Regulación SMS en España (2026)
Guía completa y actualizada del marco normativo para SMS comerciales. Orden TDF/149/2025, registro obligatorio de alias en CNMC, listas de exclusión Robinson y Stop Publicidad. Todo lo que necesitas saber sobre cumplimiento normativo en España.
Marco Legal Vigente: SMS Comerciales y Suplantación de Identidad
Análisis completo de la legislación española aplicable a las comunicaciones SMS comerciales
Ley 34/2002 - Servicios de la Sociedad de la Información (LSSI)
La LSSI establece el régimen general de las comunicaciones comerciales por medios electrónicos, incluyendo SMS. El artículo 21 prohíbe expresamente las comunicaciones comerciales no solicitadas, permitiendo únicamente el envío de mensajes promocionales cuando existe consentimiento expreso del destinatario.
Excepción limitada: El artículo 21.2 LSSI permite comunicaciones comerciales a clientes existentes sobre productos/servicios similares a los ya contratados, siempre que se facilite un medio sencillo para oponerse a futuros envíos.
Requisitos específicos para SMS: Cada mensaje comercial debe incluir información clara sobre el remitente y un mecanismo gratuito para darse de baja de futuras comunicaciones.
RGPD y LOPDGDD - Protección de Datos Personales
El envío de SMS comerciales implica necesariamente el tratamiento de datos personales (números de teléfono móviles), quedando sujeto a la normativa de protección de datos. El RGPD exige una base jurídica válida para el tratamiento, siendo el consentimiento la más común para comunicaciones comerciales.
Principios aplicables: Licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; responsabilidad proactiva.
Derechos del interesado: Derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición. En el contexto SMS, el derecho de oposición es especialmente relevante.
Orden Ministerial TDF/149/2025 - Anti-Suplantación
Publicada en el Boletín Oficial del Estado el 15 de febrero de 2025, esta orden ministerial representa un cambio radical en la regulación de las comunicaciones SMS en España. Su objetivo principal es combatir el smishing (estafas vía SMS) mediante controles estrictos sobre la identificación del remitente.
Medidas principales: Obligación de registro de alias alfanuméricos ante la CNMC, controles sobre numeración internacional, bloqueo automático de mensajes fraudulentos, y responsabilidades específicas para operadores y proveedores de servicios.
Fecha de entrada en vigor: Las primeras medidas aplican desde junio de 2025, con el registro obligatorio de alias previsto para junio de 2026.
Código Penal - Delitos de Estafa y Suplantación
Aunque la regulación principal proviene del ámbito administrativo y de telecomunicaciones, el Código Penal español tipifica como delito la suplantación de identidad cuando se utiliza para cometer estafas. Los artículos 270 y siguientes del Código Penal castigan las estafas, mientras que el artículo 197 bis incluye específicamente la suplantación de identidad.
Relevancia para SMS: Los mensajes fraudulentos que suplantan a entidades bancarias, administraciones públicas u otras organizaciones confiables pueden constituir delito penal, además de infracción administrativa.
Competencias: La investigación de estos delitos corresponde a las Fuerzas y Cuerpos de Seguridad del Estado, coordinadas con la Agencia Española de Protección de Datos (AEPD).
Principios Generales de la Regulación SMS
Principio de Consentimiento
Base fundamental de la legitimidad de las comunicaciones comerciales. Debe ser expreso, informado, específico y revocable en cualquier momento. No se presume consentimiento tácito por el mero hecho de proporcionar un número de teléfono.
Principio de Transparencia
Obligación de informar claramente sobre la identidad del remitente, la finalidad comercial del mensaje y los derechos del destinatario. Los SMS deben incluir información sobre cómo ejercer el derecho de oposición.
Principio de Identificación
Prohibición absoluta de utilizar remitentes que puedan inducir a error sobre la identidad real del emisor. Los alias deben corresponder efectivamente al remitente registrado.
