Cumplimiento del SMS marketing en 2026: TCPA, RGPD y reglas globales de opt-in

¿Qué leyes regulan el SMS marketing?

Cada texto de marketing que envías está regulado por la jurisdicción del destinatario, no por la tuya. Los cuatro regímenes que cubren la mayor parte del tráfico global:

RegiónLeyEstándar de consentimientoExposición a sanciones
Estados UnidosTCPA (+ reglas de operadores CTIA, mini-TCPA estatales)Consentimiento previo expreso por escrito$500–$1500 por mensaje, sin tope
Unión EuropeaRGPD + Directiva ePrivacyOpt-in explícito, retirada fácilHasta 20 M€ o el 4 % de la facturación global
Reino UnidoUK GDPR + PECROpt-in explícito (soft opt-in para clientes existentes)Hasta 17,5 M£ o el 4 % de la facturación
CanadáCASLConsentimiento expreso o implícito limitadoHasta 10 M$ CA por infracción

Los litigios TCPA volvieron a crecer con fuerza en 2026 — las demandas suben cerca de un 27 % interanual — y como las indemnizaciones son por mensaje y sin tope, una sola campaña no conforme a 50 000 números supone una exposición teórica de 25 a 75 M$. El cumplimiento no es un lujo jurídico; es matemática de supervivencia.

¿Qué cambió en las reglas del TCPA para 2026?

Tres cambios importan más para quien envía a números estadounidenses:

  1. Revocación por «cualquier método razonable» (vigente desde abril de 2025). Debes respetar las bajas expresadas de cualquier forma que usaría una persona razonable — «stop», «quit», «cancel», «unsubscribe», «no me escriban más», respuestas en otros idiomas, correo, llamadas, formularios web. Los analizadores de una sola palabra clave no cumplen.
  2. Ventana de procesamiento de 10 días hábiles. Las bajas deben atenderse por completo en 10 días hábiles, frente a los 30 anteriores. La mejor práctica sigue siendo la supresión automatizada inmediata.
  3. Un mensaje de confirmación permitido. Tras una baja puedes enviar una única confirmación — con prontitud y sin nada de marketing. Usarla para preguntar «¿estás seguro?» con una oferta adjunta es una infracción.

Ten en cuenta que la regla de consentimiento «uno a uno» de la que quizá leíste en 2024 fue anulada — el Undécimo Circuito la invalidó en enero de 2025 — así que aplica la definición anterior a 2023 del consentimiento expreso por escrito. Pero los operadores y The Campaign Registry imponen sus propias reglas por encima de la ley; el registro se trata en nuestra guía A2P 10DLC.

¿Qué cuenta como consentimiento opt-in válido?

Para los textos de marketing en EE. UU., el consentimiento previo expreso por escrito requiere una firma (la electrónica cuenta — casilla, envío de formulario o texto con palabra clave), divulgación clara de lo que se acepta, frecuencia de mensajes, «pueden aplicarse tarifas de mensajes y datos», y que el consentimiento no sea condición de compra. Para la UE bajo el RGPD, el consentimiento debe ser libre, específico, informado, inequívoco y tan fácil de retirar como de dar.

Una divulgación de registro conforme se ve así:

☐ Acepto recibir textos de marketing recurrentes de Acme en el número
facilitado. El consentimiento no es condición de compra. La frecuencia varía.
Pueden aplicarse tarifas de mensajes y datos. Responde STOP para cancelar,
HELP para ayuda. Política de privacidad: acme.com/privacy

Conserva el registro de consentimiento: marca de tiempo, origen (URL o palabra clave), IP, la divulgación exacta mostrada y el número. En una demanda TCPA, ese registro es toda tu defensa.

