Archivo de SMS para Cumplimiento Normativo: CNMV, RGPD y Ley de Sociedades
En 2021, JP Morgan pagó 200 millones de dólares en multas por no archivar los mensajes de texto de sus empleados. Desde entonces, los reguladores financieros han impuesto más de 2.000 millones en sanciones contra firmas financieras por el mismo motivo: empleados usando teléfonos personales y apps de mensajería para comunicaciones empresariales sin archivarlas.
El mensaje de los reguladores es claro: si tus empleados envían mensajes sobre negocio desde sus teléfonos, debes capturar y conservar esos mensajes. La época del "no sabíamos nada" ha terminado.
Pero aquí está el problema: las soluciones empresariales de archivo de SMS diseñadas para grandes corporaciones cuestan decenas de miles de euros al año — precios que no tienen sentido para una asesoría financiera de tres personas, un profesional sanitario autónomo o una startup navegando el cumplimiento normativo por primera vez.
Esta guía desglosa los requisitos específicos de archivo de SMS según la normativa de la CNMV, el RGPD y la legislación mercantil, y muestra cómo los equipos pequeños pueden implementar un sistema de archivo práctico y de bajo coste usando herramientas que ya existen en cada iPhone.
Los Tres Marcos Normativos
CNMV / Regulación de Mercados (Servicios Financieros)
A quién se aplica: Empresas de servicios de inversión (ESIs), agentes de bolsa, asesores financieros registrados y cualquier entidad supervisada por la CNMV.
La norma: La normativa MiFID II y la Circular de la CNMV exigen que todas las comunicaciones relacionadas con el negocio — incluidos los mensajes de texto — sean capturadas, supervisadas y conservadas.
Periodo de retención:
- 5 años mínimo (MiFID II, art. 16.7)
- Registros telefónicos y comunicaciones electrónicas: 5 años
- Deben almacenarse en un formato no alterable
Qué cuenta como "comunicación de negocio": Cualquier SMS que trate sobre valores, cuentas de clientes, operaciones, recomendaciones, condiciones de mercado o relaciones con clientes. Si un asesor le escribe a un cliente "Te recomendaría pasarte a renta fija dadas las condiciones del mercado" — ese mensaje debe archivarse.
El problema de los "canales no oficiales": La presión regulatoria apunta específicamente a las comunicaciones por canales no supervisados — SMS empresariales enviados por teléfonos personales, WhatsApp, Signal o SMS estándar que esquivan el sistema oficial de archivo de la empresa. La sanción no es solo para el individuo; es para la firma que no supervisó.
Legislación Mercantil / Código de Comercio
A quién se aplica: Todas las sociedades mercantiles, sus administradores, directores y auditores.
La norma: El Código de Comercio (art. 30) exige la conservación de los libros, correspondencia, documentación y justificantes del negocio durante 6 años. La Ley de Sociedades de Capital impone obligaciones adicionales de conservación documental para los administradores.
Qué cuenta: Cualquier SMS que pueda ser relevante para la información financiera, los controles internos, los procesos de auditoría o el gobierno corporativo. Un director financiero enviando un SMS al contable sobre el reconocimiento de ingresos, un auditor escribiendo sobre sus hallazgos — son comunicaciones relevantes.
RGPD / LOPD (Protección de Datos y Sanidad)
A quién se aplica: Cualquier organización que trate datos personales de residentes en la UE, con especial relevancia para proveedores sanitarios y sus encargados del tratamiento.
La norma: El RGPD no prohíbe la mensajería por SMS, pero exige que cualquier comunicación que involucre datos personales cumpla estrictas garantías técnicas:
- Cifrado en tránsito y en reposo (cuando sea viable)
- Registros de auditoría que documenten quién envió, recibió y accedió a los mensajes
- Controles de acceso (autenticación, autorización)
- Contrato de encargado del tratamiento con cualquier proveedor externo de archivo
Periodo de retención: El RGPD exige que los datos se conserven solo el tiempo necesario para la finalidad (principio de minimización), pero la normativa sanitaria española establece un mínimo de 5 años para la documentación clínica (Ley 41/2002).
