En los últimos años, la protección de datos se ha convertido en una emergencia nacional en EE. UU., especialmente sin una Ley Federal de Privacidad y Protección de Datos. El intercambio generalizado de información de EE. UU. datos personales y sensibles Se ha considerado una práctica explotadora, especialmente por parte de países de interés. Para abordar este flagrante problema, la administración Biden ha emitido una Orden Ejecutiva (OE) para impedir que dichos países accedan a los datos personales sensibles de los estadounidenses.
¿Qué es la Orden de Protección de Datos Personales Sensibles?: Un Vistazo
El 28 de febrero de 2024, el presidente Biden firmó la Orden Ejecutiva 14117, “Prevenir el acceso masivo de datos personales sensibles de estadounidenses y datos relacionados con el gobierno de EE. UU. por parte de países de interés” (la Orden Ejecutiva). Esta orden ejecutiva es la más importante del presidente para proteger la seguridad de los datos de Estados Unidos. La Orden Ejecutiva autoriza al Fiscal General a prevenir transferencias masivas de datos de estadounidenses a países de interés y a establecer salvaguardas para prevenir el acceso a datos sensibles de estadounidenses. La Orden Ejecutiva se centra en la información más personal y sensible de los estadounidenses, incluidos los datos genómicos. datos biométricos, datos personales de salud, datos de geolocalización, datos financieros, y ciertos tipos de información de identificación personal.
A continuación se presentan algunos aspectos esenciales de la orden ejecutiva de protección de datos personales y sensibles:
Países de preocupación
La Orden Ejecutiva no menciona países específicos, pero los administradores superiores identifican a esos países como China, Rusia, Corea del Norte, Irán, Cuba y Venezuela. TikTok, filial de la empresa tecnológica china ByteDance Ltd, es un importante punto de controversia, ya que cuenta con más de 150 millones de usuarios estadounidenses, algo que los líderes estadounidenses han destacado en los últimos años. El gobierno de Biden está preocupado por el tráfico de datos confidenciales en TikTok. La secretaria de prensa de la Casa Blanca, Karine Jean-Pierre, declaró: «Tenemos inquietudes, por eso publicamos la orden ejecutiva».
Riesgos de seguridad, derechos de privacidad y libertades civiles
Un factor motivador importante detrás de la EO es la capacidad de inteligencia artificial (IA) Aprovechar grandes conjuntos de datos por razones problemáticas (o para construir nuevos modelos de IA) que podrían perjudicar al público estadounidense. Cualquier organización que procese datos personales y sensibles debe comprender cómo... La IA impacta los riesgos y podría potencialmente exponer el negocio a una investigación regulatoria.
La Orden Ejecutiva representa un esfuerzo creciente del gobierno para vigilar las transacciones de datos que podrían permitir a potencias extranjeras hostiles utilizar datos como arma y utilizar inteligencia artificial para atacar a estadounidenses. El rastreo de estadounidenses potencialmente facilita la vigilancia intrusiva, las estafas, el chantaje, las violaciones de la privacidad y los riesgos de seguridad, especialmente para quienes pertenecen al ejército o participan en la comunidad de seguridad nacional.
Otro área de preocupación es la capacidad de estos países de acceder a datos personales sensibles para recopilar información sobre periodistas, activistas, personalidades políticas y grupos marginados para intimidar, crear disenso, alterar el panorama político o limitar las libertades y los derechos civiles de Estados Unidos.
Se ordena a las agencias gubernamentales proteger los datos
La Orden Ejecutiva permite a las agencias federales emitir regulaciones que impidan las transferencias a gran escala de ciertos tipos de datos sensibles desde países de interés. Para proteger los datos personales sensibles de los estadounidenses, el gobierno de Biden ordena:
- El Departamento de Justicia Emitirá regulaciones que protejan los datos confidenciales de los estadounidenses del acceso y la explotación. La protección de datos consistirá en datos biométricos, datos personales de salud, datos genómicos, datos de geolocalización, datos financieros e identificadores personales específicos. El Departamento de Justicia impedirá la transferencia a gran escala de estos datos, que se sabe que se recopilan y utilizan indebidamente. Además, el Departamento de Justicia debe proteger exhaustivamente los datos confidenciales del gobierno, en particular la información de geolocalización en sitios gubernamentales confidenciales y la información sobre militares.
- Los Departamentos de Justicia y Seguridad Nacional Trabajarán juntos para establecer estándares de alta seguridad para evitar el acceso a los datos de los estadounidenses a través de medios comerciales, como la disponibilidad de datos a través de inversiones, proveedores y relaciones laborales.
