MiFID II i videoconferència: compliment financer 2026

Written by Digital Samba | Jul 8, 2026 4:00:01 AM

Avís legal: Aquest article és només a títol informatiu i no constitueix assessorament jurídic. Els requisits sota MiFID II, RGPD i la normativa nacional aplicable varien segons el tipus d'entitat, la jurisdicció i l'activitat. Consulta amb assessors legals qualificats per a orientació específica per a la teva organització.

El 2024, les autoritats nacionals competents arreu de l'Espai Econòmic Europeu van imposar 294 sancions específicament sota MiFID II i MiFIR, per un total de gairebé 44,5 milions d'euros, segons l'Annual Sanctions Report 2024 d'ESMA. Considerant totes les regulacions financeres de la UE en conjunt, els reguladors van imposar més de 970 sancions per un agregat de més de 100 milions d'euros aquell mateix any. MiFID II/MiFIR va ser, juntament amb el Reglament d'Abús de Mercat, un dels dos règims més fortament aplicats. Moltes d'aquestes actuacions implicaven errors en l'enregistrament i retenció de comunicacions amb clients. Aquesta categoria ara inclou explícitament les videotrucades.

L'assessoria híbrida ja no és una solució provisional de la pandèmia. És el predeterminat. Gestors patrimonials, assessors d'inversions i responsables de compliment fan reunions amb clients i sessions d'assessorament en plataformes de vídeo cada dia. L'expectativa reguladora d'ESMA, FCA i BaFin és que la mateixa disciplina aplicada durant anys a l'enregistrament telefònic ara s'ha d'estendre a totes les videotrucades on es discuteixin o es prestin serveis d'inversió.

El problema és que la majoria de plataformes de vídeo no es van construir pensant en això. Aquest article cobreix què exigeix realment MiFID II per a l'enregistrament de vídeo, com es creua amb el RGPD i com és una infraestructura de vídeo genuïnament conforme a la pràctica.

Continguts

  1. Per què els serveis financers necessiten videoconferència específica
  2. Requisits d'enregistrament de MiFID II: què diu realment la llei
  3. Intersecció amb el RGPD: complir totes dues obligacions
  4. Xifratge, integritat i pista d'auditoria
  5. Polítiques de retenció per a registres de vídeo financers
  6. Checklist d'avaluació: com triar plataforma per al compliment financer
  7. Com Digital Samba compleix els requisits de compliment financer
  8. Integració amb infraestructura de compliment financer
  9. Comparativa: Zoom, Teams, Webex i Digital Samba
  10. FAQ

Per què els serveis financers necessiten videoconferència específica

El canvi de l'assessoria telefònica a la videoconferència ha estat estructural i durador. El treball híbrid post-COVID va accelerar una transició ja en marxa, i els reguladors han adaptat les seves expectatives en conseqüència.

Sota MiFID II, les videotrucades qualifiquen com a "comunicacions electròniques" als efectes de l'obligació d'enregistrament de l'Article 16(7). ESMA ha estat coherent en aquest punt: l'expectativa reguladora no es limita a trucades telefòniques. Qualsevol comunicació feta a través d'una plataforma que pugui derivar en la prestació de serveis d'inversió o en l'execució d'una transacció entra dins l'àmbit, sigui quin sigui el canal utilitzat. L'àmbit és més estret del que pot semblar a primera vista, però. L'Article 16(7) s'aplica específicament a comunicacions relacionades amb serveis d'ordres de clients (recepció, transmissió i execució d'ordres) i amb operacions per compte propi. Les trucades de verificació d'identitat KYC i AML estan sota règims separats, i les reunions internes de comitè que no impliquen recepció ni execució d'ordres de clients no entren a l'àmbit. Les empreses només d'assessorament d'inversions també poden acollir-se a una exempció de discreció nacional sota l'Article 3 de MiFID II, que pot substituir l'obligació completa d'enregistrament per un requisit de nota contemporània. Verifica l'àmbit específic de la teva activitat amb assessorament legal abans de decidir quines sessions requereixen el règim complet de l'Article 16(7).

