Pular para o conteúdo
Ver todas as postagens

Cumprindo com o Regra do Departamento de Justiça sobre transferências transfronteiriças de dados

Por Dan Hansen, Diretor de Consultoria Técnica, Engenharia de Soluções

3 leitura de um minuto

Sumário executivo

Uma nova e abrangente regra do Departamento de Justiça dos EUA (DOJ), em vigor em abril de 2025, impõe limites rígidos sobre como dados pessoais e governamentais dos EUA podem ser compartilhados com países estrangeiros específicos. Com foco na segurança nacional — e não em direitos de privacidade —, essa regra representa uma grande mudança na forma como as organizações devem governar. movimentação transfronteiriça de dados.

O regulamento introduz proibições e condições para a partilha de dados com seis “países preocupantes”, visando transferências em massa de biométrico, genético, saúde, geolocalização e dados financeiros. Os riscos são altos: até mesmo o acesso indireto a dados por meio de fornecedores, provedores de nuvem ou contratados pode ser alvo de escrutínio. Estamos aqui para analisar o que está mudando e como as organizações podem se preparar — começando pela compreensão de onde os dados confidenciais residem, como se movimentam e quem tem acesso.

Qual é a regra final do Departamento de Justiça?

Emitido sob Ordem Executiva 14117A regra final do Departamento de Justiça (DOJ) visa impedir que agentes estrangeiros hostis obtenham dados sensíveis sobre indivíduos americanos ou sistemas federais. Ela introduz duas categorias principais de dados sob controle regulatório:

  • Dados Pessoais Sensíveis em Massa: Inclui dados biométricos, geolocalização precisa, informações pessoais de saúde, detalhes de contas financeiras e quaisquer identificadores vinculados.
    • Limites: Geralmente mais de 1.000 indivíduos dos EUA; apenas 100 para dados genômicos ou relacionados ao DNA.
  • Dados relacionados ao governo dos EUA: Abrange dados de funcionários federais, informações relacionadas à defesa e quaisquer conjuntos de dados conectados a operações ou sistemas do governo dos EUA.

A regra se aplica a uma ampla gama de transações — não apenas vendas de dados, mas também processamento, licenciamento, terceirização, emprego e atividades de investimento envolvendo os países abrangidos.

Datas de conformidade importantes

8 de abril de 2025 – A regra entra em vigor. As transações de dados cobertas devem cessar ou obedecer a restrições.

8 de julho de 2025 – Fim do período de carência de 90 dias de "boa-fé" do Departamento de Justiça. A execução começa para valer.

6 de outubro de 2025 – Obrigações de conformidade afirmativa (por exemplo, due diligence, auditorias, documentação) entram em vigor.

Transações proibidas vs. restritas

Tipo de transação Status sob a regra
Venda ou licenciamento de dados pessoais em massa ❌ Proibido totalmente
Transferências de dados genômicos / 'ômicos ❌ Categoricamente banido
Armazenamento em nuvem ou fornecedores offshore ⚠️ Restrito com salvaguardas necessárias
Funcionários estrangeiros com acesso ⚠️ Permitido apenas com controles documentados
Acordos de investimento envolvendo acesso a dados ⚠️ Sujeito à revisão de segurança nacional

O que torna esta regra diferente

Enquanto estruturas como GDPR e CPRA regular dados pessoais para proteger a privacidade individual, esta regra do DOJ é centrada em risco de exposição de dados para governos adversários. Não há opt-out, modelo de consentimento ou componente de direitos do consumidor. Em vez disso, as organizações devem:

  • Identificar dados cobertos em todos os sistemas
  • Quantifique se os limites são atingidos (por exemplo, 1.000 registros)
  • Avaliar o acesso potencial por parte de entidades estrangeiras, mesmo que indiretamente
  • Manter documentação defensável e implementar salvaguardas técnicas

Ao contrário das leis de privacidade focadas na transparência, esta regra exige visibilidade e controle no nível de infraestrutura. É um apelo à maturidade operacional em relação a dados sensíveis, abrangendo privacidade, segurança e risco geopolítico.

A vantagem do BigID: conheça seus dados e proteja-os em qualquer lugar

Atender às exigências desta regra começa com uma verdade simples: não se pode proteger o que não se encontra. O BigID ajuda as organizações a lidar com riscos transfronteiriços, dando-lhes visibilidade incomparável sobre seus dados — o que são, onde residem, como fluem e quem pode acesso isto.

Com o BigID, as organizações podem:

  • Descubra e classifique dados confidenciais—incluindo informações biométricas, de saúde, genômicas e vinculadas ao governo
  • Entenda quais conjuntos de dados excedem os limites do DOJ e acionam obrigações de conformidade
  • Fluxos de dados do mapa através de fronteiras, fornecedores e ambientes para identificar a exposição
  • Sinalizar cenários de risco envolvendo armazenamento, fornecedores ou acesso estrangeiro
  • Documentar controles e gerar artefatos de auditoria defensáveis

Quer você esteja gerenciando dados regulamentados na nuvem, preparando-se para a diligência do fornecedor ou mitigando riscos geopolíticos emergentes,O BigID lhe dá a base para agir com confiança.

Conteúdo

3 Best Practices for Cross-Border Data Transfers

Read the whitepaper to learn how BigID helps to manage cross-border data transfers by outlining best practices to mitigate risk and achieve compliance with several privacy regulations.

Download do whitepaper