Conformidade com o ITAR: Regras e Isenções

ITAR Compliance: Rules and Exemptions for the International Traffic in Arms Regulations

It should come as no surprise that information related to the United States defense industry is highly regulated. This sensitive data, often handled by US military or government organizations, could affect national security or foreign relations — and, as such, can carry extremely high penalties and fines if mishandled.

O que é o Regulamento sobre o Tráfico Internacional de Armas?

Conformidade com o ITAR — or the International Traffic in Arms Regulations — are a set of rules established by the State Department’s Diretoria de Controles Comerciais de Defesa (DDTC) to control the export of defense-related products, services, and information, as outlined in the Lista de Munições dos Estados Unidos (USML). Esses regulamentos fazem parte do Título 22 do Código de Regulamentos Federais (CFR), ou 22 CFR, que abrange relações e interações estrangeiras.

The main priority of this compliance program is to uphold US national security and foreign policy interests by making sure that sensitive defense items, like technology and info, don’t end up in the wrong hands outside the US. It also controls the distribution of information to a foreign entity, if it relates to defense matters. As such, it provides checklists and imposes restrictions on articles and services that might be sensitive.

Tudo isso está em linha com o Lei de Controle de Exportação de Armas (AECA) para proteger a segurança nacional dos EUA, apoiar a política externa e manter um controle rígido sobre as tecnologias de defesa para evitar que elas vão para onde não deveriam.

Requisitos de conformidade com o ITAR

The ITAR compliance program, enforced by the DDTC, regulates several types of defense articles, defense services, and technical data that the USML defines. Items on the USML include a wide range of military technologies and components that require strict control and oversight. Here is a breakdown of what each category covers.

Artigos de Defesa

Embora muitos possam pensar que o significado de "artigos de defesa" se refere a itens como tanques, mísseis, armas de fogo e outras armas, o escopo é muito mais amplo. Os itens enumerados na USML pelo Departamento de Estado incluem as seguintes 21 categorias:

1. Armas de fogo, armas de assalto corpo a corpo e espingardas de combate
2. Armas e armamento
3. Munição/munição
4. Veículos de lançamento, mísseis guiados, mísseis balísticos, foguetes, torpedos, bombas e minas se enquadram na exportação de artigos de defesa regulamentados pelo ITAR.
5. Explosivos e materiais energéticos, propelentes, agentes incendiários e seus constituintes
6. Navios de guerra de superfície e equipamentos navais especiais
7. Veículos terrestres
8. Aeronaves e artigos relacionados
9. Equipamentos e treinamento de treinamento militar
10. Equipamento de proteção individual
11. Eletrônica militar
12. Equipamentos de controle de fogo, laser, imagem e orientação
13. Materiais e artigos diversos
14. Agentes toxicológicos, incluindo agentes químicos, agentes biológicos e equipamentos associados
15. Naves espaciais e artigos relacionados
16. Artigos relacionados a armas nucleares
17. Artigos classificados, dados técnicos e serviços de defesa não enumerados de outra forma
18. Armas de energia direcionada
19. Motores de turbina a gás e equipamentos associados
20. Embarcações submersíveis e artigos relacionados
21. Articles, technical data, and defense services not otherwise enumerated

Serviços de Defesa

The suppliers of defense services under ITAR’s purview fall into three main categories:

1. Aqueles que prestam assistência a estrangeiros em qualquer coisa relacionada a itens de defesa, incluindo treinamento, design, desenvolvimento, fabricação, manutenção, etc.
2. Aqueles que fornecem a pessoas estrangeiras informações controladas dados técnicos
3. Aqueles que fornecem treinamento militar a unidades e forças estrangeiras

Dados técnicos do ITAR

O ITAR também se aplica a três tipos de dados técnicos:

1. Informações para o projeto, desenvolvimento e fabricação de equipamentos militares, incluindo projetos, desenhos, documentação, etc.
2. Informações classificadas sobre os itens e serviços listados acima
3. Software diretamente relacionado a produtos de defesa

Emenda ITAR de 2023

In 2023, the ITAR compliance regulations underwent some changes aimed at streamlining the process for US companies to export defense-related products and services. The changes aim to make the process more efficient and user-friendly while still ensuring the security of sensitive defense-related information.

