Avís legal: Aquest article és només a títol informatiu i no constitueix assessorament jurídic. Els requisits sota MiFID II, RGPD i la normativa nacional aplicable varien segons el tipus d'entitat, la jurisdicció i l'activitat. Consulta amb assessors legals qualificats per a orientació específica per a la teva organització.
El 2024, les autoritats nacionals competents arreu de l'Espai Econòmic Europeu van imposar 294 sancions específicament sota MiFID II i MiFIR, per un total de gairebé 44,5 milions d'euros, segons l'Annual Sanctions Report 2024 d'ESMA. Considerant totes les regulacions financeres de la UE en conjunt, els reguladors van imposar més de 970 sancions per un agregat de més de 100 milions d'euros aquell mateix any. MiFID II/MiFIR va ser, juntament amb el Reglament d'Abús de Mercat, un dels dos règims més fortament aplicats. Moltes d'aquestes actuacions implicaven errors en l'enregistrament i retenció de comunicacions amb clients. Aquesta categoria ara inclou explícitament les videotrucades.
L'assessoria híbrida ja no és una solució provisional de la pandèmia. És el predeterminat. Gestors patrimonials, assessors d'inversions i responsables de compliment fan reunions amb clients i sessions d'assessorament en plataformes de vídeo cada dia. L'expectativa reguladora d'ESMA, FCA i BaFin és que la mateixa disciplina aplicada durant anys a l'enregistrament telefònic ara s'ha d'estendre a totes les videotrucades on es discuteixin o es prestin serveis d'inversió.
El problema és que la majoria de plataformes de vídeo no es van construir pensant en això. Aquest article cobreix què exigeix realment MiFID II per a l'enregistrament de vídeo, com es creua amb el RGPD i com és una infraestructura de vídeo genuïnament conforme a la pràctica.
Continguts
El canvi de l'assessoria telefònica a la videoconferència ha estat estructural i durador. El treball híbrid post-COVID va accelerar una transició ja en marxa, i els reguladors han adaptat les seves expectatives en conseqüència.
Sota MiFID II, les videotrucades qualifiquen com a "comunicacions electròniques" als efectes de l'obligació d'enregistrament de l'Article 16(7). ESMA ha estat coherent en aquest punt: l'expectativa reguladora no es limita a trucades telefòniques. Qualsevol comunicació feta a través d'una plataforma que pugui derivar en la prestació de serveis d'inversió o en l'execució d'una transacció entra dins l'àmbit, sigui quin sigui el canal utilitzat. L'àmbit és més estret del que pot semblar a primera vista, però. L'Article 16(7) s'aplica específicament a comunicacions relacionades amb serveis d'ordres de clients (recepció, transmissió i execució d'ordres) i amb operacions per compte propi. Les trucades de verificació d'identitat KYC i AML estan sota règims separats, i les reunions internes de comitè que no impliquen recepció ni execució d'ordres de clients no entren a l'àmbit. Les empreses només d'assessorament d'inversions també poden acollir-se a una exempció de discreció nacional sota l'Article 3 de MiFID II, que pot substituir l'obligació completa d'enregistrament per un requisit de nota contemporània. Verifica l'àmbit específic de la teva activitat amb assessorament legal abans de decidir quines sessions requereixen el règim complet de l'Article 16(7).
L'FCA ha aplicat requisits equivalents en el seu marc SYSC 10A. Les empreses del Regne Unit haurien de tenir en compte que, des del Brexit i després de l'enunciat de política PS25/13 d'octubre de 2025 de l'FCA, les normes d'enregistrament s'han domesticat al Manual de l'FCA com un règim independent del Regne Unit. Els requisits substantius són similars, però la base legal és ara l'FCA SYSC 10A, no directament la Directiva 2014/65/UE. Les empreses amb activitat transfronterera d'assessorament Regne Unit/UE s'enfronten a obligacions de doble jurisdicció. BaFin aplica estàndards equivalents a Alemanya.
Els riscos d'incompliment són materials i van en augment. Les multes sota MiFID II poden arribar als 5 milions d'euros o el 10 % de la facturació anual, el que sigui més alt. Més enllà de les sancions econòmiques, les empreses s'enfronten a revocació de llicència, més escrutini supervisor i danys reputacionals difícils de quantificar però fàcils d'evitar.