La realidad práctica: Los SMS estándar generalmente no cumplen el RGPD para datos sensibles porque no están cifrados. Sin embargo, archivar SMS en un email seguro y cifrado (como ProtonMail o un servicio de correo compatible con RGPD) crea un registro de auditoría que mejora significativamente tu posición de cumplimiento — especialmente para pequeñas consultas donde las soluciones empresariales no son viables.
Las Brechas de Cumplimiento en la Vida Real
Las grandes empresas tienen departamentos de compliance y presupuestos de archivo de seis cifras. Pero la mayoría de los negocios regulados son pequeños:
- Una asesoría financiera de dos personas donde ambos asesores envían SMS a clientes desde iPhones personales
- Un médico autónomo que envía SMS a pacientes con recordatorios de citas
- Un director financiero de una startup que envía SMS al equipo contable sobre las cifras trimestrales desde su teléfono personal
- Una pequeña correduría de seguros donde los agentes envían SMS a clientes sobre cambios de póliza
Estos negocios se enfrentan a los mismos requisitos regulatorios que las grandes corporaciones pero con una fracción del presupuesto. ¿El resultado? O ignoran los requisitos (y rezan para que no les auditen) o pagan soluciones empresariales que apenas se pueden permitir.
Hay un camino intermedio.
Implementar un Archivo Práctico de SMS
Cómo Funciona
El concepto es simple: reenviar automáticamente todos los SMS empresariales entrantes (y opcionalmente salientes) a una dirección de email dedicada y segura que sirva como tu archivo de cumplimiento.
Esto crea:
- Un registro con marcas temporales de cada SMS (marcas de entrega del email)
- Un repositorio buscable (la búsqueda del email encuentra cualquier mensaje al instante)
- Una copia fuera del dispositivo (sobrevive a la pérdida, daño o actualización del teléfono)
- Un formato exportable (los emails se pueden imprimir, exportar a PDF o proporcionar a los auditores)
Configuración Paso a Paso para Equipos Pequeños
Paso 1: Crea un Email de Archivo de Cumplimiento
Configura una dirección de email dedicada para el archivo de SMS:
[email protected]- Para contextos sanitarios/RGPD: usa un proveedor de email compatible (ej.: ProtonMail Business, Google Workspace con las cláusulas contractuales tipo firmadas)
Reglas de acceso:
- Solo el responsable de cumplimiento y el personal autorizado deben tener acceso
- Activa la verificación en dos pasos y políticas de contraseñas fuertes
- Configura las políticas de retención de email para que coincidan con tu requisito normativo (5/6/7 años)
Paso 2: Instala SMS to Email Forwarder en Cada Dispositivo de Trabajo
Cada empleado con un teléfono de uso empresarial instala SMS to Email Forwarder desde la App Store.
Configuración:
- Introduce la dirección de email del archivo de cumplimiento
- Completa la configuración de la Automatización de Atajos (~2 minutos por dispositivo)
- Configúralo para reenviar todos los mensajes (o filtra por contactos empresariales)
- Cierra la app. Funciona en silencio en segundo plano.
Paso 3: Establece una Política Interna Escrita
Crea un documento de política interna simple que cubra:
- Canales de comunicación aprobados — qué plataformas pueden usar los empleados para SMS empresariales
- Requisitos de archivo — todos los SMS empresariales deben reenviarse al email de cumplimiento
- Canales prohibidos — nada de conversaciones de negocio por WhatsApp personal, Signal u otras plataformas no archivadas
- Reconocimiento del empleado — cada miembro del equipo firma confirmando que entiende y cumple
Esta política es tu defensa en una auditoría: "Tenemos una política escrita, implementamos controles técnicos y exigimos el reconocimiento del empleado."