L'FCA ha aplicat requisits equivalents en el seu marc SYSC 10A. Les empreses del Regne Unit haurien de tenir en compte que, des del Brexit i després de l'enunciat de política PS25/13 d'octubre de 2025 de l'FCA, les normes d'enregistrament s'han domesticat al Manual de l'FCA com un règim independent del Regne Unit. Els requisits substantius són similars, però la base legal és ara l'FCA SYSC 10A, no directament la Directiva 2014/65/UE. Les empreses amb activitat transfronterera d'assessorament Regne Unit/UE s'enfronten a obligacions de doble jurisdicció. BaFin aplica estàndards equivalents a Alemanya.

Els riscos d'incompliment són materials i van en augment. Les multes sota MiFID II poden arribar als 5 milions d'euros o el 10 % de la facturació anual, el que sigui més alt. Més enllà de les sancions econòmiques, les empreses s'enfronten a revocació de llicència, més escrutini supervisor i danys reputacionals difícils de quantificar però fàcils d'evitar.

El repte és que les plataformes construïdes per a la col·laboració empresarial general (com Zoom, Microsoft Teams i Cisco Webex) no van ser dissenyades per complir aquests requisits de sèrie. L'enregistrament normalment l'inicia l'usuari o depèn de la programació. Els valors per defecte d'emmagatzematge poden ser als EUA. La immutabilitat, el registre de cadena de custòdia i la integració d'arxiu via API són o bé absents o requereixen eines addicionals significatives. Per a empreses que necessiten videotrucades que els reguladors bancaris realment acceptin, això crea una bretxa important.

Requisits d'enregistrament de MiFID II: què diu realment la llei

L'Article 16(7) de la Directiva 2014/65/UE és la disposició central. Exigeix que les empreses d'inversió enregistrin les converses telefòniques i les comunicacions electròniques que es refereixin a transaccions celebrades quan operin per compte propi i a la prestació de serveis d'ordres de clients que cobreixin la recepció, transmissió i execució d'ordres.

L'Article 16(7) Subapartat 2 estén l'obligació més enllà de les transaccions completades. Aquí és on moltes empreses interpreten malament l'àmbit: com va confirmar ESMA al Q&A 2416 (resposta publicada el juny de 2025), les comunicacions destinades a derivar en la conclusió de transaccions també s'han d'enregistrar, encara que finalment no es produeixi cap transacció. L'àmbit cobreix qualsevol conversa que pugui derivar en una transacció, no només les que sí ho fan.

El que s'ha de capturar va més enllà d'un simple stream d'àudio o vídeo:

  • Streams d'àudio i vídeo, combinats amb qualsevol activitat de compartició de pantalla
  • Identitats dels participants: nom, rol, afiliació a empresa quan correspongui
  • Marques de temps d'inici i final i durada de la sessió
  • Metadades de sessió: identificador de sala o reunió, mètode de connexió, esdeveniments d'entrada/sortida de participants
  • Missatges de xat intercanviats durant la sessió

La retenció sota l'Article 16(6) és com a mínim de cinc anys, ampliable a set a petició de l'autoritat competent. BaFin, per exemple, pot sol·licitar l'ampliació a set anys; les empreses que operen a Alemanya haurien de planificar set anys per defecte en lloc de tractar el període de cinc anys com un sostre fiable.

Els requisits d'accessibilitat impliquen que els enregistraments s'han de proporcionar als reguladors ràpidament sota petició i s'han de mantenir llegibles i no degradats al llarg del període de retenció. La cercabilitat per nom de client, data i assessor és una expectativa operativa, no un afegit opcional.

Infraestructura d'enregistrament controlada per l'empresa és un requisit ferm. L'orientació Q&A d'ESMA és clara: les empreses d'inversió no poden confiar en els dispositius dels participants per capturar enregistraments. L'empresa ha de controlar la infraestructura d'enregistrament. Si un client s'uneix a una videotrucada des del seu propi dispositiu i la grava localment, aquesta gravació no compleix les obligacions de l'empresa sota l'Article 16(7). La plataforma de l'empresa ha de capturar i retenir la sessió de manera independent.

Intersecció amb el RGPD: complir totes dues obligacions

La pregunta més habitual amb què es troben els responsables de compliment quan implementen fluxos d'enregistrament de vídeo és com conciliar l'obligació d'enregistrament obligatori de MiFID II amb els principis de consentiment i minimització de dades del RGPD.

La resposta és més senzilla del que sembla d'entrada.

