td> <td>Direcciones IP con hash unidireccional (no reversible) solo para la limitación de tasa</td> <td>No aplicable (hash, no datos personales)</td> </tr> </tbody> </table> <hr> <h2 id="4-categorías-de-interesados"> 4. Categorías de interesados <a href="#4-categor%c3%adas-de-interesados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>Informantes / denunciantes</strong>: personas que presentan comunicaciones a través del portal (pueden ser anónimas)</li> <li><strong>Gestores del caso</strong>: personas designadas por el Responsable del tratamiento para recibir y gestionar las comunicaciones</li> <li><strong>Administradores de la organización</strong>: personas que gestionan la cuenta y la configuración de EthicsPortal del Responsable del tratamiento</li> </ul> <hr> <h2 id="5-duración-del-tratamiento"> 5. Duración del tratamiento <a href="#5-duraci%c3%b3n-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El Encargado del tratamiento trata los datos personales durante la vigencia de la suscripción del Responsable del tratamiento al Servicio. Tras la terminación:</p> <ul> <li>El Responsable del tratamiento puede exportar sus datos antes de que finalice la suscripción.</li> <li>Los datos de las comunicaciones se conservan conforme al período de conservación configurado por el Responsable del tratamiento (12, 24, 36, 48 o 60 meses tras el cierre de la comunicación) y después se suprimen de forma permanente. Una comunicación sin actividad durante 18 meses se cierra automáticamente para que comience el período de conservación.</li> <li>A petición por escrito, el Encargado del tratamiento suprimirá todos los datos restantes del Responsable del tratamiento en un plazo de 30 días desde la terminación de la suscripción, salvo que la ley aplicable exija su conservación.</li> </ul> <hr> <h2 id="6-obligaciones-del-encargado-del-tratamiento"> 6. Obligaciones del Encargado del tratamiento <a href="#6-obligaciones-del-encargado-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="61-instrucciones-de-tratamiento"> 6.1 Instrucciones de tratamiento <a href="#61-instrucciones-de-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El Encargado del tratamiento trata los datos personales únicamente según las instrucciones documentadas del Responsable del tratamiento, salvo que el Derecho de la UE o de un Estado miembro le obliguen a hacerlo. Si surge tal requisito legal, el Encargado del tratamiento informará al Responsable del tratamiento antes del tratamiento, salvo que la ley prohíba dicha notificación.</p> <h3 id="62-confidencialidad"> 6.2 Confidencialidad <a href="#62-confidencialidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Todas las personas autorizadas para tratar datos personales se han comprometido a la confidencialidad o están sujetas a una obligación legal de confidencialidad adecuada.</p> <h3 id="63-medidas-de-seguridad"> 6.3 Medidas de seguridad <a href="#63-medidas-de-seguridad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El Encargado del tratamiento implementa y mantiene las medidas técnicas y organizativas descritas en la página de <a href="/security/">Seguridad</a> , entre ellas:</p> <ul> <li>Cifrado no determinista en reposo de todos los datos sensibles de las comunicaciones</li> <li>Sin almacenamiento de direcciones IP en bruto de los informantes en la base de datos (hash unidireccional solo para la limitación de tasa)</li> <li>Eliminación automática de metadatos de los archivos (EXIF, GPS, datos del autor)</li> <li>Control de acceso basado en roles con políticas de autorización de Pundit</li> <li>Registro de auditoría en modo solo anexión de todas las acciones</li> <li>Limitación de tasa en todos los puntos de acceso del portal público</li> <li>HTTPS/TLS para todas las conexiones</li> <li>Protección CSRF</li> </ul> <p>Las vulnerabilidades de seguridad y las comunicaciones de incidentes pueden enviarse a <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Las consultas de los interesados y de estilo DPO pueden enviarse a <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> o <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <h3 id="64-subencargados-del-tratamiento"> 6.4 Subencargados del tratamiento <a href="#64-subencargados-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El Encargado del tratamiento utiliza los subencargados del tratamiento enumerados en la Sección 8. El Encargado del tratamiento notificará al Responsable del tratamiento al menos 30 días antes de añadir o sustituir a un subencargado del tratamiento. El Responsable del tratamiento puede oponerse al cambio; si no se alcanza una solución, el Responsable del tratamiento puede resolver el contrato.</p> <h3 id="65-derechos-de-los-interesados"> 6.5 Derechos de los interesados <a href="#65-derechos-de-los-interesados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El Encargado del tratamiento asiste al Responsable del tratamiento en la respuesta a las solicitudes de los interesados que ejerzan sus derechos conforme al RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición) proporcionando las capacidades técnicas necesarias dentro del Servicio.</p> <h3 id="66-notificación-de-violaciones-de-la-seguridad-de-los-datos"> 6.6 Notificación de violaciones de la seguridad de los datos <a href="#66-notificaci%c3%b3n-de-violaciones-de-la-seguridad-de-los-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>En caso de violación de la seguridad de los datos personales, el Encargado del tratamiento notificará al Responsable del tratamiento sin dilación indebida y, en todo caso, <strong>en un plazo de 72 horas</strong> desde que tenga conocimiento de la violación. La notificación incluirá:</p> <ul> <li>Una descripción de la naturaleza de la violación</li> <li>Las categorías y el número aproximado de interesados afectados</li> <li>Las consecuencias probables de la violación</li> <li>Las medidas adoptadas o propuestas para abordar la violación</li> </ul> <h3 id="67-evaluaciones-de-impacto-en-la-protección-de-datos"> 6.7 Evaluaciones de impacto en la protección de datos <a href="#67-evaluaciones-de-impacto-en-la-protecci%c3%b3n-de-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El Encargado del tratamiento asiste al Responsable del tratamiento con las evaluaciones de impacto en la protección de datos y las consultas previas a las autoridades de control, en la medida en que las actividades de tratamiento del Encargado del tratamiento requieran dicha asistencia.</p> <h3 id="68-supresión-y-devolución-de-los-datos"> 6.8 Supresión y devolución de los datos <a href="#68-supresi%c3%b3n-y-devoluci%c3%b3n-de-los-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Tras la terminación del Servicio, el Encargado del tratamiento, a elección del Responsable del tratamiento:</p> <ul> <li>Devolverá todos los datos personales al Responsable del tratamiento en los formatos de exportación disponibles en el Servicio en el momento de la terminación, incluidas las exportaciones de expedientes en PDF y los archivos adjuntos asociados, o</li> <li>Suprimirá todos los datos personales y confirmará la supresión por escrito</li> </ul> <p>salvo que el Derecho de la UE o de un Estado miembro exija su conservación continuada.</p> <p>Si el Responsable del tratamiento requiere razonablemente un formato de portabilidad adicional para migración o revisión normativa, el Encargado del tratamiento evaluará la solicitud de buena fe y, cuando sea técnicamente viable, lo proporcionará mediante una solicitud independiente por escrito.</p> <h3 id="69-derechos-de-auditoría"> 6.9 Derechos de auditoría <a href="#69-derechos-de-auditor%c3%ada" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El Encargado del tratamiento pone a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD. El Responsable del tratamiento puede realizar auditorías, incluidas inspecciones, directamente o a través de un auditor mandatado, con sujeción a un preaviso razonable (al menos 30 días) y durante el horario laboral normal. El Encargado del tratamiento cooperará con dichas auditorías.</p> <h3 id="610-sin-procesamiento-de-ia-o-llm-del-contenido-de-las-comunicaciones"> 6.10 Sin procesamiento de IA o LLM del contenido de las comunicaciones <a href="#610-sin-procesamiento-de-ia-o-llm-del-contenido-de-las-comunicaciones" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El Encargado del tratamiento se compromete a que los datos personales tratados conforme a este DPA —incluidos el contenido de las comunicaciones, la identidad del informante, los mensajes de los gestores, los archivos adjuntos y las entradas del registro de auditoría— <strong>no se transmitan a ningún gran modelo de lenguaje, servicio de IA generativa o clasificador basado en IA</strong>, ya esté operado por el Encargado del tratamiento o por un tercero (incluidos, entre otros, OpenAI, Anthropic, Google y Mistral). El Servicio no realiza categorización, clasificación, resumen, traducción ni respuestas sugeridas impulsadas por IA sobre los datos personales. El Responsable del tratamiento puede basarse en este compromiso al evaluar las obligaciones en materia de decisiones automatizadas conforme al <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> del RGPD y al delimitar la divulgación de subencargados del tratamiento en sus propios avisos de privacidad y evaluaciones de impacto en la protección de datos. Cualquier cambio en este compromiso constituiría un cambio material en el Servicio y se notificaría al Responsable del tratamiento conforme a la Sección 6.4 (Subencargados del tratamiento) y la Sección 11 (Duración y terminación).</p> <p>La traducción automática estadística autoalojada que se ejecuta enteramente en infraestructura controlada por el Encargado del tratamiento (ningún dato sale de la infraestructura del Encargado del tratamiento, ninguna llamada de inferencia externa) no entra en el ámbito de esta restricción y puede utilizarse para traducir los mensajes del informante o del gestor cuando el Responsable del tratamiento lo haya habilitado.</p> <p>Este compromiso se revisa anualmente. La fecha de «Última actualización» en la parte superior de este DPA refleja la reafirmación más reciente. Si el Encargado del tratamiento en algún momento pretende introducir procesamiento de IA o LLM de datos personales cubiertos por este DPA, el Encargado del tratamiento lo notificará al Responsable del tratamiento conforme a la Sección 6.4 y el cambio no surtirá efecto antes del plazo de preaviso allí indicado.</p> <h3 id="611-claves-de-cifrado-gestionadas-por-el-cliente-byok"> 6.11 Claves de cifrado gestionadas por el cliente (BYOK) <a href="#611-claves-de-cifrado-gestionadas-por-el-cliente-byok" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El Servicio no admite claves de cifrado gestionadas por el cliente, ya se describan como «aporte su propia clave» (BYOK), «conserve su propia clave» (HYOK) o integración con un servicio externo de gestión de claves (KMS). Se trata de una elección arquitectónica deliberada, no de una limitación operativa, y se fundamenta en dos garantías de confidencialidad y ciclo de vida que el Encargado del tratamiento ofrece en otras partes de este DPA:</p> <ul> <li><strong>Frontera de claves informante-gestor.</strong> Los datos personales cubiertos por este DPA se cifran en reposo con claves gestionadas por el Encargado del tratamiento, conservadas dentro del Servicio. La frontera de cifrado que protege la identidad del informante y el contenido de la comunicación frente a terceros es la misma frontera que la protege frente a los propios administradores de TI del Responsable del tratamiento. Trasladar la custodia de las claves al Responsable del tratamiento reubicaría esa frontera en el entorno del Responsable del tratamiento, donde los administradores del lado del Responsable del tratamiento pasarían, en principio, a ser capaces de descifrar la identidad del informante, invirtiendo el modelo de confidencialidad exigido por el <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> de la Directiva 2019/1937.</li> <li><strong>Garantía de supresión de extremo a extremo.</strong> La supresión basada en la conservación (<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 5(1)(e)</a> del RGPD) y la supresión contractual en la terminación (Sección 6.8 anterior) se basan en la capacidad del Encargado del tratamiento de destruir, criptográfica y físicamente, los datos cifrados con clave de forma independiente del Responsable del tratamiento. Una clave en poder del Responsable del tratamiento crearía una categoría de fallo en la que el Encargado del tratamiento no podría, por sí solo, garantizar la supresión completa dentro de la ventana contractual.</li> </ul> <p>El esquema de cifrado en reposo del Encargado del tratamiento, las propiedades de cifrado no determinista y el aislamiento de claves se documentan en la página de <a href="/security/#data-encryption">Seguridad</a> . Un cambio en esta posición constituiría un cambio material en el Servicio y se notificaría al Responsable del tratamiento conforme a la Sección 6.4 (Subencargados del tratamiento) y la Sección 11 (Duración y terminación).</p> <hr> <h2 id="7-obligaciones-del-responsable-del-tratamiento"> 7. Obligaciones del Responsable del tratamiento <a href="#7-obligaciones-del-responsable-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El Responsable del tratamiento es responsable de:</p> <ul> <li>Garantizar una base jurídica para el tratamiento de datos personales a través del Servicio</li> <li>Facilitar los avisos de privacidad exigidos a los interesados (EthicsPortal muestra un aviso de privacidad en el formulario de presentación del portal)</li> <li>Configurar períodos de conservación de datos adecuados dentro del Servicio</li> <li>Designar a los gestores y administradores autorizados</li> <li>Responder a las solicitudes de los interesados, con la asistencia del Encargado del tratamiento descrita más arriba</li> </ul> <hr> <h2 id="8-subencargados-del-tratamiento"> 8. Subencargados del tratamiento <a href="#8-subencargados-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Los siguientes subencargados del tratamiento están autorizados a la fecha de entrada en vigor de este DPA:</p> <table> <thead> <tr> <th>Subencargado del tratamiento</th> <th>Finalidad</th> <th>Ubicación</th> <th>Salvaguardias</th> </tr> </thead> <tbody> <tr> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner Online GmbH</a> </td> <td>Alojamiento de la aplicación, base de datos y almacenamiento de archivos adjuntos</td> <td>Núremberg, Alemania (UE)</td> <td>Datos tratados enteramente dentro de la UE</td> </tr> <tr> <td><a href="https://stripe.com" rel="nofollow">Stripe Payments Europe, Ltd</a> </td> <td>Procesamiento de pagos</td> <td>Irlanda (UE)</td> <td>El Encargado del tratamiento no almacena credenciales de pago; Stripe cuenta con la certificación PCI DSS de nivel 1</td> </tr> <tr> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet (Sinch)</a> </td> <td>Envío de correo electrónico transaccional</td> <td>Francia (UE)</td> <td>Datos tratados enteramente dentro de la UE</td> </tr> <tr> <td><a href="https://www.cloudflare.com" rel="nofollow">Cloudflare, Inc.</a> </td> <td>CDN y entrega en el borde para el sitio web de presentación</td> <td>Estados Unidos</td> <td>Las transferencias, cuando hay datos personales implicados, se basan en las Cláusulas Contractuales Tipo y en salvaguardias complementarias</td> </tr> <tr> <td><a href="https://www.appsignal.com" rel="nofollow">AppSignal B.V.</a> </td> <td>Seguimiento de errores y monitorización del rendimiento de la aplicación para las interfaces de administradores y gestores</td> <td>Países Bajos (UE)</td> <td>Datos tratados enteramente dentro de la UE; las direcciones IP de los informantes nunca se registran</td> </tr> <tr> <td><a href="https://crisp.chat" rel="nofollow">Crisp IM SARL</a> </td> <td>Chat de gestores en la aplicación y soporte de verificación de identidad</td> <td>Francia (UE)</td> <td>Cargado únicamente en el portal de los gestores; no se carga en el sitio de presentación ni en las páginas dirigidas a los informantes</td> </tr> </tbody> </table> <p>La analítica de marketing (Cloudflare Web Analytics) está libre de cookies y no trata datos personales.</p> <p><strong>Sin subencargado del tratamiento de IA o LLM.</strong> Ningún gran modelo de lenguaje, servicio de IA generativa o clasificador basado en IA es subencargado del tratamiento del Encargado del tratamiento. Los datos personales tratados conforme a este DPA no se transmiten a OpenAI, Anthropic, Google, Mistral ni a ningún otro proveedor de inferencia de IA. Véase la Sección 6.10.</p> <hr> <h2 id="9-transferencias-internacionales-de-datos"> 9. Transferencias internacionales de datos <a href="#9-transferencias-internacionales-de-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Los datos centrales de las comunicaciones, incluido el contenido de las comunicaciones y el almacenamiento de los archivos adjuntos, se alojan dentro de la <strong>Unión Europea</strong> (Hetzner, Alemania). El procesamiento de pagos se realiza dentro de la UE (Stripe), y el correo electrónico transaccional se entrega desde la UE (Mailjet, Francia).</p> <p>Las solicitudes al sitio de presentación se encaminan a través de Cloudflare (CDN, Estados Unidos), que trata metadatos de red (direcciones IP de los visitantes y cabeceras de solicitud) para la entrega de contenido y la protección contra DDoS. No se comparten comunicaciones, datos de gestores ni datos de cuentas con Cloudflare. Las transferencias se basan en las Cláusulas Contractuales Tipo y en salvaguardias complementarias. El portal de denuncias y el portal de los gestores no cargan Cloudflare. AppSignal (Países Bajos) y Crisp (Francia) tienen su sede en la UE; Crisp se carga únicamente en el portal de los gestores.</p> <hr> <h2 id="10-responsabilidad"> 10. Responsabilidad <a href="#10-responsabilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La responsabilidad de cada parte conforme a este DPA está sujeta a las limitaciones de responsabilidad establecidas en el acuerdo principal de servicio entre las partes. En la máxima medida permitida por la ley, las reclamaciones que se deriven de este DPA o se relacionen con él forman parte del mismo límite de responsabilidad agregado que se aplica al Servicio.</p> <hr> <h2 id="11-duración-y-terminación"> 11. Duración y terminación <a href="#11-duraci%c3%b3n-y-terminaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Este DPA surte efecto cuando el Responsable del tratamiento comienza a utilizar el Servicio y permanece en vigor mientras el Encargado del tratamiento trate datos personales por cuenta del Responsable del tratamiento. Las obligaciones de este DPA sobreviven a la terminación en la medida necesaria para completar la supresión o devolución de los datos personales.</p> <hr> <h2 id="12-ley-aplicable"> 12. Ley aplicable <a href="#12-ley-aplicable" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Este DPA se rige por las leyes de la República de Polonia, sin atender a los principios de conflicto de leyes. Los tribunales competentes de Varsovia, Polonia, tienen jurisdicción exclusiva sobre las controversias que se deriven de este DPA.</p> <hr> <h2 id="contacto"> Contacto <a href="#contacto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Para preguntas sobre este DPA o para solicitar una copia firmada:</p> <p><strong>EthicsPortal</strong> Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Varsovia, Polonia <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/industries/public-sector/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/industries/public-sector/Requisitos de denuncia para municipios, organismos públicos y entidades del sector público conforme a la Directiva (UE) 2019/1937. Sin umbral de 50 trabajadores.<h1 id="cumplimiento-en-materia-de-denuncias-para-el-sector-público"> Cumplimiento en materia de denuncias para el sector público <a href="#cumplimiento-en-materia-de-denuncias-para-el-sector-p%c3%bablico" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Las entidades del sector público tienen una obligación más estricta que las empresas privadas. Conforme a la Directiva (UE) 2019/1937, <strong>todas las organizaciones del sector público deben establecer canales internos de denuncia</strong>: no existe un mínimo de 50 trabajadores. La mayoría de las transposiciones nacionales conservan este alcance más amplio.</p> <h2 id="cómo-se-aplica-la-directiva-de-forma-diferente"> Cómo se aplica la Directiva de forma diferente <a href="#c%c3%b3mo-se-aplica-la-directiva-de-forma-diferente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Sector privado</th> <th>Sector público</th> </tr> </thead> <tbody> <tr> <td>Umbral de trabajadores</td> <td>50 o más trabajadores</td> <td><strong>Sin umbral</strong> (todas las entidades)</td> </tr> <tr> <td>Plazo</td> <td>Diciembre de 2023 para 50-249 trabajadores</td> <td>Diciembre de 2021 (la mayoría de los Estados miembros)</td> </tr> <tr> <td>Canales compartidos</td> <td>Permitidos para municipios de menos de 10 000 habitantes</td> <td>Permitidos para municipios de menos de 10 000 habitantes</td> </tr> <tr> <td>Comunicación anónima</td> <td>Varía según el país</td> <td>Obligatoria en algunos Estados miembros</td> </tr> </tbody> </table> <p>El artículo 8, apartado 9, de la Directiva permite que los municipios con menos de 10 000 habitantes o menos de 50 trabajadores compartan canales de denuncia. Esta es la única concesión: todas las demás entidades públicas deben operar el suyo propio.</p> <h2 id="variaciones-nacionales"> Variaciones nacionales <a href="#variaciones-nacionales" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong><a href="/whistleblower-laws/germany/">Alemania</a> (HinSchG)</strong> — todos los empleadores públicos deben establecer canales internos. Multas de 20 000 a 50 000 € por incumplimiento (hasta 500 000 € para personas jurídicas).</li> <li><strong><a href="/whistleblower-laws/france/">Francia</a> (Loi Waserman)</strong> — cubre a todos los organismos públicos. Los informantes pueden comunicar directamente a las autoridades externas sin utilizar antes los canales internos.</li> <li><strong><a href="/whistleblower-laws/poland/">Polonia</a> </strong> — cubre a todas las entidades públicas. Procedimientos internos exigidos antes del 1 de enero de 2025.</li> <li><strong><a href="/whistleblower-laws/spain/">España</a> (Ley 2/2023)</strong> — cubre a todas las entidades públicas con independencia de su tamaño. Multas de hasta 1 000 000 €.</li> </ul> <h2 id="qué-se-comunica"> Qué se comunica <a href="#qu%c3%a9-se-comunica" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Uso indebido de fondos públicos o fraude en la contratación</li> <li>Conflictos de interés en la contratación</li> <li>Infracciones medioambientales en obras públicas</li> <li>Fallos de seguridad laboral en instalaciones públicas</li> <li>Violaciones de la protección de datos relativas a datos de la ciudadanía</li> <li>Abuso de autoridad</li> </ul> <h2 id="por-qué-los-municipios-están-en-riesgo"> Por qué los municipios están en riesgo <a href="#por-qu%c3%a9-los-municipios-est%c3%a1n-en-riesgo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La mayoría de los grandes organismos públicos disponen de infraestructura de cumplimiento. Los municipios y los organismos públicos más pequeños a menudo no la tienen. Dan por hecho que la Directiva no se les aplica porque tienen menos de 50 trabajadores. Sí se les aplica. Un canal interno de denuncias para un municipio puede implementarse directamente, sin un amplio proyecto de integración informática.</p> <hr> <p><a href="/pricing/">Active su canal de denuncias →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/industries/manufacturing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/industries/manufacturing/Requisitos de denuncia para fabricantes conforme a la Directiva (UE) 2019/1937, la Ley alemana de cadena de suministro (LkSG) y la próxima CSDDD de la UE.<h1 id="cumplimiento-en-materia-de-denuncias-para-la-industria-y-la-cadena-de-suministro"> Cumplimiento en materia de denuncias para la industria y la cadena de suministro <a href="#cumplimiento-en-materia-de-denuncias-para-la-industria-y-la-cadena-de-suministro" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Los fabricantes afrontan obligaciones de denuncia desde dos frentes: la Directiva sobre protección del informante (2019/1937) para la denuncia interna y las leyes de diligencia debida en la cadena de suministro que exigen expresamente mecanismos de reclamación que cubran a los empleados <em>y</em> a terceros.</p> <h2 id="normativas-que-exigen-canales-de-denuncia"> Normativas que exigen canales de denuncia <a href="#normativas-que-exigen-canales-de-denuncia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>Directiva (UE) 2019/1937</strong> — se aplica a todos los fabricantes con 50 o más trabajadores. Canales internos para los empleados.</li> <li><strong>Ley alemana de cadena de suministro (LkSG)</strong> — en vigor desde enero de 2023. Obliga a las empresas con 1000 o más trabajadores (y a sus proveedores directos) a establecer un <strong>procedimiento de reclamación</strong> accesible a las personas afectadas en la cadena de suministro, no solo a los empleados. <a href="https://www.gesetze-im-internet.de/lksg/__8.html" rel="nofollow">Artículo 8 de la LkSG</a> </li> <li><strong>Directiva de la UE sobre diligencia debida de las empresas en materia de sostenibilidad (CSDDD)</strong> — adoptada en 2024, con implementación gradual a partir de 2027. Obliga a las empresas con 1000 o más trabajadores y más de 450 millones de euros de facturación a establecer mecanismos de reclamación para las vulneraciones de derechos humanos y medioambientales en sus cadenas de valor.</li> <li><strong>Reglamento de la UE sobre seguridad de los productos (2023/988)</strong> — obliga a los fabricantes a disponer de canales internos para comunicar inquietudes sobre la seguridad de los productos.</li> </ul> <h2 id="lksg-frente-a-la-directiva-sobre-protección-del-informante"> LkSG frente a la Directiva sobre protección del informante <a href="#lksg-frente-a-la-directiva-sobre-protecci%c3%b3n-del-informante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th></th> <th>Directiva sobre protección del informante</th> <th>LkSG</th> </tr> </thead> <tbody> <tr> <td>Quién puede comunicar</td> <td>Empleados, contratistas</td> <td>Empleados, proveedores, terceros afectados</td> </tr> <tr> <td>Ámbito</td> <td>Infracciones del Derecho de la UE o nacional</td> <td>Derechos humanos, vulneraciones medioambientales en la cadena de suministro</td> </tr> <tr> <td>Anonimato exigido</td> <td>Varía según el país</td> <td>No exigido pero recomendado (orientación de la BAFA)</td> </tr> <tr> <td>Aplicación</td> <td>Autoridades nacionales de protección del informante</td> <td>BAFA (Oficina Federal alemana de Asuntos Económicos)</td> </tr> <tr> <td>Sanciones</td> <td>Varían según el país</td> <td>Hasta el 2 % de la facturación global anual</td> </tr> </tbody> </table> <p>Las empresas sujetas a ambas leyes necesitan un canal que cubra obligaciones duales: la denuncia interna <em>y</em> la reclamación en la cadena de suministro. Un único canal de denuncias puede cubrir ambas si se configura correctamente.