Principio de Responsabilidad
Las empresas emisoras son responsables de verificar el cumplimiento normativo de sus proveedores y subcontratistas. Deben mantener registros de consentimientos y comunicaciones enviadas.
Listas de Exclusión Publicitaria y Régimen de Consentimiento
Lista Robinson - Sistema Tradicional
La Lista Robinson es el sistema de exclusión publicitaria más antiguo y consolidado en España. Gestionada por la Asociación Española de Economía Digital (ADIGITAL) en coordinación con la Agencia Española de Protección de Datos (AEPD), permite a cualquier ciudadano inscribirse gratuitamente para no recibir publicidad de empresas con las que no mantiene relación contractual.
Alcance: Cubre todos los canales de comunicación comercial (correo postal, teléfono, fax, email y SMS). La inscripción es gratuita y tiene una validez de 5 años, renovable automáticamente.
Funcionamiento: Las empresas deben consultar esta lista antes de cualquier campaña de marketing directo, excluyendo los contactos inscritos salvo que sean clientes actuales con consentimiento específico posterior a la inscripción.
Lista "Stop Publicidad" - Nuevo Sistema 2025
Implementada en 2025 como complemento a la Lista Robinson, ofrece mayor granularidad en las preferencias de exclusión. Los ciudadanos pueden especificar no solo el tipo de publicidad que rechazan, sino también los canales concretos por los que no desean ser contactados.
Canales específicos: Permite seleccionar exclusión por teléfono, SMS, correo electrónico, correo postal, redes sociales y otros medios electrónicos. Más flexible que el sistema Robinson tradicional.
Gestión: También coordinada con la AEPD, ofrece mayor precisión en las preferencias del usuario y facilita el cumplimiento empresarial al permitir segmentaciones más específicas.
Registro de Actividades de Tratamiento (RAT)
Complementariamente a las listas de exclusión, la AEPD mantiene el Registro de Actividades de Tratamiento donde deben inscribirse todas las empresas que realizan tratamientos de datos personales, incluyendo el envío de SMS comerciales.
Obligaciones: Toda empresa que envíe SMS comerciales debe estar inscrita en este registro, detallando las finalidades del tratamiento, categorías de datos y medidas de seguridad implementadas.
Sanciones: La falta de inscripción constituye infracción grave sancionable con multas de hasta 20.000 euros.
Obligaciones Empresariales de Consulta
Las empresas tienen la obligación legal de consultar ambas listas antes de realizar cualquier campaña de SMS marketing. Esta consulta debe ser sistemática y documentada, manteniendo registros de las verificaciones realizadas.
Procedimiento: La consulta se realiza a través de APIs o interfaces web proporcionadas por los gestores de las listas. Las empresas deben integrar estos sistemas en sus plataformas de envío masivo.
Excepciones: Solo se permite el envío a inscritos cuando existe relación contractual previa o consentimiento específico otorgado con posterioridad a la inscripción en las listas.
Cambios Normativos Vigentes y Próximos (2025-2026)
Evolución completa de la regulación SMS en España
Publicación Orden TDF/149/2025
El Ministerio de Asuntos Económicos y Transformación Digital aprueba el paquete completo de medidas contra vishing y smishing. Publicación en Boletín Oficial del Estado el 15 de febrero de 2025.
Contenido principal: Controles sobre numeración telefónica, alias alfanuméricos, identificación de origen en llamadas y SMS, medidas contra suplantación de identidad.
Entrada en vigor - Primera Fase
Implementación inicial de controles sobre numeración. Los operadores comienzan a aplicar filtros para evitar el uso de números españoles no asignados al remitente.
Medidas específicas: Bloqueo de SMS con remitentes numéricos que no correspondan al operador asignado. Inicio del período transitorio para registro de alias.
Implementación Lista "Stop Publicidad"
Puesta en marcha del nuevo sistema de exclusión publicitaria que complementa a la Lista Robinson, con mayor granularidad por canales de comunicación.