  • Base legal per a l'enregistrament. L'Article 6(1)(c) del RGPD proporciona una base legal per al tractament quan és necessari per complir una obligació legal. L'Article 16(7) de MiFID II és precisament una obligació legal d'aquest tipus. No es requereix consentiment explícit del participant, i no se n'hauria de dependre, perquè el consentiment es pot retirar. La base d'obligació legal és la correcta i adequada per a l'enregistrament regulador.
  • La transparència segueix sent obligatòria. Els Articles 13 i 14 del RGPD exigeixen que els interessats siguin informats sobre el tractament de les seves dades personals. Per a enregistraments de videotrucades, això vol dir que els participants han de ser informats a l'inici de la sessió que la trucada s'està enregistrant i amb quina finalitat. L'enfocament estàndard és una divulgació automatitzada a l'inici de la sessió: "Aquesta trucada s'està enregistrant per finalitats de compliment normatiu d'acord amb els requisits de MiFID II". Això satisfà el requisit de transparència del RGPD sense requerir consentiment actiu.
  • Drets dels interessats durant el període de retenció. Els clients poden exercir el seu dret d'accés de l'Article 15 per sol·licitar una còpia del seu enregistrament. Tanmateix, el dret de supressió de l'Article 17 no anul·la l'obligació de retenció de MiFID II. Quan una obligació legal exigeix que es retenguin les dades, el responsable no està obligat a complir una sol·licitud de supressió. L'Article 17(3)(b) del RGPD ho fa explícit. L'enregistrament s'ha de conservar durant tot el període regulador.
  • El conflicte de retenció es resol a favor de MiFID II. El principi de limitació d'emmagatzematge del RGPD exigeix que les dades personals no es conservin més temps del necessari per a la finalitat per a la qual es van tractar. El requisit de retenció de cinc a set anys de MiFID II és l'obligació legal específica que defineix "necessari" en aquest context. MiFID II opera com a lex specialis, és a dir, la norma més específica preval. Les empreses no haurien de suprimir enregistraments per complir el RGPD si MiFID II exigeix que es retenguin.
  • Consideracions transfrontereres. Quan un client té seu en una jurisdicció diferent de la de l'assessor dins la UE, s'apliquen els requisits de residència de dades d'ambdues jurisdiccions. Els enregistraments s'han d'emmagatzemar dins d'infraestructura de la UE i, quan la llei nacional imposi requisits addicionals (per exemple, els requisits alemanys de localització de dades per a determinades activitats regulades), aquests també s'han de respectar.

Xifratge, integritat i pista d'auditoria

El compliment normatiu per a enregistraments de vídeo no es limita a capturar la trucada. També implica protegir-la contra manipulació, controlar l'accés i mantenir una cadena de custòdia completa des de la creació fins a la supressió.

  • Requisits de xifratge. Els enregistraments s'han de protegir contra l'accés no autoritzat (confidencialitat) i contra l'alteració (integritat). La base reguladora per al xifratge en repòs és l'Article 32 del RGPD, que exigeix mesures tècniques i organitzatives adequades per protegir les dades personals. El xifratge AES-256 per a enregistraments emmagatzemats i dades de còpia de seguretat és l'estàndard actual de la indústria per satisfer aquest requisit. L'Article 76 del Reglament Delegat de la Comissió 2017/565 estableix el marc de política i qualitat per als enregistraments, inclosos els requisits d'emmagatzematge a prova de manipulació, però l'estàndard específic de xifratge deriva de l'Article 32 del RGPD.
  • Verificació d'integritat. Un hash criptogràfic generat en el punt de captura proporciona un mecanisme evident davant la manipulació: si el fitxer d'enregistrament es modifica posteriorment, el hash ja no coincidirà. Alguns reguladors interpreten el requisit de "no degradat" com a implicació d'emmagatzematge només d'addició o conforme amb WORM (Write Once Read Many), que evita tant la sobreescriptura com la supressió abans que finalitzi el període de retenció.
  • Requisits de pista d'auditoria. Cada accés a un enregistrament s'ha de registrar: qui hi va accedir, quan, des de quin sistema i amb quina finalitat declarada. Aquesta cadena de custòdia serveix com a registre evidencial del maneig correcte al llarg del cicle de vida de retenció. El propi registre d'auditoria s'ha d'emmagatzemar separat dels enregistraments i s'ha de protegir contra modificació.
  • Cadena de custòdia des de la creació fins a la supressió. El compliment no acaba al punt de captura. Les empreses han de poder demostrar custòdia contínua i controlada de cada enregistrament des del moment en què es crea fins que es suprimeix de manera segura després del període de retenció. La supressió després del període de retenció s'ha de documentar: marca de temps de supressió, confirmació que el contingut ha estat destruït de manera segura i un registre de metadades retingut que confirmi quan es va crear l'enregistrament i quan es va destruir.

