Ir al contenido
Ver todas las entradas

Cumpliendo con la Norma del Departamento de Justicia sobre transferencias transfronterizas de datos

Por Dan Hansen, Director de Asesoramiento Técnico, Ingeniería de Soluciones

3 minuto de lectura

Resumen ejecutivo

Una nueva y amplia norma del Departamento de Justicia de EE. UU. (DOJ) vigente desde abril de 2025 impone límites estrictos a la forma en que los datos personales y gubernamentales de EE. UU. pueden compartirse con países extranjeros específicos. Centrada en la seguridad nacional, no en los derechos a la privacidad, esta norma representa un cambio importante en la forma en que las organizaciones deben gobernarse. movimiento transfronterizo de datos.

El reglamento introduce prohibiciones y condiciones para el intercambio de datos con seis “países de interés”, y se centra en las transferencias masivas de biométrico, genético, salud, geolocalización y datos financierosHay mucho en juego: incluso el acceso indirecto a los datos a través de proveedores, proveedores de nube o contratistas puede ser objeto de escrutinio. Estamos aquí para analizar los cambios y cómo las organizaciones pueden prepararse, empezando por comprender dónde se encuentran los datos confidenciales, cómo se mueven y quién tiene acceso a ellos.

¿Cuál es la regla final del Departamento de Justicia?

Emitido bajo Orden Ejecutiva 14117La norma final del Departamento de Justicia busca impedir que actores extranjeros hostiles adquieran datos confidenciales sobre individuos o sistemas federales estadounidenses. Introduce dos categorías principales de datos bajo control regulatorio:

  • Datos personales sensibles a granel: Incluye datos biométricos, geolocalización precisa, información de salud personal, detalles de cuentas financieras y cualquier identificador vinculado.
    • Umbrales: generalmente más de 1000 individuos estadounidenses; solo 100 para datos genómicos o relacionados con el ADN.
  • Datos relacionados con el gobierno de EE. UU.: Cubre datos de empleados federales, información relacionada con la defensa y cualquier conjunto de datos conectado a operaciones o sistemas del gobierno de EE. UU.

La regla se aplica a una amplia gama de transacciones: no sólo ventas de datos, sino también actividades de procesamiento, licencias, subcontratación, empleo e inversión que involucran a los países cubiertos.

Fechas clave de cumplimiento

8 de abril de 2025 La norma entra en vigor. Las transacciones de datos protegidas deben cesar o cumplir con las restricciones.

8 de julio de 2025 Fin del período de gracia de 90 días para la "buena fe" del Departamento de Justicia. Comienza la aplicación efectiva de la ley.

6 de octubre de 2025 – Entran en vigor obligaciones de cumplimiento afirmativo (por ejemplo, diligencia debida, auditorías, documentación).

Transacciones prohibidas vs. restringidas

Tipo de transacción Estado bajo la regla
Venta o licencia de datos personales en masa ❌ Prohibido por completo
Transferencias de datos genómicos/'ómicos ❌ Prohibido categóricamente
Almacenamiento en la nube o proveedores offshore ⚠️ Restringido con las salvaguardas requeridas
Empleados extranjeros con acceso ⚠️ Permitido únicamente con controles documentados
Acuerdos de inversión que involucran acceso a datos ⚠️ Sujeto a revisión de seguridad nacional

¿Qué hace que esta regla sea diferente?

Mientras que los marcos como GDPR y CPRA regular los datos personales para proteger la privacidad individual, esta norma del Departamento de Justicia se centra en riesgo de exposición de datos a gobiernos adversarios. No hay optar por no participar, modelo de consentimiento o componente de derechos del consumidor. En su lugar, las organizaciones deben:

  • Identificar datos cubiertos en todos los sistemas
  • Cuantificar si se cumplen los umbrales (por ejemplo, 1000 registros)
  • Evaluar el acceso potencial por parte de entidades extranjeras, incluso indirectamente
  • Mantener documentación defendible e implementar salvaguardas técnicas

A diferencia de las leyes de privacidad centradas en la transparencia, esta regla exige visibilidad y control A nivel de infraestructura, se requiere madurez operativa en torno a datos sensibles que abarcan la privacidad, la seguridad y el riesgo geopolítico.

La ventaja de BigID: conozca sus datos y protéjalos en todas partes

Cumplir con las exigencias de esta regla comienza con una verdad simple: no se puede proteger lo que no se puede encontrar. BigID ayuda a las organizaciones a abordar el riesgo transfronterizo brindándoles una visibilidad inigualable de sus datos: qué son, dónde residen, cómo fluyen y quién puede acceder a ellos. acceso él.

Con BigID, las organizaciones pueden:

  • Descubrir y clasificar datos confidenciales—incluida información biométrica, sanitaria, genómica y vinculada al gobierno
  • Comprender qué conjuntos de datos exceden los umbrales del Departamento de Justicia y desencadenan obligaciones de cumplimiento
  • Flujos de datos de mapas a través de fronteras, proveedores y entornos para identificar la exposición
  • Señale escenarios de riesgo que involucren almacenamiento, proveedores o acceso externo
  • Documentar controles y generar artefactos de auditoría defendibles

Ya sea que esté administrando datos regulados en la nube, preparándose para la diligencia debida del proveedor o mitigando riesgos geopolíticos emergentes,BigID le brinda la base para actuar con confianza.

Contenido

3 Best Practices for Cross-Border Data Transfers

Read the whitepaper to learn how BigID helps to manage cross-border data transfers by outlining best practices to mitigate risk and achieve compliance with several privacy regulations.

Descargar el Libro Blanco