Nos últimos anos, a proteção de dados tornou-se uma emergência nacional nos EUA, especialmente na ausência de uma Lei Federal de Privacidade e Proteção de Dados. O compartilhamento generalizado de dados nos EUA dados pessoais e sensíveis tem sido vista como exploradora, particularmente por parte de "países de preocupação". Para lidar com esse problema flagrante, o governo Biden emitiu uma Ordem Executiva (OE) para impedir que esses países acessem dados pessoais sensíveis de cidadãos americanos.
O que é a Ordem de Proteção de Dados Pessoais Sensíveis: Uma Visão Geral
Em 28 de fevereiro de 2024, o Presidente Biden assinou a Ordem Executiva 14117, intitulada "Prevenção do Acesso a Dados Pessoais Sensíveis em Massa de Americanos e a Dados Relacionados ao Governo dos EUA por Países de Preocupação" (a Ordem Executiva). Esta ordem executiva representa a mais significativa medida do presidente para proteger a segurança de dados dos Estados Unidos. A Ordem Executiva autoriza o Procurador-Geral a impedir transferências massivas de dados de americanos para países de preocupação e estabelece salvaguardas para impedir o acesso a dados sensíveis de americanos. A Ordem Executiva concentra-se nas informações mais pessoais e sensíveis dos americanos, incluindo dados genômicos. dados biométricos, dados pessoais de saúde, dados de geolocalização, dados financeirose certos tipos de informações de identificação pessoal.
Seguem alguns aspectos essenciais da ordem executiva sobre a proteção de dados sensíveis e pessoais:
Países de preocupação
A Ordem Executiva não menciona países específicos, mas altos funcionários da administração identificaram esses países como China, Rússia, Coreia do Norte, Irã, Cuba e Venezuela. TikTokO TikTok, uma subsidiária da empresa de tecnologia chinesa ByteDance Ltd., é um ponto de discórdia significativo, já que possui mais de 150 milhões de usuários americanos — um tema bastante abordado pelos líderes dos EUA nos últimos anos. O governo Biden está preocupado com o possível tráfico de dados sensíveis pelo TikTok. A secretária de imprensa da Casa Branca, Karine Jean-Pierre, afirmou: "Temos preocupações — por isso emitimos" a ordem executiva.
Riscos de segurança, direitos à privacidade e liberdades civis
Um dos principais fatores motivadores por trás da EO é a capacidade de inteligência artificial (IA) Utilizar grandes conjuntos de dados para fins problemáticos (ou para construir novos modelos de IA) que possam prejudicar o público americano. Qualquer organização que processe dados pessoais e sensíveis deve compreender como isso pode ser feito. Riscos de impacto da IA e pode potencialmente expor a empresa a investigações regulatórias.
A Ordem Executiva representa um esforço crescente do governo para fiscalizar transações de dados que poderiam capacitar potências estrangeiras hostis a usar dados como arma e utilizar inteligência artificial para atacar cidadãos americanos. O rastreamento de cidadãos americanos possibilita vigilância intrusiva, golpes, chantagem, violações de privacidade e riscos à segurança – especialmente para aqueles que servem nas forças armadas ou que fazem parte da comunidade de segurança nacional.
Outra área de preocupação é a capacidade desses países de acessar dados pessoais sensíveis para coletar informações sobre jornalistas, ativistas, personalidades políticas e grupos marginalizados, com o objetivo de intimidá-los, criar dissidência, alterar o cenário político ou limitar as liberdades civis e civis dos Estados Unidos.
Agências governamentais são instruídas a proteger dados.
A Ordem Executiva permite que agências federais emitam regulamentos que impeçam transferências em larga escala de certos tipos de dados sensíveis provenientes de “países de preocupação”. Para proteger os dados pessoais sensíveis dos americanos, o governo Biden está orientando:
- O Departamento de Justiça emitirá regulamentos que protegem os dados sensíveis dos americanos contra acesso e exploração. A proteção de dados consistirá em: dados biométricos, dados pessoais de saúdedados genômicos, dados de geolocalizaçãoDados financeiros e identificadores pessoais específicos. O Departamento de Justiça impedirá a transferência em larga escala desses dados, que sabidamente são coletados e utilizados indevidamente. Além disso, o Departamento de Justiça deve proteger extensivamente dados governamentais sensíveis, especificamente informações de geolocalização em sites governamentais sensíveis e informações sobre membros das forças armadas.
- Os Departamentos de Justiça e de Segurança Interna Trabalharão em conjunto para estabelecer altos padrões de segurança a fim de impedir o acesso a dados pessoais de cidadãos americanos por meios comerciais, como a disponibilidade de dados por meio de investimentos, fornecedores e relações de trabalho.