</p> <h2 id="qué-se-comunica"> Qué se comunica <a href="#qu%c3%a9-se-comunica" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Infracciones de seguridad laboral en las instalaciones de producción</li> <li>Incumplimientos medioambientales (emisiones, eliminación de residuos)</li> <li>Trabajo forzoso o condiciones de explotación en las instalaciones de los proveedores</li> <li>Defectos de seguridad de los productos ocultados a los reguladores</li> <li>Soborno en la contratación o en las relaciones con proveedores</li> <li>Elusión de los controles de exportación o de las sanciones</li> </ul> <h2 id="por-qué-importa-ahora"> Por qué importa ahora <a href="#por-qu%c3%a9-importa-ahora" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La CSDDD extiende las obligaciones de diligencia debida en la cadena de suministro a toda la UE, no solo a Alemania. Las empresas que se preparan para el cumplimiento de 2027 necesitan tener implantados mecanismos de reclamación. Esperar significa adaptarse a contrarreloj, el mismo patrón que llevó a que cinco Estados miembros fueran multados por la transposición tardía de la Directiva.</p> <hr> <p><a href="/pricing/">Active su canal de denuncias →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/industries/financial-services/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/industries/financial-services/Requisitos de denuncia para bancos, empresas de inversión y aseguradoras conforme a la Directiva (UE) 2019/1937, MiFID II, MAR y las directivas de blanqueo de capitales.<h1 id="cumplimiento-en-materia-de-denuncias-para-servicios-financieros"> Cumplimiento en materia de denuncias para servicios financieros <a href="#cumplimiento-en-materia-de-denuncias-para-servicios-financieros" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Las entidades financieras operan bajo la Directiva sobre protección del informante <em>y</em> normativas específicas del sector que exigen de forma independiente canales internos de denuncia. El incumplimiento expone a las empresas a sanciones tanto de las leyes nacionales de transposición como de los reguladores financieros.</p> <h2 id="normativas-que-exigen-canales-de-denuncia"> Normativas que exigen canales de denuncia <a href="#normativas-que-exigen-canales-de-denuncia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>Directiva (UE) 2019/1937</strong> — se aplica a todas las empresas con 50 o más trabajadores. Exige canales de denuncia confidenciales, acuse de recibo en 7 días y plazos de respuesta de 3 meses.</li> <li><strong>MiFID II (2014/65/UE)</strong> — el artículo 73 obliga a las empresas de inversión a disponer de procedimientos para que los empleados comuniquen internamente posibles infracciones. Los reguladores nacionales lo hacen cumplir con independencia de la Directiva sobre protección del informante.</li> <li><strong>Reglamento sobre abuso de mercado (UE 596/2014)</strong> — el artículo 32 obliga a los Estados miembros a establecer mecanismos para comunicar abusos de mercado reales o potenciales. Las empresas deben garantizar la existencia de canales internos para que los empleados puedan comunicar antes de acudir a los reguladores.</li> <li><strong>Directivas contra el blanqueo de capitales (AMLD 4/5/6)</strong> — exigen procedimientos internos de comunicación de operaciones sospechosas. El próximo paquete AMLD (2024) refuerza la protección del informante en las comunicaciones de blanqueo de capitales.</li> <li><strong>Solvencia II (2009/138/CE)</strong> — el artículo 71 obliga a las aseguradoras a mantener procedimientos de denuncia.</li> </ul> <h2 id="reguladores-sectoriales-con-potestad-sancionadora"> Reguladores sectoriales con potestad sancionadora <a href="#reguladores-sectoriales-con-potestad-sancionadora" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>País</th> <th>Regulador</th> <th>Ámbito</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/germany/">Alemania</a> </td> <td>BaFin</td> <td>Banca, seguros, valores</td> </tr> <tr> <td><a href="/whistleblower-laws/france/">Francia</a> </td> <td>AMF / ACPR</td> <td>Mercados / banca y seguros</td> </tr> <tr> <td><a href="/whistleblower-laws/netherlands/">Países Bajos</a> </td> <td>AFM / DNB</td> <td>Mercados / supervisión prudencial</td> </tr> <tr> <td><a href="/whistleblower-laws/italy/">Italia</a> </td> <td>Consob / Banca d’Italia</td> <td>Mercados / banca</td> </tr> <tr> <td><a href="/whistleblower-laws/spain/">España</a> </td> <td>CNMV</td> <td>Mercados de valores</td> </tr> <tr> <td><a href="/whistleblower-laws/poland/">Polonia</a> </td> <td>KNF</td> <td>Todos los sectores financieros</td> </tr> <tr> <td><a href="/whistleblower-laws/ireland/">Irlanda</a> </td> <td>Banco Central de Irlanda</td> <td>Todos los sectores financieros</td> </tr> </tbody> </table> <p>Estos reguladores pueden imponer multas con independencia de las autoridades nacionales de protección del informante.</p> <h2 id="qué-se-comunica"> Qué se comunica <a href="#qu%c3%a9-se-comunica" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Manipulación de mercado y uso de información privilegiada</li> <li>Fallos en los procedimientos de blanqueo de capitales / conocimiento del cliente (KYC)</li> <li>Comercialización engañosa de productos financieros</li> <li>Elusión de sanciones</li> <li>Operaciones no autorizadas o incumplimiento de límites de riesgo</li> <li>Conflictos de interés en funciones de asesoramiento</li> </ul> <h2 id="por-qué-importa-un-canal-específico"> Por qué importa un canal específico <a href="#por-qu%c3%a9-importa-un-canal-espec%c3%adfico" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Los empleados del sector financiero que comunican a través de los canales generales de RR. HH. corren el riesgo de que su revelación se redirija a la persona responsable de la infracción. El artículo 9 de la Directiva exige canales que protejan la confidencialidad y eviten conflictos de interés, algo crítico en organizaciones donde el cumplimiento, la negociación y la dirección se solapan.</p> <hr> <p><a href="/pricing/">Active su canal de denuncias →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/accessibility/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/accessibility/El compromiso de EthicsPortal con la accesibilidad y la conformidad con la norma EN 301 549 y las WCAG 2.2 nivel AA.<h1 id="declaración-de-accesibilidad"> Declaración de accesibilidad <a href="#declaraci%c3%b3n-de-accesibilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Última actualización: 2026-05-24.</p> <p>EthicsPortal se compromete a hacer que su plataforma de denuncias sea accesible para todos los usuarios, en línea con la <strong>norma europea de accesibilidad EN 301 549 V3.2.3</strong> y las <strong>Pautas de Accesibilidad para el Contenido Web (WCAG) 2.2 nivel AA</strong>. La EN 301 549 V3.2.1 sigue siendo la versión citada en la lista de normas armonizadas conforme a la Directiva sobre la accesibilidad de los sitios web; informamos sobre la versión más reciente V3.2.3 porque es la versión publicada vigente de la norma y sustituye a la V3.2.1 en su alcance técnico.</p> <p>Esta declaración se aplica a:</p> <ul> <li>La aplicación web de EthicsPortal en <a href="https://secure.ethicsportal.eu" rel="nofollow">secure.ethicsportal.eu</a> </li> <li>Los portales públicos de denuncias alojados en <code>*.ethicsportal.eu</code></li> <li>El sitio web de presentación en <a href="https://ethicsportal.eu">ethicsportal.eu</a> </li> </ul> <h2 id="estado-de-conformidad"> Estado de conformidad <a href="#estado-de-conformidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal es <strong>parcialmente conforme</strong> con la EN 301 549 V3.2.3 y las WCAG 2.2 nivel AA. «Parcialmente conforme» significa que algunas partes del contenido aún no se ajustan plenamente a la norma de accesibilidad. Las no conformidades y las alternativas disponibles se enumeran a continuación.</p> <p>Se publica una autoevaluación cláusula por cláusula como <a href="/en-301-549-conformance/">informe de conformidad con la EN 301 549</a> y puede facilitarse en PDF a petición durante el proceso de compras.</p> <h2 id="cómo-apoya-la-accesibilidad-ethicsportal"> Cómo apoya la accesibilidad EthicsPortal <a href="#c%c3%b3mo-apoya-la-accesibilidad-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El producto se desarrolla y se prueba con arreglo a los requisitos:</p> <ul> <li><strong>Manejo solo con teclado</strong> en toda la aplicación y el portal público de denuncias: todos los elementos interactivos son alcanzables y operables sin ratón</li> <li><strong>Compatibilidad con lectores de pantalla</strong> verificada con VoiceOver (macOS, Safari) y NVDA (Windows, Firefox)</li> <li><strong>Autenticación sin contraseña</strong> mediante enlace mágico o código de un solo uso, con TOTP opcional, que elimina la barrera cognitiva de memorizar contraseñas (WCAG 2.2 §3.3.8 Autenticación accesible)</li> <li><strong>Soporte de movimiento reducido</strong>: las animaciones y transiciones se desactivan cuando el sistema operativo lo solicita</li> <li><strong>Zoom y readaptación</strong>: las maquetaciones se readaptan al 200 % de zoom del navegador sin desplazamiento horizontal, salvo en tablas y bloques de código</li> <li><strong>El zoom con pellizco está activado</strong> en todas las páginas</li> <li><strong>Áreas táctiles</strong> de al menos 24 × 24 píxeles CSS, ampliadas a 44 × 44 en punteros gruesos cuando la maquetación lo permite (WCAG 2.2 §2.5.8)</li> <li><strong>Texto de alto contraste</strong>: el texto del cuerpo usa un negro casi puro sobre blanco (≈21:1) en el tema claro y el equivalente en el tema oscuro</li> <li><strong>Localizado</strong> en todos los idiomas oficiales de la UE, con el atributo de idioma establecido en cada página</li> </ul> <h2 id="contenido-no-accesible"> Contenido no accesible <a href="#contenido-no-accesible" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El siguiente contenido no es plenamente accesible. Estamos trabajando para subsanar cada punto.</p> <h3 id="incumplimiento-de-la-norma-de-accesibilidad"> Incumplimiento de la norma de accesibilidad <a href="#incumplimiento-de-la-norma-de-accesibilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <ul> <li><strong>Documentos PDF generados</strong>: los informes de cumplimiento, los certificados de cumplimiento, las plantillas de política de protección del informante, los avisos de privacidad, los carteles, el manual del gestor del caso y las exportaciones de expedientes se producen como PDF sin etiquetar. No cumplen la EN 301 549 §10.1 (estructura etiquetada, orden de lectura, texto alternativo). Los usuarios que necesiten una versión accesible de cualquier documento pueden solicitar una alternativa en HTML contactando con <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — consulte <a href="#feedback">Comentarios</a> más abajo. Estamos migrando estos documentos a una cadena de producción de PDF etiquetados; las alternativas en HTML servidas desde la propia aplicación son la solución provisional prevista.</li> <li><strong>Páginas de error estáticas (HTTP 400, 404, 422, 500 y la página alternativa para navegadores no compatibles)</strong>: estas páginas se sirven en inglés con independencia de la versión lingüística del usuario (EN 301 549 §9.3.1.1 / WCAG 3.1.1 Idioma de la página). Se encuentran rara vez; la misma información se presenta en el idioma del usuario dentro de la aplicación. Las propias páginas usan HTML semántico y cumplen los demás requisitos web del §9.</li> </ul> <h3 id="contenido-exento-de-los-requisitos-de-accesibilidad"> Contenido exento de los requisitos de accesibilidad <a href="#contenido-exento-de-los-requisitos-de-accesibilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <ul> <li>El contenido de terceros incrustado en el producto —por ejemplo, el widget de chat en directo de Crisp y las páginas de pago alojadas por Stripe— no está bajo el control directo de EthicsPortal. Hemos seleccionado proveedores que publican documentación de accesibilidad y revisamos estas elecciones cada año.</li> <li>El contenido generado por los usuarios subido por los gestores del caso (notas, archivos adjuntos) no está bajo el control directo de autoría del producto. La interfaz del gestor solicita descripciones y alternativas accesibles cuando procede, conforme a la EN 301 549 §11.8 / <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> .</li> </ul> <h2 id="elaboración-de-esta-declaración"> Elaboración de esta declaración <a href="#elaboraci%c3%b3n-de-esta-declaraci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Esta declaración se elaboró el <strong>14 de mayo de 2026</strong> sobre la base de una autoevaluación realizada por EthicsPortal con arreglo a la <strong>EN 301 549 V3.2.3</strong> y las <strong>WCAG 2.2 nivel AA</strong>. La evaluación combinó:</p> <ul> <li>Comprobaciones automatizadas en CI mediante <code>axe-core-capybara</code> en los flujos del portal público de denuncias (inicio, presentación de comunicaciones, consulta)</li> <li>Pruebas manuales de teclado, VoiceOver y zoom al 200 % en el flujo de presentación de comunicaciones del portal, el flujo de trabajo del gestor del caso, la autenticación y la gestión de la cuenta</li> <li>Revisión de código con arreglo a la lista de comprobación interna de accesibilidad documentada en nuestro repositorio de ingeniería</li> </ul> <p>La declaración se revisará al menos trimestralmente y tras cualquier cambio significativo de la plataforma.</p> <h2 id="comentarios"> Comentarios <a href="#comentarios" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Agradecemos sus comentarios sobre la accesibilidad de EthicsPortal. Si encuentra una barrera de accesibilidad, no puede acceder a algún contenido o necesita información en un formato alternativo:</p> <ul> <li><strong>Correo electrónico:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> <li><strong>También se acepta:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — incluya «accesibilidad» en el asunto</li> <li>Nuestro objetivo es acusar recibo de las solicitudes de accesibilidad en un plazo de <strong>2 días laborables</strong> y facilitar un formato alternativo o una respuesta sustantiva en un plazo de <strong>5 días laborables</strong></li> </ul> <h2 id="procedimiento-de-aplicación"> Procedimiento de aplicación <a href="#procedimiento-de-aplicaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Si no queda satisfecho con nuestra respuesta, puede remitir el asunto al organismo de aplicación de la accesibilidad de su país:</p> <ul> <li><strong>Francia:</strong> Défenseur des droits — <a href="https://www.defenseurdesdroits.fr" rel="nofollow">defenseurdesdroits.fr</a> </li> <li><strong>Polonia:</strong> Minister właściwy do spraw informatyzacji — a través de <a href="https://www.gov.pl/" rel="nofollow">gov.pl</a> , con el Rzecznik Praw Obywatelskich como recurso secundario para las reclamaciones no resueltas</li> <li><strong>Alemania:</strong> Überwachungsstelle des Bundes für Barrierefreiheit von Informationstechnik — <a href="https://www.bfit-bund.de/" rel="nofollow">bfit-bund.de</a> </li> <li><strong>Otros Estados miembros de la UE:</strong> consulte la lista que mantiene la Comisión Europea en <a href="https://digital-strategy.ec.europa.eu/en/policies/web-accessibility" rel="nofollow">digital-strategy.ec.europa.eu</a> </li> </ul> <h2 id="normas-y-referencias"> Normas y referencias <a href="#normas-y-referencias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Esta declaración se elabora tomando como referencia:</p> <ul> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L2102" rel="nofollow">Directiva (UE) 2016/2102</a> — accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L0882" rel="nofollow">Directiva (UE) 2019/882</a> — Acta Europea de Accesibilidad</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018D1523" rel="nofollow">Decisión de Ejecución (UE) 2018/1523</a> — modelo de declaración de accesibilidad</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> — Requisitos de accesibilidad para productos y servicios TIC (versión publicada sobre la que informamos)</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> — versión recogida en las normas armonizadas conforme a la Directiva sobre la accesibilidad de los sitios web</li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 nivel AA</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/en-301-549-conformance/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/en-301-549-conformance/Autoevaluación de conformidad cláusula por cláusula de EthicsPortal con la EN 301 549 V3.2.3 y las WCAG 2.2 nivel AA.<h1 id="informe-de-conformidad-con-la-en-301-549"> Informe de conformidad con la EN 301 549 <a href="#informe-de-conformidad-con-la-en-301-549" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Última actualización: 2026-05-24.</p> <p>Este informe es una autoevaluación estructurada de EthicsPortal con arreglo a los requisitos de accesibilidad de la <strong>EN 301 549 V3.2.3</strong> (y, por extensión, de las <strong>WCAG 2.2 nivel AA</strong>). Está destinado a los revisores de compras que necesitan una respuesta cláusula por cláusula más allá de la <a href="/accessibility/">declaración de accesibilidad</a> .</p> <table> <thead> <tr> <th>Campo</th> <th>Valor</th> </tr> </thead> <tbody> <tr> <td>Producto</td> <td>EthicsPortal — plataforma europea de cumplimiento en materia de protección del informante</td> </tr> <tr> <td>Versión del producto</td> <td>Desplegada de forma continua; este informe describe el estado a la fecha de elaboración</td> </tr> <tr> <td>Norma</td> <td>EN 301 549 V3.2.3 (que incorpora las WCAG 2.2 nivel AA)</td> </tr> <tr> <td>Enfoque de conformidad</td> <td>Autoevaluación</td> </tr> <tr> <td>Fecha de elaboración</td> <td>14 de mayo de 2026</td> </tr> <tr> <td>Próxima revisión</td> <td>Agosto de 2026 (trimestral)</td> </tr> <tr> <td>Contacto</td> <td><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </td> </tr> </tbody> </table> <p>Puede facilitarse una copia en PDF de este informe para el proceso de compras a petición.</p> <h2 id="ámbito"> Ámbito <a href="#%c3%a1mbito" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Este informe cubre tres superficies de despliegue:</p> <ol> <li><strong>Aplicación web</strong> — <code>secure.ethicsportal.eu</code>, la interfaz autenticada del gestor del caso</li> <li><strong>Portales públicos de denuncias</strong> — <code>*.ethicsportal.eu</code>, la presentación de comunicaciones y el seguimiento de casos dirigidos al informante</li> <li><strong>Sitio web de presentación</strong> — <code>ethicsportal.eu</code>, el sitio público renderizado con Hugo (incluida esta página)</li> </ol> <p>También cubre los documentos descargables y los servicios de soporte prestados a través de estas superficies.</p> <p>EthicsPortal es un producto SaaS basado en web. No proporciona aplicaciones móviles nativas, hardware de quiosco, TIC de voz bidireccional, salida de vídeo para medios ni texto en tiempo real. Por ello, las cláusulas 6, 7, 8 y 13 de la EN 301 549 son, en gran medida, <strong>no aplicables</strong>.</p> <h2 id="resumen"> Resumen <a href="#resumen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Área de cláusulas</th> <th>Estado</th> </tr> </thead> <tbody> <tr> <td>§5 Requisitos genéricos</td> <td>Conforme, con las excepciones señaladas en §5.4</td> </tr> <tr> <td>§6 TIC con comunicación de voz bidireccional</td> <td>No aplicable</td> </tr> <tr> <td>§7 TIC con capacidades de vídeo</td> <td>No aplicable</td> </tr> <tr> <td>§8 Hardware</td> <td>No aplicable</td> </tr> <tr> <td>§9 Web</td> <td>Parcialmente conforme (véanse los detalles del §9)</td> </tr> <tr> <td>§10 Documentos no web</td> <td>No conforme — véase §10.1</td> </tr> <tr> <td>§11 Software</td> <td>Parcialmente conforme (véanse los detalles del §11)</td> </tr> <tr> <td>§12 Documentación y servicios de soporte</td> <td>Conforme</td> </tr> <tr> <td>§13 TIC que proporcionan acceso a servicios de retransmisión o de emergencia</td> <td>No aplicable</td> </tr> </tbody> </table> <h2 id="evaluación-cláusula-por-cláusula"> Evaluación cláusula por cláusula <a href="#evaluaci%c3%b3n-cl%c3%a1usula-por-cl%c3%a1usula" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="5-requisitos-genéricos"> §5 Requisitos genéricos <a href="#5-requisitos-gen%c3%a9ricos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <table> <thead> <tr> <th>Cláusula</th> <th>Requisito</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>5.1.2.2 / 5.1.3</td> <td>Activación de las funciones de accesibilidad</td> <td>Conforme</td> <td>La plataforma expone las funciones de accesibilidad mediante HTML y ARIA estándar. No se requiere ningún paso de activación propietario</td> </tr> <tr> <td>5.2</td> <td>Activación de las funciones de accesibilidad</td> <td>Conforme</td> <td>Se respetan los ajustes de accesibilidad del navegador y del SO (zoom, contraste, movimiento reducido, lector de pantalla)</td> </tr> <tr> <td>5.3</td> <td>Biometría</td> <td>No aplicable</td> <td>La autenticación es por enlace mágico o código de un solo uso con TOTP opcional; no se requiere entrada biométrica</td> </tr> <tr> <td>5.4</td> <td>Preservación de la información de accesibilidad durante la conversión</td> <td>Parcialmente conforme</td> <td>El contenido de la aplicación preserva la información de accesibilidad; las exportaciones a PDF no (véase §10.1)</td> </tr> <tr> <td>5.5</td> <td>Partes operables</td> <td>Conforme</td> <td>Todos los elementos interactivos son operables por teclado y puntero; el tamaño de las áreas cumple el §2.5.8</td> </tr> <tr> <td>5.6</td> <td>Estado de bloqueo o conmutación</td> <td>Conforme</td> <td>Los estados de conmutación se exponen mediante <code>aria-pressed</code> / <code>aria-expanded</code></td> </tr> <tr> <td>5.7</td> <td>Repetición de tecla</td> <td>No aplicable</td> <td>El software no configura la repetición de tecla del sistema</td> </tr> <tr> <td>5.8</td> <td>Aceptación de doble pulsación de tecla</td> <td>No aplicable</td> <td>El software no configura la aceptación de tecla del sistema</td> </tr> <tr> <td>5.9</td> <td>Acciones simultáneas del usuario</td> <td>Conforme</td> <td>Ninguna interacción requiere acciones simultáneas del usuario</td> </tr> </tbody> </table> <h3 id="9-web-incorpora-las-wcag-22-niveles-a-y-aa"> §9 Web (incorpora las WCAG 2.2 niveles A y AA) <a href="#9-web-incorpora-las-wcag-22-niveles-a-y-aa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>EthicsPortal apunta a las WCAG 2.2 nivel AA. Los nuevos criterios añadidos en las WCAG 2.2 se notifican individualmente para que los revisores puedan confirmar la cobertura más allá de las WCAG 2.1.</p> <p><strong>Principio 1 — Perceptible</strong></p> <table> <thead> <tr> <th>CC</th> <th>Título</th> <th>Nivel</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>1.1.1</td> <td>Contenido no textual</td> <td>A</td> <td>Conforme</td> <td>Las imágenes y los iconos SVG tienen texto alternativo o se marcan como decorativos. Los botones solo de icono llevan <code>aria-label</code>. El estado indicado solo por un icono tiene un equivalente de texto <code>sr-only</code></td> </tr> <tr> <td>1.2.x</td> <td>Contenido multimedia dependiente del tiempo</td> <td>A/AA</td> <td>No aplicable</td> <td>Sin contenido de audio o vídeo</td> </tr> <tr> <td>1.3.1</td> <td>Información y relaciones</td> <td>A</td> <td>Conforme</td> <td>HTML semántico; las tablas usan <code><th scope></code>; los formularios usan <code><label></code></td> </tr> <tr> <td>1.3.2</td> <td>Secuencia significativa</td> <td>A</td> <td>Conforme</td> <td>El orden del DOM coincide con el orden visual</td> </tr> <tr> <td>1.3.3</td> <td>Características sensoriales</td> <td>A</td> <td>Conforme</td> <td>Las instrucciones no dependen únicamente de la forma, el tamaño o la ubicación</td> </tr> <tr> <td>1.3.4</td> <td>Orientación</td> <td>AA</td> <td>Conforme</td> <td>La maquetación funciona en vertical y horizontal</td> </tr> <tr> <td>1.3.5</td> <td>Identificar el propósito de la entrada</td> <td>AA</td> <td>Conforme</td> <td>Las entradas que coinciden con los propósitos de entrada de las WCAG usan <code>autocomplete</code></td> </tr> <tr> <td>1.4.1</td> <td>Uso del color</td> <td>A</td> <td>Conforme</td> <td>El color nunca es la única señal: se acompaña de texto o iconos</td> </tr> <tr> <td>1.4.3</td> <td>Contraste (mínimo)</td> <td>AA</td> <td>Conforme</td> <td>Texto del cuerpo ≥ 4,5:1, texto grande ≥ 3:1, auditado internamente</td> </tr> <tr> <td>1.4.4</td> <td>Cambio de tamaño del texto</td> <td>AA</td> <td>Conforme</td> <td>La maquetación se readapta al 200 % de zoom sin pérdida de contenido</td> </tr> <tr> <td>1.4.5</td> <td>Imágenes de texto</td> <td>AA</td> <td>Conforme</td> <td>El logotipo de la marca es la única imagen de texto; todas las etiquetas de la interfaz son HTML</td> </tr> <tr> <td>1.4.10</td> <td>Readaptación</td> <td>AA</td> <td>Conforme</td> <td>Se readapta a 320 píxeles CSS de ancho (las tablas y los bloques de código quedan exceptuados según se permite)</td> </tr> <tr> <td>1.4.11</td> <td>Contraste no textual</td> <td>AA</td> <td>Conforme</td> <td>Los componentes de la interfaz y los objetos gráficos cumplen 3:1</td> </tr> <tr> <td>1.4.12</td> <td>Espaciado del texto</td> <td>AA</td> <td>Conforme</td> <td>Las anulaciones de espaciado del texto del usuario no rompen la maquetación</td> </tr> <tr> <td>1.4.13</td> <td>Contenido al pasar el cursor o al enfocar</td> <td>AA</td> <td>Conforme</td> <td>Información sobre herramientas descartable (Escape), apuntable y persistente hasta que el activador pierde el foco</td> </tr> </tbody> </table> <p><strong>Principio 2 — Operable</strong></p> <table> <thead> <tr> <th>CC</th> <th>Título</th> <th>Nivel</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>2.1.1</td> <td>Teclado</td> <td>A</td> <td>Conforme</td> <td>Toda la funcionalidad es operable por teclado</td> </tr> <tr> <td>2.1.2</td> <td>Sin trampa para el teclado</td> <td>A</td> <td>Conforme</td> <td>Las ventanas modales atrapan el foco solo mientras están abiertas y lo restauran al cerrarse</td> </tr> <tr> <td>2.1.4</td> <td>Atajos de teclado de carácter</td> <td>A</td> <td>No aplicable</td> <td>No se implementan atajos de un solo carácter</td> </tr> <tr> <td>2.2.1</td> <td>Tiempo ajustable</td> <td>A</td> <td>Conforme</td> <td>El tiempo de espera por inactividad de la sesión es de 30 días, lo que satisface la excepción de 20 horas</td> </tr> <tr> <td>2.2.2</td> <td>Poner en pausa, detener, ocultar</td> <td>A</td> <td>Conforme</td> <td>Ningún contenido de actualización automática se mueve, parpadea o se desplaza durante más de 5 segundos sin un control para pausarlo</td> </tr> <tr> <td>2.3.1</td> <td>Tres destellos o por debajo de ese umbral</td> <td>A</td> <td>Conforme</td> <td>Sin contenido con destellos</td> </tr> <tr> <td>2.4.1</td> <td>Evitar bloques</td> <td>A</td> <td>Conforme</td> <td>Enlace