Paso 4: Revisión y Auditoría Periódica
- Mensual: Comprueba aleatoriamente el email de cumplimiento para verificar que los mensajes se están reenviando
- Trimestral: Revisa posibles brechas de cumplimiento (nuevos empleados, nuevos números, incumplimientos de la política)
- Anual: Actualiza la política y confirma que se cumplen los periodos de retención
Tabla Comparativa de Cumplimiento
| Requisito | CNMV/MiFID II | Código de Comercio | RGPD/Sanidad |
|---|---|---|---|
| Se aplica a | ESIs, asesores financieros | Sociedades mercantiles | Proveedores sanitarios, cualquier responsable de tratamiento |
| Periodo de retención | 5 años | 6 años | El necesario (sanidad: 5 años mín.) |
| Cifrado requerido | Recomendado | Recomendado | Obligatorio (datos sensibles) |
| Supervisión requerida | Sí (revisión activa) | Sí (controles internos) | Sí (registros de auditoría) |
| Sanción por incumplimiento | Hasta millones de € (CNMV) | Responsabilidad del administrador | 20 M € o 4% facturación global |
| Contrato de encargado | No | No | Sí |
Qué Es Esta Solución (Y Qué No Es)
Lo que es:
- Una capa de archivo de SMS ligera y de bajo coste para equipos pequeños
- Una mejora significativa de cumplimiento respecto a "no archivar nada"
- Un registro buscable, con marcas temporales y fuera del dispositivo que los auditores pueden revisar
- Una solución que funciona en cada iPhone sin infraestructura IT
Lo que no es:
- Un sustituto de plataformas de cumplimiento empresarial (para firmas con más de 50 empleados, considera GlobalRelay, Smarsh o LeapXpert)
- Una garantía de cumplimiento normativo total (el cumplimiento depende de tu situación específica, políticas y requisitos de auditoría)
- Almacenamiento WORM (los archivos de email pueden teóricamente modificarse — para requisitos estrictos de WORM, considera exportar periódicamente a almacenamiento certificado)
Para la mayoría de pequeños negocios regulados, pasar de cero archivo de SMS a archivo basado en email representa una reducción masiva del riesgo regulatorio — a coste prácticamente nulo.
El Coste del Incumplimiento
| Escenario | Consecuencia Potencial |
|---|---|
| Auditoría CNMV: sin registros de SMS | Sanción de miles a millones de €, dependiendo del tamaño y la duración |
| Incumplimiento mercantil: mensajes destruidos | Responsabilidad personal del administrador, posibles consecuencias penales |
| Brecha RGPD: SMS de pacientes sin archivar | Hasta 20 M € o 4% de la facturación global anual |
| Descubrimiento de pruebas en litigio: SMS desaparecidos | Inferencia adversa — el tribunal asume que los SMS desaparecidos habrían sido perjudiciales para tu caso |
| Queja de un cliente: sin registros | Incapacidad de defenderte contra acusaciones falsas |
Aviso legal: Somos desarrolladores de software, no abogados ni responsables de cumplimiento normativo. Este artículo proporciona orientación técnica para la retención de registros SMS y no debe interpretarse como asesoramiento legal, regulatorio o de cumplimiento. Los requisitos de la CNMV, MiFID II, el Código de Comercio y el RGPD son complejos y varían según el tamaño de la organización, el segmento del sector y la jurisdicción. Consulta siempre con tu departamento de cumplimiento, asesor legal o un consultor regulatorio cualificado sobre tus obligaciones específicas de archivo.
El mejor momento para empezar a archivar fue cuando la norma entró en vigor. El segundo mejor momento es ahora.
Descarga SMS to Email Forwarder — despliégalo en tu equipo en minutos.
¿Listo para empezar?
Configura el reenvío automático de SMS en 2 minutos. Plan gratuito — sin tarjeta de crédito.
Descargar en App Store