La SEC endurece los requisitos de ciberseguridad con las enmiendas a la Regulación S-P

«La idea básica para las empresas afectadas es que, si se produce una violación de la seguridad, deben notificarlo. Eso es bueno para los inversores». Estas fueron algunas de las declaraciones que hizo Gary Gensler, presidente de la Comisión de Bolsa y Valores de Estados Unidos (SEC), al anunciar las enmiendas de la SEC a la Regulación S-P, que rige el tratamiento de la información personal no pública por parte de determinadas instituciones financieras. Para las instituciones afectadas (en general, corredores de bolsa, sociedades de inversión, asesores de inversión registrados y agentes de transferencia), la normativa modificada no solo introduce la obligación de notificar las violaciones de datos, sino que también impone requisitos adicionales en materia de ciberseguridad. A continuación resumimos la normativa modificada y ofrecemos las conclusiones principales.

Programa de respuesta ante incidentes

La normativa modificada exige a todas las instituciones afectadas que desarrollen e implementen un programa de respuesta ante incidentes dentro de sus políticas y procedimientos existentes. Este programa debe estar «diseñado de forma razonable» para detectar, responder y recuperarse de incidentes de acceso o uso no autorizado de la información de los clientes.

Aunque la normativa modificada permite a las instituciones la flexibilidad de adaptar sus políticas y procedimientos para que se ajusten mejor a sus perfiles operativos y de riesgo, ciertos principios fundamentales deben formar parte de cualquier programa de respuesta a incidentes:

Evaluación de incidentes: El programa debe incluir políticas y procedimientos para evaluar la naturaleza y el alcance del incidente. Esto implica identificar qué sistemas de información de los clientes se vieron comprometidos y los tipos de información de los clientes a los que se pudo haber accedido o utilizado sin autorización.
Contención y control: al detectar un incidente, las instituciones deben tomar las medidas adecuadas para contener y controlar la situación con el fin de evitar nuevos accesos no autorizados o el uso indebido de la información de los clientes. Este paso es fundamental para mitigar el impacto de la violación y proteger contra vulnerabilidades adicionales.
Notificación a las personas afectadas: El programa también debe describir los procedimientos para notificar a las personas cuya información confidencial haya sido, o pueda haber sido, comprometida. Las notificaciones deben realizarse a menos que la institución, tras una investigación razonable, determine que la información confidencial no ha sido ni es probable que sea utilizada de una manera que pueda causar un daño o inconveniente sustancial al cliente.

Requisito de notificación

La normativa modificada impone la obligación de notificar cualquier acceso o uso no autorizado de «información confidencial de los clientes», definida como cualquier elemento de los datos de los clientes, por sí solo o en combinación con otra información, cuya divulgación pudiera causar un perjuicio o inconveniente sustancial a la persona relacionada con dicha información.

Según la normativa modificada, las instituciones afectadas deben llevar a cabo una investigación razonable para determinar la probabilidad de que se produzcan daños como consecuencia de un posible incidente de ciberseguridad. Si una institución afectada concluye que la información confidencial no se ha utilizado ni es probable que se utilice de una manera que pueda causar daños o inconvenientes sustanciales, se puede eximir del requisito de notificación. La razonabilidad de una investigación se determinará en función de las características específicas de la situación. Por ejemplo, una violación intencionada de la seguridad por parte de un ciberdelincuente podría requerir una investigación más exhaustiva que la exposición involuntaria de datos por parte de un empleado.

Si la institución cubierta concluye que se ha producido una violación, dicha institución deberá notificarlo a las personas afectadas tan pronto como sea razonablemente posible y en un plazo máximo de 30 días, salvo excepciones limitadas. La notificación deberá proporcionar detalles sobre la violación, incluida la naturaleza del incidente y los datos específicos afectados. Además, las notificaciones deberán orientar a las personas afectadas sobre las medidas adecuadas que deben tomar para protegerse de posibles daños.

Supervisión de los proveedores de servicios

La normativa modificada exige que el programa de respuesta ante incidentes de una institución cubierta incluya políticas y procedimientos escritos diseñados de forma razonable para exigir la supervisión, incluso mediante la debida diligencia y el seguimiento, de los proveedores de servicios. Un «proveedor de servicios» es «cualquier persona o entidad que reciba, mantenga, procese o tenga acceso de cualquier otra forma a la información de los clientes a través de la prestación de servicios directamente a una institución cubierta». Esta amplia definición podría incluir una gran variedad de entidades, como proveedores de correo electrónico, sistemas de gestión de relaciones con los clientes, aplicaciones en la nube y otros proveedores de tecnología.

Las políticas y procedimientos escritos de una institución cubierta deben estar diseñados de manera razonable para garantizar que los proveedores de servicios tomen las medidas adecuadas para proteger contra el acceso o uso no autorizado de la información de los clientes y notifiquen a la institución cubierta lo antes posible, pero a más tardar 72 horas después de tener conocimiento de que se ha producido una violación de la seguridad que ha dado lugar a un acceso no autorizado a un sistema de información de clientes. Tras recibir dicha notificación, la institución cubierta debe poner en marcha su programa de respuesta a incidentes.

Otros aspectos del reglamento modificado

Entre otras cosas, la normativa modificada impone requisitos adicionales de mantenimiento de registros a las instituciones afectadas, incluyendo la documentación del acceso o uso no autorizado de la información de los clientes y cualquier investigación realizada en relación con dicho incidente. La normativa modificada también exige políticas y procedimientos relacionados con la eliminación adecuada de la información de los consumidores y de los clientes.

Principales conclusiones

La normativa modificada es otro dato más que demuestra el interés general del Gobierno federal, y en particular de la SEC, por el cumplimiento de las normas de ciberseguridad. Las instituciones afectadas pueden esperar que ese interés continúe y que aumente el volumen de medidas coercitivas en materia de ciberseguridad.

La normativa modificada entrará en vigor a finales de este verano. Las entidades más grandes tendrán 18 meses para cumplirla y las más pequeñas, 24 meses. Las instituciones afectadas deben evaluar la aplicación de la normativa en su caso y planificar sus medidas de cumplimiento en consecuencia.

Las instituciones afectadas deben comenzar a revisar y actualizar sus políticas y procedimientos para garantizar que reflejen los nuevos requisitos. Este enfoque proactivo ayudará a identificar las deficiencias y a garantizar el cumplimiento de la normativa modificada dentro del plazo establecido.

Las instituciones afectadas también deben revisar los acuerdos existentes con los proveedores de servicios para garantizar una supervisión y un cumplimiento suficientes por parte de estos, de conformidad con las modificaciones. Esto incluye la aplicación de medidas de diligencia debida y supervisión para verificar que los proveedores de servicios cumplan los nuevos requisitos de seguridad y notificación.

Aunque la normativa modificada destaca por imponer un requisito de notificación obligatoria, en la práctica, esa obligación ya existía en forma de leyes estatales sobre violación de datos y otras normativas. Por lo tanto, las instituciones afectadas deben aprovechar sus planes de respuesta a incidentes y manuales de notificación existentes y determinar en qué medida se pueden aprovechar los procesos y procedimientos existentes.

Si tiene alguna otra pregunta sobre los requisitos de la Regulación S-P modificada, póngase en contacto con cualquiera de los autores o con cualquier socio o asesor jurídico sénior del grupo de práctica de Transacciones Tecnológicas, Ciberseguridad y Privacidad de Foley & Lardner.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.