[ad_1]
La Comisión de Bolsa y Valores (SEC) exigirá a algunas instituciones financieras que revelen violaciones de seguridad dentro de los 30 días posteriores a su conocimiento.
El miércoles, la SEC adoptó cambios al Reglamento SP, que regula el tratamiento de la información personal de los consumidores. Bajo la enmiendas, las instituciones deben notificar a las personas cuya información personal se vio comprometida «tan pronto como sea posible, pero a más tardar 30 días» después de enterarse del acceso no autorizado a la red o el uso de los datos del cliente. Los nuevos requisitos serán vinculantes para los corredores de bolsa (incluidos los portales de financiación), las empresas de inversión, los asesores de inversiones registrados y los agentes de transferencias.
«Durante los últimos 24 años, la naturaleza, la escala y el impacto de las violaciones de datos se han transformado sustancialmente», dijo el presidente de la SEC, Gary Gensler. dicho. «Estas enmiendas al Reglamento SP harán actualizaciones críticas a una regla adoptada por primera vez en 2000 y ayudarán a proteger la privacidad de los datos financieros de los clientes. La idea básica para las empresas cubiertas es que si tienen una infracción, deben notificar . Eso es bueno para los inversores».
Las notificaciones deben detallar el incidente, qué información se vio comprometida y cómo pueden protegerse los afectados. En lo que parece ser una laguna en los requisitos, las instituciones cubiertas no tienen que emitir avisos si establecen que la información personal no se ha utilizado de manera que cause “daño o inconveniente sustancial” o que no es probable que lo haga.
Las enmiendas requerirán que las instituciones cubiertas «desarrollen, implementen y mantengan políticas y procedimientos escritos» que estén «razonablemente diseñados para detectar, responder y recuperarse del acceso no autorizado o el uso de la información del cliente». Las enmiendas también:
• Ampliar y alinear las normas de protección y eliminación para cubrir tanto la información personal no pública que una institución cubierta recopila sobre sus propios clientes como la información personal no pública que recibe de otra institución financiera sobre los clientes de esa institución financiera;
• Exigir a las instituciones cubiertas, distintas de los portales de financiación, que realicen y mantengan registros escritos que documenten el cumplimiento de los requisitos de la regla de salvaguardias y la regla de disposición;
• Ajustar las disposiciones de entrega de avisos de privacidad anuales del Reglamento S-P a los términos de una excepción agregada por la Ley FAST, que establece que las instituciones cubiertas no están obligadas a entregar un aviso de privacidad anual si se cumplen ciertas condiciones; y
• Extender tanto la regla de salvaguardias como la regla de disposición a los agentes de transferencia registrados ante la Comisión u otra agencia reguladora apropiada.
Los requisitos también amplían el alcance de la información personal no pública cubierta más allá de lo que recopila la propia empresa. Las nuevas reglas también cubrirán la información personal que la empresa haya recibido de otra institución financiera.
La comisionada de la SEC, Hester M. Peirce, expresó su preocupación de que los nuevos requisitos puedan ir demasiado lejos.
«La modernización del Reglamento SP de hoy ayudará a las instituciones cubiertas a priorizar adecuadamente la protección de la información del cliente», dijo. https://www.sec.gov/news/statement/peirce-statement-reg-sp-051624 escribió. «Los clientes serán notificados de inmediato cuando su información se haya visto comprometida para que puedan tomar medidas para protegerse, como cambiar contraseñas o vigilar más de cerca sus puntajes de crédito. Mis reservas se derivan de la amplitud de la regla y la probabilidad de que genere más avisos al consumidor que son útiles.»
El Reglamento SP no se había actualizado sustancialmente desde su adopción en 2000.
El año pasado, la SEC adoptó nuevas regulaciones exigir a las empresas que cotizan en bolsa que revelen violaciones de seguridad que afectan materialmente o que es razonablemente probable que afecten materialmente el negocio, la estrategia o los resultados o condiciones financieros.
Las modificaciones entran en vigor 60 días después de su publicación en el registro Federal, el diario oficial del gobierno federal que publica regulaciones, avisos, órdenes y otros documentos. Las organizaciones más grandes tendrán 18 meses para cumplir después de que se publiquen las modificaciones. Las organizaciones más pequeñas tendrán 24 meses.
Los comentarios públicos sobre las enmiendas están disponibles. aquí.
[ad_2]
Enlace fuente
