Regulamento S-P alterado: aqui para ficar e a ser analisado em 2026

No mês passado, a Divisão de Inspeções da Comissão de Valores Mobiliários dos Estados Unidos (SEC) divulgou as suas «Prioridades de Inspeção» para o ano fiscal de 2026. Na divulgação deste ano, a SEC anunciou que começará a inspecionar consultores de investimento, empresas de investimento e corretoras abrangidas para verificar a conformidade com as alterações ao Regulamento S-P que, entre outras coisas, exige que elas comuniquem violações de dados envolvendo informações de clientes no prazo de 30 dias. 

Estas alterações, adotadas em 16 de maio de 2024[1]e comumente conhecidas como “Reg S-P alterada”, sobreviveram à revogação, em junho de 2025, de quatorze regras adotadas pelo anterior presidente da SEC, Gary Gensler. A Reg S-P alterada parece não só ter sobrevivido a essa revogação de regras, mas agora pode prosperar no próximo ano e nos anos seguintes sob a Divisão de Exames. Especificamente, nas Prioridades de Exame, a SEC aconselha:

Em preparação para as datas de conformidade com as alterações da Comissão ao Regulamento S-P, a Divisão envolverá as empresas durante as inspeções sobre o seu progresso na preparação de programas de resposta a incidentes razoavelmente concebidos para detetar, responder e recuperar de acessos ou utilizações não autorizados de informações de clientes. Após as datas de conformidade aplicáveis, a Divisão examinará se as empresas desenvolveram, implementaram e mantiveram políticas e procedimentos de acordo com as novas disposições da regra que abordam salvaguardas administrativas, técnicas e físicas para a proteção das informações dos clientes.[2]   

Embora tenha havido revisões rápidas e significativas em muitas prioridades da SEC em 2025, a cibersegurança continua a ser um foco. Isso não deve ser uma surpresa, pois seria de se esperar que a gestão de riscos cibernéticos continuasse a ser uma prioridade da SEC, independentemente de quem ocupasse a «presidência». 

A data de conformidade para a Regra S-P alterada para empresas de maior dimensão era 3 de dezembro de 2025, e para empresas de menor dimensão é 3 de junho de 2026. As principais alterações exigidas por esta regra são:

• Desenvolver e implementar políticas e procedimentos escritos para um plano de resposta a incidentes;

• Desenvolver e implementar políticas e procedimentos escritos que prevejam a supervisão dos prestadores de serviços, incluindo procedimentos razoavelmente concebidos para garantir que os prestadores de serviços notifiquem as empresas abrangidas no prazo de 72 horas após incidentes de segurança envolvendo «sistemas de informação dos clientes»; 

• Notificar os clientes (incluindo clientes de outras instituições financeiras) no prazo de 30 dias, caso as suas «informações confidenciais» tenham sido comprometidas; e 

• Ampliação do âmbito das informações abrangidas pela «Reg S-P» original, implementação de obrigações adicionais de manutenção de registos para as instituições abrangidas e concessão de uma exceção ao requisito de entrega anual do aviso de privacidade.

Assim, as empresas precisam estar preparadas para que a Divisão de Exames as examine quanto à sua preparação para a Regra S-P alterada. Além disso, no início deste ano, ao anunciar as prioridades da Unidade de Tecnologias Emergentes e Cibernéticas da SEC, a SEC incluiu o seguinte: «Conformidade das entidades reguladas com as regras e regulamentos de cibersegurança». Esta prioridade, juntamente com as Prioridades de Exame descritas neste artigo, mostra que, mesmo que o presidente da SEC, Paul Atkins, tenha abandonado a «regulamentação por meio da aplicação» de forma mais geral, a cibersegurança continua a ser uma área de foco para a Comissão.