para saltar al contenido principal presente en cada maquetación</td> </tr> <tr> <td>2.4.2</td> <td>Página titulada</td> <td>A</td> <td>Conforme</td> <td>Cada página tiene un <code><title></code> localizado y descriptivo</td> </tr> <tr> <td>2.4.3</td> <td>Orden del foco</td> <td>A</td> <td>Conforme</td> <td>El foco sigue el orden del DOM</td> </tr> <tr> <td>2.4.4</td> <td>Propósito del enlace (en contexto)</td> <td>A</td> <td>Conforme</td> <td>El texto del enlace describe el destino</td> </tr> <tr> <td>2.4.5</td> <td>Múltiples formas</td> <td>AA</td> <td>Conforme</td> <td>Búsqueda en el sitio, navegación y migas de pan disponibles</td> </tr> <tr> <td>2.4.6</td> <td>Encabezados y etiquetas</td> <td>AA</td> <td>Conforme</td> <td>Un único <code><h1></code> por página; los encabezados descienden sin saltos</td> </tr> <tr> <td>2.4.7</td> <td>Foco visible</td> <td>AA</td> <td>Conforme</td> <td><code>:focus-visible</code> está habilitado globalmente; los anillos de foco no se desactivan</td> </tr> <tr> <td>2.4.11</td> <td>Foco no oscurecido (mínimo)</td> <td>AA <em>(nuevo en 2.2)</em></td> <td>Conforme</td> <td>Los elementos enfocados no quedan totalmente cubiertos por encabezados fijos u otro contenido del autor</td> </tr> <tr> <td>2.5.1</td> <td>Gestos del puntero</td> <td>A</td> <td>Conforme</td> <td>No se requieren gestos multipunto ni basados en trayectoria</td> </tr> <tr> <td>2.5.2</td> <td>Cancelación del puntero</td> <td>A</td> <td>Conforme</td> <td>Todas las acciones de clic se completan al soltar (<code>up-event</code>)</td> </tr> <tr> <td>2.5.3</td> <td>Etiqueta en el nombre</td> <td>A</td> <td>Conforme</td> <td>Los nombres accesibles contienen la etiqueta visible</td> </tr> <tr> <td>2.5.4</td> <td>Accionamiento por movimiento</td> <td>A</td> <td>No aplicable</td> <td>Sin entradas de movimiento del dispositivo</td> </tr> <tr> <td>2.5.7</td> <td>Movimientos de arrastre</td> <td>AA <em>(nuevo en 2.2)</em></td> <td>Conforme</td> <td>Sin flujos solo de arrastre; las subidas aceptan alternativas de clic y teclado</td> </tr> <tr> <td>2.5.8</td> <td>Tamaño del área (mínimo)</td> <td>AA <em>(nuevo en 2.2)</em></td> <td>Conforme</td> <td>Áreas interactivas ≥ 24 × 24 px CSS</td> </tr> </tbody> </table> <p><strong>Principio 3 — Comprensible</strong></p> <table> <thead> <tr> <th>CC</th> <th>Título</th> <th>Nivel</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>3.1.1</td> <td>Idioma de la página</td> <td>A</td> <td>Parcialmente conforme</td> <td>Las páginas de la aplicación y del portal establecen <code><html lang></code> en la versión lingüística activa. Las páginas de error estáticas alternativas están solo en inglés — véase la <a href="/accessibility/#non-accessible-content">declaración de accesibilidad</a> </td> </tr> <tr> <td>3.1.2</td> <td>Idioma de las partes</td> <td>AA</td> <td>Conforme</td> <td>Las cadenas en línea en idioma extranjero usan atributos <code>lang</code> cuando es necesario</td> </tr> <tr> <td>3.2.1</td> <td>Al enfocar</td> <td>A</td> <td>Conforme</td> <td>El foco no desencadena un cambio de contexto</td> </tr> <tr> <td>3.2.2</td> <td>Al introducir datos</td> <td>A</td> <td>Conforme</td> <td>La entrada de datos no desencadena un cambio de contexto sin aviso</td> </tr> <tr> <td>3.2.3</td> <td>Navegación coherente</td> <td>AA</td> <td>Conforme</td> <td>El orden de navegación es coherente en toda la aplicación</td> </tr> <tr> <td>3.2.4</td> <td>Identificación coherente</td> <td>AA</td> <td>Conforme</td> <td>Los iconos y componentes se usan de forma coherente</td> </tr> <tr> <td>3.2.6</td> <td>Ayuda coherente</td> <td>A <em>(nuevo en 2.2)</em></td> <td>Conforme</td> <td>El contacto de soporte y los enlaces de ayuda aparecen en la misma ubicación en cada página autenticada (zona de pie de barra lateral) y en el pie del portal</td> </tr> <tr> <td>3.3.1</td> <td>Identificación de errores</td> <td>A</td> <td>Conforme</td> <td>Los errores se muestran mediante <code>role="alert"</code> y se describen al usuario</td> </tr> <tr> <td>3.3.2</td> <td>Etiquetas o instrucciones</td> <td>A</td> <td>Conforme</td> <td>Las entradas están etiquetadas; las indicaciones usan <code>aria-describedby</code></td> </tr> <tr> <td>3.3.3</td> <td>Sugerencia ante errores</td> <td>AA</td> <td>Conforme</td> <td>Los errores indican qué falla y cómo corregirlo</td> </tr> <tr> <td>3.3.4</td> <td>Prevención de errores (legales, financieros, de datos)</td> <td>AA</td> <td>Conforme</td> <td>Operaciones reversibles o confirmación explícita para las acciones destructivas</td> </tr> <tr> <td>3.3.7</td> <td>Entrada redundante</td> <td>A <em>(nuevo en 2.2)</em></td> <td>Conforme</td> <td>La información introducida previamente (correo electrónico, organización) se autocompleta cuando se requiere de nuevo en la misma sesión</td> </tr> <tr> <td>3.3.8</td> <td>Autenticación accesible (mínimo)</td> <td>AA <em>(nuevo en 2.2)</em></td> <td>Conforme</td> <td>La autenticación usa enlaces mágicos y códigos de un solo uso que pueden pegarse; no se requieren pruebas de función cognitiva</td> </tr> </tbody> </table> <p><strong>Principio 4 — Robusto</strong></p> <table> <thead> <tr> <th>CC</th> <th>Título</th> <th>Nivel</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>4.1.2</td> <td>Nombre, función, valor</td> <td>A</td> <td>Conforme</td> <td>Los controles exponen nombre, función y estado</td> </tr> <tr> <td>4.1.3</td> <td>Mensajes de estado</td> <td>AA</td> <td>Conforme</td> <td>Los mensajes flash, las notificaciones y los resultados asíncronos usan regiones <code>aria-live</code></td> </tr> </tbody> </table> <h3 id="10-documentos-no-web"> §10 Documentos no web <a href="#10-documentos-no-web" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <table> <thead> <tr> <th>Cláusula</th> <th>Requisito</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>10.1</td> <td>Documentos no web (PDF)</td> <td>No conforme</td> <td>Los informes de cumplimiento, los certificados, las plantillas de política, los carteles, el manual del gestor del caso y las exportaciones de expedientes se producen como PDF sin etiquetar. Hay alternativas accesibles en HTML disponibles a petición a través de <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> . Una cadena de producción de PDF etiquetados figura en la hoja de ruta.</td> </tr> <tr> <td>10.2</td> <td>Plantillas de política DOCX</td> <td>Parcialmente conforme</td> <td>Los archivos DOCX generados (política de protección del informante, aviso de privacidad) llevan su estructura, pero no se han auditado con arreglo a expectativas equivalentes a PDF/UA para documentos editables. Hay alternativas en HTML disponibles a petición.</td> </tr> </tbody> </table> <h3 id="11-software"> §11 Software <a href="#11-software" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>La aplicación web se considera software conforme al §11. El §11 incorpora las WCAG (evaluadas más arriba en el §9) más cláusulas específicas de software:</p> <table> <thead> <tr> <th>Cláusula</th> <th>Requisito</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>11.5</td> <td>Interoperabilidad con la tecnología de apoyo</td> <td>Conforme</td> <td>Construida sobre HTML semántico y ARIA; probada con VoiceOver, NVDA y la navegación por teclado de la plataforma</td> </tr> <tr> <td>11.6</td> <td>Uso de accesibilidad documentado</td> <td>Conforme</td> <td>Esta página y la <a href="/accessibility/">declaración de accesibilidad</a> documentan las funciones de accesibilidad y las limitaciones conocidas</td> </tr> <tr> <td>11.7</td> <td>Preferencias del usuario</td> <td>Conforme</td> <td>Se respetan las preferencias del SO (movimiento reducido, esquema de color, escalado del texto)</td> </tr> <tr> <td>11.8</td> <td>Herramientas de autor</td> <td>Parcialmente conforme</td> <td>La interfaz del gestor del caso es una herramienta de autor conforme al §11.8 porque los gestores crean contenido consumido por los informantes. Las subidas de adjuntos aceptan descripciones; las funciones de texto enriquecido (cuando se introduzcan) se evaluarán con arreglo a <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </td> </tr> </tbody> </table> <h3 id="12-documentación-y-servicios-de-soporte"> §12 Documentación y servicios de soporte <a href="#12-documentaci%c3%b3n-y-servicios-de-soporte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <table> <thead> <tr> <th>Cláusula</th> <th>Requisito</th> <th>Estado</th> <th>Notas</th> </tr> </thead> <tbody> <tr> <td>12.1.1</td> <td>Funciones de accesibilidad y compatibilidad</td> <td>Conforme</td> <td>Este informe y la <a href="/accessibility/">declaración de accesibilidad</a> describen las tecnologías de apoyo y las combinaciones de plataforma admitidas</td> </tr> <tr> <td>12.1.2</td> <td>Documentación accesible</td> <td>Conforme</td> <td>La documentación se entrega como HTML semántico en el sitio de presentación y a través de la ayuda en la aplicación</td> </tr> <tr> <td>12.2.2</td> <td>Información sobre las funciones de accesibilidad</td> <td>Conforme</td> <td>El personal de soporte y la declaración publicada pueden responder consultas de accesibilidad</td> </tr> <tr> <td>12.2.3</td> <td>Comunicación eficaz</td> <td>Conforme</td> <td>El canal de comentarios de accesibilidad se supervisa cada día laborable; acuse de recibo en un plazo de 2 días laborables</td> </tr> <tr> <td>12.2.4</td> <td>Documentación accesible (soporte)</td> <td>Parcialmente conforme</td> <td>Los documentos entregados en respuesta a las solicitudes de soporte heredan el mismo estado que los artefactos subyacentes: los PDF están señalados; hay alternativas en HTML disponibles</td> </tr> </tbody> </table> <h2 id="limitaciones-conocidas"> Limitaciones conocidas <a href="#limitaciones-conocidas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Los puntos siguientes están registrados, no ocultos:</p> <ol> <li><strong>PDF sin etiquetar.</strong> La mayor brecha. Mitigada hoy con alternativas accesibles en HTML a petición; previsto sustituirla por una cadena de producción de PDF etiquetados o con HTML canónico.</li> <li><strong>Páginas de error estáticas solo en inglés.</strong> Se encuentran rara vez; la misma información se presenta en el idioma del usuario dentro de la aplicación.</li> <li><strong>Incrustaciones de terceros (Crisp, páginas alojadas por Stripe)</strong> quedan fuera de nuestro control directo; la documentación de accesibilidad del proveedor se revisa anualmente.</li> </ol> <h2 id="metodología-de-pruebas"> Metodología de pruebas <a href="#metodolog%c3%ada-de-pruebas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La autoevaluación combinó:</p> <ul> <li><strong>Automatizado</strong>: <code>axe-core-capybara</code> se ejecuta contra los flujos del portal público de denuncias (inicio, presentación de comunicaciones, consulta) en CI mediante <code>test/system/portal_accessibility_system_test.rb</code>; cualquier incumplimiento hace fallar la compilación. La extensión de la cobertura automatizada a los flujos autenticados del gestor del caso figura en la hoja de ruta</li> <li><strong>Pruebas manuales de teclado</strong> en el flujo de presentación de comunicaciones del portal, el flujo de trabajo del gestor del caso, la gestión de la cuenta y la autenticación</li> <li>Pasadas con lector de pantalla <strong>VoiceOver (macOS, Safari)</strong> y <strong>NVDA (Windows, Firefox)</strong> en los mismos flujos</li> <li>Comprobación de readaptación con <strong>zoom al 200 %</strong> en cada maquetación a 1280 × 800</li> <li><strong>Movimiento reducido</strong> verificado activando la preferencia del SO</li> <li><strong>Simulación de daltonismo</strong> mediante Coblis</li> <li><strong>Revisión de código</strong> con arreglo a la <a href="https://github.com/yshmarov/ethicsportal.eu/blob/main/docs/accessibility.md" rel="nofollow">guía interna de ingeniería de accesibilidad</a> </li> </ul> <h2 id="contacto-y-comentarios"> Contacto y comentarios <a href="#contacto-y-comentarios" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Inquietudes sobre accesibilidad, solicitudes de formatos alternativos y consultas de compras:</p> <ul> <li><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — supervisado cada día laborable</li> <li>Consulte la <a href="/accessibility/">declaración de accesibilidad</a> para conocer el procedimiento completo de comentarios y de aplicación</li> </ul> <h2 id="normas-y-referencias"> Normas y referencias <a href="#normas-y-referencias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> </li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> (versión armonizada)</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L2102" rel="nofollow">Directiva (UE) 2016/2102</a> </li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L0882" rel="nofollow">Directiva (UE) 2019/882</a> — Acta Europea de Accesibilidad</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018D1523" rel="nofollow">Decisión de Ejecución (UE) 2018/1523</a> </li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 nivel AA</a> </li> <li><a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/directive-interpretations/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/directive-interpretations/Cómo interpreta EthicsPortal las disposiciones ambiguas de la Directiva (UE) 2019/1937. Un documento de referencia para responsables de cumplimiento, delegados de protección de datos y asesores jurídicos.<h1 id="interpretaciones-de-la-directiva-20191937"> Interpretaciones de la Directiva 2019/1937 <a href="#interpretaciones-de-la-directiva-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Este documento recoge cómo interpreta EthicsPortal las disposiciones de la Directiva (UE) 2019/1937 que admiten más de una lectura razonable. Está dirigido a responsables de cumplimiento, delegados de protección de datos y asesores jurídicos que deben adoptar decisiones operativas defendibles en ausencia de orientaciones interpretativas autorizadas de la Comisión Europea o del Tribunal de Justicia.</p> <p>Es un documento vivo. Cuando el Tribunal de Justicia, el Comité Europeo de Protección de Datos o una autoridad nacional competente emita una interpretación vinculante que difiera de las posiciones siguientes, este documento se revisa y la posición anterior se conserva en el registro de revisiones.</p> <p>Para el mapa de función a requisito —qué capacidad de EthicsPortal satisface cada disposición de la Directiva— consulte el <a href="/directive-coverage/">mapa de cobertura de la Directiva 2019/1937</a> . Los dos documentos son complementarios: el mapa de cobertura documenta lo que hace el producto; este documento documenta cómo leemos la ley.</p> <p>Última actualización: abril de 2026.</p> <hr> <h2 id="1-ámbito-y-fuentes"> §1. Ámbito y fuentes <a href="#1-%c3%a1mbito-y-fuentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Esta metodología aborda la Directiva 2019/1937 tal como se ha transpuesto al Derecho nacional de los 27 Estados miembros de la UE. Cuando la transposición nacional es más estricta que la Directiva, la norma nacional prevalece para las organizaciones que operan en esa jurisdicción (véase §9).</p> <p>Fuentes autorizadas, por orden de precedencia:</p> <ol> <li><strong>El propio texto de la Directiva</strong>: Directiva (UE) 2019/1937, de 23 de octubre de 2019, incluidos sus considerandos.</li> <li><strong>Las leyes nacionales de transposición</strong>: vinculantes dentro de cada Estado miembro. Véanse las <a href="/whistleblower-laws/">leyes de protección del informante por país</a> para conocer los nombres concretos de las leyes y las autoridades de aplicación.</li> <li><strong>Las sentencias del Tribunal de Justicia de la Unión Europea</strong>: vinculantes en toda la Unión.</li> <li><strong>Las orientaciones del Comité Europeo de Protección de Datos</strong>: para los aspectos de protección de datos (artículos 17, capa del RGPD).</li> <li><strong>Las orientaciones de las autoridades nacionales competentes</strong>: persuasivas dentro del Estado que las emite.</li> </ol> <p>Este documento es metodología operativa. No constituye asesoramiento jurídico. Las organizaciones deben validar las interpretaciones con asesores jurídicos competentes en su jurisdicción antes de basarse en ellas en una auditoría o un litigio.</p> <hr> <h2 id="2-convenciones"> §2. Convenciones <a href="#2-convenciones" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La Directiva dispone</strong> introduce una afirmación de lo que exige el texto de la Directiva.</p> <p><strong>En la práctica, esto significa</strong> introduce la interpretación de EthicsPortal allí donde el texto permite más de una lectura.</p> <p><strong>EthicsPortal lo implementa</strong> introduce cómo se manifiesta la interpretación en el producto. Los operadores que elijan una interpretación distinta pueden necesitar ajustar la configuración o los procedimientos en consecuencia.</p> <p>Todas las referencias a artículos lo son a la Directiva 2019/1937, salvo indicación en contrario.</p> <hr> <h2 id="3-el-umbral-de-50-trabajadores-art-8"> §3. El umbral de 50 trabajadores (art. 8) <a href="#3-el-umbral-de-50-trabajadores-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> El artículo 8, apartado 3, obliga a las entidades con «50 o más trabajadores» a establecer canales internos de denuncia. La Directiva no define cómo se calcula la plantilla, cómo cuentan los trabajadores a tiempo parcial y temporales, ni si el umbral se aplica por entidad jurídica o por grupo empresarial.</p> <p><strong>La Directiva dispone</strong> que «las entidades jurídicas del sector privado con 50 o más trabajadores» deben cumplir (art. 8, apartado 3). El considerando 48 aclara que el umbral se calcula «de conformidad con el Derecho nacional que transpone el Derecho de la Unión pertinente».</p> <p><strong>En la práctica, esto significa</strong> que el cálculo sigue las normas de recuento de plantilla existentes en cada Estado miembro a efectos laborales y de seguridad social. Estas normas varían:</p> <ul> <li><strong>Alemania</strong> (HinSchG §12): recuento basado en el número de personas empleadas habitualmente, contado por entidad jurídica.</li> <li><strong>Francia</strong> (Loi Waserman, art. 8): 50 trabajadores calculados como la media mensual de plantilla durante los 12 meses anteriores.</li> <li><strong>Italia</strong> (D.Lgs. 24/2023): media de empleo durante el año anterior.</li> <li><strong>España</strong> (Ley 2/2023): 50 trabajadores por entidad, permitiéndose canales a nivel de grupo bajo determinadas condiciones.</li> </ul> <p><strong>El umbral se calcula por entidad jurídica</strong>, no por grupo empresarial. Una matriz y una filial son entidades separadas a efectos del artículo 8, salvo que el Derecho nacional disponga otra cosa. El artículo 8, apartado 6, permite compartir recursos dentro de un grupo de hasta 249 trabajadores, pero la obligación de establecer un canal sigue activándose por entidad por encima del umbral de 50 trabajadores.</p> <p><strong>Los contratistas, los trabajadores de empresas de trabajo temporal y los becarios</strong> cuentan, en general, para el umbral cuando entran en la definición nacional de «trabajador», que es más amplia que la de «empleado» en el Derecho de la UE. El Tribunal de Justicia ha sostenido de forma reiterada que el concepto de «trabajador» del Derecho de la UE incluye a toda persona que realice servicios para otra y bajo su dirección a cambio de una remuneración (véase <em>Lawrie-Blum</em>, C-66/85).</p> <p><strong>EthicsPortal lo implementa</strong> al no restringir el acceso por el número de empleados. Cualquier organización puede implementar un portal con independencia de su tamaño. Las organizaciones por debajo del umbral de 50 trabajadores operan portales con frecuencia de forma voluntaria: por gestión de riesgos, porque el Derecho nacional aplica un umbral más bajo a su sector (p. ej., los servicios financieros) o porque la política del grupo lo exige.</p> <hr> <h2 id="4-el-plazo-de-acuse-de-recibo-art-91b"> §4. El plazo de acuse de recibo (art. 9(1)(b)) <a href="#4-el-plazo-de-acuse-de-recibo-art-91b" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> El artículo 9, apartado 1, letra b), exige acusar recibo «en un plazo de siete días a partir de la recepción». La Directiva no especifica si se trata de días naturales o hábiles, ni cuándo empieza a contar el plazo para las comunicaciones recibidas fuera del horario laboral.</p> <p><strong>La Directiva dispone</strong> el acuse de recibo «en un plazo de siete días a partir de la recepción». No se da ninguna otra precisión.</p> <p><strong>En la práctica, esto significa</strong> siete días <strong>naturales</strong>, contados desde el momento en que la comunicación entra en el canal. Esto sigue el principio general de que los plazos del Derecho de la Unión corren en días naturales salvo que se indique expresamente otra cosa (Reglamento (CEE, Euratom) n.º 1182/71, art. 3). Los Estados miembros que han transpuesto la Directiva han tratado de forma reiterada el plazo de siete días como días naturales (HinSchG §17(1)2; D.Lgs. 24/2023 art. 5(1)(d); Loi Waserman art. 8).</p> <p>Una comunicación presentada a las 23:59 de un domingo es una comunicación recibida ese domingo. El plazo de siete días empieza al día siguiente (día 1 = lunes) y vence al final del séptimo día. Esto sigue el artículo 3, apartado 1, del Reglamento 1182/71, que dispone que, cuando un plazo se expresa en días, el día del hecho desencadenante no cuenta.</p> <p><strong>El acuse de recibo no es lo mismo que la respuesta sustantiva.</strong> El acuse de recibo es una confirmación de que la comunicación se ha recibido y registrado. No necesita contener ninguna valoración del fondo de la comunicación, ni el nombre de la persona que la gestiona.</p> <p><strong>EthicsPortal lo implementa</strong> enviando un acuse de recibo automático al informante en el momento de la presentación, mostrado en el portal y (cuando se facilitan datos de contacto) por correo electrónico. El acuse de recibo incluye la referencia del caso y el plazo legal de tres meses para la respuesta. Las organizaciones configuradas para el acuse de recibo manual reciben alertas de plazo 48 horas antes de la marca de los siete días y el día del vencimiento.</p> <hr> <h2 id="5-el-plazo-de-respuesta-art-91f"> §5. El plazo de respuesta (art. 9(1)(f)) <a href="#5-el-plazo-de-respuesta-art-91f" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> El artículo 9, apartado 1, letra f), exige dar respuesta «en un plazo no superior a tres meses a partir del acuse de recibo o, si no se envió un acuse de recibo al denunciante, a partir del transcurso del plazo de siete días desde que se efectuó la denuncia». La Directiva no define qué se considera «respuesta».</p> <p><strong>La Directiva dispone</strong> que por «respuesta» se entiende «la información facilitada al denunciante sobre las medidas previstas o adoptadas como seguimiento y sobre los motivos de tal seguimiento» (art. 5, punto 13).</p> <p><strong>En la práctica, esto significa</strong> que la respuesta es sustantiva. Un nuevo acuse de recibo o una declaración de que la comunicación está «en revisión» no constituye una respuesta a efectos del artículo 9, apartado 1, letra f). El informante tiene derecho a saber, antes de la marca de los tres meses, qué medidas pretende adoptar (o ha adoptado) la organización y el razonamiento que las sustenta.</p> <p>La respuesta no tiene por qué ser una resolución definitiva. Una organización puede declarar que el asunto sigue en investigación, siempre que también indique qué se ha hecho hasta ahora, qué medidas adicionales están previstas y cuándo cabe esperar una nueva actualización. Lo que se exige es información suficiente para que el informante pueda evaluar si la organización está gestionando la comunicación con seriedad.</p> <p><strong>El plazo de tres meses corre desde la fecha del acuse de recibo</strong>, no desde la fecha de presentación de la comunicación. Cuando el acuse de recibo se demora, la ventana de respuesta se acorta en consecuencia: la última fecha permisible para la respuesta es tres meses y siete días después de que se efectuó la comunicación.</p> <p><strong>EthicsPortal lo implementa</strong> mediante el seguimiento de ambos plazos (7 días para el acuse de recibo, 3 meses para la respuesta) por caso y mostrando alertas de vencimiento a todos los administradores de la organización. La respuesta al informante se entrega a través del canal de mensajería bidireccional del portal, que preserva el anonimato del informante cuando no ha revelado su identidad.</p> <hr> <h2 id="6-seguimiento-diligente-art-91d"> §6. Seguimiento diligente (art. 9(1)(d)) <a href="#6-seguimiento-diligente-art-91d" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> El artículo 9, apartado 1, letra d), exige un «seguimiento diligente por parte de la persona o el departamento designados a que se refiere la letra c)». «Diligente» no se define.</p> <p><strong>La Directiva dispone</strong> que el seguimiento es «toda acción emprendida por el destinatario de una denuncia o cualquier autoridad competente para valorar la exactitud de las alegaciones realizadas en la denuncia y, en su caso, para resolver la infracción denunciada» (art. 5, punto 12).</p> <p><strong>En la práctica, esto significa</strong> que el seguimiento diligente tiene tres componentes operativos mínimos:</p> <ol> <li><strong>Valoración.</strong> Una evaluación documentada de si las alegaciones, de ser ciertas, constituirían una infracción dentro del ámbito material de la Directiva (art. 2) o de la transposición nacional.</li> <li><strong>Investigación proporcionada a la alegación.</strong> Medidas de investigación acordes con la gravedad de la infracción alegada, la solidez de las pruebas y el posible perjuicio. No toda comunicación justifica una investigación completa; una comunicación sin ningún detalle concreto puede valorarse y cerrarse con una justificación documentada. Una comunicación con detalles específicos y corroborados justifica más.</li> <li><strong>Registro contemporáneo.</strong> Las medidas adoptadas, las decisiones tomadas y su razonamiento deben registrarse en el momento en que se producen. Un seguimiento diligente que no deja rastro es indistinguible de la ausencia de seguimiento.</li> </ol> <p>«Diligente» es un estándar objetivo. No se satisface únicamente con la buena fe subjetiva. Una organización que cierra de forma rutinaria comunicaciones sin valoración, o que tarda meses en abrir un expediente, no es diligente aunque crea serlo.</p> <p><strong>EthicsPortal lo implementa</strong> proporcionando un flujo de trabajo de gestión de casos con transiciones de estado (recibido, acusado recibo, en investigación, cerrado), notas internas para la colaboración entre gestores y un registro de auditoría en modo solo anexión que registra cada acción con marca de tiempo y actor. El registro de auditoría es la prueba principal de diligencia en una auditoría o revisión normativa.