La ‘ilusión’ del control: las empresas españolas exponen las comunicaciones que creen proteger
El último estudio de Retarus desvela la discrepancia entre la soberanía percibida y la soberanía real de las comunicaciones por correo electrónico.
Madrid, 16 de julio de 2026 //
Existe una discrepancia estructural entre el nivel de control que las empresas de los sectores regulados (banca/finanzas, sector público, sanidad) creen ejercer sobre sus comunicaciones por correo electrónico y la realidad.
Así se desprende del último estudio realizado por Retarus, compañía experta en comunicaciones seguras, en colaboración con Researchscape en Francia, Alemania y España[i], que desvela cómo la soberanía de las comunicaciones por e-mail constituye un nuevo requisito estratégico que tarda en hacerse realidad. Aunque casi 7 de cada 10 organizaciones españolas reguladas (el 65%) consideran que controlan sus flujos de correo electrónico, el 33% dependen de proveedores no europeos (80% y 45% de media europea, respectivamente).
Según el informe, la soberanía se erige ahora en una condición estratégica y de infraestructura: el 88% de las empresas españolas encuestadas prevén llevar a cabo un proceso de ‘geopatriación’ en los próximos 18 meses (82% de media europea). La presión normativa, las tensiones geopolíticas y los requisitos de auditoría cada vez más estrictos la han convertido en una prioridad con múltiples repercusiones:
- El 94% de las empresas españolas consideran la soberanía una prioridad estratégica (89% en Europa), que implica directamente a la dirección y a los altos cargos.
- La totalidad de consultados en España afirman que es un factor clave a la hora de elegir proveedor (94% de media europea).
Sin embargo, un tercio de las empresas españolas recurren en gran medida a proveedores de servicios con sede fuera de Europa y casi cuatro de cada diez (el 58%) consideran muy probable que sus datos corran el riesgo de quedar expuestos a leyes extraterritoriales.
Control operativo limitado
Además, el control operativo continúa siendo incompleto:
- Sólo una de cada dos organizaciones españolas (el 55%) afirman poder aplicar sus políticas y procesos de e-mail de forma autónoma (61% de media europea).
- Menos de la mitad en España (el 39%) pueden gestionar o migrar sus cuentas sin depender de su proveedor.
Este control operativo sólo parcial está también limitado por la creciente complejidad de las arquitecturas informáticas, que unida a la dependencia de los proveedores hace que las modificaciones sean más difíciles de gestionar.

Presentación de informes para cumplimiento normativo
Una presentación de informes precisa constituye una de las garantías esenciales del control. Permite demostrar de forma concreta la disponibilidad de los datos, la rapidez de acceso a la información, así como la capacidad de responder de manera eficaz a una auditoría o a un requisito de cumplimiento normativo.
El endurecimiento del marco regulatorio, en particular con las directivas NIS2 y DORA, confiere un papel central a la presentación de informes. El 94% de las empresas españolas afirman que es crucial o muy importante recibir de su proveedor datos de seguimiento y de información completos y transparentes.
Sin embargo, las capacidades reales limitan su control y ralentizan su proceso de cumplimiento normativo: sólo el 35% de las empresas consultadas en España afirman estar totalmente preparadas para responder de inmediato a una solicitud de auditoría (41% de media europea).
“Para evaluar de forma concreta su grado de control, las empresas deben plantearse la importancia de la soberanía para su organización y cómo influye en la elección de sus proveedores en materia de seguridad del correo electrónico”, explica Yeray Fraga, Director General de Retarus España. “Analizando cuestiones como el riesgo jurídico, la extraterritorialidad digital, el control operativo, la capacidad de auditoría y la dependencia de los proveedores, pueden cubrir el mayor número posible de puntos ciegos estratégicos y reducir las dependencias”.
Descarga aquí el estudio completo.
[i]Informe realizado mediante encuestas entre el 14 de febrero y el 2 de marzo de 2026 a 149 gerentes o directivos de empresas en Francia, Alemania y España pertenecientes a sectores que cumplen o están en proceso de cumplir con la directiva NIS2.