SEC Tightens Cybersecurity Requirements with Regulation S-P Amendments

“A ideia básica para as empresas abrangidas é que, se houver uma violação, é necessário notificá-la. Isso é bom para os investidores.” Essas foram algumas das observações feitas pelo presidente da Comissão de Valores Mobiliários dos Estados Unidos (SEC), Gary Gensler, ao anunciar as alterações da SEC ao Regulamento S-P, que rege o tratamento de informações pessoais não públicas por determinadas instituições financeiras. Para as instituições abrangidas (geralmente corretoras, empresas de investimento, consultores de investimento registados e agentes de transferência), o regulamento alterado não só introduz um requisito obrigatório de notificação de violação de dados, como também impõe requisitos adicionais de cibersegurança. Resumimos o regulamento alterado e apresentamos as principais conclusões abaixo.

Programa de resposta a incidentes

O regulamento alterado exige que todas as instituições abrangidas desenvolvam e implementem um programa de resposta a incidentes dentro das suas políticas e procedimentos existentes. Este programa deve ser «razoavelmente concebido» para detetar, responder e recuperar de incidentes de acesso ou utilização não autorizados de informações de clientes.

Embora o regulamento alterado permita às instituições a flexibilidade de adaptar as suas políticas e procedimentos para melhor se adequarem aos seus perfis operacionais e de risco, certos princípios fundamentais devem fazer parte de qualquer programa de resposta a incidentes:

Avaliação de incidentes: O programa deve incluir políticas e procedimentos para avaliar a natureza e o âmbito do incidente. Isso envolve identificar quais sistemas de informação do cliente foram comprometidos e os tipos de informação do cliente que podem ter sido acedidos ou utilizados sem autorização.
Contenção e controlo: Ao detetar um incidente, as instituições devem tomar as medidas adequadas para conter e controlar a situação, a fim de impedir novos acessos não autorizados ou o uso indevido das informações dos clientes. Esta etapa é crucial para mitigar o impacto da violação e proteger contra vulnerabilidades adicionais.
Notificação das pessoas afetadas: O programa também deve descrever os procedimentos para notificar as pessoas cujas informações confidenciais foram, ou provavelmente foram, comprometidas. As notificações devem ser feitas, a menos que a instituição, após uma investigação razoável, determine que as informações confidenciais não foram e provavelmente não serão utilizadas de forma a causar danos ou inconvenientes substanciais ao cliente.

Requisito de notificação

O regulamento alterado impõe uma exigência de notificação nos casos em que tenha ocorrido acesso ou utilização não autorizados de «informações confidenciais de clientes», definidas como qualquer elemento dos dados dos clientes, isoladamente ou em combinação com outras informações, cuja violação possa prejudicar ou causar transtornos substanciais ao indivíduo associado a essas informações.

De acordo com o regulamento alterado, as instituições abrangidas devem realizar uma investigação razoável para determinar a probabilidade de danos resultantes de um potencial incidente de cibersegurança. Se uma instituição abrangida concluir que as informações confidenciais não foram e provavelmente não serão utilizadas de forma a causar danos ou inconvenientes substanciais, a exigência de notificação pode ser dispensada. A razoabilidade de uma investigação será determinada pelas especificidades da situação. Por exemplo, uma violação intencional da segurança por um cibercriminoso pode exigir uma investigação mais aprofundada em comparação com uma exposição inadvertida de dados por um funcionário.

Se a instituição abrangida concluir que houve uma violação, essa instituição deve notificar as pessoas afetadas assim que for razoavelmente possível e no prazo máximo de 30 dias, com exceções limitadas. A notificação deve fornecer detalhes sobre a violação, incluindo a natureza do incidente e os dados específicos envolvidos. Além disso, as notificações devem orientar as pessoas afetadas sobre as medidas adequadas para se protegerem de possíveis danos.

Supervisão dos prestadores de serviços

A regulamentação alterada exige que o programa de resposta a incidentes de uma instituição abrangida inclua políticas e procedimentos escritos razoavelmente concebidos para exigir supervisão, incluindo através de diligência devida e monitorização, dos prestadores de serviços. Um «prestador de serviços» é «qualquer pessoa ou entidade que receba, mantenha, processe ou de outra forma tenha acesso a informações de clientes através da prestação de serviços diretamente a uma instituição abrangida». Esta definição abrangente pode incluir uma vasta gama de entidades, incluindo fornecedores de e-mail, sistemas de gestão de relações com clientes, aplicações na nuvem e outros fornecedores de tecnologia.

As políticas e procedimentos escritos de uma instituição abrangida devem ser razoavelmente concebidos para garantir que os prestadores de serviços tomem as medidas adequadas para proteger contra o acesso ou uso não autorizado das informações dos clientes e notifiquem a instituição abrangida o mais rápido possível, mas no máximo 72 horas após tomarem conhecimento de que ocorreu uma violação de segurança que resultou no acesso não autorizado a um sistema de informações dos clientes. Ao receber tal notificação, a instituição abrangida deve iniciar o seu programa de resposta a incidentes.

Outros aspetos do regulamento alterado

Entre outras coisas, o regulamento alterado impõe requisitos adicionais de manutenção de registos às instituições abrangidas, incluindo a documentação do acesso ou uso não autorizado de informações de clientes e qualquer investigação realizada em relação a tal incidente. O regulamento alterado também exige políticas e procedimentos relacionados com o descarte adequado de informações de consumidores e clientes.

Principais conclusões

A regulamentação alterada é mais um dado que demonstra o foco do governo federal em geral, e da SEC em particular, na conformidade com a segurança cibernética. As instituições abrangidas podem esperar que esse foco continue e que o volume de ações de fiscalização da segurança cibernética aumente.

A regulamentação alterada entrará em vigor no final deste verão. As entidades de maior dimensão terão 18 meses para se adequarem e as entidades de menor dimensão terão 24 meses. As instituições abrangidas devem avaliar a aplicação da regulamentação às suas atividades e planear os seus esforços de conformidade em conformidade.

As instituições abrangidas devem começar a rever e atualizar as suas políticas e procedimentos para garantir que refletem os novos requisitos. Esta abordagem proativa ajudará a identificar lacunas e a garantir a conformidade com o regulamento alterado dentro do prazo prescrito.

As instituições abrangidas também devem rever os acordos existentes com os prestadores de serviços para garantir uma supervisão e conformidade suficientes dos prestadores de serviços, em conformidade com as alterações. Isso inclui a implementação de medidas de diligência devida e monitorização para verificar se os prestadores de serviços cumprem os novos requisitos de segurança e notificação.

Embora a regulamentação alterada seja digna de nota por impor uma exigência de notificação obrigatória, na prática, essa obrigação já existia na forma de leis estaduais sobre violação de dados e outras regulamentações. Como resultado, as instituições abrangidas devem aproveitar os seus planos de resposta a incidentes e manuais de notificação existentes e determinar até que ponto os processos e procedimentos existentes podem ser aproveitados.

Se tiver outras dúvidas sobre os requisitos da Regulamentação S-P alterada, entre em contacto com um dos autores ou com qualquer sócio ou consultor sênior do grupo de prática de Transações Tecnológicas, Cibersegurança e Privacidade da Foley & Lardner.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.