</p> <hr> <h2 id="7-confidencialidad-de-la-identidad-art-16"> §7. Confidencialidad de la identidad (art. 16) <a href="#7-confidencialidad-de-la-identidad-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> El artículo 16, apartado 1, exige que la identidad del informante no se revele a nadie más allá de los miembros del personal autorizados. La Directiva no especifica si la «identidad» se extiende a los metadatos que podrían identificar al informante (direcciones IP, huellas digitales del navegador, metadatos de autoría de los archivos, patrones de marcas de tiempo).</p> <p><strong>La Directiva dispone</strong> que «no se revele la identidad del denunciante a ninguna persona que no sea un miembro autorizado del personal competente para recibir o seguir denuncias, sin el consentimiento expreso de esa persona» (art. 16, apartado 1).</p> <p><strong>En la práctica, esto significa</strong> que la «identidad» se lee de forma funcional: incluye cualquier información que, por sí sola o en combinación, permita identificar al informante. Esta lectura está en línea con la definición de datos personales del RGPD (Reglamento (UE) 2016/679, art. 4, punto 1) y con la posición reiterada del Comité Europeo de Protección de Datos de que la identificabilidad depende del contexto.</p> <p>Se tratan como información de identidad los siguientes elementos:</p> <ul> <li>El nombre del informante, sus datos de contacto y cualquier información que facilite sobre sí mismo.</li> <li>La <strong>dirección IP</strong> desde la que se presentó la comunicación.</li> <li>Los <strong>metadatos de los archivos</strong> incrustados en los documentos subidos (nombre del autor, coordenadas GPS en las fotos, identificadores de dispositivo, historial de revisiones en documentos de oficina).</li> <li>Los patrones de marcas de tiempo o de acceso que podrían identificar de forma unívoca a una persona (p. ej., una comunicación presentada a una hora a la que solo un empleado podría haberla presentado de forma plausible).</li> </ul> <p>Las organizaciones que conservan las direcciones IP de los informantes, o que aceptan archivos subidos sin eliminar los metadatos, quedan expuestas a un fallo de confidencialidad que es técnicamente una infracción del artículo 16 aunque el nombre del informante nunca se revele.</p> <p><strong>EthicsPortal lo implementa</strong> al no almacenar nunca las direcciones IP de los informantes (la limitación de tasa usa hashes unidireccionales irreversibles), eliminar los metadatos EXIF y de documento de todos los archivos subidos antes de su almacenamiento, y cifrar en reposo los campos de identidad del informante mediante cifrado no determinista (de modo que ni siquiera el acceso total a la base de datos permita una búsqueda masiva por nombre).</p> <hr> <h2 id="8-plazo-de-conservación-art-18"> §8. Plazo de conservación (art. 18) <a href="#8-plazo-de-conservaci%c3%b3n-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> El artículo 18, apartado 1, exige que los registros de las comunicaciones se conserven «durante un período de tiempo no superior al que sea necesario y proporcionado para cumplir los requisitos impuestos por la presente Directiva, o por otros requisitos impuestos por el Derecho de la Unión o nacional». La Directiva no especifica un período máximo.</p> <p><strong>La Directiva dispone</strong> un estándar de «necesario y proporcionado», anclado a fines de cumplimiento.</p> <p><strong>En la práctica, esto significa</strong> que la conservación debe justificarse por referencia a un fin legal u operativo concreto, estar limitada en el tiempo y documentarse en los registros de protección de datos de la organización (art. 30 del RGPD). En ausencia de una investigación, un litigio o un requisito legal específico en curso, la conservación más allá del cierre del caso resulta cada vez más difícil de justificar.</p> <p>Justificaciones habituales y sus duraciones típicas:</p> <table> <thead> <tr> <th>Finalidad</th> <th>Conservación típica</th> </tr> </thead> <tbody> <tr> <td>Caso activo (de la recepción al cierre)</td> <td>Duración del caso</td> </tr> <tr> <td>Investigación o litigio posterior</td> <td>Hasta la resolución definitiva</td> </tr> <tr> <td>Registro de auditoría normativa</td> <td>Plazo fijado por la normativa sectorial (habitualmente 5 años para los servicios financieros)</td> </tr> <tr> <td>Protección frente a reclamaciones por represalias (art. 21)</td> <td>Plazo de prescripción nacional de las reclamaciones laborales (habitualmente 2-5 años)</td> </tr> <tr> <td>Información estadística conforme al art. 27, apartado 2</td> <td>Solo datos anonimizados; los datos personales deben minimizarse o suprimirse</td> </tr> </tbody> </table> <p>La transposición nacional puede fijar plazos específicos. Ejemplos:</p> <ul> <li><strong>Alemania</strong> (HinSchG §11(5)): la documentación se suprime tres años después del cierre del procedimiento, y solo se conserva más tiempo cuando lo exijan otras leyes.</li> <li><strong>Francia</strong> (orientación de la CNIL sobre la Loi Waserman): plazos de conservación calibrados por tipo de caso, suprimiéndose los casos rutinarios en un plazo de dos meses desde el cierre si no se prosigue ningún seguimiento.</li> <li><strong>Italia</strong> (D.Lgs. 24/2023 art. 14): cinco años desde el cierre de la comunicación, con sujeción a la minimización del RGPD.</li> </ul> <p>Un plazo de conservación generalizado elegido por conveniencia («lo conservamos todo durante 10 años») no es conforme ni con el artículo 18 ni con el artículo 5, apartado 1, letra e), del RGPD. La conservación debe estar vinculada a una finalidad.</p> <p><strong>EthicsPortal lo implementa</strong> proporcionando plazos de conservación configurables (12, 24, 36, 60 meses) con eliminación automática de las comunicaciones cerradas al final del período configurado. El ajuste predeterminado es el plazo más corto que satisface los requisitos de transposición nacional más comunes. Los operadores de sectores con obligaciones legales de conservación más largas configuran el período para que coincida.</p> <hr> <h2 id="9-base-jurídica-para-el-tratamiento-interacción-con-el-rgpd"> §9. Base jurídica para el tratamiento (interacción con el RGPD) <a href="#9-base-jur%c3%addica-para-el-tratamiento-interacci%c3%b3n-con-el-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> El artículo 17 de la Directiva exige que el tratamiento de datos personales cumpla el RGPD. La propia Directiva no es una base jurídica conforme al artículo 6 del RGPD: el responsable del tratamiento debe identificar qué base específica se aplica.</p> <p><strong>La Directiva dispone</strong> que el tratamiento «se llevará a cabo de conformidad con el Reglamento (UE) 2016/679» (art. 17).</p> <p><strong>En la práctica, esto significa</strong> que la base jurídica es el <strong>artículo 6, apartado 1, letra c), del RGPD: obligación legal</strong>, cuando la organización está sujeta a una obligación legal de establecer y operar un canal de denuncias. Para las organizaciones por encima del umbral de 50 trabajadores (o por debajo de él cuando la normativa sectorial imponga la obligación), el artículo 6, apartado 1, letra c), es la base correcta y suficiente. No se requiere el consentimiento del informante, y no debe solicitarse: tratar el tratamiento como basado en el consentimiento sería engañoso y crearía un derecho teórico de retirada que el responsable del tratamiento no puede honrar.</p> <p>Para las organizaciones que operan un canal de denuncias <strong>de forma voluntaria</strong> (por debajo del umbral de 50 trabajadores y no sujetas a un mandato sectorial), la base jurídica es el <strong>artículo 6, apartado 1, letra f): interés legítimo</strong>, con sujeción a una ponderación documentada. El interés legítimo en prevenir y detectar irregularidades dentro de la organización está bien establecido y ha sido reconocido en las orientaciones nacionales de los Estados miembros.</p> <p>Categorías especiales de datos personales (art. 9 del RGPD) pueden aparecer de forma incidental en las comunicaciones: una comunicación de discriminación puede revelar información de salud u origen étnico. La base jurídica para los datos del artículo 9 es habitualmente el artículo 9, apartado 2, letra g): interés público esencial, siempre que el tratamiento sea proporcionado y vaya acompañado de salvaguardias específicas. Las comunicaciones que revelen infracciones penales (art. 10 del RGPD) se tratan conforme a la base correspondiente del artículo 10 en el Derecho nacional.</p> <p><strong>EthicsPortal lo implementa</strong> documentando el artículo 6, apartado 1, letra c), como la base jurídica predeterminada en el contrato de encargado del tratamiento y el aviso de privacidad. Los operadores por debajo del umbral legal ajustan el aviso de privacidad para reflejar el artículo 6, apartado 1, letra f), y registran su ponderación por separado.</p> <hr> <h2 id="10-supremacía-del-derecho-nacional-art-25"> §10. Supremacía del Derecho nacional (art. 25) <a href="#10-supremac%c3%ada-del-derecho-nacional-art-25" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> El artículo 25, apartado 1, dispone que los Estados miembros pueden introducir o mantener disposiciones «más favorables a los derechos de los denunciantes» que las establecidas en la Directiva. La Directiva no aborda cómo deben resolver los operadores los conflictos cuando el Derecho nacional es más estricto.</p> <p><strong>La Directiva dispone</strong> en el artículo 25, apartado 1, que «los Estados miembros podrán introducir o mantener disposiciones más favorables a los derechos de los denunciantes que las establecidas en la presente Directiva, sin perjuicio del artículo 22 [derechos de las personas afectadas] y del artículo 23, apartado 2 [sanciones por denuncias deliberadamente falsas]».</p> <p><strong>En la práctica, esto significa</strong> que, cuando la transposición nacional es más estricta que la Directiva, <strong>el Derecho nacional prevalece</strong> para las organizaciones que operan en esa jurisdicción. No existe la opción de basarse en el mínimo de la Directiva cuando la norma local es más estricta. La Directiva fija un suelo, no un techo.</p> <p>Ejemplos prácticos de normas nacionales más estrictas:</p> <ul> <li><strong>Francia</strong> exige el acuse de recibo de las comunicaciones externas en un plazo de siete días hábiles y un plazo de respuesta que puede ser más corto que el mínimo de la Directiva para determinados sectores (AMF, ACPR).</li> <li><strong>Alemania</strong> extiende expresamente la protección a las comunicaciones sobre determinadas categorías de infracciones legales más allá del ámbito material de la Directiva (HinSchG §2).</li> <li><strong>Italia</strong> impone un umbral de trabajadores más bajo (50, pero con sectores específicos a cualquier número de plantilla para determinadas entidades) y formalidades específicas de conservación de registros.</li> <li><strong>Polonia</strong> impone requisitos específicos sobre la forma de la política del canal de denuncias que no figuran en el texto de la Directiva.</li> </ul> <p><strong>Para los operadores multipaís</strong>, la regla operativa es: en cada jurisdicción, aplicar el más estricto de entre (Directiva, Derecho nacional). Esto a veces significa que una política de grupo establece un estándar alto uniforme que se corresponde con la norma nacional más estricta de cualquier país de operación. Esto suele ser preferible a mantener políticas paralelas por jurisdicción, lo que aumenta la carga administrativa y el riesgo de aplicar la norma equivocada.</p> <p><strong>EthicsPortal lo implementa</strong> estableciendo por defecto el denominador común más estricto de los 27 Estados miembros: las ventanas de acuse de recibo y respuesta más cortas, el plazo de conservación más reducido y el aviso antirrepresalias más completo. Los operadores de una sola jurisdicción pueden relajar ajustes predeterminados específicos para que coincidan con las normas nacionales, pero la base se calibra por encima del mínimo de la Directiva en cada artículo en el que las leyes nacionales de transposición lo superan.</p> <hr> <h2 id="11-comunicación-anónima-art-62-art-91e"> §11. Comunicación anónima (art. 6(2), art. 9(1)(e)) <a href="#11-comunicaci%c3%b3n-an%c3%b3nima-art-62-art-91e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><strong>La cuestión.</strong> ¿Debe una organización aceptar comunicaciones anónimas?</p> <p><strong>La Directiva dispone</strong> en el artículo 6, apartado 2, que «no afecta a la facultad de los Estados miembros de decidir si las entidades jurídicas […] están obligadas a aceptar las denuncias anónimas y a seguirlas». El artículo 9, apartado 1, letra e), exige «un seguimiento diligente, cuando así lo disponga el Derecho nacional, en lo que respecta a las denuncias anónimas».</p> <p><strong>En la práctica, esto significa</strong> que el Derecho nacional decide. Dos posturas:</p> <ul> <li><strong>Obligatoria</strong> en algunas jurisdicciones o sectores (p. ej., la normativa francesa de servicios financieros).</li> <li><strong>Permitida</strong> en la mayoría de los Estados miembros: Alemania (HinSchG), Italia (D.Lgs. 24/2023, con seguimiento diligente obligatorio una vez aceptada una comunicación), Polonia (Ustawa o ochronie sygnalistów) y otros.</li> </ul> <p>Tres consecuencias.</p> <p><strong>Una vez aceptada, vinculante.</strong> Una organización que publica «aceptamos comunicaciones anónimas» ha activado el artículo 9, apartado 1, letra e). La obligación se vincula a la política, no a la comunicación individual.</p> <p><strong>La protección antirrepresalias solo se aplica desde la identificación.</strong> El artículo 21 no puede proteger a una persona desconocida. Las acciones adoptadas durante el período anónimo no quedan cubiertas con efecto retroactivo.</p> <p><strong>El anonimato es un estándar técnico, no una promesa.</strong> Un formulario que recopila un correo electrónico no es anónimo. Un canal que registra direcciones IP no es anónimo. La confidencialidad del artículo 16 protege una identidad conocida frente a la revelación; el anonimato impide la identificación.</p> <p><strong>EthicsPortal lo implementa</strong> aceptando comunicaciones anónimas de forma predeterminada. No se requieren datos de contacto. Las direcciones IP nunca se almacenan (la limitación de tasa usa hashes unidireccionales irreversibles). Los metadatos de los archivos se eliminan antes de su almacenamiento. Los operadores pueden configurar el portal para exigir datos de contacto cuando el Derecho nacional imponga comunicaciones identificadas. Las comunicaciones anónimas aceptadas siguen el mismo flujo de trabajo del caso, los mismos plazos y el mismo estándar de seguimiento diligente que las identificadas.</p> <hr> <h2 id="registro-de-revisiones"> Registro de revisiones <a href="#registro-de-revisiones" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>Abril de 2026</strong> — §11 añadido sobre la comunicación anónima (art. 6(2), art. 9(1)(e)).</li> <li><strong>Abril de 2026</strong> — Publicación inicial.</li> </ul> <hr> <h2 id="correcciones-y-consultas"> Correcciones y consultas <a href="#correcciones-y-consultas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Este documento está pensado para ser citado y para servir de base. Si detecta un error, una posición que entre en conflicto con una sentencia del Tribunal de Justicia, un dictamen del Comité Europeo de Protección de Datos o una orientación nacional vinculante, contacte con <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> . Las correcciones se publican en el registro de revisiones con la fecha y un resumen del cambio.</p> <p>Para preguntas sobre cómo se aplica una interpretación concreta a las circunstancias de su organización, este documento no sustituye al asesoramiento jurídico. Contacte con asesores jurídicos competentes en su jurisdicción.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/directive-coverage/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/directive-coverage/Mapa artículo por artículo de cómo EthicsPortal cumple todos los requisitos de la Directiva (UE) 2019/1937 y del RGPD para la protección del informante.<h1 id="mapa-de-cobertura-de-la-directiva-20191937"> Mapa de cobertura de la Directiva 2019/1937 <a href="#mapa-de-cobertura-de-la-directiva-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>EthicsPortal está diseñado para mantener a su organización en cumplimiento con la Directiva (UE) 2019/1937, su transposición nacional en su país y el RGPD. Cada función se corresponde directamente con un requisito legal.</p> <p>Esta página es el mapa de función a requisito: cada artículo de la Directiva se asocia con la capacidad específica de EthicsPortal que lo aborda. Para saber cómo EthicsPortal interpreta las disposiciones ambiguas de esos artículos —el umbral de 50 trabajadores, qué se considera «seguimiento diligente», las justificaciones de conservación, la base jurídica del RGPD, la supremacía del Derecho nacional— consulte las <a href="/directive-interpretations/">interpretaciones</a> por separado.</p> <p>Los 27 Estados miembros de la UE han transpuesto la Directiva a su Derecho nacional. Su organización debe cumplir la ley nacional de su país de operación: consulte nuestra referencia de <a href="/whistleblower-laws/">leyes de protección del informante por país</a> para conocer los nombres concretos de las leyes, las sanciones y las autoridades de aplicación. Entre las principales leyes nacionales se incluyen la <a href="/whistleblower-laws/france/">Loi Waserman</a> (Francia), la <a href="/whistleblower-laws/germany/">HinSchG</a> (Alemania), el <a href="/whistleblower-laws/italy/">D.Lgs. 24/2023</a> (Italia), la <a href="/whistleblower-laws/spain/">Ley 2/2023</a> (España) y la <a href="/whistleblower-laws/poland/">Ley de 14 de junio de 2024</a> (Polonia).</p> <p>Última actualización: 2026-05-17.</p> <hr> <h2 id="1-canales-de-denuncia-art-8"> §1. Canales de denuncia (art. 8) <a href="#1-canales-de-denuncia-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Las organizaciones con 50 o más empleados deben establecer canales internos de denuncia seguros.</p> <table> <thead> <tr> <th>Requisito</th> <th>Cómo lo gestiona EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Canal seguro para comunicar</td> <td>Portal web cifrado con URL única por organización</td> </tr> <tr> <td>Confidencialidad de la identidad del informante</td> <td>Cifrado de extremo a extremo de todos los datos personales, sin registro de IP, eliminación automática de metadatos de los archivos subidos</td> </tr> <tr> <td>Accesible para todos los trabajadores</td> <td>Portal basado en web que funciona en cualquier dispositivo, sin instalación de aplicación ni cuenta</td> </tr> <tr> <td>Personalizable para la organización</td> <td>Categorías, logotipo y mensaje de bienvenida configurables</td> </tr> </tbody> </table> <hr> <h2 id="2-procedimientos-de-denuncia-art-9"> §2. Procedimientos de denuncia (art. 9) <a href="#2-procedimientos-de-denuncia-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Artículo</th> <th>Cómo lo gestiona EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Designar a una persona o departamento imparcial</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(c)</a> </td> <td>Sistema de asignación de casos con acceso basado en roles: solo los gestores autorizados ven las comunicaciones</td> </tr> <tr> <td>Acusar recibo en un plazo de 7 días</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(b)</a> </td> <td>Seguimiento automático de plazos con notificaciones por correo a los gestores cuando el plazo de 7 días se acerca o se incumple</td> </tr> <tr> <td>Seguimiento diligente por la persona designada</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(d)</a> </td> <td>Gestión de casos con flujo de estados (recibido, acusado recibo, en investigación, cerrado), notas internas para la colaboración entre gestores y registro de auditoría completo</td> </tr> <tr> <td>Dar respuesta en un plazo de tres meses</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(f)</a> </td> <td>Seguimiento automático del plazo de 3 meses con alertas de vencimiento a todos los administradores de la organización. Los informantes ven la cronología en el portal y pueden consultar el estado en cualquier momento usando su identificador del expediente y su código de acceso</td> </tr> <tr> <td>Permitir la comunicación verbal (por teléfono, mensaje de voz o reunión presencial a petición)</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(2)</a> </td> <td>Número de teléfono configurable mostrado en el portal; los gestores pueden registrar comunicaciones por teléfono, en persona y por carta directamente en el sistema</td> </tr> <tr> <td>Informar sobre las opciones de comunicación externa</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(g)</a> </td> <td>El portal muestra información sobre el derecho del informante a contactar con las autoridades nacionales competentes, citando la Directiva 2019/1937</td> </tr> </tbody> </table> <hr> <h2 id="3-ámbito-de-protección-art-4"> §3. Ámbito de protección (art. 4) <a href="#3-%c3%a1mbito-de-protecci%c3%b3n-art-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La directiva protege no solo a los empleados, sino también a contratistas, proveedores, accionistas y otros terceros.</p> <p>EthicsPortal muestra orientaciones claras en el portal indicando que la comunicación está abierta a empleados, contratistas, proveedores y cualquier otro tercero.</p> <p>El formulario de admisión también pregunta al informante —de forma opcional— por su relación con la organización (empleado actual o antiguo, contratista, proveedor, candidato a un empleo, accionista u otro), reflejando las categorías de ámbito personal del art. 4, de modo que los gestores puedan confirmar que la protección le ampara. La pregunta es omisible, por lo que el anonimato nunca se condiciona a responderla.</p> <hr> <h2 id="4-antirrepresalias-art-6-19-21"> §4. Antirrepresalias (art. 6, 19-21) <a href="#4-antirrepresalias-art-6-19-21" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Debe informarse a los informantes de que las represalias están prohibidas por ley.</p> <p>EthicsPortal muestra un aviso antirrepresalias en cada página del portal, citando la Directiva 2019/1937, antes de que el informante presente la comunicación.</p> <p>El formulario de admisión permite además al informante señalar, de forma opcional, si teme represalias o ya las afronta. Cuando se marca, la comunicación lleva una distintiva insignia de urgencia en la vista del gestor, de modo que un caso de protección reforzada sea visible de un vistazo.</p> <hr> <h2 id="5-confidencialidad-de-la-identidad-art-16"> §5. Confidencialidad de la identidad (art. 16) <a href="#5-confidencialidad-de-la-identidad-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Cómo lo gestiona EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Identidad no revelada más allá del personal autorizado</td> <td>Control de acceso basado en roles: solo los administradores, el asignatario principal y los participantes añadidos expresamente (p. ej., jurídico, RR. HH.) pueden ver una comunicación. Los gestores no administradores solo ven los casos a los que están asignados o como participantes</td> </tr> <tr> <td>Anonimato del gestor frente al informante</td> <td>Los informantes ven «Gestor del caso» en los mensajes, nunca el nombre real ni el correo del gestor</td> </tr> <tr> <td>Datos sensibles cifrados</td> <td>Los nombres de los informantes, los datos de contacto, las descripciones de las comunicaciones y los cuerpos de los mensajes se cifran en reposo mediante cifrado no determinista</td> </tr> </tbody> </table> <p><strong>Sin procesamiento de IA del contenido de las comunicaciones.</strong> La confidencialidad conforme al <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> se extiende a <em>qué terceros</em> ven la comunicación. EthicsPortal no transmite el contenido de las comunicaciones, la identidad del informante ni las comunicaciones del caso a ningún gran modelo de lenguaje o servicio de inferencia de IA: ni para categorizar, ni para resumir, ni para traducir. Ningún proveedor de IA (OpenAI, Anthropic, Google, Mistral u otro) es subencargado del tratamiento. Esto elimina una categoría de divulgación de subencargados del tratamiento de su DPA y elimina las consideraciones del <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> (decisiones automatizadas) de su EIPD. Consulte la <a href="/subprocessors/">lista de subencargados del tratamiento</a> para ver la entrada correspondiente.</p> <p>Dos razones adicionales por las que esta es una decisión de nivel de confidencialidad, no una preferencia de función:</p> <ul> <li><strong>Sin alucinaciones en la cadena de pruebas de cumplimiento.</strong> Los grandes modelos de lenguaje producen resultados probabilísticos. Un resumen que diga «esta comunicación no parece urgente» es una probabilidad, no un hecho, y no puede reproducirse ni auditarse. EthicsPortal registra de forma determinista el actor, la acción y la marca de tiempo: el registro de auditoría es prueba, no una conjetura.</li> <li><strong>Sin superficie de ataque de inyección de instrucciones en las comunicaciones de los informantes.</strong> La entrada del informante no es de confianza por definición. Encaminarla a través de un LLM crea una categoría de ataque en la que las instrucciones incrustadas en el texto de la comunicación pueden manipular el resultado dirigido al gestor (respuestas sugeridas, resúmenes, categorización). EthicsPortal elimina por completo esa superficie al no realizar inferencia sobre el contenido de las comunicaciones.