Polítiques de retenció per a registres de vídeo financers

  • La base de cinc anys. L'Article 16(6) de MiFID II estableix un període mínim de retenció de cinc anys des de la data d'enregistrament. El rellotge de retenció comença a la data en què es crea l'enregistrament, no a la data en què es completa una transacció o s'executa una ordre.

  • Planificar per a set anys. Les autoritats competents poden ampliar l'obligació de retenció a set anys sota petició. BaFin i altres autoritats nacionals han exercit aquesta opció. Qualsevol empresa sota investigació activa o revisió supervisora pot enfrontar-se a una sol·licitud d'aquest tipus. El supòsit segur és planificar per a una retenció de set anys per defecte.

  • Còpia de seguretat i redundància. Les còpies de seguretat dels enregistraments s'han de separar geogràficament del repositori principal, xifrar amb els mateixos estàndards que l'emmagatzematge principal i provar regularment per a restauració. Una còpia de seguretat que no es pot restaurar amb èxit no és una còpia de seguretat conforme.

  • Supressió segura. Després que hagi transcorregut el període de retenció aplicable, els enregistraments s'han de suprimir de manera segura, és a dir, les dades s'han de sobreescriure de manera que sigui impossible recuperar-les. L'esdeveniment de supressió s'ha de registrar, incloent la data, l'identificador de l'enregistrament i la confirmació que la destrucció s'ha completat. Els registres de metadades (data, participants, durada, marca de temps de supressió) s'haurien de retenir després de la supressió del contingut com a prova de maneig conforme al llarg del cicle de vida.

Checklist d'avaluació: com triar una plataforma per al compliment financer

Fes servir aquesta checklist com a marc inicial quan avaluïs plataformes de vídeo per al compliment de MiFID II el 2026. No és exhaustiva, i el teu equip legal ha de fer una avaluació completa de bretxa contra els requisits nacionals aplicables.

Infraestructura d'enregistrament

  • Enregistrament automàtic al servidor, no iniciat per l'usuari ni depenent de l'acció del participant
  • Aplicació configurable per tipus de sala, perquè els responsables de compliment puguin imposar l'enregistrament a totes les sales orientades al client
  • Sortida que inclou àudio, vídeo i compartició de pantalla combinats en un format durador i no propietari (MP4)

Xifratge i integritat

  • Xifratge AES-256 en repòs per a tots els enregistraments i còpies de seguretat
  • TLS 1.3 / DTLS-SRTP per a streams de mèdia en trànsit
  • Emmagatzematge evident davant la manipulació (hash criptogràfic o conforme amb WORM)

Control d'accés i pista d'auditoria

  • Control d'accés basat en rols per a la reproducció, descàrrega i supressió d'enregistraments
  • Registres d'accés immutables: qui ha accedit a cada enregistrament, quan i des de quin sistema
  • Registres emmagatzemats separadament de l'emmagatzematge d'enregistraments de producció

Retenció i supressió

  • Períodes de retenció configurables (mínim 5 anys, fins a 7)
  • Supressió segura amb prova documentada de destrucció
  • Retenció de metadades després de la supressió de contingut

Residència de dades a la UE

  • Tots els enregistraments emmagatzemats dins d'infraestructura de la UE
  • Cap dada transferida a infraestructura de tercer país sense salvaguardes adequades
  • Subencarregats identificats, amb ubicacions de la UE confirmades al DPA

Integració d'arxiu

  • Exportació via REST API o webhook a sistemes d'arxiu de compliment (NICE, Verint, Global Relay)
  • Metadades de sessió accessibles juntament amb el contingut de l'enregistrament per a un arxiu cercable

DPA i documentació de compliment

  • Acord de Tractament de Dades conforme amb l'Article 28 del RGPD disponible
  • Security whitepaper o documentació d'arquitectura equivalent disponible per a revisió reguladora

Com Digital Samba compleix els requisits de compliment financer

Hem construït la nostra plataforma per al compliment empresarial des de zero. Cada requisit de la checklist anterior es correspon amb una funció específica i documentada. Cal tenir en compte que la documentació de plataforma per si sola no substitueix la teva pròpia avaluació legal i tècnica abans de tractar qualsevol solució com a conforme per a les obligacions específiques de la teva empresa.

