Algunas organizaciones de finanzas que operan en EE.UU. tendrán la obligación, de ahora en adelante, de dar a conocer las violaciones de seguridad que sufran dentro de los 30 días posteriores a su descubrimiento.
Esta novedad responde a las modificaciones que ha realizado la Comisión de Bolsa y Valores de EE.UU. (SEC) al Reglamento SP, una normativa adoptada con el objetivo de proteger la privacidad de la información financiera personal de los consumidores en poder de las instituciones financieras, según recoge TechRadar. Dicho reglamento se había actualizado por última vez en el año 2000, por lo que era imperativa su modernización.
"Durante los últimos 24 años, la naturaleza, la escala y el impacto de las violaciones de datos se han transformado sustancialmente", ha señalado a Ars Technica al presidente de la SEC, Gary Gensler.
"Estas enmiendas al Reglamento SP harán actualizaciones críticas a una regla adoptada por primera vez en 2000 y ayudarán a proteger la privacidad de los datos financieros de los clientes. La idea básica para las empresas cubiertas es que si tienen una infracción, deben avisar. Eso es bueno para los inversores", añade.
Debido a los cambios en el documento tanto las instituciones financieras como los corredores de bolsa (también los portales de financiación), las compañías de inversión, los asesores de inversiones registrados y los agentes de transferencias deben informar a las víctimas "tan pronto como sea posible", aunque se habla de 30 días "a más tardar", una vez la empresa se entera por primera vez de la infracción.
Al notificar a las víctimas de estas brechas de datos las compañías deben detallar qué ocurrió, qué datos fueron robados y qué pueden hacer las víctimas para protegerse.
Asimismo, dichas empresas necesitarán "desarrollar, implementar y mantener políticas y procedimientos escritos" que estén "razonablemente diseñados para detectar, responder y recuperarse del acceso o uso no autorizado de la información del cliente".
Las enmiendas entrarán en vigor 60 días después de su publicación en el Registro Federal y las organizaciones más grandes contarán con 18 meses para cumplirlas después de que se publiquen las modificaciones. Por su parte, las empresas más pequeñas contarán con 24 meses de margen.
Desde Ars Technica exponen que la normativa cuenta con un gran vacío legal, ya que las instituciones financieras no estarían obligadas a informar a las víctimas de los incidentes si consideran que la información no se usó para causar un "daño o inconveniente sustancial".