Aquí hay una actualización legal para los preparadores de impuestos: Si no ha establecido prácticas de seguridad para proteger los datos de sus clientes, ese fallo podría resultar en una investigación de la Comisión Federal de Comercio (FTC).
Además, el IRS puede tratar una violación de la Regla de Salvaguarda de la FTC. Ese procedimiento establece reglas para los profesionales de impuestos que participan como proveedores autorizados de e-file del IRS.
La Ley de Modernización de los Servicios Financieros de 1999, también conocida como Ley Gramm-Leach-Bliley (GLB), otorga a la Comisión Federal de Comercio (FTC) la facultad de establecer reglamentos de salvaguardia de la información para diversas entidades, incluidos los preparadores profesionales de impuestos.
En el primer enlace anterior, la definición de «institución financiera» incluye empresas que no suelen describirse de esa manera. De hecho, la norma de salvaguardias se aplica a todas las empresas, independientemente de su tamaño, que se dediquen «significativamente» a la prestación de productos o servicios financieros.
Eso incluye a las empresas de cobro de cheques, los prestamistas de día de pago, los agentes hipotecarios, los prestamistas no bancarios, los tasadores de bienes muebles o inmuebles, los servicios de mensajería, las agencias de informes crediticios y los operadores de cajeros automáticos que obtienen información sobre los clientes de otras instituciones financieras, y los preparadores de impuestos.
Además de desarrollar sus propias precauciones, las empresas a las que se aplica la norma de salvaguardias son responsables de tomar medidas para que sus filiales y proveedores de servicios salvaguarden la información de los clientes a su cargo. Además, los miembros del Comité Asesor de Administración Tributaria Electrónica del IRS (ETAAC) en junio señalaron que creen que «mucho menos de la mitad de los profesionales de los impuestos son conscientes de sus responsabilidades en virtud de la norma de salvaguardias de la FTC y que incluso menos profesionales … han aplicado las prácticas de seguridad requeridas».
El plan de seguridad de la información requerido por la FTC debe ser adecuado al tamaño y complejidad de la empresa, la naturaleza y el alcance de sus actividades y la sensibilidad de la información del cliente que maneja. Eso significa, según la FTC, que cada empresa debe:
– Designar a uno o más empleados para coordinar su programa de seguridad de la información
– Identificar y evaluar los riesgos para la información del cliente en cada área relevante de la operación de la compañía y evaluar la efectividad de las salvaguardias actuales para controlar estos riesgos
– Diseñar e implementar un programa de salvaguardias y monitorearlo y probarlo regularmente
– Seleccionar proveedores de servicios que puedan mantener las salvaguardias apropiadas, asegurarse de que el contrato les exige mantener las salvaguardias y supervisar su manejo de la información del cliente
– Evaluar y ajustar el programa a la luz de las circunstancias pertinentes, incluidos los cambios en los negocios u operaciones de la empresa, o los resultados de las pruebas y la supervisión de la seguridad
La FTC dice que los requisitos están diseñados para ser flexibles, de modo que las empresas puedan aplicar las salvaguardias adecuadas a sus propias circunstancias. La regla de salvaguardias requiere que las empresas evalúen y aborden los riesgos para la información de los clientes en todas las áreas de sus operaciones.
El IRS señala que la norma de salvaguardias exige que las empresas evalúen los riesgos para los datos de los clientes en tres ámbitos fundamentales: la gestión y la capacitación de los empleados, los sistemas de información y la detección y gestión de los fallos del sistema.
Por ejemplo, la Comisión Federal de Comercio recomienda en su norma de eliminación las siguientes cuatro estrategias para proteger los datos de los clientes:
– Designar o contratar a un gerente de retención de registros para supervisar la eliminación de los registros que contienen información de los clientes. Si eso implica a una empresa externa, la diligencia debida realizada anteriormente debe comprobar las referencias o exigir que la empresa esté certificada por un grupo industrial reconocido.
– Quemar, pulverizar o triturar los papeles que contienen la información del cliente para que la información no pueda ser leída o reconstruida.
– Destruir o borrar datos al deshacerse de computadoras, discos, CD, cintas magnéticas, discos duros, computadoras portátiles, PDA, teléfonos celulares o cualquier otro medio electrónico o hardware que contenga información del cliente.
– Vigile los sitios web de los vendedores de software y lea las publicaciones relevantes de la industria para conocer las noticias sobre las amenazas emergentes y las defensas disponibles.