Reglamento S-P modificado: aquí para quedarse y ser examinado en 2026

El mes pasado, la División de Exámenes de la Comisión de Bolsa y Valores de Estados Unidos (SEC) publicó sus «Prioridades de examen» para el año fiscal 2026. En la publicación de este año, la SEC anunció que comenzará a examinar a los asesores de inversión, las sociedades de inversión y los corredores de bolsa cubiertos para verificar el cumplimiento de las enmiendas a la Regulación S-P que, entre otras cosas, les exige informar sobre las violaciones de datos que involucren información de clientes en un plazo de 30 días. 

Estas enmiendas, aprobadas el 16 de mayo de 2024[1], y comúnmente conocidas como «Reg S-P modificada», sobrevivieron a la revocación en junio de 2025 de catorce normas adoptadas por el anterior presidente de la SEC, Gary Gensler. La Reg S-P modificada no solo parece haber sobrevivido a esta avalancha de revocaciones de normas, sino que ahora podría prosperar en el próximo año y en los siguientes bajo la División de Exámenes. Concretamente, en las Prioridades de Examen, la SEC aconseja:

En preparación para las fechas de cumplimiento de las enmiendas de la Comisión al Reglamento S-P, la División consultará a las empresas durante las inspecciones sobre sus avances en la preparación de programas de respuesta a incidentes diseñados de manera razonable para detectar, responder y recuperarse del acceso o uso no autorizado de la información de los clientes. Después de las fechas de cumplimiento aplicables, la División examinará si las empresas han desarrollado, implementado y mantenido políticas y procedimientos de conformidad con las nuevas disposiciones de la norma que abordan las medidas de seguridad administrativas, técnicas y físicas para la protección de la información de los clientes.[2]   

Aunque en 2025 se han producido revisiones rápidas y significativas de muchas de las prioridades de la SEC, la ciberseguridad sigue siendo un tema central. Esto no debería sorprender, ya que es de esperar que la gestión de los riesgos cibernéticos siga siendo una prioridad de la SEC, independientemente de quién ocupe la «presidencia». 

La fecha de cumplimiento de la Reg S-P modificada para las empresas informantes más grandes era el 3 de diciembre de 2025, y para las empresas informantes más pequeñas es el 3 de junio de 2026. Los cambios clave que exige esta norma son:

• Desarrollar e implementar políticas y procedimientos escritos para un plan de respuesta ante incidentes.

• Desarrollar e implementar políticas y procedimientos escritos que prevean la supervisión de los proveedores de servicios, incluidos procedimientos diseñados de manera razonable para garantizar que los proveedores de servicios notifiquen a las empresas cubiertas en un plazo de 72 horas los incidentes de seguridad que afecten a los «sistemas de información de los clientes». 

• Notificar a los clientes (incluidos los clientes de otras instituciones financieras) en un plazo de 30 días en caso de que su «información confidencial» se haya visto comprometida; y 

• Ampliar el alcance de la información cubierta por la «Reg S-P» original, implementar obligaciones adicionales de mantenimiento de registros para las instituciones cubiertas y establecer una excepción al requisito de entrega anual del aviso de privacidad.

Por lo tanto, las empresas deben estar preparadas para que el personal de la División de Exámenes las examine para comprobar su preparación para la Reg S-P modificada. Además, a principios de este año, al anunciar las prioridades de la Unidad de Tecnologías Emergentes y Cibernéticas de la SEC, esta incluyó lo siguiente: «Cumplimiento de las normas y reglamentos de ciberseguridad por parte de las entidades reguladas». Esta prioridad, junto con las prioridades de examen descritas en este artículo, muestran que, aunque el presidente de la SEC, Paul Atkins, haya retirado la «regulación por aplicación» de manera más general, la ciberseguridad sigue siendo un área de interés para la Comisión.