  • Infraestructura d'enregistrament. L'API d'Enregistraments permet captura al servidor que és automàtica, basada en política i no dependent de cap acció del participant. Els responsables de compliment poden configurar l'enregistrament automàtic a nivell de sala, garantint que cada sessió amb client es captura sense dependre dels amfitrions per iniciar l'enregistrament manualment. La sortida és un fitxer MP4 combinat (àudio, vídeo i compartició de pantalla) accessible via l'API REST o el panell de control.
  • Xifratge en repòs. S'aplica xifratge AES-256 a tots els enregistraments emmagatzemats i dades de còpia de seguretat, satisfent el requisit de l'Article 32 del RGPD sobre mesures tècniques adequades. La gestió de claus de xifratge segueix una política de criptografia definida.
  • Xifratge en trànsit. TLS 1.3 és l'estàndard per a tot el trànsit web (TLS 1.2 mínim), amb DTLS-SRTP per a streams de mèdia (§3.1). HSTS s'aplica a tots els serveis web.
  • Control d'accés. RBAC amb rols host, moderador i participant s'aplica al servidor perquè els clients no puguin escalar els seus propis permisos (§4.2). Les claus d'API tenen abast restringit a operacions específiques. L'autenticació per token per sessió garanteix que només els participants preautoritzats poden unir-se.
  • Registre d'auditoria. La plataforma registra esdeveniments d'autenticació, accés a l'API, accions administratives i esdeveniments de seguretat (§12). Els registres d'auditoria s'emmagatzemen separats dels sistemes de producció.
  • Residència de dades a la UE. La infraestructura de producció està allotjada als Països Baixos i a diversos països de la UE via Scaleway; la infraestructura de còpia de seguretat és a Alemanya. Cap dada d'aplicació o sessió s'emmagatzema fora de la UE (§9.4). Els subencarregats d'infraestructura inclouen Leaseweb NL, Leaseweb DE, Scaleway i Exoscale; la llista completa de subencarregats està disponible al DPA sota petició.
  • Còpia de seguretat i recuperació. Còpies de seguretat diàries amb retenció rotatòria de 90 dies, xifrades amb AES-256, separades geogràficament dels Països Baixos a Alemanya (§7.2). Les proves trimestrals de restauració confirmen la recuperabilitat.
  • Integració d'arxiu. L'API REST proporciona accés programàtic a enregistraments, metadades de sessió i dades de participants. Les empreses poden exportar als seus propis sistemes d'arxiu o vigilància de manera programada o basada en esdeveniments via webhooks (vegeu el detall d'integració més avall).
  • Desplegament on-premises. Per a empreses que requereixen control total de la infraestructura (per exemple, bancs privats amb requisits estrictes de sobirania de dades), oferim un desplegament on-premises. El client opera tots els components de la plataforma a la seva pròpia infraestructura, gestiona les seves pròpies claus de xifratge i controla la retenció de dades de manera independent (§2).
  • E2EE per a sessions internes. Per a trucades de consell, discussions estratègiques internes o qualsevol sessió on no es requereixi enregistrament regulador, l'E2EE proporciona màxima confidencialitat (§3.3). L'E2EE desactiva l'enregistrament al servidor per disseny, que és la decisió arquitectònica correcta. Els responsables de compliment poden configurar per sala: E2EE actiu per a trucades internes, E2EE desactivat amb enregistrament automàtic actiu per a sessions d'assessorament amb clients.
  • DPA. Disponible sota petició, cobrint l'enregistrament de vídeo com a activitat de tractament. Conforme amb l'Article 28 del RGPD amb tots els proveïdors d'infraestructura (§8.2). Contacta amb security@digitalsamba.com per sol·licitar-lo.

Integració amb infraestructura de compliment financer

Enregistrar una sessió és només el primer pas. Perquè una plataforma de vídeo encaixi a la pila de compliment existent d'una empresa, ha de connectar-se amb sistemes d'arxiu, vigilància i eDiscovery sense intervenció manual.