El repte és que les plataformes construïdes per a la col·laboració empresarial general (com Zoom, Microsoft Teams i Cisco Webex) no van ser dissenyades per complir aquests requisits de sèrie. L'enregistrament normalment l'inicia l'usuari o depèn de la programació. Els valors per defecte d'emmagatzematge poden ser als EUA. La immutabilitat, el registre de cadena de custòdia i la integració d'arxiu via API són o bé absents o requereixen eines addicionals significatives. Per a empreses que necessiten videotrucades que els reguladors bancaris realment acceptin, això crea una bretxa important.
L'Article 16(7) de la Directiva 2014/65/UE és la disposició central. Exigeix que les empreses d'inversió enregistrin les converses telefòniques i les comunicacions electròniques que es refereixin a transaccions celebrades quan operin per compte propi i a la prestació de serveis d'ordres de clients que cobreixin la recepció, transmissió i execució d'ordres.
L'Article 16(7) Subapartat 2 estén l'obligació més enllà de les transaccions completades. Aquí és on moltes empreses interpreten malament l'àmbit: com va confirmar ESMA al Q&A 2416 (resposta publicada el juny de 2025), les comunicacions destinades a derivar en la conclusió de transaccions també s'han d'enregistrar, encara que finalment no es produeixi cap transacció. L'àmbit cobreix qualsevol conversa que pugui derivar en una transacció, no només les que sí ho fan.
El que s'ha de capturar va més enllà d'un simple stream d'àudio o vídeo:
La retenció sota l'Article 16(6) és com a mínim de cinc anys, ampliable a set a petició de l'autoritat competent. BaFin, per exemple, pot sol·licitar l'ampliació a set anys; les empreses que operen a Alemanya haurien de planificar set anys per defecte en lloc de tractar el període de cinc anys com un sostre fiable.
Els requisits d'accessibilitat impliquen que els enregistraments s'han de proporcionar als reguladors ràpidament sota petició i s'han de mantenir llegibles i no degradats al llarg del període de retenció. La cercabilitat per nom de client, data i assessor és una expectativa operativa, no un afegit opcional.
Infraestructura d'enregistrament controlada per l'empresa és un requisit ferm. L'orientació Q&A d'ESMA és clara: les empreses d'inversió no poden confiar en els dispositius dels participants per capturar enregistraments. L'empresa ha de controlar la infraestructura d'enregistrament. Si un client s'uneix a una videotrucada des del seu propi dispositiu i la grava localment, aquesta gravació no compleix les obligacions de l'empresa sota l'Article 16(7). La plataforma de l'empresa ha de capturar i retenir la sessió de manera independent.
La pregunta més habitual amb què es troben els responsables de compliment quan implementen fluxos d'enregistrament de vídeo és com conciliar l'obligació d'enregistrament obligatori de MiFID II amb els principis de consentiment i minimització de dades del RGPD.
La resposta és més senzilla del que sembla d'entrada.
El compliment normatiu per a enregistraments de vídeo no es limita a capturar la trucada. També implica protegir-la contra manipulació, controlar l'accés i mantenir una cadena de custòdia completa des de la creació fins a la supressió.
La base de cinc anys. L'Article 16(6) de MiFID II estableix un període mínim de retenció de cinc anys des de la data d'enregistrament. El rellotge de retenció comença a la data en què es crea l'enregistrament, no a la data en què es completa una transacció o s'executa una ordre.
Planificar per a set anys. Les autoritats competents poden ampliar l'obligació de retenció a set anys sota petició. BaFin i altres autoritats nacionals han exercit aquesta opció. Qualsevol empresa sota investigació activa o revisió supervisora pot enfrontar-se a una sol·licitud d'aquest tipus. El supòsit segur és planificar per a una retenció de set anys per defecte.
Còpia de seguretat i redundància. Les còpies de seguretat dels enregistraments s'han de separar geogràficament del repositori principal, xifrar amb els mateixos estàndards que l'emmagatzematge principal i provar regularment per a restauració. Una còpia de seguretat que no es pot restaurar amb èxit no és una còpia de seguretat conforme.
Supressió segura. Després que hagi transcorregut el període de retenció aplicable, els enregistraments s'han de suprimir de manera segura, és a dir, les dades s'han de sobreescriure de manera que sigui impossible recuperar-les. L'esdeveniment de supressió s'ha de registrar, incloent la data, l'identificador de l'enregistrament i la confirmació que la destrucció s'ha completat. Els registres de metadades (data, participants, durada, marca de temps de supressió) s'haurien de retenir després de la supressió del contingut com a prova de maneig conforme al llarg del cicle de vida.