</li> </ul> <hr> <h2 id="6-conservación-de-registros-art-18"> §6. Conservación de registros (art. 18) <a href="#6-conservaci%c3%b3n-de-registros-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Cómo lo gestiona EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Mantener registros de cada comunicación</td> <td>Registro de auditoría completo de todas las acciones: presentaciones, cambios de estado, mensajes, asignaciones y visualizaciones de comunicaciones</td> </tr> <tr> <td>Registros almacenados de forma segura</td> <td>Todos los campos sensibles cifrados en reposo</td> </tr> <tr> <td>Registros recuperables</td> <td>Exportación completa del expediente a PDF, incluidos metadatos, hilo de mensajes, lista de adjuntos y registro de auditoría. PDF de informe de cumplimiento a nivel de organización disponible para auditores: incluye la lista de comprobación de la directiva, las métricas del SLA y un resumen de protección de datos sin exponer datos sensibles de las comunicaciones</td> </tr> <tr> <td>Suprimir registros cuando ya no sean necesarios</td> <td>Período de conservación de datos configurable (12, 24, 36 o 60 meses) con eliminación automática de las comunicaciones cerradas caducadas</td> </tr> </tbody> </table> <hr> <h2 id="7-cumplimiento-del-rgpd"> §7. Cumplimiento del RGPD <a href="#7-cumplimiento-del-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Artículo</th> <th>Cómo lo gestiona EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Base jurídica para el tratamiento</td> <td>Art. 6(1)(c)</td> <td>El tratamiento es necesario para el cumplimiento de la Directiva (UE) 2019/1937</td> </tr> <tr> <td>Información sobre el tratamiento de datos</td> <td>Art. 13/14</td> <td>Aviso de privacidad mostrado en el formulario de presentación de la comunicación antes de que el informante la presente</td> </tr> <tr> <td>Minimización de datos</td> <td>Art. 5(1)(c)</td> <td>Solo se recopilan los campos esenciales; el nombre y el contacto del informante son opcionales</td> </tr> <tr> <td>Limitación del plazo de conservación</td> <td>Art. 5(1)(e)</td> <td>Período de conservación configurable por organización con eliminación automática</td> </tr> <tr> <td>Integridad y confidencialidad</td> <td>Art. 5(1)(f)</td> <td>Cifrado en reposo de todos los datos sensibles; sin registro de IP en las rutas del portal; metadatos de los archivos eliminados automáticamente</td> </tr> <tr> <td>Derecho de supresión</td> <td>Art. 17</td> <td>Eliminación automática basada en la conservación; eliminación manual disponible para los administradores</td> </tr> </tbody> </table> <hr> <h2 id="8-medidas-de-seguridad"> §8. Medidas de seguridad <a href="#8-medidas-de-seguridad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Medida</th> <th>Detalle</th> </tr> </thead> <tbody> <tr> <td>Cifrado en reposo</td> <td>Todas las descripciones de las comunicaciones, los nombres de los informantes, los datos de contacto y los cuerpos de los mensajes se cifran mediante cifrado no determinista</td> </tr> <tr> <td>Sin registro de IP</td> <td>Las direcciones IP de los informantes nunca se almacenan: la limitación de tasa usa hashes unidireccionales irreversibles</td> </tr> <tr> <td>Eliminación de metadatos de los archivos</td> <td>Los datos EXIF (coordenadas GPS, modelo de cámara, información del autor) se eliminan automáticamente de las imágenes subidas antes de su almacenamiento</td> </tr> <tr> <td>Identidad anónima del gestor</td> <td>Los informantes nunca ven el nombre real del gestor: los mensajes muestran «Gestor del caso»</td> </tr> <tr> <td>Limitación de tasa</td> <td>Los puntos de acceso del portal público están sujetos a limitación de tasa para prevenir abusos</td> </tr> <tr> <td>Control de acceso</td> <td>Los permisos basados en roles garantizan que solo los gestores autorizados puedan ver las comunicaciones; los gestores no administradores solo ven los casos a los que están asignados o como participantes</td> </tr> <tr> <td>Registro de auditoría</td> <td>Cada acción se registra con marca de tiempo, actor y tipo de acción: en modo solo anexión y siempre disponible para revisión normativa</td> </tr> </tbody> </table> <hr> <h2 id="9-lo-que-su-organización-aún-debe-hacer"> §9. Lo que su organización aún debe hacer <a href="#9-lo-que-su-organizaci%c3%b3n-a%c3%ban-debe-hacer" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal gestiona los requisitos técnicos. Su organización es responsable de:</p> <ul> <li><strong>Designar a un responsable de la denuncia</strong>: asignar al menos a una persona responsable de la gestión de las comunicaciones</li> <li><strong>Política interna</strong>: adoptar una política de protección del informante y comunicarla a los empleados</li> <li><strong>Formación</strong>: asegurarse de que los gestores designados comprendan las obligaciones de confidencialidad</li> <li><strong>Aplicación de la prohibición de represalias</strong>: asegurarse de que la dirección comprenda que las represalias son una infracción legal</li> <li><strong>Consentimiento para la revelación de identidad</strong>: si la identidad de un informante debe compartirse más allá de los gestores autorizados (p. ej., con las fuerzas del orden), obtener primero el consentimiento expreso del informante (<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16(2)</a> )</li> <li><strong>Informar a los trabajadores</strong>: compartir la URL del portal con los empleados (EthicsPortal proporciona un enlace para compartir y un código QR)</li> </ul> <hr> <h2 id="preguntas"> ¿Preguntas? <a href="#preguntas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Los administradores pueden descargar un <strong>PDF de informe de cumplimiento</strong> directamente desde la página de configuración del portal. Incluye una lista de comprobación completa de la Directiva (UE) 2019/1937, las métricas del SLA, las medidas de protección de datos y un resumen del registro de auditoría, listo para entregar a un auditor sin exponer datos sensibles de las comunicaciones.</p> <p>Para conocer los requisitos específicos de cada país (sanciones, plazos de conservación, autoridades de aplicación), consulte nuestra referencia de <a href="/whistleblower-laws/">leyes de protección del informante por país</a> .</p> <p>Para saber cómo EthicsPortal interpreta las disposiciones ambiguas de la Directiva (el umbral de 50 trabajadores, qué se considera «seguimiento diligente», las justificaciones de conservación, la base jurídica del RGPD), consulte las <a href="/directive-interpretations/">interpretaciones de la Directiva 2019/1937</a> .</p> <p>Si necesita ayuda para demostrar el cumplimiento ante su equipo jurídico o su regulador, contacte con nosotros en <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/privacy/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/privacy/Política de privacidad de EthicsPortal: cómo recopilamos, usamos, almacenamos y protegemos su información personal.<h1 id="política-de-privacidad"> Política de privacidad <a href="#pol%c3%adtica-de-privacidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p><strong>Fecha de entrada en vigor:</strong> 17 de febrero de 2026 <strong>Última actualización:</strong> 30 de mayo de 2026</p> <h2 id="1-introducción"> 1. Introducción <a href="#1-introducci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal («nosotros», «nos», «nuestro») está operado por Yaroslav Shmarov, registrado en ul. Obrzeżna 1A, 02-691 Varsovia, Polonia. Esta política de privacidad describe cómo recopilamos, usamos, almacenamos y protegemos su información personal cuando utiliza EthicsPortal en <a href="https://ethicsportal.eu">ethicsportal.eu</a> (el «Servicio»).</p> <p>Al utilizar el Servicio, usted acepta la recopilación y el uso de la información según se describe en esta política. Si no está de acuerdo, le rogamos que no utilice el Servicio.</p> <p><strong>Contacto:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </p> <p>La información básica de la parte contratante se publica en la página de <a href="/trust/">confianza</a> .</p> <h2 id="2-información-que-recopilamos"> 2. Información que recopilamos <a href="#2-informaci%c3%b3n-que-recopilamos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="21-información-de-la-cuenta"> 2.1 Información de la cuenta <a href="#21-informaci%c3%b3n-de-la-cuenta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cuando crea una cuenta, recopilamos:</p> <ul> <li>Dirección de correo electrónico</li> <li>Nombre para mostrar (si se facilita)</li> <li>Preferencia de idioma</li> </ul> <p>La autenticación es sin contraseña: usamos enlaces mágicos (códigos de un solo uso enviados a su correo electrónico). No recopilamos ni almacenamos contraseñas.</p> <h3 id="22-información-de-pago"> 2.2 Información de pago <a href="#22-informaci%c3%b3n-de-pago" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Los pagos los procesa enteramente <a href="https://stripe.com" rel="nofollow">Stripe</a> . <strong>No</strong> almacenamos números de tarjetas de crédito, números de cuentas bancarias ni otros datos financieros sensibles en nuestros servidores. Stripe puede recopilar datos de pago directamente. Consulte la <a href="https://stripe.com/privacy" rel="nofollow">política de privacidad de Stripe</a> para más información.</p> <h3 id="23-registros-del-servidor"> 2.3 Registros del servidor <a href="#23-registros-del-servidor" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Nuestros servidores registran automáticamente información cuando accede al Servicio, entre ella:</p> <ul> <li>Dirección IP</li> <li>Tipo y versión del navegador</li> <li>Páginas visitadas y marcas de tiempo</li> <li>URL de referencia</li> </ul> <p>Los registros del servidor se utilizan para la monitorización de seguridad y la depuración. No se usan para publicidad ni seguimiento.</p> <p>En las rutas del portal de denuncias en concreto, los registros de la aplicación están configurados para depurar la dirección IP del informante.</p> <h3 id="24-datos-de-las-comunicaciones-de-los-informantes"> 2.4 Datos de las comunicaciones de los informantes <a href="#24-datos-de-las-comunicaciones-de-los-informantes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cuando un informante presenta una comunicación a través del portal de una organización, recopilamos:</p> <ul> <li>Descripción, categoría y fuente de la comunicación</li> <li>Nombre y datos de contacto del informante (si se facilitan voluntariamente)</li> <li>Mensajes intercambiados entre el informante y la organización</li> </ul> <p>Las descripciones de las comunicaciones, los nombres de los informantes, sus datos de contacto y el contenido de los mensajes se <strong>cifran en la base de datos</strong> mediante cifrado a nivel de aplicación. Las direcciones IP de los informantes se <strong>anonimizan</strong> mediante un hash unidireccional y nunca se almacenan en su forma original. Los registros del servidor de las rutas del portal se <strong>depuran</strong> de direcciones IP para proteger la identidad del informante.</p> <h3 id="25-datos-personales-de-terceros-mencionados-en-las-comunicaciones"> 2.5 Datos personales de terceros mencionados en las comunicaciones <a href="#25-datos-personales-de-terceros-mencionados-en-las-comunicaciones" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Una comunicación de un informante puede contener datos personales sobre otras personas, por ejemplo, la persona a la que se refiere una comunicación o los testigos. Respecto de estos datos de la comunicación, EthicsPortal actúa como <strong>encargado del tratamiento</strong> por cuenta de la organización cliente, que es la <strong>responsable del tratamiento</strong>. La organización es responsable de la licitud de este tratamiento y de facilitar la información exigida por el artículo 14 del RGPD a las personas afectadas.</p> <p>En línea con el artículo 14, apartado 5, letra b), del RGPD y los requisitos de confidencialidad de la Directiva europea de protección del informante (2019/1937), la notificación a una persona mencionada puede aplazarse o restringirse cuando hacerlo perjudicaría una investigación o comprometería la protección de la identidad del informante.</p> <h2 id="3-cómo-usamos-su-información"> 3. Cómo usamos su información <a href="#3-c%c3%b3mo-usamos-su-informaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Usamos la información que recopilamos para:</p> <ul> <li><strong>Prestar el Servicio</strong>: crear y gestionar su cuenta</li> <li><strong>Procesar pagos</strong>: gestionar las suscripciones a través de Stripe</li> <li><strong>Enviar notificaciones</strong>: entregar notificaciones en la aplicación y por correo electrónico sobre la actividad de la cuenta</li> <li><strong>Mantener la seguridad</strong>: detectar y prevenir el fraude, el abuso y el acceso no autorizado</li> <li><strong>Mejorar el Servicio</strong>: diagnosticar problemas técnicos y mejorar la funcionalidad</li> </ul> <p><strong>No</strong> vendemos su información personal. <strong>No</strong> usamos sus datos con fines publicitarios.</p> <h2 id="4-servicios-de-terceros"> 4. Servicios de terceros <a href="#4-servicios-de-terceros" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Compartimos datos con los siguientes servicios de terceros, solo en la medida necesaria para prestar el Servicio:</p> <table> <thead> <tr> <th>Servicio</th> <th>Finalidad</th> <th>Datos compartidos</th> </tr> </thead> <tbody> <tr> <td><strong>Stripe</strong></td> <td>Procesamiento de pagos</td> <td>Correo electrónico, datos de pago (recopilados directamente por Stripe)</td> </tr> <tr> <td><strong>Hetzner Object Storage</strong></td> <td>Subidas de archivos (avatares, adjuntos)</td> <td>Archivos subidos</td> </tr> <tr> <td><strong>Mailjet</strong></td> <td>Envío de correo electrónico transaccional</td> <td>Dirección de correo electrónico, contenido del correo</td> </tr> <tr> <td><strong>Cloudflare Web Analytics</strong></td> <td>Analítica web respetuosa con la privacidad</td> <td>Páginas vistas, referente, tipo de navegador, país (anónimo, sin cookies, sin datos personales)</td> </tr> <tr> <td><strong>Plausible Analytics</strong></td> <td>Analítica web respetuosa con la privacidad (alojada en la UE, Alemania)</td> <td>Páginas vistas, referente, tipo de navegador, país (anónimo, sin cookies, sin almacenar IP, sin datos personales). Se carga únicamente en el sitio web público de presentación, nunca en la aplicación ni en el portal de denuncias. Consulte la <a href="https://plausible.io/data-policy" rel="nofollow">política de datos de Plausible</a> </td> </tr> <tr> <td><strong>AppSignal</strong></td> <td>Seguimiento de errores y excepciones, monitorización del rendimiento de la aplicación</td> <td>Detalles de errores y contexto de las solicitudes para las interfaces de administradores y gestores</td> </tr> <tr> <td><strong>Crisp</strong></td> <td>Soporte por chat en directo</td> <td>Dirección de correo electrónico, nombre, mensajes de chat, tipo de navegador, páginas visitadas. Crisp tiene su sede en Francia (UE). Consulte la <a href="https://crisp.chat/en/privacy/" rel="nofollow">política de privacidad de Crisp</a> </td> </tr> </tbody> </table> <p>Cada servicio de terceros se rige por su propia política de privacidad. Le recomendamos que las revise.</p> <h2 id="5-cookies"> 5. Cookies <a href="#5-cookies" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Usamos las siguientes cookies:</p> <table> <thead> <tr> <th>Cookie</th> <th>Finalidad</th> <th>Duración</th> </tr> </thead> <tbody> <tr> <td><code>_ethicsportal_session</code></td> <td>Gestión de sesión (autenticación)</td> <td>30 días</td> </tr> <tr> <td><code>session_token</code></td> <td>Identificador de sesión firmado para el inicio de sesión persistente</td> <td>La sesión del lado del servidor expira tras 14 días de inactividad</td> </tr> <tr> <td><code>locale</code></td> <td>Almacena su preferencia de idioma</td> <td>1 año</td> </tr> </tbody> </table> <p>Una cookie temporal <code>pending_authentication_token</code> (15 minutos) se usa durante el proceso de inicio de sesión con enlace mágico.</p> <p>El chat en directo de Crisp puede establecer sus propias cookies (p. ej., <code>crisp-client/*</code>) cuando los gestores usan el chat de soporte en la aplicación. Estas cookies son funcionales, no se usan para publicidad y solo se establecen dentro del portal de los gestores, no en el sitio de presentación ni en el portal de denuncias.</p> <p>Todas las cookies propias se establecen con los indicadores <code>Secure</code> y <code>HttpOnly</code> en producción. <strong>No</strong> usamos cookies de seguimiento de terceros ni cookies publicitarias. La protección CSRF se gestiona mediante tokens incrustados en los formularios HTML, no en cookies.</p> <h2 id="6-almacenamiento-y-seguridad-de-los-datos"> 6. Almacenamiento y seguridad de los datos <a href="#6-almacenamiento-y-seguridad-de-los-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>Ubicación del servidor:</strong> los datos centrales de la aplicación se alojan en Hetzner en Núremberg, Alemania (Unión Europea)</li> <li><strong>Cifrado en tránsito:</strong> todas las conexiones usan HTTPS/TLS</li> <li><strong>Cifrado en reposo:</strong> los datos de las comunicaciones de los informantes (descripciones, nombres de los informantes, datos de contacto, mensajes) se cifran en la base de datos mediante Active Record Encryption</li> <li><strong>Autenticación sin contraseña:</strong> usamos enlaces mágicos; no se almacenan contraseñas</li> <li><strong>Control de acceso:</strong> el acceso a la base de datos está restringido únicamente al personal autorizado</li> </ul> <p>Aunque adoptamos medidas razonables para proteger sus datos, ningún método de transmisión o almacenamiento es 100 % seguro. Si descubre una vulnerabilidad de seguridad, contacte con nosotros en <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p> <h2 id="7-conservación-de-los-datos"> 7. Conservación de los datos <a href="#7-conservaci%c3%b3n-de-los-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Los <strong>datos de la cuenta</strong> se conservan mientras su cuenta esté activa</li> <li>Los <strong>datos de la organización</strong> se conservan mientras su organización esté activa</li> <li><strong>Comunicaciones de los informantes</strong>: las comunicaciones cerradas o desestimadas se suprimen automáticamente tras el período de conservación configurado por la organización cliente (12, 24, 36, 48 o 60 meses). Las comunicaciones activas y en curso se conservan hasta su cierre; una comunicación sin actividad durante 18 meses se cierra automáticamente, lo que inicia el período de conservación</li> <li>Los <strong>registros del servidor</strong> se conservan hasta 90 días</li> <li>Los <strong>registros de pago</strong> se conservan según lo exijan las leyes fiscales y contables aplicables</li> <li><strong>Registros de auditoría</strong>: los registros de quién accedió a las comunicaciones y cuándo se conservan junto con la comunicación con fines de cumplimiento</li> </ul> <p>Cuando elimina su cuenta, sus datos personales se eliminan de forma permanente de nuestros sistemas, salvo cuando la ley exija su conservación (p. ej., registros financieros).</p> <h2 id="8-sus-derechos-conforme-al-rgpd"> 8. Sus derechos conforme al RGPD <a href="#8-sus-derechos-conforme-al-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Dado que tenemos nuestra sede en la Unión Europea, se aplica el Reglamento General de Protección de Datos (RGPD). Usted tiene derecho a:</p> <ul> <li><strong>Acceso</strong>: solicitar una copia de los datos personales que conservamos sobre usted</li> <li><strong>Rectificación</strong>: solicitar la corrección de datos inexactos</li> <li><strong>Supresión</strong>: solicitar la eliminación de sus datos («derecho al olvido»)</li> <li><strong>Limitación</strong>: solicitar que limitemos cómo tratamos sus datos</li> <li><strong>Portabilidad de los datos</strong>: solicitar sus datos en un formato estructurado y legible por máquina</li> <li><strong>Oposición</strong>: oponerse al tratamiento de sus datos</li> <li><strong>Retirar el consentimiento</strong>: retirar el consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento</li> <li><strong>Presentar una reclamación</strong>: presentar una reclamación ante su autoridad nacional de control en materia de protección de datos</li> </ul> <p><strong>Cómo ejercer sus derechos:</strong> puede gestionar la mayoría de sus datos directamente a través de la configuración de su cuenta. Para eliminar su cuenta, visite la página de configuración de su cuenta. Para cualquier otra solicitud, escríbanos a <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <p><strong>Si usted presentó una comunicación como informante:</strong> la organización cuyo portal utilizó es la responsable del tratamiento de esa comunicación, y EthicsPortal actúa como su encargado del tratamiento. Puede acceder y descargar una copia completa de su comunicación en cualquier momento desde el portal usando su identificador del expediente y su código de acceso. Para corregir información, añada un mensaje a su comunicación; para cualquier otra solicitud, contacte con la organización (la asistiremos como encargado del tratamiento). Dado que la ley exige conservar las comunicaciones durante un período determinado, la supresión puede no ser posible hasta que dicho período expire.</p> <p><strong>Delegado de protección de datos:</strong> las consultas relativas a nuestras prácticas de protección de datos pueden dirigirse a <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <p>Nuestra base jurídica para el tratamiento de sus datos es:</p> <ul> <li><strong>Ejecución de un contrato</strong>: para prestar el Servicio que usted contrató</li> <li><strong>Interés legítimo</strong>: para mantener la seguridad y mejorar el Servicio</li> <li><strong>Consentimiento</strong>: para funciones opcionales</li> </ul> <h2 id="9-eliminación-de-la-cuenta-y-los-datos"> 9. Eliminación de la cuenta y los datos <a href="#9-eliminaci%c3%b3n-de-la-cuenta-y-los-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Puede eliminar su cuenta en cualquier momento desde la configuración de su cuenta. La eliminación de la cuenta elimina de forma permanente:</p> <ul> <li>Su perfil y la información de su cuenta</li> <li>Sus pertenencias a organizaciones</li> </ul> <h2 id="10-privacidad-de-los-menores"> 10. Privacidad de los menores <a href="#10-privacidad-de-los-menores" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El Servicio no está dirigido a menores de 16 años. No recopilamos a sabiendas información personal de menores de 16 años. Si cree que un menor de 16 años nos ha facilitado información personal, contacte con nosotros en <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> y la eliminaremos.</p> <h2 id="11-transferencias-internacionales-de-datos"> 11. Transferencias internacionales de datos <a href="#11-transferencias-internacionales-de-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Los datos centrales de las comunicaciones de los informantes se almacenan en servidores ubicados en Alemania (UE). El sitio web de presentación se entrega a través de Cloudflare (Estados Unidos); el portal de denuncias y el portal de los gestores no. Cuando se producen transferencias a un subencargado del tratamiento fuera de la UE, se describen en las páginas de <a href="/dpa/">DPA</a> y <a href="/subprocessors/">subencargados del tratamiento</a> .</p> <h2 id="12-candidatos-a-un-empleo"> 12. Candidatos a un empleo <a href="#12-candidatos-a-un-empleo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Cuando se postula a un puesto con nosotros (por ejemplo, escribiendo a <a href="mailto:careers@ethicsportal.eu">careers@ethicsportal.eu</a> ), recopilamos y tratamos:</p> <ul> <li>Su nombre y datos de contacto</li> <li>Su CV, su mensaje de candidatura y cualquier cosa que decida contarnos sobre su experiencia</li> <li>Notas de cualquier entrevista o conversación durante el proceso de selección</li> </ul> <p><strong>Base jurídica:</strong> el tratamiento es necesario para adoptar medidas a petición suya antes de la celebración de un contrato, y nuestro interés legítimo en evaluar a los candidatos y llevar a cabo un proceso de selección justo. No solicitamos, y le pedimos que no envíe, datos de categorías especiales (como salud, religión o afiliación sindical) ni su historial salarial de puestos anteriores.</p> <p><strong>Conservación:</strong> conservamos los datos de la candidatura solo durante el tiempo necesario para evaluar su candidatura y cubrir el puesto. Si no es contratado, eliminamos los datos de su candidatura una vez cerrado el proceso, salvo que nos pida que los conservemos para futuros puestos, en cuyo caso los conservamos hasta 12 meses.</p> <p>Usted tiene los mismos derechos del RGPD sobre los datos de su candidatura que los establecidos en la sección 8. Para ejercerlos, o para pedirnos que eliminemos su candidatura, escriba a <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <h2 id="13-cambios-en-esta-política"> 13. Cambios en esta política <a href="#13-cambios-en-esta-pol%c3%adtica" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Podemos actualizar esta política de privacidad de vez en cuando. Cuando realicemos cambios materiales, se lo notificaremos por correo electrónico o mediante una notificación en la aplicación. La fecha de «Última actualización» en la parte superior de esta página indica cuándo se revisó la política por última vez.</p> <p>Su uso continuado del Servicio una vez publicados los cambios constituye su aceptación de la política actualizada.</p> <h2 id="14-contacto"> 14. Contacto <a href="#14-contacto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Si tiene preguntas sobre esta política de privacidad o desea ejercer sus derechos sobre los datos, contacte con nosotros en:</p> <p><strong>General:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Privacidad / derechos RGPD:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> <strong>Delegado de protección de datos:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> <strong>Comunicaciones de seguridad:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Jurídico / DPA:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> <strong>Ubicación:</strong> Varsovia, Polonia</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/pricing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/pricing/Precios sencillos y transparentes para EthicsPortal. Un único plan, todo incluido. Sin tarifas por trabajador.support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/faq/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/faq/Preguntas habituales sobre EthicsPortal: cumplimiento, anonimato, seguridad de los datos, facturación y detalles técnicos.<h1 id="preguntas-frecuentes"> Preguntas frecuentes <a href="#preguntas-frecuentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <hr> <h2 id="para-responsables-de-cumplimiento-y-decisores"> Para responsables de cumplimiento y decisores <a href="#para-responsables-de-cumplimiento-y-decisores" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="cumple-ethicsportal-con-la-directiva-ue-20191937"> ¿Cumple EthicsPortal con la Directiva (UE) 2019/1937? <a href="#cumple-ethicsportal-con-la-directiva-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. EthicsPortal está diseñado específicamente para cumplir los requisitos de la Directiva europea de protección del informante. Esto incluye un canal interno de denuncias seguro, comunicación bidireccional anónima, seguimiento de plazos (acuse de recibo en 7 días, respuesta en 3 meses), controles de acceso, políticas de conservación de datos y un registro de auditoría completo. Consulte el <a href="/directive-coverage/">mapa de cobertura de la Directiva 2019/1937</a> para ver un desglose artículo por artículo.</p> <h3 id="en-qué-países-cumple-ethicsportal"> ¿En qué países cumple EthicsPortal? <a href="#en-qu%c3%a9-pa%c3%adses-cumple-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>EthicsPortal cubre los requisitos de la Directiva (UE) 2019/1937, que ha sido transpuesta al Derecho nacional en los Estados miembros de la UE. La plataforma está diseñada para cumplir los requisitos de referencia de la Directiva, que se aplican en toda la UE. Si su país tiene requisitos nacionales adicionales (p. ej., la Loi Waserman de Francia), consulte nuestras <a href="/whistleblower-laws/">guías por país</a> o <a href="mailto:support@ethicsportal.eu">contacte con nosotros</a> .