Whistleblowing EU

Software de denuncias de código abierto (España)

¿Busca una plataforma de información segura, ética y conforme con la Directiva europea sobre whistleblowing?

Pruebe GlobaLeaks, el software libre y de código abierto diseñado para:

Más información en la documentación oficial.

Documentación Demo

La Directiva europea de whistleblowing

La Directiva UE relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión obliga a las organizaciones a establecer canales de información seguros y confidenciales y a proteger a los informantes frente a represalias.

En España la Directiva está transpuesta por la Ley 2/2023, de 20 de febrero, reguladora de la protección de los informantes. Obliga a empresas con 50 o más trabajadores y a las administraciones a implantar un Sistema interno de información. La supervisión corresponde a la Autoridad Independiente de Protección del Informante (AAI).

Obligaciones legales y cumplimiento

Referencia Obligación Cómo GlobaLeaks lo satisface
art. 5.2.b El Sistema interno de información debe permitir la presentación de comunicaciones y su tramitación posterior garantizando su seguridad, la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, así como el cumplimiento de la normativa de protección de datos de carácter personal. GlobaLeaks es un canal interno de denuncias dedicado, autoalojado y de software libre/código abierto auditable, que aplica el cifrado de las informaciones y adjuntos y mantiene protegida la identidad del denunciante en todo momento; el registro de auditoría respetuoso con la privacidad y la minimización de metadatos aseguran el pleno cumplimiento del RGPD que exige la Ley 2/2023. El anonimato total es posible gracias a la integración de la tecnología Tor.
art. 5.2.c y 7.2 El canal interno de información debe permitir que las denuncias se presenten por escrito (correo postal o medios electrónicos), verbalmente (vía telefónica o sistema de mensajería de voz), o de ambos modos. El canal de denuncias de GlobaLeaks admite la comunicación escrita con adjuntos y el mensaje de voz, de forma que el denunciante puede optar por la vía escrita, la verbal o ambas según sus necesidades, siempre a través de un canal seguro que preserva la confidencialidad de su identidad.
art. 7.2 A petición del informante, la comunicación verbal podrá efectuarse mediante una reunión presencial dentro del plazo máximo de siete días. GlobaLeaks ofrece la posibilidad de solicitar una reunión presencial y, mediante su gestión estructurada de casos con plazos, temporizadores y recordatorios, permite al Responsable del Sistema interno de información organizar y celebrar dicha reunión con el denunciante dentro del plazo máximo de siete días.
art. 7.3 Los canales internos de información permitirán la presentación y posterior tramitación de denuncias anónimas. GlobaLeaks permite la presentación de denuncias anónimas o confidenciales (configurable), sin registro de direcciones IP y con minimización de metadatos; el canal bidireccional asíncrono preserva el anonimato del denunciante durante toda la tramitación.
art. 9.2.c El procedimiento de gestión deberá acusar recibo de la comunicación al informante en el plazo de siete días naturales a partir de su recepción, salvo que ello pudiera poner en peligro la confidencialidad de la comunicación. El canal de denuncias de GlobaLeaks emite de inmediato un acuse de recibo de la comunicación, cumpliendo con holgura el plazo de siete días naturales sin comprometer en ningún momento la confidencialidad ni la identidad del denunciante.
art. 9.2.d El procedimiento deberá establecer un plazo máximo para dar respuesta a las actuaciones de investigación no superior a tres meses a contar desde la recepción de la comunicación o, si no se remitió un acuse de recibo, a tres meses a partir del vencimiento del plazo de siete días, salvo casos de especial complejidad que exijan una ampliación del plazo, en cuyo caso podrá extenderse hasta un máximo de otros tres meses adicionales. La gestión estructurada de casos de GlobaLeaks, con plazos, temporizadores, recordatorios y panel de control, permite al Responsable del Sistema interno de información supervisar y responder dentro del plazo máximo de tres meses, así como gestionar de forma trazable la prórroga de hasta tres meses adicionales en los supuestos de especial complejidad.
art. 9.2.e El procedimiento deberá prever la posibilidad de mantener la comunicación con el informante y, si se considera necesario, solicitarle información adicional. El canal bidireccional asíncrono de GlobaLeaks, que preserva el anonimato, permite mantener la comunicación con el denunciante y solicitarle información adicional en cualquier momento del procedimiento, sin necesidad de que revele su identidad.
art. 9.2.i y 32 Tratamiento de los datos personales conforme al RGPD, según el principio de minimización de datos. Self-hosting, sin componentes ni servicios de terceros, sin registro de direcciones IP, minimización de metadatos.
art. 26, 32 y 33 El responsable del Sistema interno de información deberá llevar un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, conservando los datos únicamente durante el tiempo imprescindible y en todo caso por un plazo máximo de diez años, adoptando las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero mencionado en la información. GlobaLeaks mantiene una gestión estructurada de casos con un registro de auditoría respetuoso con la privacidad que documenta las denuncias y su tramitación en el libro-registro, permite aplicar políticas de conservación y supresión conformes al plazo máximo de diez años, y protege en todo momento la identidad del denunciante y de los terceros mediante control de acceso granular y minimización de metadatos.