Fes servir aquesta checklist com a marc inicial quan avaluïs plataformes de vídeo per al compliment de MiFID II el 2026. No és exhaustiva, i el teu equip legal ha de fer una avaluació completa de bretxa contra els requisits nacionals aplicables.
Hem construït la nostra plataforma per al compliment empresarial des de zero. Cada requisit de la checklist anterior es correspon amb una funció específica i documentada. Cal tenir en compte que la documentació de plataforma per si sola no substitueix la teva pròpia avaluació legal i tècnica abans de tractar qualsevol solució com a conforme per a les obligacions específiques de la teva empresa.
Enregistrar una sessió és només el primer pas. Perquè una plataforma de vídeo encaixi a la pila de compliment existent d'una empresa, ha de connectar-se amb sistemes d'arxiu, vigilància i eDiscovery sense intervenció manual.
La nostra API REST i els esdeveniments webhook proporcionen aquesta capa d'integració. Tres esdeveniments webhook clau impulsen els fluxos de compliment: session.started, session.ended i recording.available. Un patró d'arxiu típic conforme amb MiFID II funciona així:
recording.available s'activa automàticament quan finalitza una sessió.Les metadades de sessió (identificadors de sessió, llistes de participants, marques de temps, configuració de sala) es poden combinar amb dades de CRM per crear un arxiu de compliment cercable que satisfaci el requisit d'accessibilitat de MiFID II: enregistraments recuperables per nom de client, data i assessor. Per a empreses amb plataformes de vigilància existents, això vol dir que els enregistraments de vídeo s'asseuen al costat dels registres telefònics i de xat en una interfície de compliment unificada, que és exactament el model que els reguladors esperen veure.
Les plataformes empresarials estàndard comparteixen limitacions habituals que importen per al compliment de MiFID II. La taula següent mapeja cada plataforma contra els requisits que més importen per a les obligacions d'enregistrament dels serveis financers.
| Requisit | Zoom | Microsoft Teams | Cisco Webex | Digital Samba |
|---|---|---|---|---|
| Enregistrament automàtic al servidor | Parcial: aplicable per admin via política de grup; possible bypass via enregistrament local | Parcial: aplicable per admin via política de reunions; llacunes per a alguns tipus de sessió | Parcial: requereix configuració d'admin | Sí: natiu, al servidor, aplicat per política per sala (sense acció d'amfitrió) |
| Cobreix trucades P2P i no programades | Parcial: només sessions programades per defecte | No: trucades P2P i xats privats no es capturen | Parcial | Sí: tots els tipus de sala configurables |
| Residència de dades només a la UE (nativa) | Parcial: per defecte als EUA; emmagatzematge UE via configuració regional en plans de pagament | No: requereix configuració de tenant UE específica | Sí: residència UE completa (Frankfurt/Amsterdam); aprovació EDPS juliol 2023 | Sí: Països Baixos (producció), Alemanya (còpia de seguretat); cap dada fora de la UE |
| Exposició a la US CLOUD Act | Sí: incorporada als EUA | Sí: incorporada als EUA | Parcial: l'allotjament UE redueix l'exposició; producte amb controls sobirans amb gestió de claus a la UE (Eviden, Deutsche Telekom) | Cap: amb seu a la UE (Espanya); cap entitat dels EUA tracta dades d'enregistrament o sessió |
| Xifratge AES-256 en repòs | Sí | Sí | Sí | Sí |
| Xifratge d'extrem a extrem (E2EE) | Opcional: desactiva l'enregistrament al núvol | Limitat: restringeix l'enregistrament de compliment | Opcional: desactiva l'enregistrament al servidor | Sí: configurable per sala (E2EE actiu per a interns, desactivat per a sessions de client enregistrades) |
| Emmagatzematge evident davant manipulació / verificació d'integritat | Sí, però requereix eines de tercers | Sí, però requereix eines de tercers | Sí, però requereix eines de tercers | Sí, però requereix eines de tercers |
| Registre d'auditoria immutable per a accés a enregistraments | Sí, però requereix eines de tercers | Sí, però requereix eines de tercers | Sí, però requereix eines de tercers | Sí, però requereix eines de tercers |
| Retenció configurable fins a 7 anys | Sí: polítiques de retenció configurables per admin | Sí: configurable via Microsoft Purview | Sí: configurable via Control Hub | Sí: supressió controlada pel client via panell o API |
| REST API / webhook per a exportació d'arxiu | Sí | Sí | Sí | Sí: esdeveniment webhook recording.available per a exportació directa |
| Opció de desplegament on-premises | No | No | Parcial: gateway on-premises en configuracions específiques | Sí: desplegament complet on-premises amb claus de xifratge controlades pel client |
| DPA conforme amb l'Article 28 del RGPD disponible | Sí | Sí | Sí | Sí |
Els enregistradors de compliment certificats com ASC Technologies, Theta Lake, NICE, Verint i Global Relay són l'enfocament establert de la indústria per estendre qualsevol plataforma de videoconferència fins a satisfer els requisits complets de tamper-evidence i retenció amb grau d'auditoria de MiFID II. Els utilitzen moltes de les empreses regulades més grans d'Europa i estan reconeguts per ESMA. Les preguntes rellevants per a qualsevol decisió de contractació són el cost total, l'esforç d'integració i com de net s'integren les capacitats natives de la plataforma (residència, control d'enregistrament, accés a API) amb l'arxiu triat. Avalua totes les plataformes contra els teus requisits reguladors i amb la guia d'assessors legals qualificats.