The proposed ITAR rule adds two new entries to the definition of “activities that are not exports, reexports, retransfers, or temporary imports.” The first entry states that taking defense items outside a previously approved country by foreign government armed forces or UN personnel don’t need to be ITAR compliant. The second entry states that any foreign equipment that enters the US and is subsequently exported under a license or other approval is exempt from reexport and retransfer requirements, as long as it has not been modified, enhanced, or otherwise altered.

Who Must Be ITAR Compliant

Covered entities are not limited to organizations in the defense industry — or government or military organizations. Absolutely any company — public or private — that does business with the US military or deals with information related to items, services, or technical data covered on the USML must comply with ITAR.

Covered parties include — but are not limited to — third-party contractors and companies in the supply chain, including manufacturers, exporters, and brokers for defense articles or information. They also include wholesalers, distributors, and technology companies.

Securing ITAR Data

Securing ITAR data is crucial for companies to prevent unauthorized access or disclosure of sensitive defense-related information. Here are some steps companies can take to secure their ITAR data:

• Controle de acesso: Limite o acesso aos dados ao pessoal autorizado.
• Criptografia: Protect data with strong encryption.
• Treinamento: Eduque os funcionários sobre os regulamentos do ITAR.
• Segurança física e de rede: Proteja dados físicos e digitais.
• Classificação de dados: Identifique informações confidenciais de forma clara.
• Plano de Resposta a Incidentes: Prepare-se para violações de dados.
• Suporte Jurídico e de Conformidade: Procure orientação especializada.
• Monitoramento e Auditoria: Supervisionar continuamente o acesso aos dados.
• Comunicação Segura: Use canais criptografados para compartilhamento de dados para garantir a segurança cibernética.
• Gestão de fornecedores e terceiros: Garantir que os parceiros cumpram as regras do ITAR.
• Descarte seguro: Descarte adequadamente dados desnecessários.

Violações comuns do ITAR a serem evitadas

As violações do ITAR (Regulamento sobre o Tráfico Internacional de Armas) podem ter consequências jurídicas e financeiras graves e, frequentemente, ocorrem devido à falta de compreensão ou adesão a essas regulamentações complexas. As violações comuns do ITAR incluem:

Exportação ou transferência sem licença

Uma das violações mais comuns envolve a exportação ou transferência de itens, serviços ou tecnologia controlados pelo ITAR para uma pessoa ou entidade estrangeira sem a obtenção da licença de exportação necessária. Essa violação geralmente ocorre devido ao desconhecimento dos regulamentos, documentação incompleta ou à falta de reconhecimento de que itens específicos estão sujeitos aos controles do ITAR.

Falha na obtenção de licenciamento adequado

Independentemente de uma entidade estar ciente ou não dos requisitos de conformidade do ITAR, a não obtenção da licença de exportação ou transferência apropriada antes de prosseguir com uma transação é uma violação comum. Cada exportação ou transferência de itens controlados geralmente exige uma licença específica, e não obtê-la é uma infração grave.

Manutenção de registros inadequada

Entidades em conformidade com o ITAR devem manter registros detalhados de suas atividades relacionadas ao ITAR, incluindo transações de exportação, importação e transferência, bem como licenças e contratos. Violações ocorrem quando as organizações não mantêm registros precisos e completos, dificultando a comprovação da conformidade em caso de auditoria, o que pode levar a penalidades por infrações ao ITAR.

Medidas de segurança inadequadas

Itens, informações e tecnologias regulamentados pelo ITAR devem ser protegidos contra acesso não autorizado. Violações podem ocorrer se as entidades não tiverem medidas de segurança física e digital adequadas para proteger informações confidenciais contra divulgação a terceiros não autorizados.

Falha na triagem de funcionários

As empresas devem verificar funcionários e indivíduos com acesso a itens controlados para garantir que sejam cidadãos americanos ou estejam autorizados a acessar tais materiais. Violações ocorrem quando indivíduos sem a devida autorização obtêm acesso a esses materiais.

Documentação incompleta ou imprecisa

Documentação imprecisa ou incompleta referente à classificação de itens, serviços ou tecnologia, bem como seu status de exportação ou transferência, pode violar o ITAR. A não classificação precisa de itens ou sua marcação incorreta pode resultar em não conformidade.

Falha em relatar violações

As entidades que cumprem o ITAR são obrigadas a comunicar imediatamente quaisquer violações reais ou suspeitas às autoridades competentes. A omissão de comunicação intencional ou não intencional de violações pode levar a consequências mais graves, caso sejam descobertas.

