Ordem Executiva: Protegendo Dados Pessoais Sensíveis Transferências de dados nos EUA

Nos últimos anos, a proteção de dados tornou-se uma emergência nacional nos EUA, especialmente sem uma Lei Federal de Proteção e Privacidade de Dados. O compartilhamento generalizado de dados nos EUA dados pessoais e sensíveis tem sido visto como explorador, especialmente por parte de “países preocupantes”. Para lidar com esse problema gritante, o governo Biden emitiu uma Ordem Executiva (EO) para impedir que esses países acessem dados pessoais confidenciais dos americanos.

O que é a Ordem de Proteção de Dados Pessoais Sensíveis: Um Vislumbre

Em 28 de fevereiro de 2024, o Presidente Biden assinou a Ordem Executiva 14117, “Impedindo o Acesso a Dados Pessoais Sensíveis em Massa de Americanos e a Dados Relacionados ao Governo dos EUA por Países de Preocupação” (a Ordem Executiva). A ordem executiva marca a ordem executiva mais significativa do presidente para proteger a segurança de dados dos Estados Unidos. A Ordem Executiva autoriza o Procurador-Geral a impedir transferências em massa de dados de americanos para países de preocupação e cria salvaguardas para impedir o acesso a dados sensíveis de americanos. A Ordem Executiva concentra-se nas informações mais pessoais e sensíveis dos americanos, incluindo dados genômicos. dados biométricos, dados pessoais de saúde, dados de geolocalização, dados financeiros, e certos tipos de informações de identificação pessoal.

Aqui estão alguns aspectos essenciais da ordem executiva de proteção de dados pessoais e sensíveis:

Países de Preocupação

O EO não menciona países específicos, mas os administradores seniores estão identificando esses países como China, Rússia, Coreia do Norte, Irã, Cuba e Venezuela. TikTok, uma subsidiária da empresa de tecnologia chinesa ByteDance Ltd., é um ponto de discórdia significativo, pois ostenta mais de 150 milhões de usuários americanos — assunto sobre o qual os líderes americanos têm se manifestado com mais veemência nos últimos anos. O governo Biden está preocupado com o tráfico de dados sensíveis pelo TikTok. A secretária de imprensa da Casa Branca, Karine Jean-Pierre, declarou: "Temos preocupações — é por isso que emitimos" a ordem executiva.

Riscos de segurança, direitos de privacidade e liberdades civis

Um importante fator motivador por trás da EO é a capacidade de inteligência artificial (IA) para alavancar grandes conjuntos de dados por motivos problemáticos (ou para construir novos modelos de IA) que possam prejudicar o público americano. Qualquer organização que processe dados pessoais e sensíveis deve entender como Riscos de impacto da IA e pode potencialmente expor o negócio a investigações regulatórias.

A Ordem Executiva representa um esforço crescente do governo para policiar transações de dados que poderiam capacitar potências estrangeiras hostis a usar dados como armas e IA para atingir americanos. O rastreamento de americanos potencialmente permite vigilância intrusiva, golpes, chantagem, violações de privacidade e riscos à segurança – especialmente para aqueles nas forças armadas ou envolvidos na comunidade de segurança nacional.

Outra área de preocupação é a capacidade desses países de acessar dados pessoais confidenciais para coletar informações sobre jornalistas, ativistas, personalidades políticas e grupos marginalizados para intimidar, criar dissidência, alterar o cenário político ou limitar as liberdades e os direitos civis dos Estados Unidos.

Agências governamentais orientadas a proteger dados

A Ordem Executiva permite que agências federais emitam regulamentações que impeçam transferências em larga escala de certos tipos de dados sensíveis de "países preocupantes". Para proteger os dados pessoais sensíveis dos americanos, o governo Biden está orientando:

