Pular para o conteúdo

Em conformidade com o Norma do Departamento de Justiça sobre Transferências Transfronteiriças de Dados

Por Dan Hansen, Diretor de Consultoria Técnica, Engenharia de Soluções

3 leitura de minutos

Sumário executivo

Uma nova e abrangente regra do Departamento de Justiça dos EUA (DOJ), em vigor a partir de abril de 2025, impõe limites rigorosos sobre como dados pessoais e governamentais dos EUA podem ser compartilhados com determinados países estrangeiros. Focada na segurança nacional — e não nos direitos à privacidade —, essa regra representa uma mudança significativa na forma como as organizações devem governar seus dados. movimento de dados transfronteiriços.

O regulamento introduz proibições e condições para o compartilhamento de dados com seis “países de preocupação”, visando transferências em massa de biometria, genético, saúde, geolocalização e dados financeirosOs riscos são altos: até mesmo o acesso indireto a dados por meio de fornecedores, provedores de nuvem ou contratados pode ser alvo de escrutínio. Estamos aqui para explicar o que está mudando e como as organizações podem se preparar — começando por entender onde os dados confidenciais são armazenados, como eles se movem e quem tem acesso a eles.

Qual é a regra final do Departamento de Justiça?

Emitido sob Decreto Executivo 14117A norma final do Departamento de Justiça visa impedir que agentes estrangeiros hostis obtenham dados sensíveis sobre indivíduos ou sistemas federais dos EUA. Ela introduz duas categorias principais de dados sob controle regulatório:

  • Dados pessoais sensíveis em massa: Inclui dados biométricos, geolocalização precisa, informações pessoais de saúde, detalhes de contas financeiras e quaisquer identificadores associados.
    • Limiares: Geralmente, mais de 1.000 indivíduos nos EUA; apenas 100 para dados genômicos ou relacionados ao DNA.
  • Dados relacionados ao governo dos EUA: Abrange dados de funcionários federais, informações relacionadas à defesa e quaisquer conjuntos de dados vinculados a operações ou sistemas do governo dos EUA.

A regra aplica-se a uma ampla gama de transações — não apenas à venda de dados, mas também ao processamento, licenciamento, terceirização, contratação e atividades de investimento envolvendo os países abrangidos.

Datas importantes para conformidade

8 de abril de 2025 – A regra entra em vigor. As transações de dados abrangidas devem cessar ou cumprir as restrições.

8 de julho de 2025 – Fim do período de tolerância de 90 dias do Departamento de Justiça para “boa fé”. A aplicação da lei começa de fato.

6 de outubro de 2025 – As obrigações de conformidade afirmativa (por exemplo, due diligence, auditorias, documentação) entram em vigor.

Transações proibidas vs. transações restritas

Tipo de transação Situação de acordo com a regra
Venda ou licenciamento em massa de dados pessoais ❌ Absolutamente proibido
Transferências de dados genômicos/ômicos ❌ Categoricamente proibido
Armazenamento em nuvem ou fornecedores offshore ⚠️ Acesso restrito com medidas de segurança obrigatórias
Funcionários estrangeiros com acesso ⚠️ Permitido somente com controles documentados
Negócios de investimento que envolvem acesso a dados ⚠️ Sujeito à revisão de segurança nacional

O que torna esta regra diferente?

Embora estruturas como RGPD e CPRA Para regulamentar os dados pessoais e proteger a privacidade individual, esta norma do Departamento de Justiça centra-se em: risco de exposição de dados a governos adversários. Não há excluir, modelo de consentimento ou componente de direitos do consumidor. Em vez disso, as organizações devem:

  • Identificar os dados abrangidos em todos os sistemas.
  • Quantificar se os limites foram atingidos (ex.: 1.000 registros)
  • Avaliar o potencial de acesso por entidades estrangeiras — mesmo que indiretamente.
  • Manter documentação defensável e implementar salvaguardas técnicas.

Ao contrário das leis de privacidade focadas na transparência, esta regra exige visibilidade e controle No nível da infraestrutura. É um apelo à maturidade operacional em torno de dados sensíveis que abrangem privacidade, segurança e risco geopolítico.

A vantagem da BigID: Conheça seus dados, proteja-os em qualquer lugar.

Atender às exigências dessa regra começa com uma verdade simples: você não pode proteger o que não consegue encontrar. A BigID ajuda as organizações a lidar com o risco transfronteiriço, oferecendo-lhes visibilidade incomparável sobre seus dados — o que são, onde residem, como fluem e quem pode acessá-los. acesso isto.

Com o BigID, as organizações podem:

  • Descubra e classifique dados sensíveis.—incluindo informações biométricas, de saúde, genômicas e vinculadas ao governo
  • Entenda quais conjuntos de dados excedem os limites estabelecidos pelo Departamento de Justiça dos EUA e acionam obrigações de conformidade.
  • Fluxos de dados do mapa através de fronteiras, fornecedores e ambientes para identificar exposição
  • Sinalize cenários de risco envolvendo armazenamento, fornecedores ou acesso externo.
  • Controles de documentos e geração de artefatos de auditoria defensáveis.

Seja para gerenciar dados regulamentados na nuvem, preparar-se para a due diligence de fornecedores ou mitigar riscos geopolíticos emergentes —O BigID oferece a base para você agir com confiança.

Conteúdo

3 Melhores Práticas para Transferências Internacionais de Dados

Leia o whitepaper para saber como a BigID ajuda a gerenciar transferências internacionais de dados, descrevendo as melhores práticas para mitigar riscos e garantir a conformidade com diversas regulamentações de privacidade.

Baixar Whitepaper