La Comisión explica habitualmente la necesidad de nuevos mandatos de divulgación insistiendo en que los inversores realmente quieren la información. En este caso, estoy de acuerdo. Los inversores quieren saber si su información personal se ha visto comprometida y quieren que esté protegida, por lo que apoyo esta propuesta. Sin embargo, mi apoyo está lejos de ser sin reservas, y mi voluntad de votar por una regla final dependerá en gran medida de nuestra respuesta a los problemas identificados por los comentaristas.
Antes de abordar esta regla específicamente, permítanme hacer un comentario que se aplica a todas las reglas que tenemos ante nosotros hoy. La expansión propuesta de la Regulación SP es una de las tres propuestas de seguridad cibernética y protección de sistemas que estamos considerando hoy. La regulación SP se superpone y se cruza con cada una de las demás, así como con otras regulaciones existentes y propuestas, p.., la regla de seguridad cibernética para asesores de inversiones, compañías de inversión y compañías de desarrollo comercial, y la regla de subcontratación de asesores de inversiones recientemente propuesta. El comunicado no intenta ocultar estos hechos, y en realidad entra en detalles considerables sobre los despidos, pero luego simplemente los declara apropiados dados los diferentes propósitos, que son «en gran parte consistentes» y probablemente no «irrazonablemente costosos». Es cierto que sería difícil racionalizar estos requisitos superpuestos. Parafraseando a John Kennedy al abordar otro desafío difícil, la Comisión debería optar por armonizar y sintetizar estas reglas no porque sea fácil, sino porque es difícil, porque el objetivo servirá para organizar y medir lo mejor de nuestras energías y habilidades, porque el desafío es uno que estamos dispuestos a aceptar,
Asumiendo que esas palabras inspiradoras no convencieron a mis colegas de posponer esta reglamentación hasta que emprendamos un proyecto de armonización, permítanme resaltar algunas otras preocupaciones específicas de la regla:
- Si bien apoyo la notificación al cliente, la regla debe incluir una excepción de aplicación de la ley que permita a las instituciones cubiertas retrasar la alerta a los clientes sobre una incursión no autorizada cuando existe una necesidad válida de aplicación de la ley o de seguridad nacional para hacerlo. Estamos haciendo la pequeña concesión de permitir que el fiscal general obtenga una demora de hasta 30 días, si puede citar por escrito un riesgo sustancial para la seguridad nacional.
- Muchos estados tienen disposiciones de notificación al cliente, algunas de las cuales entran en conflicto con las nuestras. ¿Qué se supone que debe hacer una empresa que se encuentra atrapada entre reglas de notificación estatales y federales en competencia? En lugar de adelantarnos o ceder ante la ley estatal, bailamos alrededor del problema que estamos creando y no proporcionamos una estrategia viable para que las empresas manejen el conflicto.
- Las empresas que experimenten un ciber incidente harán malabarismos con múltiples requisitos de notificación, incluida la posibilidad de informar a más de un lugar en la Comisión. Podríamos pensar en grande y crear un formulario dinámico que permita que la información adecuada llegue a las partes correctas de la Comisión sin requerir múltiples presentaciones para el mismo evento desencadenante.
- El alcance de la regla es más amplio de lo que podría parecer a primera vista. Aquí hay varios ejemplos:
- Por ejemplo, la amplitud de la información que se considera “información del cliente” incluye “toda la información del consumidor que una institución cubierta mantiene o posee de otro modo para fines comerciales. . . independientemente de si dicha información se refiere a personas con quienes la institución cubierta tiene una relación de cliente, o se refiere a los clientes de otras instituciones financieras”. Todo el mundo es cliente suyo a efectos de la regla porque todo el mundo es cliente de alguna empresa.
- El requisito de notificación se aplicaría a la «información confidencial del cliente», que abarcaría «cualquier componente de la información del cliente solo o junto con cualquier otra información, cuyo compromiso podría crear un riesgo razonablemente probable de daño o inconveniente sustancial para una persona identificada con la información.» Los límites de este término no están claros.
- Las enmiendas extenderían la regla de salvaguardias a todos los agentes de transferencia, independientemente de si están registrados con nosotros, lo que requiere una comprensión limitada del término «cliente».
- Si bien notificar a los clientes sobre el acceso no autorizado a su información es algo bueno, la propuesta puede resultar demasiado buena. Las instituciones cubiertas estarían obligadas a notificar a las personas “cuya información confidencial del cliente fue, o es razonablemente probable que haya sido, accedida o utilizada sin autorización”. Si bien las instituciones cubiertas podrían renunciar a la notificación si determinan después de una investigación que la información confidencial del cliente «no ha sido, y no es razonablemente probable que se use, de una manera que resulte en un daño o inconveniente sustancial», la mayoría de las empresas errarán por el lado de la precaución y simplemente enviarán el aviso cada vez. Rechazamos explícitamente el camino elegido por las agencias bancarias federales que buscaron “dar a las instituciones mayor discrecionalidad para determinar si enviar avisos, evitar alarmar a los clientes con demasiados avisos y no exigir a las instituciones que prueben una negativa”.
- Las empresas tendrían que celebrar contratos por escrito con los proveedores de servicios para obligarlos a tomar “medidas apropiadas. . . diseñado para proteger contra el acceso no autorizado o el uso de la información del cliente”. La propuesta define «proveedor de servicios» de manera amplia, para incluir «cualquier persona o entidad que sea un tercero y reciba, mantenga, procese o de otra manera tenga acceso permitido a la información del cliente a través de su prestación de servicios directamente a una institución cubierta». Como reconoce el comunicado, este posible universo de proveedores de servicios podría incluir «proveedores de correo electrónico, sistemas de gestión de relaciones con los clientes, aplicaciones en la nube y otros proveedores de tecnología». ¿Cuánto costará renegociar todos esos contratos? ¿Será posible hacerlo? ¿Qué sucede con una institución cubierta cuyo proveedor de servicios elige no participar?
- La necesidad de reescribir muchos contratos me lleva a la última preocupación que plantearé. El plazo de cumplimiento propuesto es de un año. No puedo entender cómo esto es razonable, dado el trabajo que tendrán que hacer las empresas para cumplir con los requisitos de la regla, mucho menos, si esta regla se adopta con las otras dos reglas que estamos considerando hoy, los requisitos de cualquier regla superpuesta.
A pesar de mis reservas, mi respeto por el trabajo que se ha realizado en esta propuesta es considerable. Aprecio especialmente el tiempo que los equipos trabajadores de IM y DERA encontraron para responder a mis muchas preguntas y discutir mis inquietudes. Gracias también a Trading and Markets, que también fue responsable del resto de la agenda.