MiFID II y la obligación de archivo para los proveedores de servicios de inversión
Las empresas de inversión, las gestoras de patrimonio y los asesores de inversión están sujetos a MiFID II. Una parte esencial de esa directiva es la obligación de registro y archivo. Cada conversación relevante, cada instrucción y cada confirmación de orden debe quedar registrada de forma reproducible. Esta obligación genera un archivo considerable, tanto digital como en papel. Este artículo aborda qué plazos se aplican y cómo una oficina destruye el material de forma ordenada una vez vencidos.
¿Qué hay que registrar?
MiFID II (art. 16 apdo. 7 y reglamentos de ejecución) prescribe, entre otras cosas, lo siguiente.
- Conversaciones telefónicas que puedan dar lugar a una transacción.
- Comunicación electrónica (correo, chat, plataformas de mensajería) en torno al asesoramiento y las órdenes.
- Órdenes recibidas y transmitidas (order routing records).
- Clasificación de clientes y evaluaciones de idoneidad.
- Documentación de costes y de conflictos de interés.
Plazo de conservación: cinco años como regla general
El plazo estándar bajo MiFID II es de cinco años. La autoridad competente (en los Países Bajos la AFM) puede ampliar ese plazo hasta siete años, algo que en la práctica ocurre con regularidad en los datos que pueden ser relevantes para una investigación de abuso de mercado. Por eso muchas oficinas aplican un plazo de conservación firme de siete años para la comunicación y las órdenes relevantes de MiFID II, en paralelo con el plazo fiscal de 7 años.
Una vez vencido el plazo, seguir conservando se convierte en un problema. La limitación de conservación del RGPD (art. 5 RGPD) exige que los datos personales no se conserven más tiempo del necesario. En cuanto decae la base de MiFID II, hay que borrar o destruir, salvo que exista otra base (por ejemplo un litigio en curso o un documento de relevancia fiscal dentro del plazo de siete años).
Documentos de órdenes en papel y back-office
Muchos proveedores de servicios de inversión todavía tienen albaranes de órdenes en papel, confirmaciones impresas, documentos de entrevista y formularios de cumplimiento. Estos documentos contienen números BSN, números de cuenta, datos patrimoniales y copias de identificación. Una trituradora de oficina estándar no basta. La norma para los datos financieros confidenciales es DIN 66399 P-5.
Soportes digitales
Las grabaciones de conversaciones, las copias de seguridad y los archivos de correo guardados suelen estar en SSD, discos duros externos, cintas LTO o sistemas NAS. Al final de su vida útil o una vez vencido el plazo de conservación, también esos soportes deben destruirse. Para las cintas y discos que contienen comunicación de clientes, la norma relevante es DIN 66399 H-4 (soportes papel-magnéticos) o E-4 (soportes electrónicos). Para las cintas LTO consulta también eliminar cintas de copia y LTO.
Entregar las grabaciones de conversaciones a un tercero para su destrucción sin un método móvil significa que la comunicación sensible de los clientes abandona la ubicación. Eso aumenta el riesgo de la cadena de forma innecesaria.
Los momentos de transición en los que destruyes
Hay cuatro momentos típicos en los que un proveedor de servicios de inversión quiere destruir material de archivo.
- Fin de la relación con el cliente más plazo vencido. El expediente completo (papel más copias digitales) sale.
- Sustitución de la infraestructura de almacenamiento. Servidores, SSD y cintas antiguos se retiran. Destruir antes de reutilizar.
- Mudanza de oficina o fusión. Los archivos caducados no se llevan a la nueva ubicación.
- Limpieza periódica de retención. Ronda de limpieza fija anual o trimestral.
Proceso móvil in situ
DeSnipperaar acude con un vehículo de destrucción a la oficina de la empresa de inversión. El papel entra directamente en la trituradora, los soportes de datos se trituran in situ. El responsable de cumplimiento lo presencia y firma el certificado al terminar. Este certificado indica el volumen, la norma, la fecha y la ubicación, de modo que tienes pruebas suficientes para el registro de actividades de tratamiento y para las preguntas de la AFM.
¿Archivo MiFID II que ha superado el plazo?
Conducimos con el vehículo de triturado hasta tu oficina, destruimos papel y soportes de datos in situ y entregamos el certificado de inmediato. Tu responsable de cumplimiento lo presencia.
Solicita un presupuestoCompletar el registro de actividades de tratamiento
Incluye en el registro de actividades de tratamiento del RGPD qué categorías de material MiFID II, qué plazo (5 o 7 años), qué base (obligación legal art. 6 apdo. 1 letra c RGPD), qué encargado de destrucción y qué norma. Vincula cada certificado de destrucción al lote correspondiente.
Página de sector
Más sobre nuestro enfoque para bancos, empresas de inversión y gestoras de patrimonio lo lees en asesores financieros y bancos.
¿Es momento para el archivo MiFID II que toca destruir? Llama o escribe para un presupuesto sin compromiso. Asesoramos con sensatez, sin contrato y sin compra mínima.