Características: Permite especificar exclusión por SMS específicamente, además de otros canales. Obligatorio para empresas desde su entrada en funcionamiento.
Registro Obligatorio de Alias CNMC
Todas las empresas que utilicen remitentes alfanuméricos en SMS deben registrar sus alias en el registro nacional de la Comisión Nacional de los Mercados y la Competencia.
Requisitos: Verificación de identidad empresarial, acreditación de propiedad del alias, designación de proveedores autorizados. Los SMS con alias no registrados serán bloqueados automáticamente.
Período de Adaptación Finalizado
Fin del período transitorio. Todas las medidas de la Orden TDF/149/2025 aplican de forma estricta. Los operadores aplican bloqueos automáticos sin excepciones.
Consecuencias: Las empresas no adaptadas verán bloqueados sus envíos masivos. Inicio de inspecciones y sanciones por incumplimiento.
Numeración Telefónica y Presentación del CLI
Numeración Española Asignada
Solo se permite el uso de números españoles efectivamente asignados al remitente por su operador. Prohibido utilizar números de otros operadores o números ficticios.
Verificación: Los operadores implementan sistemas de verificación automática para confirmar que el número remitente corresponde efectivamente al emisor.
Numeración Internacional
Permitido el uso de números internacionales (no españoles) sin restricciones específicas, siempre que no induzcan a error sobre la identidad del remitente.
Recomendación: Para empresas extranjeras, esta es la opción más segura mientras se gestiona el registro de alias en España.
Alias Alfanuméricos (Sender ID)
Los remitentes alfanuméricos requieren registro obligatorio en la CNMC desde junio 2026. Deben corresponder exactamente a la denominación social o marca registrada.
Limitaciones: Máximo 11 caracteres. No se permiten espacios ni caracteres especiales. Deben ser únicos y no confundir con entidades oficiales.
Presentación del CLI
El Calling Line Identification (CLI) debe ser veraz y corresponder al remitente real. Prohibidas las manipulaciones que oculten o alteren la identidad del emisor.
Controles: Los operadores implementan verificación automática del CLI para prevenir suplantaciones fraudulentas.
Implicaciones Técnicas para Plataformas de Envío Masivo de SMS
Adaptaciones tecnológicas necesarias para cumplimiento normativo en 2026
Sistema de Registro de Alias CNMC
Desarrollo de interfaz de usuario para que los clientes registren sus alias alfanuméricos en el sistema de la CNMC. Implementación de API para comunicación automática con el registro nacional.
Funcionalidades requeridas: Verificación de disponibilidad de alias, subida de documentación acreditativa, gestión de proveedores autorizados, renovación automática de registros.
Validación técnica: Solo permitir envío de SMS con alias previamente registrados y validados por la CNMC.
Validación de Numeración y CLI
Implementar algoritmos de verificación para asegurar que los números españoles utilizados como remitente están efectivamente asignados al cliente. Integración con bases de datos de numeración de operadores.
Controles implementados: Verificación automática de prefijo operador, validación contra listas blancas de numeración autorizada, bloqueo de números no verificados.
Excepciones gestionadas: Manejo de permisos especiales para empresas con numeración española asignada internacionalmente.
Integración con Listas de Exclusión
Desarrollo de conectores API para consulta automática de Lista Robinson y Lista "Stop Publicidad" antes de cada envío masivo. Caché inteligente de resultados para optimizar rendimiento.
Arquitectura técnica: Microservicio dedicado para gestión de exclusiones, base de datos distribuida para resultados de consulta, integración con motor de envío principal.
Procesamiento: Limpieza automática de bases de datos contra listados de exclusión, reporting detallado de contactos excluidos.
Sistema de Gestión de Consentimientos
Implementación de base de datos robusta para almacenar y gestionar consentimientos de usuarios, con trazabilidad completa de cuándo y cómo se obtuvo cada consentimiento.
Características: API para registro de consentimientos, validación automática antes del envío, gestión de revocaciones, auditoría completa de historial de consentimientos.
