Libro-registro de informaciones e investigaciones

El artículo 26 de la Ley 2/2023 exige a toda entidad obligada por un Sistema Interno de Información llevar un libro-registro no público donde se anoten todas las comunicaciones recibidas y las investigaciones realizadas.

¿Qué se registra?

• Fecha de cada comunicación recibida.
• Estado de la comunicación a lo largo del expediente.
• Diligencias del RSII y resoluciones.
• Acuses de recibo, recordatorios, alertas de plazo.
• Accesos al expediente por usuario y momento.
• Descargas de adjuntos con cadena de custodia (SHA-256).

¿Cómo se garantiza la inmutabilidad?

Cada anotación lleva un hash SHA-256 que enlaza con el de la anotación anterior. La cadena de hashes se verifica automáticamente y de forma periódica: si alguien manipulara un registro a posteriori, la cadena se rompería y quedaría detectado.

A nivel de base de datos, un trigger rechaza cualquier intento de UPDATE o DELETE sobre el libro-registro. Es append-only por diseño.

¿Quién puede consultarlo?

• El RSII titular y suplente de la entidad, dentro del ámbito de sus funciones.
• Las autoridades competentes (A.A.I., autoridad autonómica, juzgados) en el marco de inspecciones o procedimientos legales.
• El órgano de administración con datos agregados y anonimizados para sus funciones de supervisión.

El libro-registro no es público. No se puede consultar sin autorización.

Conservación: hasta 10 años

El libro-registro se conserva durante un plazo máximo de 10 años. Los datos personales del informante, sin embargo, tienen un plazo de retención más corto (máximo 3 meses desde la finalización si no se abre expediente, según la propia Ley 2/2023 y RGPD). Pasado ese plazo, sus datos personales se eliminan automáticamente pero los metadatos de la comunicación (no identificativos) permanecen para cumplir con el libro-registro.

Si eres autoridad inspectora y necesitas acceder al libro-registro, contacta con el RSII de Previda Correduría de Seguros, S.L. (info@miotroseguro.com).