</p> <h3 id="podemos-operar-el-canal-de-denuncias-internamente"> ¿Podemos operar el canal de denuncias internamente? <a href="#podemos-operar-el-canal-de-denuncias-internamente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí: el artículo 8, apartado 5, de la Directiva (UE) 2019/1937 lo permite expresamente. Pero cumplir las condiciones de la Directiva es estructuralmente más difícil de forma interna.</p> <p>El artículo 9, apartado 1, exige la confidencialidad de la identidad del informante, un seguimiento imparcial y un acceso restringido a las comunicaciones. Un canal interno hace pasar todo ello por los mismos administradores de TI, copias de seguridad y herramientas de retención de litigios que tocan cualquier otro sistema de la empresa. Un subdominio o un buzón aparte no cambia quién tiene acceso.</p> <p>El RGPD añade un segundo problema. La denuncia de irregularidades figura en la lista de evaluaciones de impacto obligatorias del Comité Europeo de Protección de Datos. Una EIPD interna tiene que documentar cómo el responsable del tratamiento se impide a sí mismo acceder a datos sobre sí mismo, lo cual es circular por su propia naturaleza.</p> <p>La operación externa está contemplada en el art. 8.5 y en las transposiciones nacionales: Loi Sapin II / Waserman (FR), HinSchG §14 (DE), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).</p> <h3 id="dónde-se-almacenan-mis-datos"> ¿Dónde se almacenan mis datos? <a href="#d%c3%b3nde-se-almacenan-mis-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Los datos centrales de las comunicaciones se almacenan en servidores de Hetzner en Núremberg, Alemania. El sitio web de presentación se entrega a través de Cloudflare (Estados Unidos); el portal de denuncias y el portal de los gestores no. Hetzner es un proveedor de alojamiento alemán sujeto al Derecho europeo de protección de datos, y las salvaguardias de transferencia se describen en las páginas de <a href="/dpa/">DPA</a> y <a href="/subprocessors/">subencargados del tratamiento</a> .</p> <h3 id="la-comunicación-es-realmente-anónima"> ¿La comunicación es realmente anónima? <a href="#la-comunicaci%c3%b3n-es-realmente-an%c3%b3nima" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí, si el informante así lo elige. Facilitar un nombre o datos de contacto es opcional. EthicsPortal no registra direcciones IP, elimina los metadatos de los archivos (EXIF, GPS, información del autor) de las subidas, y el hilo de mensajes seguro nunca revela al informante la identidad del gestor del caso. No existe ningún mecanismo técnico para rastrear una comunicación anónima hasta una persona.</p> <h3 id="cómo-funciona-el-seguimiento-de-los-plazos-de-7-días-y-3-meses"> ¿Cómo funciona el seguimiento de los plazos de 7 días y 3 meses? <a href="#c%c3%b3mo-funciona-el-seguimiento-de-los-plazos-de-7-d%c3%adas-y-3-meses" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cuando se presenta una comunicación, EthicsPortal inicia automáticamente dos temporizadores basados en los requisitos de la Directiva:</p> <ul> <li><strong>7 días</strong> para acusar recibo de la comunicación.</li> <li><strong>3 meses</strong> para dar una respuesta sustantiva al informante.</li> </ul> <p>Las comunicaciones vencidas se señalan en el panel y los gestores reciben notificaciones a medida que se acercan los plazos.</p> <h3 id="ofrecen-un-contrato-de-encargado-del-tratamiento-dpa"> ¿Ofrecen un contrato de encargado del tratamiento (DPA)? <a href="#ofrecen-un-contrato-de-encargado-del-tratamiento-dpa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. El DPA vigente se publica en <a href="/dpa/">DPA</a> , y hay un PDF firmado disponible a petición.</p> <h3 id="qué-certificaciones-tienen"> ¿Qué certificaciones tienen? <a href="#qu%c3%a9-certificaciones-tienen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>EthicsPortal no reclama actualmente una certificación acreditada ISO 27001 en este sitio. Documentamos públicamente la postura de seguridad actual, los subencargados del tratamiento, la divulgación de incidentes y los compromisos de servicio en las páginas de <a href="/security/">seguridad</a> , <a href="/subprocessors/">subencargados del tratamiento</a> , <a href="/incidents/">incidentes</a> y <a href="/sla/">SLA</a> .</p> <h3 id="quién-es-la-parte-contratante"> ¿Quién es la parte contratante? <a href="#qui%c3%a9n-es-la-parte-contratante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>EthicsPortal está operado por Yaroslav Shmarov, registrado en Polonia. Los datos básicos de contratación y de compras se publican en la página de <a href="/trust/">confianza</a> .</p> <h3 id="pueden-apoyar-una-revisión-de-compras"> ¿Pueden apoyar una revisión de compras? <a href="#pueden-apoyar-una-revisi%c3%b3n-de-compras" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. Los materiales públicos de diligencia debida se publican en el sitio web, y hay materiales adicionales de compras disponibles a petición durante la revisión de compras. Consulte la página de <a href="/trust/">confianza</a> .</p> <h3 id="puedo-exportar-los-datos-de-los-casos-para-los-auditores"> ¿Puedo exportar los datos de los casos para los auditores? <a href="#puedo-exportar-los-datos-de-los-casos-para-los-auditores" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. Cada comunicación puede exportarse a PDF, incluido el historial completo de mensajes, la cronología y el registro de auditoría. Está diseñado para compartirse con asesores jurídicos, auditores o reguladores. Si necesita un formato de portabilidad adicional para migración o revisión normativa, contacte con nosotros durante la revisión de compras o de baja.</p> <hr> <h2 id="para-empleados-e-informantes"> Para empleados e informantes <a href="#para-empleados-e-informantes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="necesito-crear-una-cuenta-para-presentar-una-comunicación"> ¿Necesito crear una cuenta para presentar una comunicación? <a href="#necesito-crear-una-cuenta-para-presentar-una-comunicaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>No. No necesita una cuenta, una dirección de correo electrónico ni ninguna información personal. Visita el enlace del portal, rellena la comunicación, elige un código de acceso de 6 dígitos y recibe un identificador del expediente. Eso es todo.</p> <h3 id="puede-mi-empleador-averiguar-quién-soy"> ¿Puede mi empleador averiguar quién soy? <a href="#puede-mi-empleador-averiguar-qui%c3%a9n-soy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>No a través de EthicsPortal. Si decide presentar la comunicación de forma anónima (sin facilitar su nombre ni sus datos de contacto), no hay manera de que su empleador le identifique a través de la plataforma. EthicsPortal no registra su dirección IP y elimina los metadatos identificativos de los archivos que suba.</p> <p>Dicho esto, tenga cuidado con lo que escribe: si su comunicación contiene detalles que solo usted podría conocer, eso queda fuera del control de la plataforma.</p> <h3 id="cómo-consulto-el-estado-de-mi-comunicación"> ¿Cómo consulto el estado de mi comunicación? <a href="#c%c3%b3mo-consulto-el-estado-de-mi-comunicaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Necesita dos cosas: el identificador del expediente (con el formato <code>WB-XXXX-XXXX</code>) que se le muestra tras presentarla, y el código de acceso de 6 dígitos que eligió. Vuelva al portal en cualquier momento, introduzca ambos y vea el estado actual o intercambie mensajes con el gestor del caso. Guarde el identificador del expediente en un lugar seguro y recuerde el código de acceso: no podemos recuperar el código de acceso y ambos son necesarios.</p> <h3 id="puedo-adjuntar-archivos-a-mi-comunicación"> ¿Puedo adjuntar archivos a mi comunicación? <a href="#puedo-adjuntar-archivos-a-mi-comunicaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. Puede subir imágenes, PDF, vídeo y archivos de audio de hasta 100 MB cada uno. Todos los metadatos de los archivos (datos de ubicación, información del autor, detalles de la cámara) se eliminan automáticamente antes de su almacenamiento para proteger su identidad.</p> <h3 id="puedo-comunicarme-con-el-gestor-del-caso-de-forma-anónima"> ¿Puedo comunicarme con el gestor del caso de forma anónima? <a href="#puedo-comunicarme-con-el-gestor-del-caso-de-forma-an%c3%b3nima" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. El hilo de mensajes integrado es totalmente anónimo. Verá «Gestor del caso», nunca un nombre real. El gestor ve sus mensajes, pero no tiene forma de identificarle a menos que usted decida compartir esa información.</p> <h3 id="qué-ocurre-después-de-presentar-una-comunicación"> ¿Qué ocurre después de presentar una comunicación? <a href="#qu%c3%a9-ocurre-despu%c3%a9s-de-presentar-una-comunicaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Su comunicación la recibe el gestor del caso designado por la organización. Conforme al Derecho de la UE, debe acusar recibo en un plazo de 7 días y dar una respuesta sustantiva en un plazo de 3 meses. Puede consultar el estado en cualquier momento usando su identificador del expediente y su código de acceso.</p> <hr> <h2 id="para-equipos-de-ti-y-técnicos"> Para equipos de TI y técnicos <a href="#para-equipos-de-ti-y-t%c3%a9cnicos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="qué-cifrado-utilizan"> ¿Qué cifrado utilizan? <a href="#qu%c3%a9-cifrado-utilizan" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Todos los datos sensibles de las comunicaciones se cifran en reposo en la base de datos. Todas las conexiones usan TLS (HTTPS). Los archivos subidos se almacenan cifrados en infraestructura alojada en la UE.</p> <h3 id="eliminan-los-metadatos-de-los-archivos"> ¿Eliminan los metadatos de los archivos? <a href="#eliminan-los-metadatos-de-los-archivos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. Las imágenes subidas se depuran en el lado del servidor antes de su almacenamiento. Las subidas de PDF, vídeo y audio también se procesan para eliminar los metadatos en la configuración de producción estándar descrita en la <a href="/security/">página de seguridad</a> . Esto reduce el riesgo de revelación accidental de la identidad a través de las propiedades del archivo.</p> <h3 id="analizan-los-archivos-subidos-en-busca-de-virus"> ¿Analizan los archivos subidos en busca de virus? <a href="#analizan-los-archivos-subidos-en-busca-de-virus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. Todos los archivos subidos se analizan en busca de malware mediante ClamAV, un motor antivirus de código abierto. El análisis se realiza en el lado del servidor: no se envían datos de archivos a servicios externos. Los archivos infectados se eliminan automáticamente antes de que los gestores del caso puedan acceder a ellos.</p> <h3 id="registran-las-direcciones-ip"> ¿Registran las direcciones IP? <a href="#registran-las-direcciones-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>La aplicación no almacena la dirección IP en bruto del informante en la base de datos. La limitación de tasa del portal público de denuncias usa un hash unidireccional, y los registros de la aplicación de las rutas del portal se depuran para proteger el anonimato del informante. Consulte <a href="/security/">seguridad</a> para conocer la redacción exacta.</p> <h3 id="qué-servicios-de-terceros-utilizan"> ¿Qué servicios de terceros utilizan? <a href="#qu%c3%a9-servicios-de-terceros-utilizan" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <ul> <li><strong>Hetzner</strong> (Alemania) — alojamiento de servidores</li> <li><strong>Stripe</strong> — procesamiento de pagos</li> <li><strong>Mailjet</strong> (Francia) — envío de correo electrónico transaccional</li> <li><strong>Cloudflare</strong> — CDN y analítica del sitio web de presentación</li> <li><strong>AppSignal</strong> (Países Bajos, UE) — seguimiento de errores y monitorización del rendimiento de la aplicación para las interfaces de administradores y gestores</li> <li><strong>Crisp</strong> — chat de atención en la aplicación en el portal de los gestores</li> </ul> <p>No se utilizan redes publicitarias ni cookies de seguimiento de terceros en el propio portal de denuncias.</p> <h3 id="tienen-una-api"> ¿Tienen una API? <a href="#tienen-una-api" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>No está disponible actualmente. <a href="mailto:support@ethicsportal.eu">Contacte con nosotros</a> si el acceso a una API es un requisito para su organización.</p> <h3 id="admiten-dominios-personalizados"> ¿Admiten dominios personalizados? <a href="#admiten-dominios-personalizados" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>No está disponible actualmente. Todos los portales se sirven bajo el dominio de EthicsPortal.</p> <h3 id="admiten-inicio-de-sesión-único-sso"> ¿Admiten inicio de sesión único (SSO)? <a href="#admiten-inicio-de-sesi%c3%b3n-%c3%banico-sso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>No está disponible actualmente. Los usuarios inician sesión mediante enlace mágico (autenticación por correo electrónico sin contraseña).</p> <hr> <h2 id="facturación"> Facturación <a href="#facturaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="cuánto-cuesta-ethicsportal"> ¿Cuánto cuesta EthicsPortal? <a href="#cu%c3%a1nto-cuesta-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p><strong>60 €/mes o 500 €/año</strong>, tarifa plana. Un único plan, todo incluido. Sin tarifas por usuario, sin tarifas por comunicación, sin niveles de funciones.</p> <h3 id="cómo-funciona-la-suscripción"> ¿Cómo funciona la suscripción? <a href="#c%c3%b3mo-funciona-la-suscripci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>EthicsPortal es un servicio de cumplimiento de pago: 60 €/mes o 500 €/año, sin prueba gratuita. Active el portal desde la aplicación, configure el canal de denuncias y comience a operar una vez que la suscripción esté en marcha.</p> <h3 id="podemos-cancelar-la-suscripción"> ¿Podemos cancelar la suscripción? <a href="#podemos-cancelar-la-suscripci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Sí. Las suscripciones pueden cancelarse desde la configuración de la cuenta. No hay tarifas de cancelación.</p> <h3 id="qué-métodos-de-pago-aceptan"> ¿Qué métodos de pago aceptan? <a href="#qu%c3%a9-m%c3%a9todos-de-pago-aceptan" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Tarjetas de crédito y débito a través de Stripe. Si necesita pagar por factura o transferencia bancaria, escriba a <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p> <hr> <h2 id="todavía-tiene-alguna-pregunta"> ¿Todavía tiene alguna pregunta? <a href="#todav%c3%ada-tiene-alguna-pregunta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Escriba a <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Recibirá respuesta en un día laborable.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/incidents/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/incidents/Registro público de los incidentes materiales que afectan a los datos personales tratados por EthicsPortal. Mantenido en el espíritu del artículo 33 del RGPD y como cuestión de transparencia institucional.<h1 id="registro-de-incidentes"> Registro de incidentes <a href="#registro-de-incidentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Esta página recoge todo incidente material que afecte a la confidencialidad, la integridad o la disponibilidad de los datos personales tratados por EthicsPortal. Se mantiene en el espíritu del artículo 33 del RGPD (notificación de violaciones de la seguridad de los datos personales) y como cuestión de transparencia institucional.</p> <p>Última actualización: 2026-04.</p> <hr> <h2 id="ámbito"> Ámbito <a href="#%c3%a1mbito" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Se crea una entrada en cualquiera de los siguientes casos:</p> <ul> <li>Una violación de la seguridad de los datos personales según la define el artículo 4, punto 12, del RGPD — «la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».</li> <li>Una interrupción del servicio superior a dos horas que haya impedido a los informantes presentar comunicaciones o a los gestores acceder a expedientes activos.</li> <li>Una vulnerabilidad significativa en EthicsPortal o en un subencargado del tratamiento que haya requerido una medida de mitigación de urgencia.</li> <li>Cualquier incidente que requiera notificación a una autoridad de control conforme al artículo 33 del RGPD.</li> </ul> <p>Las interrupciones rutinarias inferiores a dos horas, el mantenimiento planificado y los incidentes que no afectaron a datos personales no se registran aquí.</p> <hr> <h2 id="cronología-de-divulgación"> Cronología de divulgación <a href="#cronolog%c3%ada-de-divulgaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>En un plazo de 72 horas</strong> desde que se tiene conocimiento de una violación de la seguridad de los datos personales — notificación a los operadores afectados (responsables del tratamiento) por correo electrónico, conforme al artículo 33, apartado 2, del RGPD.</li> <li><strong>En un plazo de 7 días</strong> desde la contención — entrada preliminar añadida a este registro con un resumen, las categorías de datos afectados y el estado de la mitigación.</li> <li><strong>En un plazo de 30 días</strong> desde la contención — entrada definitiva con la causa raíz, la subsanación y las lecciones aprendidas.</li> </ul> <p>Las entradas permanecen públicas de forma indefinida. Nunca se editan para reducir su impacto; las correcciones se añaden como entradas posteriores.</p> <hr> <h2 id="comunicar-un-problema-de-seguridad"> Comunicar un problema de seguridad <a href="#comunicar-un-problema-de-seguridad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Para comunicar un problema de seguridad que afecte a EthicsPortal, contacte con <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Se aceptan comunicaciones cifradas; clave PGP a petición.</p> <hr> <h2 id="registro"> Registro <a href="#registro" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p><em>Sin entradas.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/penalties/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/penalties/Multas y sanciones por incumplimiento de la Directiva (UE) 2019/1937 en todos los Estados miembros. Actualizado periódicamente con las acciones de aplicación.<h1 id="sanciones-por-país-de-la-directiva-europea-de-protección-del-informante"> Sanciones por país de la Directiva europea de protección del informante <a href="#sanciones-por-pa%c3%ads-de-la-directiva-europea-de-protecci%c3%b3n-del-informante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>La Directiva (UE) 2019/1937 obliga a todas las empresas con 50 o más empleados a establecer canales internos de denuncia. Todos los Estados miembros de la UE han transpuesto la directiva a su Derecho nacional con su propio régimen sancionador.</p> <p>El incumplimiento no es teórico. En marzo de 2025, el <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Tribunal de Justicia de la UE multó a cinco Estados miembros con un total combinado de 38,9 millones de euros</a> solo por demorarse en aplicar la ley. Las empresas que no cumplan se enfrentan a sus propias sanciones conforme al Derecho nacional.</p> <hr> <h2 id="sanciones-de-un-vistazo"> Sanciones de un vistazo <a href="#sanciones-de-un-vistazo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>País</th> <th>Sin canal de denuncias</th> <th>Represalias</th> <th>Responsabilidad penal</th> <th>Ley</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/spain/">España</a> </td> <td>Hasta 1.000.000 €</td> <td>Hasta 1.000.000 €</td> <td>No</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/france/">Francia</a> </td> <td>—</td> <td>60.000 € + 3 años de prisión</td> <td><strong>Sí</strong></td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (2022-401)</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/poland/">Polonia</a> </td> <td>5.000 PLN (~1.200 €)</td> <td>Obstrucción: 1.080.000 PLN (~250.000 €) + hasta 1 año de prisión. Represalias: hasta 2 años de prisión</td> <td><strong>Sí</strong></td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ley de 14 de junio de 2024</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/portugal/">Portugal</a> </td> <td>Hasta 125.000 €</td> <td>Hasta 250.000 €</td> <td>No</td> <td><a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Ley 93/2021</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/italy/">Italia</a> </td> <td>10.000-50.000 €</td> <td>10.000-50.000 €</td> <td>No</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">D.Lgs. 24/2023</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/germany/">Alemania</a> </td> <td>20.000-50.000 € (x10 para personas jurídicas)</td> <td>Hasta 50.000 €</td> <td>No</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">HinSchG</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/romania/">Rumanía</a> </td> <td>3.000-30.000 RON (~600-6.000 €)</td> <td>Obstrucción: 2.000-20.000 RON (~400-4.000 €)</td> <td>No</td> <td><a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Legea 361/2022</a> </td> </tr> </tbody> </table> <hr> <h2 id="detalles-por-país"> Detalles por país <a href="#detalles-por-pa%c3%ads" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="spain"> <a href="/whistleblower-laws/spain/">España</a> — Ley 2/2023 <a href="#spain" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p><strong>Ley:</strong> <a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023, de 20 de febrero</a> — reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.</p> <p><strong>Se aplica a:</strong> empresas con 50 o más empleados. El plazo fue el 13 de junio de 2023 (250 o más empleados) y el 1 de diciembre de 2023 (50-249 empleados). <a href="https://www.garrigues.com/en_GB/new/spain-whistleblowing-law-published" rel="nofollow">Fuente: Garrigues</a> </p> <p><strong>Sanciones:</strong></p> <ul> <li>No establecer un canal interno de denuncias: 600.000-1.000.000 € para personas jurídicas. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Fuente: CMS Expert Guide</a> </li> <li>Vulnerar las obligaciones del canal de denuncias: 100.000-1.000.000 € para personas jurídicas; 1.000-300.000 € para personas físicas. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Fuente: CMS Expert Guide</a> </li> <li>Sanciones adicionales: amonestación pública, prohibición de subvenciones/beneficios fiscales durante un máximo de 4 años y posible suspensión de licencias de explotación. <a href="https://www.garrigues.com/en_GB/new/whistleblowing-channels-companies-spain-key-aspects-new-law-protecting-whistleblowers-all" rel="nofollow">Fuente: Garrigues</a> </li> </ul> <p><strong>Autoridad de aplicación:</strong> Autoridad Independiente de Protección del Informante (A.A.I.)</p> <p>España tiene las sanciones más severas de la UE por el incumplimiento en materia de protección del informante.</p> <hr> <h3 id="france"> <a href="/whistleblower-laws/france/">Francia</a> — Loi Waserman <a href="#france" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p><strong>Ley:</strong> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi n° 2022-401 du 21 mars 2022 (Loi Waserman)</a> , que modifica la <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II (2016-1691)</a> .</p> <p><strong>Se aplica a:</strong> empresas con 50 o más empleados. En vigor desde septiembre de 2022. <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Fuente: IntegrityLine</a> </p> <p><strong>Sanciones:</strong></p> <ul> <li>Obstruir una comunicación: hasta 60.000 € de multa y 1 año de prisión. <a href="https://www.whispli.com/eu-directive-whistleblowing/france/" rel="nofollow">Fuente: Whispli</a> </li> <li>Represalias o discriminación contra un informante: hasta 60.000 € de multa y 3 años de prisión. <a href="https://www.jpkarsenty.com/en/the-whistleblower-the-impact-of-the-waserman-law-on-criminal-provisions-4-4/" rel="nofollow">Fuente: JP Karsenty</a> </li> </ul> <p>Francia es uno de los pocos países de la UE donde la obstrucción y las represalias conllevan <strong>sanciones penales que incluyen penas de prisión</strong>.</p> <p><strong>Diferencia clave:</strong> los informantes en Francia ya no están obligados a utilizar los canales internos antes de acudir a las autoridades externas (fin de la «denuncia en cascada»). <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Fuente: IntegrityLine</a> </p> <hr> <h3 id="germany"> <a href="/whistleblower-laws/germany/">Alemania</a> — HinSchG <a href="#germany" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p><strong>Ley:</strong> <a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">Hinweisgeberschutzgesetz (HinSchG)</a> — entró en vigor el 2 de julio de 2023.</p> <p><strong>Se aplica a:</strong> empresas con 50 o más empleados. El plazo fue el 2 de julio de 2023 (250 o más empleados) y el 17 de diciembre de 2023 (50-249 empleados). Las multas son exigibles desde el 1 de diciembre de 2023. <a href="https://www.loc.gov/item/global-legal-monitor/2023-07-13/germany-whistleblower-protection-act-enters-into-force/" rel="nofollow">Fuente: Library of Congress</a> </p> <p><strong>Sanciones:</strong></p> <ul> <li>No establecer un canal de denuncias: multas de 20.000-50.000 € conforme al artículo 40 de la HinSchG. <a href="https://www.ebnerstolz.de/en/what-we-offer/services/legal-advice/commercial-criminal-law/german-whistleblower-protection-act-27384.html" rel="nofollow">Fuente: Ebner Stolz</a> </li> <li>Para las personas jurídicas, las multas pueden multiplicarse <strong>por diez</strong> (hasta 500.000 €) conforme al artículo 40, apartado 6. <a href="https://www.activemind.legal/guides/german-whistleblower-protection-act/" rel="nofollow">Fuente: activeMind</a> </li> <li>Represalias contra informantes: hasta 50.000 €. <a href="https://www.mofo.com/resources/insights/230602-the-new-german-whistleblowing-act" rel="nofollow">Fuente: Morrison Foerster</a> </li> </ul> <p><strong>Nota:</strong> Alemania fue multada con 34.000.000 € por el Tribunal de Justicia de la UE en marzo de 2025 por la transposición tardía de la directiva. <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Fuente: eucrim</a> </p> <hr> <h3 id="italy"> <a href="/whistleblower-laws/italy/">Italia</a> — D.Lgs. 24/2023 <a href="#italy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p><strong>Ley:</strong> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">Decreto Legislativo 10 marzo 2023, n. 24</a> .</p> <p><strong>Se aplica a:</strong> empresas con 50 o más empleados (y todas las empresas con un programa de cumplimiento Modelo 231, con independencia de su tamaño). El plazo fue el 15 de julio de 2023 (250 o más empleados) y el 17 de diciembre de 2023 (50-249 empleados). <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Fuente: Norton Rose Fulbright</a> </p> <p><strong>Sanciones:</strong></p> <ul> <li>No establecer canales de denuncia o procedimientos no conformes: 10.000-50.000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Fuente: Norton Rose Fulbright</a> </li> <li>Represalias u obstrucción de la denuncia: 10.000-50.000 €. <a href="https://www.hoganlovells.com/en/publications/italy-implements-eu-whistleblower-directive-the-new-obligations-for-companies" rel="nofollow">Fuente: Hogan Lovells</a> </li> <li>Vulnerar la confidencialidad de la identidad del informante: 10.000-50.000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Fuente: Norton Rose Fulbright</a> </li> <li>Comunicación falsa por parte del informante: 500-2.500 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Fuente: Norton Rose Fulbright</a> </li> </ul> <p><strong>Autoridad de aplicación:</strong> ANAC (Autorità Nazionale Anticorruzione). La ANAC dictó su primera acción de aplicación en julio de 2024 (Resolución n.