Cumplimiento RGPD: Encriptación de datos sensibles, registros de acceso, procedimientos de supresión automática tras revocación.
Motores de Detección de Fraude
Implementación de algoritmos de IA para detectar patrones de envío fraudulentos o suplantación de identidad. Análisis de contenido de mensajes para identificar posibles fraudes.
Técnicas aplicadas: Análisis semántico de contenido, verificación de remitentes contra bases de datos de entidades legítimas, detección de patrones de envío masivo sospechoso.
Integración: Conexión con sistemas de operadores para reporte automático de actividades potencialmente fraudulentas.
Sistemas de Logging y Auditoría
Desarrollo de sistemas completos de logging para registrar todas las operaciones de envío, consultas a listas de exclusión, verificaciones de consentimiento y validaciones técnicas.
Requisitos técnicos: Almacenamiento inmutable de logs, capacidad de auditoría forense, generación automática de informes de cumplimiento para autoridades.
Reporting: Dashboards en tiempo real para monitoreo de cumplimiento, alertas automáticas por incumplimientos detectados.
Obligaciones para Operadores y Empresas Revendedoras
Operadores de Red Móvil
Los operadores Vodafone, Orange, Movistar y otros deben implementar sistemas técnicos para verificar la autenticidad de remitentes y bloquear mensajes fraudulentos.
Obligaciones específicas: Validación de numeración asignada, verificación de alias registrados en CNMC, implementación de filtros anti-fraude, colaboración con autoridades en investigación de ilícitos.
Empresas Revendedoras de SMS
Las plataformas como 402T Labs deben garantizar que todos sus clientes cumplen con la normativa, implementando verificaciones técnicas antes de permitir envíos.
Responsabilidades: Validación de identidad de clientes, control de remitentes utilizados, integración con registros CNMC, mantenimiento de registros de auditoría completos.
Empresas Extranjeras
Las compañías extranjeras que envíen SMS a destinatarios españoles deben adaptar sus sistemas para cumplir con la regulación española, además de sus normativas locales.
Consideraciones técnicas: Elección de proveedores españoles certificados, implementación de validaciones específicas para mercado español, gestión de consentimientos conforme a RGPD.
Plataformas Globales
Los proveedores globales de SMS deben desarrollar módulos específicos para cumplimiento español, diferenciando el tratamiento por mercado geográfico.
Soluciones técnicas: Geolocalización automática de destinatarios, aplicación de reglas específicas por país, integración con registros locales de cada jurisdicción.
Casos de Uso Prácticos y Ejemplos de Cumplimiento
Caso 1: Cadena Minorista Nacional (Retail) - SMS Promocionales
Situación: Una cadena de tiendas de ropa española envía SMS mensuales con ofertas a su base de datos de 50.000 clientes, utilizando como remitente alfanumérico "MODATienda".
Cumplimiento requerido: Deben haber obtenido consentimiento expreso específico para SMS comerciales al registrar a los clientes en su programa de fidelización. Consulta obligatoria mensual a Lista Robinson y Lista "Stop Publicidad" antes de cada campaña.
Adaptación 2026: Registro obligatorio del alias "MODATienda" en CNMC antes de junio 2026. Cada SMS debe incluir mecanismo de baja (ej: "Responda BAJA para dejar de recibir ofertas").
Aspectos técnicos: Integración con APIs de exclusión, sistema de gestión de consentimientos, validación automática de alias registrado.
Caso 2: Banco Español - Mensajes Transaccionales y de Seguridad
Situación: Entidad financiera envía códigos OTP para confirmación de operaciones y alertas de seguridad, utilizando remitente alfanumérico "BankXYZ". Estos mensajes no son publicitarios sino comunicaciones de servicio.
Cumplimiento requerido: Al tratarse de mensajes necesarios para ejecutar servicios contratados, no requieren consentimiento publicitario adicional. Sin embargo, deben registrarse en el RAT de la AEPD por tratamiento de datos personales.
