La AIPI concreta sus orientaciones sobre los SII de la Administración General del Estado

2026-07-13T10:26:00
España
La AIPI publica la Recomendación 3/2026 para el diseño e implementación de un SII en la AGE y sus entidades instrumentales de Derecho público
La AIPI concreta sus orientaciones sobre los SII de la Administración General del Estado
13 de julio de 2026

La Autoridad Independiente de Protección al Informante («AIPI») ha publicado la Recomendación 3/2026 del 7 de julio, para el diseño e implementación de los Sistemas Internos de Información («SII») en la Administración General del Estado («AGE») y sus entidades instrumentales de Derecho público («Recomendación 3/2026»).

Aunque está dirigida al sector público, está por ver hasta qué punto la AIPI acabará proyectando algunos de los criterios interpretativos que introduce esta Recomendación también al ámbito de las entidades privadas obligadas por la Ley 2/2023.

Esta nueva recomendación refuerza el marco interpretativo de la AIPI en materia de SII, adaptando al ámbito de la AGE y de sus entidades instrumentales los criterios gnerales ya fijados en la Recomendación 1/2026, para el diseño e implementación de un SII («Recomendación 1/2026»), del mismo modo que la Recomendación 2/2026 lo hizo para la Administración Local. En cuanto a la notificación del responsable del SII («RSII») ante la AIPI, la Recomendación 3/2026 se complementa con la Guía 1/2026, que detalla ese procedimiento.

A continuación, destacamos las principales novedades de la Recomendación 3/2026, que, como el resto de las recomendaciones de la AIPI, carece de carácter normativo, no constituye interpretación auténtica de la Ley 2/2023 Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción («Ley 2/2023»), ni genera obligaciones adicionales a las ya previstas en esta. La AIPI podrá, eso sí, tener en cuenta el grado de seguimiento de estas directrices al valorar el funcionamiento general del SII en sus supervisiones.

Principales novedades

  • Autonomía del SII por entidad. Cada entidad obligada de la AGE debe disponer de un SII propio: los organismos autónomos y agencias estatales no pueden integrarse en el canal de su Ministerio, salvo las entidades de menos de cincuenta (50) trabajadores, que podrán compartir medios mediante acuerdo formal comunicado a la AIPI, preservando la identificación de la entidad titular y las garantías del informante.
  • Preferencia por el RSII colegiado y riesgos de la IGS. La Recomendación 3/2026, a diferencia de la Recomendación 1/2026, muestra una preferencia expresa por un RSII colegiado en la AGE —de tres (3) y cinco (5) miembros, mandato mínimo de dos años y garantías reforzadas de independencia—, en especial en Ministerios y organismos de mayor tamaño o riesgo, aunque sigue admitiendo un RSII unipersonal en entidades menores si se refuerzan esas garantías. Asimismo, cuestiona la práctica, ya extendida, de designar como RSII a miembros de la Inspección General de Servicios, cuya dependencia jerárquica puede comprometer la independencia del Sistema, e invita a revisar esos modelos en la próxima renovación del mandato.
  • Estanqueidad técnica del canal. La Recomendación 3/2026 concreta para la AGE la exigencia general de una plataforma segura y cifrada de extremo a extremo (Recomendación 1/2026) con especificaciones técnicas (e.g., cifrado de extremo a extremo (E2E) conforme al estándar TLS 1.3 o la separación lógica y física de la base de datos del SII respecto de los sistemas corporativos de la entidad) y desaconseja expresamente el correo electrónico corporativo, las plataformas de mensajería (Teams, WhatsApp, Signal), los gestores de expedientes (GEISER, SIR) y las redes compartidas para la gestión del SII.
  • Modelos de gestión del SII. La Recomendación sistematiza los modelos posibles según si el SII es propio o compartido y si la plataforma se gestiona interna o externamente, prefiriendo un SII propio con plataforma externalizada para entidades de mayor tamaño o riesgo. En todo caso, la externalización solo puede alcanzar la recepción técnica de las comunicaciones (art. 6 de la Ley 2/2023), límite que, según ha trascendido en prensa, la AIPI ya ha exigido mediante un expediente sancionador a una entidad pública.
  • Protocolo de gestión por fases. La Recomendación propone para la AGE un protocolo interno de once (11) fases, que se remite a los principios generales de la Recomendación 1/2026 (presunción de inocencia, confidencialidad, protección de datos, imparcialidad y diligencia) y añade la separación funcional entre la instrucción del expediente y cualquier decisión política, disciplinaria o de gestión ordinaria.
  • Protección frente a represalias en el empleo público. La Recomendación recuerda la regla de inversión de la carga de la prueba prevista en el artículo 38.4 de la Ley 2/2023: basta con que el informante acredite razonablemente que realizó la comunicación conforme a la norma para que se presuma que cualquier perjuicio sufrido constituye una represalia, correspondiendo a quien adoptó la medida probar que responde a una justificación objetiva y ajena a la denuncia. Asimismo, la Recomendación 3/2026 incluye un catálogo de represalias encubiertas frecuentes en el ámbito del empleo público de la AGE (e.g., la asignación sistemática de tareas de menor relevancia, la exclusión de grupos de trabajo o comisiones técnicas, los retrasos injustificados en el reconocimiento de derechos económicos de carácter reglado). Prevé, además, un protocolo urgente —convocatoria del RSII en 48 horas y expediente de salvaguarda— y un régimen escalonado, con instructor externo en los casos más sensibles, para expedientes que afecten a altos cargos. 

Aunque la Recomendación 3/2026 se dirige exclusivamente a la AGE y a sus entidades instrumentales, algunas de las interpretaciones de la AIPI podrían considerarse indicativas del criterio supervisor que la Autoridad podría proyectar también sobre las entidades privadas. En particular, la prohibición expresa de herramientas que no son específicas de la Administración —correo electrónico corporativo, Teams, WhatsApp, Signal, carpetas de red o almacenamiento en la nube no habilitado específicamente— se fundamenta en el principio de estanqueidad técnica del canal, un principio que la AIPI ya aplicaba con carácter general en la Recomendación 1/2026. Se trata, por tanto, de un criterio interpretativo que conviene tener presente también en el ámbito privado al evaluar la configuración técnica y las garantías del SII.

Para más información, no dudes en contactar con nuestros especialistas de Cuatrecasas a través del Área de Conocimiento e Innovación.

13 de julio de 2026