º 380, caso de represalias). <a href="https://www.clearygottlieb.com/news-and-insights/publication-listing/whistleblowing-in-focus-part-two" rel="nofollow">Fuente: ANAC vía Cleary Gottlieb</a> </p> <hr> <h3 id="poland"> <a href="/whistleblower-laws/poland/">Polonia</a> — Ley de 14 de junio de 2024 <a href="#poland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p><strong>Ley:</strong> <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów</a> — entró en vigor el 25 de septiembre de 2024.</p> <p><strong>Se aplica a:</strong> empleadores con 50 o más empleados. Procedimientos internos exigidos antes del 1 de enero de 2025. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Fuente: DLA Piper</a> </p> <p><strong>Sanciones:</strong></p> <ul> <li>No establecer procedimientos internos de denuncia: multa de 20-5.000 PLN (~5-1.200 €) como falta. Los miembros del consejo de administración son personalmente responsables. <a href="https://www.rsm.global/poland/en/insights/doing-business-poland/whistleblower-protection" rel="nofollow">Fuente: RSM Poland</a> </li> <li>Impedir u obstruir una comunicación: multa de hasta 1.080.000 PLN (~250.000 €), restricción de la libertad o hasta 1 año de prisión. Con violencia o amenazas: hasta 3 años. <a href="https://www.cliffordchance.com/insights/resources/blogs/regulatory-investigations-financial-crime-insights/2024/07/poland-implements-the-eu-whistleblowing-directive.html" rel="nofollow">Fuente: Clifford Chance</a> </li> <li>Represalias: multa, restricción de la libertad o hasta 2 años de prisión. <a href="https://www.kochanski.pl/en/whistleblower-protection-act-all-you-need-to-know/" rel="nofollow">Fuente: Kochański & Partners</a> </li> <li>Revelar la identidad del informante: multa, restricción de la libertad o hasta 1 año de prisión. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Fuente: DLA Piper</a> </li> </ul> <p><strong>Autoridad de aplicación:</strong> Autoridad Independiente para la Protección del Informante (Rzecznik Praw Sygnalistów) — comienza sus operaciones el 1 de septiembre de 2025. <a href="https://wozniaklegal.com/en/news-and-insight/454/protection-of-whistleblowers-in-poland.html" rel="nofollow">Fuente: Wozniak Legal</a> </p> <p>Polonia es uno de los pocos países de la UE donde la obstrucción y las represalias conllevan <strong>sanciones penales que incluyen penas de prisión</strong>.</p> <hr> <h3 id="portugal"> <a href="/whistleblower-laws/portugal/">Portugal</a> — Ley 93/2021 <a href="#portugal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p><strong>Ley:</strong> <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Lei n.º 93/2021, de 20 de dezembro</a> — Régimen General de Protección de los Informantes.</p> <p><strong>Se aplica a:</strong> empresas con 50 o más empleados. El régimen sancionador es exigible desde el 7 de junio de 2024. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Fuente: IntegrityLine</a> </p> <p><strong>Sanciones:</strong></p> <ul> <li>No establecer canales de denuncia (infracción grave): multas de hasta 125.000 €. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Fuente: IntegrityLine</a> </li> <li>Represalias, obstrucción o vulneración de la confidencialidad (infracción muy grave): multas de hasta 250.000 €. <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Fuente: Lei 93/2021, art. 27.º</a> </li> </ul> <p><strong>Autoridad de aplicación:</strong> MENAC (Mecanismo Nacional Anticorrupção). La plataforma electrónica se puso en funcionamiento en noviembre de 2024. Recibió 152 comunicaciones en 2024. El foco se desplaza hacia la aplicación en el sector privado en 2025. <a href="https://commission.europa.eu/document/download/5a482f87-1f24-47bd-8595-d25f1ca29c6a_en" rel="nofollow">Fuente: European Commission Rule of Law Report 2025</a> </p> <hr> <h3 id="romania"> <a href="/whistleblower-laws/romania/">Rumanía</a> — Legea 361/2022 <a href="#romania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p><strong>Ley:</strong> <a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Legea nr. 361/2022 privind protecția avertizorilor în interes public</a> — que transpone la Directiva (UE) 2019/1937.</p> <p><strong>Se aplica a:</strong> todas las entidades del sector público con independencia del número de empleados; entidades de Derecho privado con 50 o más empleados; determinadas entidades sectoriales del Anexo 3 (servicios financieros, prevención del blanqueo de capitales, seguros) con independencia de su tamaño. El plazo fue el 22 de diciembre de 2022 (sector público y 250 o más empleados) y el 17 de diciembre de 2023 (50-249 empleados). <a href="https://integritate.eu/comunicat-privind-obligatia-persoanelor-juridice-de-drept-privat-care-au-intre-50-si-249-de-angajati-de-a-identifica-sau-institui-canale-interne-de-raportare-legea-nr-361-2022-privind-protectia-ave/" rel="nofollow">Fuente: ANI</a> </p> <p><strong>Sanciones (contravenciones administrativas conforme a los art. 28-29):</strong></p> <ul> <li>No establecer canales internos de denuncia: 3.000-30.000 RON (~600-6.000 €). <a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Fuente: Legea 361/2022, art. 28(2)(c)</a> </li> <li>Obstruir o impedir una comunicación: 2.000-20.000 RON (~400-4.000 €).</li> <li>Vulnerar la confidencialidad del informante: 4.000-40.000 RON (~800-8.000 €).</li> <li>Comunicación a sabiendas falsa: 2.500-30.000 RON (~500-6.000 €).</li> </ul> <p><strong>Autoridad de aplicación:</strong> <a href="https://integritate.eu/competente/avertizori-in-interes-public/" rel="nofollow">Agenția Națională de Integritate (ANI)</a> .</p> <p><strong>Una valoración honesta de la aplicación.</strong> No ha trascendido ningún registro público de empresa alguna multada específicamente por la falta de un canal interno, y la aplicación hasta la fecha parece reactiva más que basada en auditorías. La ANI <a href="https://agerpres.ro/justitie/2026/05/18/ani-anul-trecut-au-crescut-semnificativ-raportarile-avertizorilor-de-integritate-privind-incalcari-a--1557362" rel="nofollow">registró 329 comunicaciones externas en 2025</a> (188 en ámbitos regulados por la Legea 361/2022): comunicaciones recibidas por la autoridad, no sanciones impuestas a empleadores. Un análisis independiente (<a href="https://ceeliinstitute.org/resource/beyond-paper-rights" rel="nofollow">CEELI Institute, 2023</a> ) documenta una brecha entre la ley sobre el papel y su implementación. La verdadera exposición es que una comunicación llegue a la ANI sin que haya un canal interno establecido, no una gran multa.</p> <hr> <h2 id="multas-del-tribunal-de-justicia-de-la-ue-contra-los-estados-miembros-marzo-de-2025"> Multas del Tribunal de Justicia de la UE contra los Estados miembros (marzo de 2025) <a href="#multas-del-tribunal-de-justicia-de-la-ue-contra-los-estados-miembros-marzo-de-2025" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Cinco países de la UE fueron multados por el Tribunal de Justicia por no transponer la directiva a tiempo:</p> <table> <thead> <tr> <th>País</th> <th>Multa a tanto alzado</th> <th>Multa diaria</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/germany/">Alemania</a> </td> <td>34.000.000 €</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/czech-republic/">República Checa</a> </td> <td>2.300.000 €</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/hungary/">Hungría</a> </td> <td>1.750.000 €</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/estonia/">Estonia</a> </td> <td>500.000 €</td> <td>1.500 €/día</td> </tr> <tr> <td><a href="/whistleblower-laws/luxembourg/">Luxemburgo</a> </td> <td>375.000 €</td> <td>—</td> </tr> </tbody> </table> <p><a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Fuente: eucrim</a> — <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Fuente: comunicado de prensa del TJUE (PDF)</a> </p> <hr> <h2 id="los-27-estados-miembros"> Los 27 Estados miembros <a href="#los-27-estados-miembros" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Todos los Estados miembros de la UE han transpuesto ya la directiva. Consulte nuestra referencia completa:</p> <p><strong><a href="/whistleblower-laws/">Leyes de protección del informante en los 27 Estados miembros de la UE →</a> </strong></p> <p>El nombre de la ley nacional de cada país, el enlace al texto oficial, las sanciones, los plazos y la autoridad de aplicación.</p> <hr> <h2 id="la-aplicación-se-está-acelerando"> La aplicación se está acelerando <a href="#la-aplicaci%c3%b3n-se-est%c3%a1-acelerando" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La mayoría de los Estados miembros solo terminaron de transponer la directiva en 2023-2024. Las autoridades de aplicación están ya operativas y emiten orientaciones de forma activa:</p> <ul> <li><strong>Italia:</strong> la ANAC dictó su primera multa por represalias en julio de 2024 y publicó directrices de aplicación actualizadas en noviembre de 2025.</li> <li><strong>Portugal:</strong> la plataforma electrónica de aplicación de MENAC entró en funcionamiento en noviembre de 2024, con foco en el sector privado en 2025.</li> <li><strong>Polonia:</strong> la autoridad independiente de aplicación se pone en marcha en septiembre de 2025.</li> <li><strong>Alemania:</strong> multas exigibles desde diciembre de 2023.</li> <li><strong>España:</strong> multas exigibles desde junio de 2023.</li> <li><strong>Rumanía:</strong> la ANI es la autoridad de aplicación, pero no ha trascendido ningún registro público de empresa multada por la falta de un canal; la aplicación sigue siendo reactiva y basada en denuncias. La ANI registró 329 comunicaciones externas en 2025.</li> </ul> <p>La ventana para ponerse en cumplimiento antes de la aplicación activa se está cerrando.</p> <hr> <h2 id="póngase-en-cumplimiento-ahora"> Póngase en cumplimiento ahora <a href="#p%c3%b3ngase-en-cumplimiento-ahora" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal proporciona a su organización un canal interno de denuncias para el cumplimiento de la Directiva (UE) 2019/1937: cifrado, anónimo y con seguimiento de plazos.</p> <p><a href="/directive-coverage/">Vea cómo cumplimos cada requisito</a> | <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Active su canal interno de denuncias</a> </p> <hr> <p><em>Última actualización: abril de 2026. Los importes de las sanciones y el estado de la aplicación se basan en las fuentes legales de acceso público enlazadas más arriba. Contacte con <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> si detecta un error.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/security/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/security/Medidas técnicas de seguridad de EthicsPortal, incluidos el cifrado, el anonimato, el control de acceso, el registro de auditoría y los detalles de infraestructura para la revisión de cumplimiento.<h1 id="seguridad"> Seguridad <a href="#seguridad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>EthicsPortal gestiona datos sensibles de informantes. Esta página documenta las medidas técnicas y organizativas específicas que tenemos implantadas. Está dirigida a responsables de cumplimiento, delegados de protección de datos y equipos jurídicos que evalúan la plataforma.</p> <p>Última actualización: 2026-05-17.</p> <hr> <h2 id="cifrado-de-los-datos"> Cifrado de los datos <a href="#cifrado-de-los-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Todos los campos sensibles se cifran en reposo mediante Rails ActiveRecord Encryption con <strong>cifrado no determinista</strong> (cada cifrado produce un texto cifrado único, lo que impide el análisis de patrones).</p> <table> <thead> <tr> <th>Campo</th> <th>Cifrado</th> <th>Determinista</th> </tr> </thead> <tbody> <tr> <td>Descripción de la comunicación</td> <td>Sí</td> <td>No</td> </tr> <tr> <td>Nombre del informante</td> <td>Sí</td> <td>No</td> </tr> <tr> <td>Datos de contacto del informante</td> <td>Sí</td> <td>No</td> </tr> <tr> <td>Cuerpo del mensaje (comunicación informante-gestor)</td> <td>Sí</td> <td>No</td> </tr> </tbody> </table> <p>El cifrado no determinista significa que estos campos no pueden consultarse por valor a nivel de base de datos. Incluso con acceso total a la base de datos, un atacante no puede buscar un nombre concreto de informante entre los registros.</p> <p>Todas las conexiones a EthicsPortal usan <strong>HTTPS/TLS</strong>. Las solicitudes HTTP sin cifrar se redirigen.</p> <hr> <h2 id="anonimato-y-privacidad"> Anonimato y privacidad <a href="#anonimato-y-privacidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="anonimización-de-las-direcciones-ip"> Anonimización de las direcciones IP <a href="#anonimizaci%c3%b3n-de-las-direcciones-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Las rutas del portal (presentación de comunicaciones, consulta de casos, mensajería) usan un hash unidireccional SHA256 de la IP de la solicitud únicamente para la limitación de tasa. El hash no es reversible: no es posible recuperar la IP original a partir del valor almacenado.</p> <p>A nivel de aplicación, la dirección IP en bruto del informante no se almacena en la base de datos, y los registros de la aplicación de las rutas del portal se depuran para proteger el anonimato del informante.</p> <h3 id="eliminación-de-metadatos-de-los-archivos"> Eliminación de metadatos de los archivos <a href="#eliminaci%c3%b3n-de-metadatos-de-los-archivos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Los archivos subidos se depuran automáticamente de metadatos identificativos <strong>antes</strong> de su almacenamiento:</p> <table> <thead> <tr> <th>Tipo de archivo</th> <th>Metadatos eliminados</th> <th>Método</th> </tr> </thead> <tbody> <tr> <td>Imágenes (JPEG, PNG, TIFF, WebP)</td> <td>Datos EXIF: coordenadas GPS, modelo de cámara, número de serie del dispositivo, autor, marcas de tiempo</td> <td>Procesamiento de imágenes Vips</td> </tr> <tr> <td>Documentos PDF</td> <td>Autor, aplicación creadora, historial de modificaciones</td> <td>exiftool en la configuración de producción estándar</td> </tr> <tr> <td>Archivos de vídeo</td> <td>GPS, información del dispositivo, software de grabación</td> <td>exiftool en la configuración de producción estándar</td> </tr> <tr> <td>Archivos de audio</td> <td>Dispositivo de grabación, GPS, etiquetas de software</td> <td>exiftool en la configuración de producción estándar</td> </tr> </tbody> </table> <p>La eliminación de metadatos se realiza en el lado del servidor antes del almacenamiento. Para los tipos de archivo gestionados por <code>exiftool</code>, depende de que esté presente la herramienta de producción estándar.</p> <h3 id="análisis-antivirus"> Análisis antivirus <a href="#an%c3%a1lisis-antivirus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Todos los archivos subidos se analizan automáticamente en busca de malware mediante <a href="https://www.clamav.net" rel="nofollow">ClamAV</a> , un motor antivirus de código abierto. El análisis se realiza en el lado del servidor en un proceso en segundo plano tras la subida. Los archivos que no han superado el análisis quedan bloqueados para su entrega, y los archivos infectados se eliminan automáticamente.</p> <p>Los archivos se analizan en la infraestructura de EthicsPortal: no se envían datos de archivos a servicios de análisis de terceros.</p> <h3 id="anonimato-del-gestor"> Anonimato del gestor <a href="#anonimato-del-gestor" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Los informantes nunca ven los nombres reales ni las direcciones de correo de las personas que gestionan su comunicación. Todos los mensajes de los gestores se muestran como <strong>«Gestor del caso»</strong>. Esto protege la identidad del gestor y previene la ingeniería social.</p> <h3 id="sin-seguimiento"> Sin seguimiento <a href="#sin-seguimiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>EthicsPortal no usa cookies de seguimiento de terceros, píxeles publicitarios ni scripts de huella digital. Usamos <a href="https://www.cloudflare.com/web-analytics/" rel="nofollow">Cloudflare Web Analytics</a> solo en las páginas de presentación: está libre de cookies, no recopila datos personales y es plenamente conforme con el RGPD. El propio portal de denuncias no tiene analítica.</p> <h3 id="estado-actual-de-las-garantías"> Estado actual de las garantías <a href="#estado-actual-de-las-garant%c3%adas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>EthicsPortal no reclama actualmente una certificación acreditada ISO 27001 en este sitio. Tampoco publica actualmente una auditoría independiente de terceros de la arquitectura de anonimato. Si esto cambia, el alcance y la fecha se publicarán aquí.</p> <h3 id="materiales-de-revisión-de-seguridad"> Materiales de revisión de seguridad <a href="#materiales-de-revisi%c3%b3n-de-seguridad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Los clientes que requieran materiales de revisión de compras o jurídica pueden solicitarlos durante el proceso de compras. Los materiales disponibles pueden incluir un DPA firmado, pruebas registrales y fiscales, un cuestionario de seguridad cumplimentado y respuestas por escrito que cubran los procedimientos de copia de seguridad y restauración, el acceso privilegiado a producción y la gestión de la respuesta a incidentes.</p> <hr> <h2 id="control-de-acceso"> Control de acceso <a href="#control-de-acceso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>La autorización se aplica a nivel de aplicación mediante políticas de <a href="https://github.com/varvet/pundit" rel="nofollow">Pundit</a> .</p> <table> <thead> <tr> <th>Rol</th> <th>Puede ver comunicaciones</th> <th>Puede gestionar la configuración de la organización</th> <th>Puede asignar gestores</th> </tr> </thead> <tbody> <tr> <td>Administrador</td> <td>Todas las comunicaciones</td> <td>Sí</td> <td>Sí</td> </tr> <tr> <td>Gestor</td> <td>Las comunicaciones a las que está asignado o en las que participa</td> <td>No</td> <td>No</td> </tr> </tbody> </table> <ul> <li>Los gestores no pueden ver comunicaciones a las que no están asignados ni en las que no participan. Los participantes los añade expresamente un administrador o el asignatario principal (por ejemplo, para implicar a jurídico o RR. HH.).</li> <li>Los informantes no tienen cuenta de usuario: acceden a su comunicación mediante un identificador del expediente (<code>WB-XXXX-XXXX</code>) más un código de acceso de 6 dígitos que eligen al presentarla.</li> <li>Cada acción de controlador comprueba la autorización. Los intentos de acceso no autorizado se bloquean y se registran.</li> </ul> <h3 id="autenticación-de-dos-factores"> Autenticación de dos factores <a href="#autenticaci%c3%b3n-de-dos-factores" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Las cuentas de gestores y administradores pueden activar la autenticación de dos factores basada en TOTP mediante cualquier aplicación de autenticación estándar (Google Authenticator, 1Password, Authy y alternativas compatibles). Una vez activada, el inicio de sesión requiere tanto la credencial principal como un código rotativo de 6 dígitos.</p> <p>Los informantes también se autentican con dos factores: el identificador del expediente (algo que poseen) y el código de acceso que eligieron al presentar la comunicación (algo que conocen). El código de acceso se almacena únicamente como un resumen bcrypt y no puede recuperarse. La bandeja de seguimiento y la publicación de mensajes están protegidas por sesión tras esta comprobación, de modo que un identificador del expediente filtrado por sí solo no puede leer la comunicación ni suplantar al informante.</p> <h3 id="ciclo-de-vida-de-la-sesión"> Ciclo de vida de la sesión <a href="#ciclo-de-vida-de-la-sesi%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cada sesión autenticada registra <code>last_seen_at</code> en cada solicitud (con antirrebote). Los usuarios pueden revisar sus sesiones activas, ver cuándo estuvo activa cada una por última vez, revocar cualquier sesión individualmente o cerrar todas las demás sesiones a la vez desde la configuración de la cuenta.</p> <p>Las sesiones expiran automáticamente tras <strong>14 días de inactividad</strong>. La siguiente solicitud de una sesión inactiva destruye el registro del lado del servidor, borra la cookie y obliga a una nueva autenticación mediante un enlace mágico nuevo. Un trabajo nocturno barre las sesiones abandonadas con el mismo tiempo de espera, de modo que <code>user_agent</code> e <code>ip_address</code> no se conservan más allá de la ventana de inactividad, ni siquiera cuando el usuario no vuelve nunca.</p> <p>La autenticación con enlace mágico limita el alcance del impacto de las sesiones de larga duración: una cookie de sesión robada no proporciona una credencial reutilizable, y la nueva autenticación requiere acceso al correo electrónico.</p> <h3 id="acceso-de-los-miembros-y-baja"> Acceso de los miembros y baja <a href="#acceso-de-los-miembros-y-baja" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>El acceso a la organización se aplica en la frontera de la solicitud. Cuando se desactiva a un miembro:</p> <ul> <li>El acceso a la organización se rechaza de inmediato, incluso en URL previamente guardadas como favoritas.</li> <li>Las asignaciones de comunicaciones abiertas se anulan.</li> <li>Se eliminan las participaciones.</li> <li>Se conserva el historial del registro de auditoría atribuible al miembro.</li> <li>Se notifica al miembro desactivado.</li> <li>La reactivación no restaura automáticamente el acceso anterior a los casos.</li> </ul> <p>El último administrador activo y el propietario de la organización no pueden desactivarse. Todos los eventos de desactivación y reactivación se escriben en el registro de auditoría en modo solo anexión.</p> <p>Las pertenencias sin huella de cumplimiento (sin entradas en el registro de auditoría, sin asignaciones, sin participaciones) se eliminan de forma definitiva al retirarlas; las pertenencias con huella se desactivan de forma reversible para que el registro de auditoría siga siendo resoluble.</p> <h3 id="limitación-de-tasa"> Limitación de tasa <a href="#limitaci%c3%b3n-de-tasa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Los puntos de acceso del portal público están sujetos a limitación de tasa para prevenir abusos y ataques de enumeración:</p> <table> <thead> <tr> <th>Punto de acceso</th> <th>Límite</th> </tr> </thead> <tbody> <tr> <td>Presentación de comunicaciones</td> <td>5 por cada 10 minutos por IP anonimizada</td> </tr> <tr> <td>Consulta de casos (identificador del expediente + código de acceso)</td> <td>10 por cada 3 minutos por IP anonimizada</td> </tr> <tr> <td>Envío de mensajes</td> <td>10 por cada 3 minutos por IP anonimizada</td> </tr> </tbody> </table> <p>La limitación de tasa usa el hash unidireccional de la IP descrito más arriba: no se almacena ninguna IP real.</p> <hr> <h2 id="auditoría-y-cumplimiento"> Auditoría y cumplimiento <a href="#auditor%c3%ada-y-cumplimiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <h3 id="registro-de-auditoría-en-modo-solo-anexión"> Registro de auditoría en modo solo anexión <a href="#registro-de-auditor%c3%ada-en-modo-solo-anexi%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Cada acción en EthicsPortal se registra con:</p> <ul> <li><strong>Marca de tiempo</strong> (UTC)</li> <li><strong>Actor</strong> (qué usuario o proceso del sistema realizó la acción)</li> <li><strong>Tipo de acción</strong> (comunicación creada, estado cambiado, mensaje enviado, gestor asignado, comunicación vista, comunicación exportada, comunicación suprimida, etc.)</li> </ul> <p>Las entradas del registro de auditoría son de solo anexión. No pueden editarse ni eliminarse por ningún usuario, incluidos los administradores de la organización. El registro de auditoría completo se incluye en las exportaciones de expedientes en PDF para revisión normativa.</p> <h3 id="conservación-de-los-datos"> Conservación de los datos <a href="#conservaci%c3%b3n-de-los-datos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Las organizaciones configuran su propio período de conservación: <strong>12, 24, 36, 48 o 60 meses</strong> tras el cierre de una comunicación. Cuando el período de conservación expira, la comunicación y todos los datos asociados (mensajes, adjuntos, entradas del registro de auditoría) se suprimen automática y permanentemente mediante un trabajo en segundo plano.</p> <p>Esto satisface los requisitos de limitación del plazo de conservación del RGPD (art. 5(1)(e)) y las obligaciones de conservación de registros de la Directiva 2019/1937 (art. 17-18).</p> <h3 id="protección-csrf"> Protección CSRF <a href="#protecci%c3%b3n-csrf" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Todos los envíos de formularios están protegidos contra la falsificación de solicitudes entre sitios mediante los tokens CSRF integrados de Rails.</p> <hr> <h2 id="ciclo-de-vida-de-desarrollo-seguro"> Ciclo de vida de desarrollo seguro <a href="#ciclo-de-vida-de-desarrollo-seguro" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal sigue un ciclo de vida de desarrollo documentado para los cambios que tocan el Servicio. Las fases se indican aquí para que un revisor de compras pueda asociarlas a los controles A.8.25-A.8.29 de la norma ISO/IEC 27001:2022 (consulte el <a href="/iso-27001/">mapa de controles</a> para la correspondencia completa).</p> <table> <thead> <tr> <th>Fase</th> <th>Práctica</th> </tr> </thead> <tbody> <tr> <td>Arquitectura y diseño</td> <td>Las funciones que introducen nuevos flujos de datos personales, subencargados del tratamiento o ámbitos de autorización se evalúan con arreglo a los compromisos de cifrado, control de acceso y registro de auditoría documentados en esta página antes de su implementación.</td> </tr> <tr> <td>Revisión de código</td> <td>Los cambios de producción se revisan con arreglo a una lista de comprobación de seguridad por escrito (cobertura de cifrado, ámbito de autorización, emisión del registro de auditoría, validación de entradas, gestión de secretos) antes del despliegue. El análisis estático se ejecuta en cada cambio y bloquea la fusión si falla.</td> </tr> <tr> <td>Codificación segura</td> <td>La base de código usa defensas a nivel de framework de forma predeterminada: consultas parametrizadas mediante ActiveRecord, parámetros estrictos, escape de la salida en las vistas, tokens CSRF, cifrado a nivel de atributo, autorización de Pundit en la frontera del controlador. Las desviaciones requieren una justificación por escrito.