Adaptación 2026: Registro obligatorio del alias "BankXYZ" en CNMC. Mayor importancia por el riesgo de suplantación - cualquier SMS fraudulento podría comprometer la seguridad de las transacciones.
Aspectos técnicos: Redundancia con múltiples proveedores SMS, registro de todos los proveedores como autorizados en CNMC, sistemas de verificación adicionales contra fraudes.
Caso 3: Empresa Extranjera de E-commerce - Promociones a España
Situación: Compañía alemana de venta online envía SMS de ofertas flash a miles de usuarios españoles que se suscribieron en su web. Utilizaba inicialmente números españoles genéricos para parecer locales.
Cumplimiento requerido: Deben haber recogido consentimiento expreso específico para SMS comerciales en España, incluyendo información sobre LSSI y derecho de oposición. Consulta obligatoria a listas de exclusión españolas.
Adaptación 2026: Cambio inmediato a números internacionales o registro del alias en CNMC. Los operadores bloquean actualmente números españoles no asignados. Deben trabajar con proveedores españoles certificados.
Aspectos técnicos: Reconfiguración de plataformas para mercado español, integración con sistemas de exclusión locales, gestión diferenciada de consentimientos por jurisdicción.
Caso 4: Pequeña Empresa Nacional - Comunicaciones Informativas
Situación: Clínica dental española envía recordatorios de citas por SMS a sus pacientes, utilizando su número de teléfono fijo como remitente para que puedan devolver la llamada si necesitan reprogramar.
Cumplimiento requerido: Al tratarse de comunicaciones transaccionales con pacientes existentes, no requieren consentimiento adicional si el número se obtuvo para este fin específico. Deben respetar el derecho de oposición.
Adaptación 2026: No requieren registro de alias alfanumérico si utilizan su número telefónico real. Si decidieran tercerizar el servicio, deberían garantizar que el proveedor mantenga el número real como remitente.
Aspectos técnicos: Sistema simple de envío directo, verificación de que el número utilizado pertenece efectivamente a la clínica, capacidad para gestionar bajas de pacientes.
Caso 5: Plataforma de Delivery - Notificaciones Operativas
Situación: Servicio de reparto a domicilio envía SMS con estado de pedidos (preparando, en camino, entregado) utilizando remitente alfanumérico con su marca.
Cumplimiento requerido: Las notificaciones operativas relacionadas con pedidos en curso no requieren consentimiento adicional, pero deben incluir información sobre cómo gestionar preferencias de comunicación.
Adaptación 2026: Registro obligatorio del alias en CNMC. Deben diferenciar claramente entre notificaciones operativas (permitidas) y comunicaciones promocionales (requieren consentimiento).
Aspectos técnicos: Sistema de gestión de preferencias de usuario, separación entre comunicaciones transaccionales y comerciales, integración con APIs de entrega.
Caso 6: Asociación sin Ánimo de Lucro - Campañas Informativas
Situación: ONG española envía SMS informativos sobre campañas solidarias a sus donantes registrados, utilizando remitente alfanumérico con su nombre.
Cumplimiento requerido: Para donantes existentes, pueden enviar información sobre actividades similares a las apoyadas anteriormente. Deben respetar solicitudes de baja y consultar listas de exclusión.
Adaptación 2026: Registro del alias en CNMC. Deben mantener registros claros de consentimientos y gestionar cuidadosamente la diferencia entre información institucional y publicidad.
Aspectos técnicos: Base de datos segmentada por tipo de consentimiento, sistema de gestión de bajas, reporting de impacto en campañas de sensibilización.
Buenas Prácticas para el Cumplimiento Normativo
Transparencia en Consentimientos
Utilizar formularios claros y específicos, explicando exactamente qué tipo de comunicaciones se autorizan. Evitar consentimientos genéricos o por defecto marcados.