- Los Departamentos de Salud y Servicios Humanos, Defensay Asuntos de Veteranos ayudará a garantizar que los contratos, subvenciones y premios no faciliten el acceso a datos sanitarios sensibles por parte de países en cuestión, incluso a través de empresas en los Estados Unidos.
- La Oficina de Protección Financiera del Consumidor Actuaremos con las autoridades legales existentes para proteger a los estadounidenses de los corredores de datos que venden datos extremadamente sensibles de manera ilegal.
Restricciones a ciertas transferencias de información personal
La Orden Ejecutiva debe continuar el flujo de información necesario para los servicios financieros, el consumo, la economía, la ciencia y las relaciones comerciales con otros países. La Orden Ejecutiva insiste en que habrá coherencia con el apoyo de Estados Unidos al libre flujo de datos confiable.
Además de la Orden Ejecutiva, el Departamento de Justicia publicó una Aviso anticipado de propuesta de reglamentación (ANPRM), que define su plan para implementar estas regulaciones. El Departamento de Justicia tiene la obligación de regular y restringir las transacciones relacionadas con el corretaje de datos, las transferencias masivas de datos confidenciales o los datos relacionados con el Gobierno de EE. UU. La ANPRM también puede imponer requisitos y restricciones de seguridad importantes a tres tipos de transacciones masivas de datos: acuerdos con proveedores, de empleo y de inversión.
Corredores de datos y ventas masivas de datos
En Estados Unidos, los intermediarios de datos pueden recopilar legalmente información personal para crear perfiles del público estadounidense que luego pueden alquilarse o venderse. Es una práctica relativamente común que los intermediarios de datos vendan y revendan información, pero pueden vender datos legalmente a países que les preocupan o que están controlados por ellos. Los intermediarios de datos crean una brecha en la protección de la seguridad nacional cuando los datos pueden acabar rápidamente en manos de agencias de inteligencia extranjeras, ejércitos o empresas propiedad de gobiernos extranjeros.
Cumplimiento y ejecución
La ANPRM actualmente no contempla responsabilidad objetiva por infracciones a la nueva regulación. Sin embargo, el Departamento de Justicia (DOJ) está considerando imponer sanciones civiles con mecanismos de notificación previa a la sanción, respuestas y decisiones finales. Además, se prevé establecer programas de cumplimiento basados en el riesgo; cuando se produzca una infracción, el DOJ, en cualquier acción de cumplimiento, consideraría dicho programa.
Cómo BigID ayuda a las organizaciones a proteger datos personales y confidenciales
La Orden Ejecutiva se alinea con varias iniciativas globales para salvaguardar el flujo y la transferencia de información entre países. La Orden Ejecutiva destaca la importancia de que las empresas comprendan qué datos recopilan, cómo se utilizan y su posible uso por parte de terceros.
BigID permite a las organizaciones cumplir con los requisitos de EO mediante la identificación, gestión, supervisión y protección de todos los datos personales y sensibles, incluyendo las transferencias transfronterizas y los requisitos de acceso a datos. Con BigID, las organizaciones pueden:
- Descubrir datos: Descubra y catalogue sus datos confidenciales, ya sean estructurados, semiestructurados o no estructurados, tanto en entornos locales como en la nube.
- Obtenga visibilidad completa: Clasifique, categorice, etiquete y etiquete automáticamente datos confidenciales con precisión, granularidad y escala inigualables para crear un inventario de datos cohesivo para prepararse para las auditorías regulatorias del Departamento de Justicia.
- Mitigar el riesgo de acceso a los datos: Supervise, detecte y responda de forma proactiva a la exposición interna no autorizada, el uso y la actividad sospechosa en torno a datos confidenciales.
- Transferencias de datos validadas: Crear políticas y asignar residencia a fuentes de datos y datos de personas para hacer cumplir los requisitos de residencia de datos y monitorear y alertar sobre las transferencias de datos.
- Agilizar la remediación: BigID ayuda a definir las acciones de remediación para proporcionar registros de auditoría con integración a sistemas de tickets como Jira. flujos de trabajo de remediación sin interrupciones.
- Lograr la conformidad: Cumpla automáticamente con los marcos y las normativas de seguridad, privacidad e IA a nivel mundial, donde sea que residan los datos.
Programe una demostración con nuestros expertos para ver cómo BigID puede ayudar a su organización a proteger el acceso y los datos personales confidenciales para cumplir con los nuevos requisitos de la orden ejecutiva.
Autor