MiFID II (Directiva 2014/65/UE sobre mercats d'instruments financers) és el marc regulador de la UE per als serveis d'inversió. Estableix obligacions per a la transparència de mercat, la protecció de l'inversor i el manteniment de registres, incloent l'obligació d'enregistrar les comunicacions amb clients relacionades amb ordres i transaccions.
Sí, si la trucada pot derivar en la prestació de serveis d'inversió o l'execució de transaccions. L'Article 16(7) tracta les videotrucades com a "comunicacions electròniques" sotmeses al mateix règim d'enregistrament que les trucades telefòniques. ESMA ha confirmat aquesta posició al Q&A 2416.
L'Article 16(6) estableix un mínim de cinc anys des de la data d'enregistrament. Les autoritats nacionals competents (com BaFin) poden ampliar aquest període a set anys. La planificació prudent és assumir set anys per defecte.
Les multes poden arribar als 5 milions d'euros o el 10 % de la facturació anual, el que sigui més alt. Més enllà de les sancions econòmiques, les empreses s'enfronten a revocació de llicència, més escrutini supervisor i danys reputacionals.
Tècnicament és possible, però amb limitacions importants. La residència de dades per defecte de Zoom als EUA, l'exposició a la US CLOUD Act i les configuracions d'enregistrament dependents d'usuari requereixen capes de control addicionals (com enregistradors de compliment certificats com ASC, Theta Lake o NICE) per arribar a una postura totalment conforme. La pregunta clau de contractació és el cost total i l'esforç d'integració.
El consentiment no és la base legal correcta per a l'enregistrament regulador. La base és l'obligació legal sota l'Article 6(1)(c) del RGPD. El client té dret a ser informat (Articles 13/14) i a sol·licitar accés (Article 15), però no pot exigir la supressió mentre la retenció sigui obligatòria sota MiFID II (Article 17(3)(b) del RGPD).
Sí, però com a règim domèstic del Regne Unit. Després del Brexit i de la política PS25/13 d'octubre de 2025 de l'FCA, les normes d'enregistrament s'han domesticat al Manual de l'FCA com a SYSC 10A. Els requisits substantius són similars a MiFID II, però la base legal és ara FCA SYSC 10A, no directament la Directiva 2014/65/UE. Les empreses amb activitat transfronterera UK/UE s'enfronten a obligacions de doble jurisdicció.
Les obligacions d'enregistrament de MiFID II sempre s'han estès a les videotrucades. El que ha canviat és el volum d'activitat d'assessorament basada en vídeo que ara entra a l'àmbit i la intensitat de l'aplicació reguladora que s'aplica a les empreses que no tracten el vídeo com el canal de comunicació regulat que és.
Una plataforma de vídeo de gamma consumidora amb enregistrament opcional no és infraestructura conforme. El que el compliment de MiFID II realment exigeix el 2026 és enregistrament automàtic al servidor, xifratge amb verificació d'integritat, residència de dades a la UE, control d'accés basat en rols, registre d'auditoria complet i integració d'arxiu via API a la teva pila de compliment existent. Això és el que hem construït Digital Samba per proporcionar.