• O Departamento de Justiça emitirá regulamentações que protegerão os dados sensíveis dos americanos contra acesso e exploração. A proteção de dados consistirá em dados biométricos, dados pessoais de saúde, dados genômicos, dados de geolocalização, dados financeiros e identificadores pessoais específicos. O Departamento de Justiça impedirá a transferência em larga escala desses dados — que são sabidamente coletados e utilizados indevidamente. Além disso, o Departamento de Justiça deve proteger extensivamente dados governamentais sensíveis, especialmente informações de geolocalização em sites governamentais sensíveis e informações sobre militares.
• Os Departamentos de Justiça e Segurança Interna trabalharão juntos para definir altos padrões de segurança para impedir o acesso aos dados dos americanos por meios comerciais, como disponibilidade de dados por meio de investimentos, fornecedores e relações de trabalho.
• Os Departamentos de Saúde e Serviços Humanos, Defesae Assuntos de Veteranos ajudará a garantir que contratos, subsídios e prêmios não facilitem o acesso a dados de saúde confidenciais por países preocupantes, inclusive por meio de empresas nos Estados Unidos.
• Gabinete de Proteção Financeira do Consumidor atuará junto às autoridades legais existentes para proteger os americanos de corretores de dados que vendem dados extremamente confidenciais ilegalmente.

Restrições a certas transferências de informações pessoais

A Ordem Executiva deve dar continuidade ao fluxo de informações necessárias para serviços financeiros, relações de consumo, econômicas, científicas e comerciais com outros países. O EO insiste que haverá consistência com o apoio dos EUA ao fluxo livre e confiável de dados.

Além do EO, o DOJ divulgou uma Aviso prévio de proposta de regulamentação (ANPRM), que define seu plano para implementar essas regulamentações. O Departamento de Justiça (DOJ) é orientado a regulamentar e restringir transações envolvendo corretagem de dados, transferências em massa de dados sensíveis ou dados relacionados ao Governo dos EUA. A ANPRM também pode impor requisitos e restrições de segurança significativos a três tipos de transações de dados em massa: contratos de fornecedores, de emprego e de investimento.

Corretores de dados e vendas de dados em massa

Nos EUA, corretores de dados podem coletar legalmente informações pessoais para criar perfis do público americano, que podem ser alugados ou vendidos. É uma prática relativamente comum que corretores de dados vendam e revendam informações, mas eles podem vender dados legalmente para países de interesse ou controlados por esses países. Os corretores de dados criam uma lacuna na proteção da segurança nacional do país, pois os dados podem rapidamente acabar nas mãos de agências de inteligência estrangeiras, forças armadas ou empresas pertencentes a governos estrangeiros.

Conformidade e execução

Atualmente, a ANPRM não prevê responsabilidade objetiva por violações da nova regulamentação. No entanto, o Departamento de Justiça (DOJ) está considerando impor sanções civis com mecanismos para notificações pré-penalidade, respostas e decisões finais. Além disso, espera-se estabelecer programas de conformidade baseados em risco; quando ocorrer uma violação, o DOJ, em qualquer ação de fiscalização, considerará o programa de conformidade.

Como o BigID ajuda as organizações a proteger dados pessoais e confidenciais

A Ordem Executiva alinha-se a diversas iniciativas globais para proteger o fluxo e a transferência de informações entre países. A Ordem Executiva destaca a importância de as empresas compreenderem quais dados coletam, como são utilizados e o potencial uso por terceiros.

O BigID permite que as organizações atendam aos requisitos de EO, identificando, gerenciando, monitorando e protegendo todos os dados pessoais e sensíveis – incluindo transferências internacionais e requisitos de acesso a dados. Com o BigID, as organizações podem:

• Descubra dados: Descubra e catalogue seus dados confidenciais, incluindo estruturados, semiestruturados e não estruturados, em ambientes locais e na nuvem.
• Obtenha visibilidade completa: Classifique, categorize, marque e rotule automaticamente dados confidenciais com precisão, granularidade e escala incomparáveis para criar um inventário de dados coeso para se preparar para auditorias regulatórias do Departamento de Justiça.
• Mitigar o risco de acesso a dados: Monitore, detecte e responda proativamente à exposição interna não autorizada, ao uso e às atividades suspeitas relacionadas a dados confidenciais.
• Transferências de dados validadas: Crie políticas e atribua residência a fontes de dados e dados de indivíduos para impor requisitos de residência de dados, além de monitorar e alertar sobre transferências de dados.
• Simplifique a correção: O BigID ajuda a definir as ações de correção para fornecer registros de auditoria com integração a sistemas de emissão de tickets como o Jira para fluxos de trabalho de remediação contínuos.
• Alcançar a conformidade: Atenda automaticamente às normas e estruturas de segurança, privacidade e IA em todo o mundo, onde quer que os dados residam.

Agende uma demonstração com nossos especialistas para ver como o BigID pode ajudar sua organização a proteger o acesso e dados pessoais confidenciais para se alinhar aos novos requisitos de ordem executiva.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.