</td> </tr> <tr> <td>Pruebas de seguridad en desarrollo</td> <td>El análisis estático (<a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> , <a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> , <code>importmap audit</code>) se ejecuta en cada cambio. Las pruebas cubren las rutas de autorización, los invariantes de cifrado en reposo, la emisión del registro de auditoría y la aplicación de la limitación de tasa. Consulte la <a href="#dependency-and-patch-management">gestión de dependencias y parches</a> para conocer la cadena de herramientas completa.</td> </tr> <tr> <td>Separación de entornos</td> <td>Los entornos de producción y no producción están aislados. No se usan datos personales de producción fuera de producción; los entornos de pruebas y desarrollo usan datos sintéticos.</td> </tr> <tr> <td>Respuesta a vulnerabilidades</td> <td>Las comunicaciones se acusan recibo en un plazo de 2 días laborables (véase <a href="#responsible-disclosure">divulgación responsable</a> ). Objetivos: problemas críticos subsanados en un plazo de 7 días, altos en 30, medios en 90. Los problemas confirmados que afecten a clientes desplegados se comunican a través del <a href="/incidents/">registro de incidentes</a> cuando cumplen los criterios de ámbito del registro.</td> </tr> </tbody> </table> <hr> <h2 id="gestión-de-dependencias-y-parches"> Gestión de dependencias y parches <a href="#gesti%c3%b3n-de-dependencias-y-parches" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal no despliega componentes de software al final de su vida útil. La aplicación se ejecuta sobre versiones con soporte activo de Rails, Ruby, PostgreSQL y el sistema operativo subyacente; las versiones de seguridad upstream se aplican de forma continua.</p> <p>Las dependencias se analizan de forma continua en la integración continua:</p> <ul> <li><strong><a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> </strong> señala las vulnerabilidades específicas de Rails en cada cambio.</li> <li><strong><a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> </strong> comprueba el Gemfile con la Ruby Advisory Database en cada cambio y de nuevo a diario, de modo que los avisos recién divulgados se detectan incluso cuando no ha cambiado ningún código.</li> <li><strong><code>importmap audit</code></strong> analiza las importaciones de JavaScript en busca de vulnerabilidades conocidas en cada cambio y de nuevo a diario.</li> <li><strong><a href="https://docs.github.com/en/code-security/dependabot" rel="nofollow">Dependabot</a> </strong> abre solicitudes de incorporación de cambios semanalmente para las gemas de Ruby y las GitHub Actions desactualizadas, agrupadas por actualizaciones de versión menor/parche.</li> </ul> <p>Los componentes que alcanzan el final de su vida útil upstream se sustituyen o actualizan antes de que se cierre su ventana de soporte.</p> <hr> <h2 id="infraestructura"> Infraestructura <a href="#infraestructura" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Componente</th> <th>Proveedor</th> <th>Ubicación</th> </tr> </thead> <tbody> <tr> <td>Servidor de la aplicación y base de datos</td> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> </td> <td>Núremberg, Alemania (UE)</td> </tr> <tr> <td>Almacenamiento de archivos</td> <td><a href="https://www.hetzner.com/storage/object-storage" rel="nofollow">Hetzner Object Storage</a> </td> <td>Núremberg, Alemania (UE)</td> </tr> <tr> <td>Correo electrónico transaccional</td> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet</a> </td> <td>Francia (UE)</td> </tr> <tr> <td>Procesamiento de pagos</td> <td><a href="https://stripe.com" rel="nofollow">Stripe</a> </td> <td>UE</td> </tr> </tbody> </table> <ul> <li>Todo el tratamiento principal de datos se realiza dentro de la Unión Europea.</li> <li>No se almacenan números de tarjetas de crédito ni credenciales de pago en los servidores de EthicsPortal. Todos los datos de pago los gestiona Stripe.</li> <li>Mailjet se usa para el correo electrónico transaccional (notificaciones a los gestores, no dirigidas a los informantes). Mailjet tiene su sede en Francia y trata todos los datos dentro de la UE.</li> <li>El sitio de presentación se sirve a través de Cloudflare (CDN, Estados Unidos); el portal de denuncias y el portal de los gestores no. Consulte la página de <a href="/subprocessors/">subencargados del tratamiento</a> para la lista completa y las salvaguardias de transferencia.</li> </ul> <hr> <h2 id="copias-de-seguridad-y-restauración"> Copias de seguridad y restauración <a href="#copias-de-seguridad-y-restauraci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal opera dos capas de copia de seguridad complementarias, ambas conservadas dentro de la UE:</p> <table> <thead> <tr> <th>Capa</th> <th>Qué</th> <th>Dónde</th> <th>Conservación</th> </tr> </thead> <tbody> <tr> <td>Base de datos</td> <td>Volcados cifrados diarios de PostgreSQL mediante un accesorio de Kamal</td> <td>Hetzner Object Storage, Núremberg (UE)</td> <td>7 días</td> </tr> <tr> <td>Servidor</td> <td>Instantáneas completas de disco del host de la aplicación</td> <td>Hetzner Cloud, Núremberg (UE)</td> <td>7 días</td> </tr> </tbody> </table> <p><strong>Objetivos de recuperación.</strong> El objetivo de punto de recuperación (RPO) es de 24 horas. El objetivo de tiempo de recuperación (RTO) es de 4 horas. Estos objetivos también figuran en el <a href="/sla/#recovery-objectives">acuerdo de nivel de servicio</a> .</p> <p><strong>Pruebas de restauración.</strong> Una prueba de restauración se ejecuta automáticamente cada mes mediante un flujo de trabajo de CI que restaura el último volcado en un entorno desechable, y a demanda mediante <code>bin/backup-restore-test</code>. La actualidad de las copias de seguridad se supervisa de forma continua (alerta si el volcado más reciente tiene más de 36 horas).</p> <p><strong>Cifrado.</strong> Los volcados de la base de datos se cifran en reposo en Hetzner Object Storage; los campos a nivel de aplicación cifrados mediante Rails ActiveRecord Encryption permanecen cifrados en el volcado.</p> <hr> <h2 id="revisión-operativa"> Revisión operativa <a href="#revisi%c3%b3n-operativa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Algunos materiales operativos se comparten durante la revisión de compras en lugar de publicarse en su totalidad en la web abierta, porque contienen detalles de infraestructura y de respuesta más apropiados para una divulgación controlada.</p> <p>Entre los temas disponibles a petición durante el proceso de compras se incluyen:</p> <ul> <li>Resumen del acceso privilegiado a producción</li> <li>Flujo de trabajo de respuesta a incidentes y contactos de escalado</li> <li>Respuestas de continuidad de negocio y de baja/exportación del cliente</li> </ul> <hr> <h2 id="divulgación-responsable"> Divulgación responsable <a href="#divulgaci%c3%b3n-responsable" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Si descubre una vulnerabilidad de seguridad en EthicsPortal, comuníquela a <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Le pedimos que:</p> <ol> <li>No divulgue públicamente la vulnerabilidad antes de que hayamos tenido ocasión de abordarla.</li> <li>Proporcione detalles suficientes para que podamos reproducir y corregir el problema.</li> <li>No acceda ni modifique los datos de otros clientes.</li> </ol> <p>Acusaremos recibo de su comunicación en un plazo de 2 días laborables y nos esforzaremos por resolver las vulnerabilidades confirmadas con prontitud.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/subprocessors/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/subprocessors/Servicios de terceros que tratan datos personales por cuenta de EthicsPortal. Publicado conforme al artículo 28 del RGPD.<h1 id="subencargados-del-tratamiento"> Subencargados del tratamiento <a href="#subencargados-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p>Los subencargados del tratamiento son terceros que tratan datos personales por cuenta de EthicsPortal cuando EthicsPortal actúa como encargado del tratamiento para las organizaciones operadoras (responsables del tratamiento). Esta lista se publica conforme al artículo 28, apartado 2, del RGPD y al contrato de encargado del tratamiento.</p> <p>Última actualización: 2026-06-17.</p> <hr> <h2 id="subencargados-del-tratamiento-actuales"> Subencargados del tratamiento actuales <a href="#subencargados-del-tratamiento-actuales" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <table> <thead> <tr> <th>Subencargado del tratamiento</th> <th>Jurisdicción</th> <th>Finalidad</th> <th>Categorías de datos</th> </tr> </thead> <tbody> <tr> <td><img src="/images/subprocessors/hetzner.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Hetzner Online GmbH</td> <td>🇩🇪 Alemania (UE)</td> <td>Alojamiento de servidor y base de datos, y almacenamiento de archivos adjuntos</td> <td>Todos los datos de la aplicación: comunicaciones, identidad de los gestores, mensajes, registros de auditoría; archivos adjuntos subidos (metadatos eliminados antes de la subida)</td> </tr> <tr> <td><img src="/images/subprocessors/cloudflare.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Cloudflare, Inc.</td> <td>🇺🇸 Estados Unidos</td> <td>CDN del sitio web de presentación y protección contra DDoS</td> <td>Direcciones IP de los visitantes y cabeceras de solicitud de las peticiones al sitio de presentación; activos estáticos en caché. Sin comunicaciones, datos de gestores ni datos de cuentas</td> </tr> <tr> <td><img src="/images/subprocessors/mailjet.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Mailjet SAS</td> <td>🇫🇷 Francia (UE)</td> <td>Envío de correo electrónico transaccional</td> <td>Direcciones de correo de los gestores, notificaciones de códigos de acceso, correos de facturación</td> </tr> <tr> <td><img src="/images/subprocessors/stripe.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Stripe Payments Europe, Ltd</td> <td>🇮🇪 Irlanda (UE)</td> <td>Facturación de suscripciones y procesamiento de pagos</td> <td>Contacto de facturación del operador, datos de pago tokenizados</td> </tr> <tr> <td><img src="/images/subprocessors/appsignal.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> AppSignal B.V.</td> <td>🇳🇱 Países Bajos (UE)</td> <td>Seguimiento de errores y monitorización del rendimiento de la aplicación (solo del lado de administradores y gestores)</td> <td>Trazas de pila, metadatos de las solicitudes; las IP de los informantes nunca se registran</td> </tr> <tr> <td><img src="/images/subprocessors/crisp.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Crisp IM SARL</td> <td>🇫🇷 Francia (UE)</td> <td>Chat de atención en la aplicación para los gestores (cargado solo en el portal de los gestores); apoya la verificación de identidad del operador (KYC). Véase la nota más abajo sobre la privacidad del informante.</td> <td>IP del gestor, contenido del chat, nombre y contacto de la organización operadora, materiales de verificación de identidad</td> </tr> </tbody> </table> <p><strong>Privacidad del informante.</strong> Crisp se carga únicamente en el portal de gestores/administradores. No está presente en el sitio de presentación ni en el portal de denuncias —la superficie donde los informantes presentan sus comunicaciones y hacen su seguimiento—. Ningún script, cookie o identificador de Crisp llega a las páginas dirigidas a los informantes. Los informantes nunca son objeto de seguimiento por parte de Crisp.</p> <p><strong>Sin subencargado del tratamiento de IA o LLM.</strong> Ningún gran modelo de lenguaje, servicio de IA generativa o clasificador basado en IA es subencargado del tratamiento de EthicsPortal. El contenido de las comunicaciones, la identidad de los informantes, los mensajes de los gestores y los registros de auditoría no se transmiten a OpenAI, Anthropic, Google, Mistral ni a ningún otro proveedor de inferencia de IA. Se trata de un compromiso del producto, no de una configuración predeterminada: consulte el <a href="/directive-coverage/#5-confidentiality-of-identity-art-16">§5 del mapa de cobertura de la Directiva</a> para el marco jurídico.</p> <p>Las transferencias a jurisdicciones fuera de la UE/EEE se basan en las Cláusulas Contractuales Tipo y en salvaguardias adicionales según se detalla en el contrato de encargado del tratamiento.</p> <hr> <h2 id="qué-cuenta-como-subencargado-del-tratamiento"> Qué cuenta como subencargado del tratamiento <a href="#qu%c3%a9-cuenta-como-subencargado-del-tratamiento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Un subencargado del tratamiento es cualquier servicio de terceros que trate datos personales por cuenta de EthicsPortal en virtud de un acuerdo de tratamiento por escrito. Los servicios aparecen aquí solo si reciben, almacenan o transmiten datos personales. Las bibliotecas internas, los registros de paquetes y las dependencias de tiempo de compilación no son subencargados del tratamiento.</p> <hr> <h2 id="notificación-de-cambios"> Notificación de cambios <a href="#notificaci%c3%b3n-de-cambios" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Se notifica a los operadores las adiciones o cambios en esta lista con al menos 30 días de antelación a que un nuevo subencargado del tratamiento comience a tratar datos personales. Las objeciones a un subencargado del tratamiento propuesto pueden plantearse en virtud del contrato de encargado del tratamiento.</p> <hr> <h2 id="preguntas"> Preguntas <a href="#preguntas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Para preguntas sobre el tratamiento de datos por los subencargados, contacte con <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/es/terms/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/es/terms/Términos del servicio de EthicsPortal: la plataforma segura de denuncias para el cumplimiento de la normativa europea.<h1 id="términos-del-servicio"> Términos del servicio <a href="#t%c3%a9rminos-del-servicio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h1> <p><strong>Fecha de entrada en vigor:</strong> 22 de abril de 2026 <strong>Última actualización:</strong> 22 de abril de 2026</p> <h2 id="1-introducción"> 1. Introducción <a href="#1-introducci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Estos términos del servicio («Términos») rigen su uso de EthicsPortal en <a href="https://ethicsportal.eu">ethicsportal.eu</a> (el «Servicio»). EthicsPortal está operado por Yaroslav Shmarov, registrado en ul. Obrzeżna 1A, 02-691 Varsovia, Polonia («nosotros», «nos», «nuestro»). La información básica de la parte contratante se publica en la página de <a href="/trust/">confianza</a> .</p> <p>Al crear una cuenta o utilizar el Servicio, usted acepta quedar vinculado por estos Términos. Si no está de acuerdo, no utilice el Servicio.</p> <h2 id="2-descripción-del-servicio"> 2. Descripción del servicio <a href="#2-descripci%c3%b3n-del-servicio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>EthicsPortal es una plataforma segura de denuncias. El Servicio permite a las organizaciones gestionar canales de denuncia de cumplimiento y proteger a los informantes.</p> <h2 id="3-requisitos-de-elegibilidad"> 3. Requisitos de elegibilidad <a href="#3-requisitos-de-elegibilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Para utilizar el Servicio, usted debe:</p> <ul> <li>Tener al menos 16 años de edad</li> <li>Facilitar una dirección de correo electrónico válida</li> <li>Tener la capacidad jurídica para celebrar un acuerdo vinculante</li> </ul> <p>Nos reservamos el derecho de denegar el servicio a cualquier persona por cualquier motivo.</p> <h2 id="4-su-cuenta"> 4. Su cuenta <a href="#4-su-cuenta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Usted es responsable de mantener la confidencialidad de sus credenciales de inicio de sesión</li> <li>Usted es responsable de toda la actividad que se produzca bajo su cuenta</li> <li>Debe facilitar información exacta y completa al crear su cuenta</li> <li>No debe crear múltiples cuentas para la misma persona</li> <li>Debe notificarnos de inmediato si sospecha un acceso no autorizado a su cuenta</li> </ul> <h2 id="5-suscripciones-y-pagos"> 5. Suscripciones y pagos <a href="#5-suscripciones-y-pagos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li>Las funciones de pago requieren una suscripción activa</li> <li>Las suscripciones se facturan de forma recurrente (mensual o anualmente) a través de <a href="https://stripe.com" rel="nofollow">Stripe</a> </li> <li>No almacenamos números de tarjetas de crédito ni datos de cuentas bancarias en nuestros servidores: todo el procesamiento de pagos lo gestiona Stripe</li> <li>Los precios figuran en el Servicio y pueden cambiar con previo aviso</li> </ul> <h3 id="cancelación-y-reembolsos"> Cancelación y reembolsos <a href="#cancelaci%c3%b3n-y-reembolsos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h3> <p>Puede cancelar su suscripción en cualquier momento desde la configuración de facturación. La cancelación surte efecto al final del período de facturación en curso: conserva el acceso hasta entonces.</p> <p><strong>Garantía de devolución del dinero de 30 días.</strong> Si cancela en un plazo de 30 días desde su primer cargo de pago, puede solicitar el reembolso íntegro de ese pago inicial escribiendo a <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . La garantía se aplica una vez por organización a la primera suscripción de pago y no se aplica a las renovaciones.</p> <p>Transcurrida la ventana de 30 días, las suscripciones no son reembolsables. No reembolsamos la parte no utilizada de un período de facturación tras la cancelación. Consulte la <a href="/refunds/">política de reembolsos</a> para más información.</p> <h2 id="6-contenido-del-usuario"> 6. Contenido del usuario <a href="#6-contenido-del-usuario" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El «contenido del usuario» incluye cualquier texto, imagen, archivo u otro material que usted envíe al Servicio (información de perfil, archivos subidos).</p> <ul> <li>Al enviar contenido al Servicio (información de perfil, etc.), nos concede una licencia no exclusiva, mundial y libre de regalías para usar, mostrar y distribuir dicho contenido únicamente en la medida necesaria para prestar el Servicio</li> <li>Esta licencia finaliza cuando usted elimina el contenido o su cuenta</li> <li>No debe enviar contenido que sea ilegal, infractor, difamatorio, obsceno o de otro modo perjudicial</li> </ul> <p>Nos reservamos el derecho de eliminar el contenido que infrinja estos Términos.</p> <h2 id="7-conducta-prohibida"> 7. Conducta prohibida <a href="#7-conducta-prohibida" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Usted se compromete a no:</p> <ul> <li>Utilizar el Servicio para ningún fin ilegal</li> <li>Extraer, rastrear o usar medios automatizados para acceder al Servicio sin nuestro permiso</li> <li>Crear cuentas falsas o falsear su identidad</li> <li>Interferir o perturbar el Servicio o su infraestructura</li> <li>Intentar obtener acceso no autorizado a las cuentas o datos de otros usuarios</li> <li>Usar el Servicio para enviar spam, phishing o mensajes no solicitados</li> <li>Eludir cualquier medida de seguridad o control de acceso</li> <li>Aplicar ingeniería inversa, descompilar o desensamblar cualquier parte del Servicio</li> <li>Revender o redistribuir el Servicio sin nuestro permiso</li> </ul> <h2 id="8-propiedad-intelectual"> 8. Propiedad intelectual <a href="#8-propiedad-intelectual" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>Nuestra propiedad:</strong> el Servicio, incluidos su diseño, código, marca y documentación, es de nuestra propiedad y está protegido por las leyes de propiedad intelectual aplicables. No puede copiar, modificar ni distribuir ninguna parte del Servicio sin nuestro permiso.</li> <li><strong>Su propiedad:</strong> usted conserva todos los derechos sobre el contenido que envíe. No reclamamos ninguna titularidad sobre su contenido.</li> </ul> <h2 id="9-terminación"> 9. Terminación <a href="#9-terminaci%c3%b3n" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <ul> <li><strong>Por su parte:</strong> puede eliminar su cuenta en cualquier momento desde la configuración de su cuenta. Esto elimina de forma permanente sus datos según se describe en nuestra <a href="/privacy/">política de privacidad</a> .</li> <li><strong>Por nuestra parte:</strong> podemos suspender o cancelar su cuenta si infringe estos Términos, incurre en una conducta prohibida o si así lo exige la ley. Haremos esfuerzos razonables por notificarle antes de la terminación, salvo cuando sea necesaria una acción inmediata (p. ej., fraude, amenazas de seguridad).</li> </ul> <p>Tras la terminación, su derecho a usar el Servicio cesa de inmediato.</p> <h2 id="10-exención-de-garantías"> 10. Exención de garantías <a href="#10-exenci%c3%b3n-de-garant%c3%adas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>El Servicio se presta <strong>«tal cual»</strong> y <strong>«según disponibilidad»</strong>, sin garantías de ningún tipo, ya sean expresas o implícitas, incluidas, entre otras, las garantías implícitas de comerciabilidad, idoneidad para un fin determinado y no infracción.</p> <p>No garantizamos que:</p> <ul> <li>El Servicio sea ininterrumpido, puntual, seguro o esté libre de errores</li> <li>El Servicio satisfaga sus requisitos específicos</li> </ul> <h2 id="11-limitación-de-responsabilidad"> 11. Limitación de responsabilidad <a href="#11-limitaci%c3%b3n-de-responsabilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>En la máxima medida permitida por la ley, no seremos responsables de daños indirectos, incidentales, especiales, consecuentes o punitivos, incluidos, entre otros, la pérdida de beneficios, datos u oportunidades de negocio.</p> <p>En la máxima medida permitida por la ley, nuestra responsabilidad agregada total que se derive del Servicio, de estos Términos, del <a href="/dpa/">contrato de encargado del tratamiento</a> o del <a href="/sla/">acuerdo de nivel de servicio</a> , o se relacione con ellos, no excederá las tarifas que nos haya abonado por el Servicio en los 12 meses anteriores al hecho que dé lugar a la reclamación.</p> <p>Nada en estos Términos excluye ni limita la responsabilidad por fraude, dolo o cualquier responsabilidad que no pueda excluirse o limitarse conforme a la ley aplicable.</p> <h2 id="12-indemnización-por-infracción-de-la-propiedad-intelectual"> 12. Indemnización por infracción de la propiedad intelectual <a href="#12-indemnizaci%c3%b3n-por-infracci%c3%b3n-de-la-propiedad-intelectual" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>En la máxima medida permitida por la ley, defenderemos al Responsable del tratamiento frente a cualquier reclamación de terceros interpuesta contra el Responsable del tratamiento que alegue que el Servicio, tal como lo prestamos y se utiliza de conformidad con estos Términos y el <a href="/dpa/">contrato de encargado del tratamiento</a> , infringe un derecho de autor, una marca o una patente exigible en la Unión Europea, y abonaremos los daños y los costes razonables finalmente impuestos al Responsable del tratamiento por un tribunal competente o acordados por nosotros en una transacción, siempre que el Responsable del tratamiento:</p> <ul> <li>Nos notifique con prontitud y por escrito la reclamación</li> <li>Nos conceda el control exclusivo de la defensa y la transacción de la reclamación, con la cooperación razonable del Responsable del tratamiento a nuestra cuenta</li> <li>No admita responsabilidad ni transija la reclamación sin nuestro consentimiento previo por escrito</li> </ul> <p>Esta indemnización no se aplica a las reclamaciones derivadas de:</p> <ul> <li>Modificaciones del Servicio realizadas por el Responsable del tratamiento o por cualquier tercero</li> <li>Uso del Servicio en combinación con componentes, datos o servicios no autorizados ni suministrados por nosotros, cuando la reclamación no se habría producido de no ser por dicha combinación</li> <li>Uso del Servicio en infracción de estos Términos, del contrato de encargado del tratamiento o de la ley aplicable</li> <li>Uso continuado del Servicio después de que hayamos puesto a disposición una alternativa no infractora o facilitado un aviso por escrito para que se interrumpa el uso</li> </ul> <p>Si el Servicio se convierte, o a nuestro juicio razonable es probable que se convierta, en objeto de una reclamación por infracción, podemos, a nuestra elección y a nuestra cuenta, (i) obtener para el Responsable del tratamiento el derecho a seguir usando el Servicio, (ii) modificar el Servicio para que no sea infractor preservando una funcionalidad sustancialmente equivalente, (iii) sustituir el Servicio por una alternativa no infractora de funcionalidad sustancialmente equivalente o (iv) cuando ninguna de las opciones anteriores sea comercialmente razonable, resolver la parte afectada del Servicio y reembolsar las tarifas prepagadas correspondientes a la parte no utilizada del período de facturación en curso.</p> <p>En la máxima medida permitida por la ley, esta Sección 12 establece nuestra responsabilidad íntegra, y el remedio exclusivo del Responsable del tratamiento, respecto de las reclamaciones de terceros por infracción de la propiedad intelectual relativas al Servicio. Los importes pagaderos conforme a esta Sección 12 están sujetos al límite de responsabilidad agregado de la Sección 11.</p> <h2 id="13-ley-aplicable-y-controversias"> 13. Ley aplicable y controversias <a href="#13-ley-aplicable-y-controversias" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Estos Términos se rigen por las leyes de Polonia. Cualquier controversia que se derive de estos Términos o del Servicio, o se relacione con ellos, se someterá a la jurisdicción exclusiva de los tribunales de Varsovia, Polonia.</p> <p>Si usted es un consumidor residente en la UE, también tiene derecho a entablar acciones ante los tribunales de su país de residencia.</p> <h2 id="14-cambios-en-estos-términos"> 14. Cambios en estos Términos <a href="#14-cambios-en-estos-t%c3%a9rminos" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Podemos actualizar estos Términos de vez en cuando. Cuando realicemos cambios materiales, se lo notificaremos por correo electrónico o mediante una notificación en la aplicación al menos 14 días antes de que los cambios surtan efecto.</p> <p>Su uso continuado del Servicio una vez que los Términos actualizados surtan efecto constituye su aceptación de los cambios. Si no está de acuerdo con los Términos actualizados, puede eliminar su cuenta.</p> <h2 id="15-divisibilidad"> 15. Divisibilidad <a href="#15-divisibilidad" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Si se considera inaplicable alguna disposición de estos Términos, las disposiciones restantes seguirán en pleno vigor y efecto.</p> <h2 id="16-contacto"> 16. Contacto <a href="#16-contacto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Enlace a esta sección">#</a> </h2> <p>Si tiene preguntas sobre estos Términos, contacte con nosotros en:</p> <p><strong>Correo electrónico:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Seguridad:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Ubicación:</strong> Varsovia, Polonia</p> <p>Los DPA firmados, las pruebas registrales y los materiales de revisión de compras están disponibles a petición durante el proceso de compras.</p>support@ethicsportal.eu (EthicsPortal)