Este post proviene de esta fuente de noticias

La Securities and Exchange Commission ha anunciado hoy la presentación de cargos contra Morgan Stanley Smith Barney LLC (MSSB) como consecuencia de los graves fallos cometidos por la empresa, durante un período de cinco años, en la protección de la información personal de unos 15 millones de clientes. MSSB ha acordado pagar una multa de 35 millones de dólares para resolver los cargos de la SEC.

La orden de la SEC concluye que, ya en 2015, MSSB no eliminó adecuadamente los dispositivos que contenían la IIP de sus clientes. En múltiples ocasiones, MSSB contrató a una empresa de mudanzas y almacenamiento sin experiencia ni conocimientos en servicios de destrucción de datos para desmantelar miles de discos duros y servidores que contenían la IIP de millones de sus clientes. Además, según la orden de la SEC, durante varios años, MSSB no supervisó adecuadamente el trabajo de la empresa de mudanzas. La investigación del personal descubrió que la empresa de mudanzas vendió a un tercero miles de dispositivos de MSSB, incluidos servidores y discos duros, algunos de los cuales contenían IIP de clientes, y que finalmente fueron revendidos en un sitio de subastas de Internet sin eliminar dicha IIP de clientes. Aunque MSSB recuperó algunos de los dispositivos, que se demostró que contenían miles de datos de clientes sin cifrar, la empresa no ha recuperado la gran mayoría de los dispositivos.

La orden de la SEC también concluye que MSSB no salvaguardó adecuadamente la IIP de los clientes ni eliminó correctamente la información de los informes de los consumidores cuando desmanteló los servidores de las oficinas locales y de las sucursales como parte de un programa más amplio de renovación del hardware. Un ejercicio de conciliación de registros llevado a cabo por la empresa durante este proceso de desmantelamiento reveló que faltaban 42 servidores, todos los cuales podían contener información de identificación personal de clientes e informes de consumidores sin cifrar. Además, durante este proceso, MSSB también se enteró de que los dispositivos locales que se estaban retirando estaban equipados con capacidad de cifrado, pero que la empresa no había activado el software de cifrado durante años.

“Los fallos de MSSB en este caso son sorprendentes. Los clientes confían su información personal a los profesionales financieros con el entendimiento y la expectativa de que será protegida, y MSSB se quedó lamentablemente corto en hacerlo”, dijo Gurbir S. Grewal, Director de la División de Aplicación de la SEC. “Si no se protege adecuadamente, esta información sensible puede acabar en manos equivocadas y tener consecuencias desastrosas para los inversores. La acción de hoy envía un mensaje claro a las instituciones financieras de que deben tomarse en serio su obligación de salvaguardar esos datos.”

Sin admitir ni negar sus conclusiones, MSSB aceptó la orden de la SEC por la que se declaraba que la empresa había infringido las normas de salvaguardia y eliminación del Reglamento S-P y aceptó pagar la mencionada sanción.