La nostra API REST i els esdeveniments webhook proporcionen aquesta capa d'integració. Tres esdeveniments webhook clau impulsen els fluxos de compliment: session.started, session.ended i recording.available. Un patró d'arxiu típic conforme amb MiFID II funciona així:

  1. El webhook recording.available s'activa automàticament quan finalitza una sessió.
  2. La capa d'integració de l'empresa descarrega l'enregistrament via API REST.
  3. El fitxer s'ingesta al sistema d'arxiu (NICE, Verint, Global Relay o equivalent).
  4. El sistema d'arxiu confirma la ingesta correcta.
  5. L'enregistrament s'elimina opcionalment de l'emmagatzematge de Digital Samba, amb el sistema d'arxiu mantenint ara la còpia de registre.

Les metadades de sessió (identificadors de sessió, llistes de participants, marques de temps, configuració de sala) es poden combinar amb dades de CRM per crear un arxiu de compliment cercable que satisfaci el requisit d'accessibilitat de MiFID II: enregistraments recuperables per nom de client, data i assessor. Per a empreses amb plataformes de vigilància existents, això vol dir que els enregistraments de vídeo s'asseuen al costat dels registres telefònics i de xat en una interfície de compliment unificada, que és exactament el model que els reguladors esperen veure.

Comparativa: Zoom, Teams, Webex i Digital Samba

Les plataformes empresarials estàndard comparteixen limitacions habituals que importen per al compliment de MiFID II. La taula següent mapeja cada plataforma contra els requisits que més importen per a les obligacions d'enregistrament dels serveis financers.

Requisit Zoom Microsoft Teams Cisco Webex Digital Samba
Enregistrament automàtic al servidor Parcial: aplicable per admin via política de grup; possible bypass via enregistrament local Parcial: aplicable per admin via política de reunions; llacunes per a alguns tipus de sessió Parcial: requereix configuració d'admin Sí: natiu, al servidor, aplicat per política per sala (sense acció d'amfitrió)
Cobreix trucades P2P i no programades Parcial: només sessions programades per defecte No: trucades P2P i xats privats no es capturen Parcial Sí: tots els tipus de sala configurables
Residència de dades només a la UE (nativa) Parcial: per defecte als EUA; emmagatzematge UE via configuració regional en plans de pagament No: requereix configuració de tenant UE específica Sí: residència UE completa (Frankfurt/Amsterdam); aprovació EDPS juliol 2023 Sí: Països Baixos (producció), Alemanya (còpia de seguretat); cap dada fora de la UE
Exposició a la US CLOUD Act Sí: incorporada als EUA Sí: incorporada als EUA Parcial: l'allotjament UE redueix l'exposició; producte amb controls sobirans amb gestió de claus a la UE (Eviden, Deutsche Telekom) Cap: amb seu a la UE (Espanya); cap entitat dels EUA tracta dades d'enregistrament o sessió
Xifratge AES-256 en repòs
Xifratge d'extrem a extrem (E2EE) Opcional: desactiva l'enregistrament al núvol Limitat: restringeix l'enregistrament de compliment Opcional: desactiva l'enregistrament al servidor Sí: configurable per sala (E2EE actiu per a interns, desactivat per a sessions de client enregistrades)
Emmagatzematge evident davant manipulació / verificació d'integritat Sí, però requereix eines de tercers Sí, però requereix eines de tercers Sí, però requereix eines de tercers Sí, però requereix eines de tercers
Registre d'auditoria immutable per a accés a enregistraments Sí, però requereix eines de tercers Sí, però requereix eines de tercers Sí, però requereix eines de tercers Sí, però requereix eines de tercers
Retenció configurable fins a 7 anys Sí: polítiques de retenció configurables per admin Sí: configurable via Microsoft Purview Sí: configurable via Control Hub Sí: supressió controlada pel client via panell o API
REST API / webhook per a exportació d'arxiu Sí: esdeveniment webhook recording.available per a exportació directa
Opció de desplegament on-premises No No Parcial: gateway on-premises en configuracions específiques Sí: desplegament complet on-premises amb claus de xifratge controlades pel client
DPA conforme amb l'Article 28 del RGPD disponible

Els enregistradors de compliment certificats com ASC Technologies, Theta Lake, NICE, Verint i Global Relay són l'enfocament establert de la indústria per estendre qualsevol plataforma de videoconferència fins a satisfer els requisits complets de tamper-evidence i retenció amb grau d'auditoria de MiFID II. Els utilitzen moltes de les empreses regulades més grans d'Europa i estan reconeguts per ESMA. Les preguntes rellevants per a qualsevol decisió de contractació són el cost total, l'esforç d'integració i com de net s'integren les capacitats natives de la plataforma (residència, control d'enregistrament, accés a API) amb l'arxiu triat. Avalua totes les plataformes contra els teus requisits reguladors i amb la guia d'assessors legals qualificats.