La checklist de cumplimiento para cada campaña

  1. Consentimiento verificado para cada número de la lista — las listas compradas son radiactivas en todas las jurisdicciones.
  2. Identidad del remitente en cada mensaje (nombre de marca al inicio).
  3. Instrucciones de baja incluidas («Responde STOP para cancelar») — y tu sistema respeta cualquier revocación razonable, no solo STOP.
  4. Lista de supresión sincronizada entre todas las campañas, marcas y plataformas de envío en 10 días hábiles (idealmente al instante).
  5. Horas de silencio aplicadas según la zona horaria del destinatario: 8:00–21:00 local bajo el TCPA federal; más estricto en algunos estados (Florida 8:00–20:00, Washington similar) y países (Francia prohíbe el SMS de marketing los domingos y festivos).
  6. Reglas de contenido respetadas: los verticales regulados (cripto, apuestas, préstamos, cannabis/CBD) enfrentan políticas de contenido adicionales de los operadores — cumplir la ley no impide que los operadores te filtren, como explicamos en cómo evitar el bloqueo de SMS.
  7. Registros conservados: logs de consentimiento, de mensajes y de bajas, guardados al menos 4–5 años (la prescripción del TCPA es de 4).

¿En qué difiere el cumplimiento para los verticales de alto riesgo?

Los remitentes de cripto, trading e iGaming enfrentan una doble puerta: la ley y las políticas de aceptación de los operadores. Un mensaje puede cumplir plenamente el TCPA y aun así ser filtrado porque la política de contenido del operador señala el vertical. Eso es un problema de infraestructura, no legal — se resuelve con proveedores cuyas rutas aceptan el vertical, informes de entrega honestos e identidades de remitente calentadas para ese perfil de tráfico. Nuestra guía de pasarelas SMS de alto riesgo y el playbook de lanzamiento de SMS cripto profundizan en esto; la versión corta: el cumplimiento te mantiene fuera de los tribunales, la infraestructura te mantiene entregando, y necesitas ambos.

Preguntas frecuentes: cumplimiento del SMS marketing

¿Qué se necesita para un SMS marketing conforme al TCPA en 2026?

Consentimiento previo expreso por escrito, divulgación clara en el registro, bajas atendidas por cualquier método razonable en 10 días hábiles, horas de silencio (8:00–21:00 local del destinatario) y registros de consentimiento conservados. Indemnizaciones de $500 a $1500 por mensaje.

¿Pueden los clientes darse de baja con palabras distintas de STOP?

Sí — desde abril de 2025 debes respetar cualquier revocación razonable: «quit», «cancel», «unsubscribe», redacciones informales, correo, teléfono o formulario web.

¿Con qué rapidez debe atenderse una baja de SMS?

En 10 días hábiles en EE. UU.; se permite un mensaje de confirmación rápido y sin marketing. La supresión automatizada instantánea es la mejor práctica.

¿Qué exige el RGPD para los SMS de marketing?

Consentimiento opt-in explícito y documentado, retirada tan fácil como el alta, baja funcional en cada mensaje y registros recuperables. Las multas alcanzan el 4 % de la facturación global.

¿Qué son las horas de silencio de SMS?

Franjas fuera de las cuales los textos de marketing están prohibidos — 8:00–21:00 hora local del destinatario a nivel federal en EE. UU., más estricto en algunos estados, y con reglas nacionales en el extranjero (p. ej., la prohibición francesa de domingos y festivos). Programa siempre según la zona horaria del destinatario.

Conclusión: integra el cumplimiento en el pipeline, no en la campaña

El cumplimiento fracasa cuando vive en una checklist que alguien lee antes de pulsar enviar. Funciona cuando es infraestructura: consentimiento capturado y registrado en la entrada, supresión aplicada automáticamente en cada marca y plataforma, horas de silencio impuestas por el programador y revocación interpretada en lenguaje natural en lugar de una lista blanca de palabras clave. Configúralo una vez y cada campaña lo hereda. Combínalo con un enrutamiento que realmente entregue — los mensajes conformes que mueren en los filtros de los operadores siguen siendo gasto desperdiciado — y tendrás las dos mitades de un SMS marketing sostenible. Para la mitad de la entrega, empieza por nuestro playbook de monitorización de entregabilidad.

Dach SMS Lab

Dach SMS Lab