Envolvimento de cidadãos estrangeiros

O envolvimento de estrangeiros, mesmo que indiretamente, em projetos ou transações envolvendo itens controlados pode levar a violações. Procedimentos adequados para lidar com estrangeiros em atividades relacionadas ao ITAR devem ser seguidos.

Viagens internacionais com itens ITAR

Viajar internacionalmente com itens controlados pelo ITAR, como laptops ou dados técnicos relacionados, sem as autorizações necessárias pode levar a violações.

Isenções e exceções do ITAR

O ITAR prevê certas isenções e exceções aos seus regulamentos, permitindo que indivíduos e atividades específicas sejam isentos do cumprimento integral. Algumas isenções e exceções comuns incluem:

• Agências do Governo dos EUA: As regulamentações do ITAR normalmente não se aplicam a agências governamentais dos EUA que lidam com itens ou informações relacionadas à defesa. No entanto, essas agências estão sujeitas aos seus próprios controles internos, que devem estar alinhados às melhores práticas do ITAR.
• Informações de Domínio Público: Informações que já são de domínio público, como livros, artigos e sites publicados, geralmente estão isentas dos controles do ITAR. No entanto, a linha entre domínio público e informações controladas pode ser complexa.
• Pesquisa Fundamental: Pesquisas básicas e aplicadas conduzidas em instituições de ensino superior credenciadas nos Estados Unidos estão isentas dos controles do ITAR, desde que sejam destinadas à publicação e não envolvam tecnologia específica relacionada à defesa.
• Lista de Munições dos EUA (USML) Categoria XII: Dependendo de certas condições, alguns itens específicos da Categoria XII do USML (Equipamentos de Controle de Fogo, Telêmetro, Óptico, de Orientação e Controle) podem ser elegíveis para isenções.
• Exportações Temporárias: Exportações temporárias de itens controlados pelo ITAR para eventos como feiras ou exposições podem ser elegíveis para licenças de exportação temporária.
• Serviços e Manutenção: Os regulamentos do ITAR podem não se aplicar à manutenção e serviços de rotina de produtos de defesa se não envolverem a transferência de dados técnicos ou modificações significativas.
• TAA (Contrato de Assistência Técnica) e MLA (Contrato de Licença de Fabricação): Os regulamentos do ITAR podem ser isentos ou modificados sob os termos de um TAA ou MLA, sujeitos à aprovação do Departamento de Estado dos EUA.
• Regra de Minimis: Se um item ou sistema fabricado no exterior contiver apenas uma pequena porcentagem de componentes de origem americana controlados pelo ITAR (normalmente menos de 10% em valor), ele pode não estar sujeito aos controles do ITAR.

Como proteger dados ITAR com BigID

Qualquer organização sujeita aos requisitos do ITAR deve tomar medidas concretas para proteger seus dados de defesa e implementar um plano detalhado de resposta a incidentes em caso de violação dos regulamentos do ITAR.

BigID’s automated data intelligence platform enables the government, military, defense, and any company that handles defense equipment or services to identify and secure ITAR data, prevent data breaches, reduce risk, and ultimately become ITAR compliant.

• Identifique, classifique e conheça seus dados: BigIDs fundação de descoberta de dados analisa profundamente todos os dados estruturados e não estruturados, no local ou na nuvem, com vários conectores para encontrar dados confidenciais. Isso permite que as organizações inventariem, mapeiem, classifiquem e conectem dados aos requisitos do ITAR — bem como a outras políticas regulatórias.
• Monitorar atividades de processamento: Com BigID, visual data flow mapping shows how data is processed and shared across the enterprise and third parties.
• Reduza o risco de acesso a dados: O BigID pode flag and investigate high-risk users, groups, and data across an organization. Companies can track and review files containing sensitive data with open access — and produce audit reports of high-risk targets.
• Alavancagem de pontuação de risco: O BigID pontua o risco com base em uma variedade de parâmetros de dados, como tipo e localização dos dados, e fornece uma visão centrada no risco dos dados para que as organizações possam ser proativas na redução de riscos, ao mesmo tempo em que aderem às melhores práticas de segurança cibernética.

Para saber mais sobre como proteger e gerenciar dados ITAR para atender à conformidade: Agende uma demonstração individual com a BigID hoje mesmo.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.