FAQ

Què és MiFID II?

MiFID II (Directiva 2014/65/UE sobre mercats d'instruments financers) és el marc regulador de la UE per als serveis d'inversió. Estableix obligacions per a la transparència de mercat, la protecció de l'inversor i el manteniment de registres, incloent l'obligació d'enregistrar les comunicacions amb clients relacionades amb ordres i transaccions.

Cal enregistrar les videotrucades sota MiFID II?

Sí, si la trucada pot derivar en la prestació de serveis d'inversió o l'execució de transaccions. L'Article 16(7) tracta les videotrucades com a "comunicacions electròniques" sotmeses al mateix règim d'enregistrament que les trucades telefòniques. ESMA ha confirmat aquesta posició al Q&A 2416.

Quant temps s'han de retenir els enregistraments de vídeo sota MiFID II?

L'Article 16(6) estableix un mínim de cinc anys des de la data d'enregistrament. Les autoritats nacionals competents (com BaFin) poden ampliar aquest període a set anys. La planificació prudent és assumir set anys per defecte.

Quines són les sancions per incompliment de MiFID II?

Les multes poden arribar als 5 milions d'euros o el 10 % de la facturació anual, el que sigui més alt. Més enllà de les sancions econòmiques, les empreses s'enfronten a revocació de llicència, més escrutini supervisor i danys reputacionals.

Puc utilitzar Zoom per a trucades regulades per MiFID II?

Tècnicament és possible, però amb limitacions importants. La residència de dades per defecte de Zoom als EUA, l'exposició a la US CLOUD Act i les configuracions d'enregistrament dependents d'usuari requereixen capes de control addicionals (com enregistradors de compliment certificats com ASC, Theta Lake o NICE) per arribar a una postura totalment conforme. La pregunta clau de contractació és el cost total i l'esforç d'integració.

Com es concilia MiFID II amb el RGPD si el client retira el consentiment?

El consentiment no és la base legal correcta per a l'enregistrament regulador. La base és l'obligació legal sota l'Article 6(1)(c) del RGPD. El client té dret a ser informat (Articles 13/14) i a sol·licitar accés (Article 15), però no pot exigir la supressió mentre la retenció sigui obligatòria sota MiFID II (Article 17(3)(b) del RGPD).

L'FCA encara aplica MiFID II al Regne Unit després del Brexit?

Sí, però com a règim domèstic del Regne Unit. Després del Brexit i de la política PS25/13 d'octubre de 2025 de l'FCA, les normes d'enregistrament s'han domesticat al Manual de l'FCA com a SYSC 10A. Els requisits substantius són similars a MiFID II, però la base legal és ara FCA SYSC 10A, no directament la Directiva 2014/65/UE. Les empreses amb activitat transfronterera UK/UE s'enfronten a obligacions de doble jurisdicció.

Com és una infraestructura de vídeo conforme el 2026

Les obligacions d'enregistrament de MiFID II sempre s'han estès a les videotrucades. El que ha canviat és el volum d'activitat d'assessorament basada en vídeo que ara entra a l'àmbit i la intensitat de l'aplicació reguladora que s'aplica a les empreses que no tracten el vídeo com el canal de comunicació regulat que és.

Una plataforma de vídeo de gamma consumidora amb enregistrament opcional no és infraestructura conforme. El que el compliment de MiFID II realment exigeix el 2026 és enregistrament automàtic al servidor, xifratge amb verificació d'integritat, residència de dades a la UE, control d'accés basat en rols, registre d'auditoria complet i integració d'arxiu via API a la teva pila de compliment existent. Això és el que hem construït Digital Samba per proporcionar.

  • Demana una demo per veure les funcions d'enregistrament, xifratge i compliment en acció.
  • Descarrega el nostre Security Whitepaper per als detalls tècnics complets d'arquitectura, incloent especificacions de xifratge, control d'accés i documentació de subencarregats.
  • Explora les funcions de la plataforma per a una visió completa de les capacitats d'enregistrament i compliment.