Mecanismos de Baja Sencillos
Implementar sistemas STOP/BAJA inmediatos y efectivos. Procesar las revocaciones en tiempo real y no volver a contactar al usuario.
Registros de Auditoría
Mantener registros completos de todos los consentimientos, consultas a listas de exclusión y envíos realizados para demostrar cumplimiento ante autoridades.
Segmentación de Bases de Datos
Diferenciar claramente entre contactos con consentimiento para SMS comerciales y aquellos que solo autorizan comunicaciones transaccionales.
Capacitación del Personal
Formar a equipos comerciales y técnicos sobre la normativa aplicable, especialmente respecto a diferencias entre canales de comunicación.
Monitoreo Continuo
Implementar sistemas de alerta automática para detectar posibles incumplimientos o cambios en la regulación que afecten las operaciones.
Preguntas Frecuentes sobre Regulación SMS 2026
Resolvemos las dudas más comunes sobre cumplimiento normativo
¿Qué sucede si no registro mi alias en la CNMC antes de junio 2026?
Los operadores de red bloquearán automáticamente todos los SMS enviados con remitentes alfanuméricos no registrados. Esto afectará a campañas promocionales, notificaciones transaccionales y cualquier comunicación que utilice alias como remitente.
¿Puedo seguir enviando SMS con números españoles que no me pertenecen?
No, desde junio 2025 los operadores verifican que los números españoles utilizados como remitente estén efectivamente asignados al emisor. El uso de números no asignados resulta en bloqueo inmediato de los mensajes.
¿Qué diferencia hay entre Lista Robinson y Lista "Stop Publicidad"?
La Lista Robinson es el sistema tradicional que cubre todos los canales. La Lista "Stop Publicidad" (2025) permite mayor granularidad, permitiendo al usuario seleccionar canales específicos como SMS para excluirse únicamente de comunicaciones comerciales por ese medio.
¿Las empresas extranjeras deben cumplir con la regulación española?
Sí, cualquier empresa que envíe SMS a destinatarios españoles, independientemente de su ubicación, debe cumplir con la LSSI, RGPD y Orden TDF/149/2025. Las empresas extranjeras deben adaptar sus sistemas para el mercado español.
¿Qué sanciones existen por incumplimiento?
La AEPD puede imponer multas de hasta 20.000 euros por infracciones leves, hasta 4% del volumen de negocio global anual por infracciones graves. Los operadores pueden bloquear servicios por incumplimiento técnico.
¿Los mensajes transaccionales requieren consentimiento?
Los mensajes estrictamente necesarios para ejecutar un servicio contratado (como confirmaciones de pedido, códigos OTP para operaciones autorizadas) no requieren consentimiento adicional, pero deben incluir información sobre gestión de preferencias.
¿Cómo gestiono las revocaciones de consentimiento?
Debe existir un mecanismo sencillo y gratuito (STOP, BAJA, etc.) que procese la revocación inmediatamente. Una vez revocada, no se pueden enviar más SMS comerciales, aunque sí comunicaciones estrictamente transaccionales si son necesarias para servicios en curso.
¿Qué documentación debo mantener para demostrar cumplimiento?
Registros de consentimientos obtenidos, consultas realizadas a listas de exclusión, logs de envíos realizados, documentación de registro en CNMC, y procedimientos internos de cumplimiento implementados.
¿Puedo utilizar remitentes alfanuméricos de más de 11 caracteres?
No, la regulación limita los alias a 11 caracteres como máximo. No se permiten espacios ni caracteres especiales. Los alias deben corresponder exactamente a la denominación social o marca registrada.
¿Cómo afectan estos cambios a mi presupuesto de SMS?
Los costos pueden aumentar ligeramente debido a las verificaciones técnicas adicionales y registros requeridos. Sin embargo, la reducción del spam mejora la entregabilidad general y la confianza de los usuarios en el canal SMS.
¿Necesitas ayuda con cumplimiento normativo?
Nuestro equipo experto te ayuda a adaptar tu estrategia SMS a la nueva regulación española.