Saltar al contenido
GDPR PDF

La Comisión de bolsa de la EEUU avisa de problemas con la seguridad de los datos que manejan las empresas de inversión

mayo 3, 2019

La Comisión de bolsa y valores SEC de los EEAA está alertando a las empresas de inversión para que se pongan las pilas cuando se trate de seguir las reglas de privacidad.

En una alerta de riesgo emitida por la oficina de inspecciones y exámenes de cumplimiento (OCIE), se ha identificado una lista de «deficiencias o deficiencias» del cumplimiento en los recientes exámenes de consultores de inversión y corredores registrados en la SEC.

El Reglamento S-P o la norma de salvaguardias-la regla principal de la SEC sobre la privacidad-obliga a las empresas de inversión a «adoptar políticas y procedimientos escritos que abarquen las salvaguardias administrativas, técnicas y físicas para la protección Registros e información del cliente.

El proceso de examen rutinario de la Agencia encontró que las deficiencias de cumplimiento «más comunes» incluyen:

No se proporcionan los avisos de privacidad requeridos, avisos de privacidad anuales y avisos de OptOut a los clientes o uso de «avisos que no reflejan con precisión las políticas y procedimientos de las empresas».


Durante las inspecciones, el OCIE constató que algunas empresas de inversión tenían numerosas deficiencias.

Almacenar información del cliente en dispositivos personales sin políticas y procedimientos para proteger la información.


Uso de correo electrónico no cifrado para enviar información de identificación personal o IPI . Envío de IPI a «ubicaciones no seguras fuera de las redes previstas.

Los planes de respuesta a incidentes fallidos que «no han abordado áreas importantes como las asignaciones de roles para implementar el plan, las acciones necesarias para manejar un incidente de seguridad cibernética y el sistema evaluaciones de vulnerabilidad.


IPI almacenamiento de clientes en «archivadores de archivos desbloqueados en oficinas abiertas.


La Agencia dijo que alienta a los solicitantes de registro a revisar sus políticas y procedimientos escritos, incluyendo la implementación de estas políticas y procedimientos, para asegurar el cumplimiento de los requisitos reglamentarios pertinentes.