- Os Departamentos de Saúde e Serviços Humanos, Defesa, e Assuntos de Veteranos ajudará a garantir que contratos, doações e concessões não facilitem o acesso a dados de saúde sensíveis por países em questão, inclusive por meio de empresas nos Estados Unidos.
- O Departamento de Proteção Financeira do Consumidor Atuaremos em conjunto com as autoridades legais existentes para proteger os americanos de corretores de dados que vendem ilegalmente dados extremamente sensíveis.
Restrições a certas transferências de informações pessoais
A Ordem Executiva deve garantir a continuidade do fluxo de informações necessário para os serviços financeiros, o consumo, a economia, a ciência e as relações comerciais com outros países. A Ordem Executiva insiste na coerência com o apoio dos EUA ao livre fluxo de dados confiável.
Além da Ordem Executiva, o Departamento de Justiça divulgou um Aviso Prévio de Proposta de Regulamentação (ANPRM), que define seu plano para implementar essas regulamentações. O Departamento de Justiça (DOJ) tem a diretriz de regulamentar e restringir transações envolvendo corretoras de dados, transferências em massa de dados sensíveis ou dados relacionados ao governo dos EUA. O Aviso de Proposta de Regulamentação (ANPRM) também pode impor requisitos e restrições de segurança significativos a três tipos de transações de dados em massa: contratos com fornecedores, contratos de trabalho e contratos de investimento.
Corretores de dados e venda de dados em massa
Nos Estados Unidos, as empresas de intermediação de dados podem legalmente coletar informações pessoais para criar perfis do público americano, que podem então ser alugados ou vendidos. É uma prática relativamente comum que essas empresas vendam e revendam informações, mas elas podem legalmente vender dados para países considerados de interesse ou controlados por esses países. As empresas de intermediação de dados criam uma lacuna na proteção da segurança nacional, uma vez que os dados podem rapidamente acabar nas mãos de agências de inteligência estrangeiras, forças armadas ou empresas pertencentes a governos estrangeiros.
Conformidade e Fiscalização
O Aviso de Proposta de Regulamentação (ANPRM, na sigla em inglês) não prevê, atualmente, responsabilidade objetiva por violações da nova regulamentação. No entanto, o Departamento de Justiça (DOJ) está considerando a imposição de sanções civis com mecanismos para notificações prévias à aplicação de sanções, respostas e decisões finais. Além disso, espera-se o estabelecimento de programas de conformidade baseados em risco; quando uma violação ocorrer, o DOJ, em qualquer ação de fiscalização, considerará o programa de conformidade.
Como a BigID ajuda as organizações a proteger dados pessoais e sensíveis.
A Ordem Executiva está alinhada com diversas iniciativas globais para salvaguardar o fluxo e a transferência de informações entre países. A Ordem Executiva destaca a importância de as empresas compreenderem quais dados coletam, como os utilizam e o potencial uso que terceiros podem fazer deles.
A BigID permite que as organizações atendam aos requisitos da Lei de Igualdade de Oportunidades, identificando, gerenciando, monitorando e protegendo todos os dados pessoais e sensíveis – incluindo transferências internacionais e requisitos de acesso a dados. Com a BigID, as organizações podem:
- Descubra os dados: Descubra e catalogue seus dados confidenciais, incluindo dados estruturados, semiestruturados e não estruturados – em ambientes locais e na nuvem.
- Obtenha visibilidade completa: Classifique, categorize, etiquete e rotule automaticamente dados sensíveis com precisão, granularidade e escala incomparáveis para construir um inventário de dados coeso e se preparar para auditorias regulatórias do Departamento de Justiça.
- Mitigar o risco de acesso a dados: Monitorar, detectar e responder proativamente à exposição interna não autorizada, ao uso indevido e à atividade suspeita relacionada a dados sensíveis.
- Transferências de dados validadas: Criar políticas e atribuir residência a fontes de dados e dados de indivíduos para garantir o cumprimento dos requisitos de residência de dados, bem como monitorar e alertar sobre transferências de dados.
- Remediação simplificada: A BigID ajuda a definir as ações corretivas para fornecer registros de auditoria com integração a sistemas de tickets como o Jira. fluxos de trabalho de remediação contínuos.
- Alcançar a conformidade: Atenda automaticamente aos requisitos e estruturas de segurança, privacidade e IA em todo o mundo, independentemente de onde os dados estejam armazenados.
Agende uma demonstração com nossos especialistas. Descubra como a BigID pode ajudar sua organização a garantir o acesso e proteger dados pessoais sensíveis, alinhando-se aos novos requisitos da ordem executiva.
Autor
