Conformidade com o ITARViolações comuns do ITAR e respectivas multas

Conformidade com o ITAR: Como se adequar para evitar multas e violações comuns do ITAR

Regras e isenções do Regulamento Internacional sobre o Tráfico de Armas

Não é nenhuma surpresa que as informações sobre a indústria de defesa dos Estados Unidos sejam altamente regulamentadas. Esses dados sensíveis, frequentemente gerenciados por organizações militares ou governamentais americanas, podem afetar a segurança nacional ou as relações exteriores — e, como tal, podem acarretar penalidades e multas extremamente altas em caso de uso indevido. Aqui está o que você precisa saber sobre o ITAR e como garantir a conformidade com essa regulamentação.

O que são os Regulamentos Internacionais sobre o Tráfico de Armas?

Conformidade com o ITAR - ou Regulamentos Internacionais sobre o Tráfico de Armas — são um conjunto de regras estabelecidas pelo Departamento de Estado Diretoria de Controles de Comércio de Defesa (DDTC) controlar a exportação e importação de artigos e serviços relacionados à defesa no Lista de Munições dos Estados Unidos (USML)Essas normas fazem parte do Título 22 do Código de Regulamentos Federais (CFR), ou 22 CFR, que abrange as relações e interações exteriores.

A principal prioridade deste programa de conformidade é defender a segurança nacional e os interesses da política externa dos EUA, garantindo que tecnologias militares e de defesa sensíveis não caiam em mãos erradas fora dos EUA. Ele também controla a distribuição de informações para entidades estrangeiras, caso essas informações estejam relacionadas a assuntos de defesa. Para tanto, fornece listas de verificação e impõe restrições a artigos e serviços que possam ser considerados sensíveis.

Tudo isso está em conformidade com o Lei de Controle de Exportação de Armas (AECA) Proteger a segurança nacional dos EUA, apoiar a política externa e manter um controle rígido sobre as tecnologias de defesa para evitar que elas cheguem aonde não deveriam.

Requisitos de conformidade com o ITAR

O programa de conformidade com o ITARO ITAR, implementado pelo DDTC, regulamenta diversos tipos de artigos, serviços e dados técnicos de defesa, que devem ser devidamente controlados para evitar acesso não autorizado. As organizações devem se registrar e cumprir as regulamentações do ITAR para exportar ou fabricar bens relacionados à defesa.

Para se envolver legalmente em atividades relacionadas ao ITAR, as empresas devem se registrar no DDTC, pois o ITAR exige que todos os fabricantes, exportadores e corretores que lidam com artigos de defesa ou dados técnicos estejam devidamente registrados.
Os itens da USML incluem uma ampla gama de tecnologias e componentes militares que exigem controle e supervisão rigorosos. Aqui está uma descrição do que cada categoria abrange.

Artigos de Defesa

Embora muitos possam pensar que o significado de "artigos de defesa" se resume a itens como tanques, mísseis, armas de fogo e outras armas, o escopo é muito mais amplo. Os itens enumerados na Lista de Armas Militares dos EUA (USML, na sigla em inglês), elaborada pelo Departamento de Estado, incluem as seguintes 21 categorias:

1. Armas de fogo, armas de assalto a curta distância e espingardas de combate.
2. Armas e armamentos
3. Munição/armas
4. Veículos de lançamento, mísseis guiados, mísseis balísticos, foguetes, torpedos, bombas e minas estão sujeitos à exportação de artigos de defesa regulamentada pelo ITAR.
5. Explosivos e materiais energéticos, propelentes, agentes incendiários e seus constituintes.
6. Navios de guerra de superfície e equipamentos navais especiais
7. Veículos terrestres
8. Aeronaves e artigos relacionados
9. Equipamentos e treinamento militar
10. Equipamento de proteção individual
11. Eletrônica militar
12. Equipamentos de controle de fogo, laser, imagem e orientação
13. Materiais e artigos diversos
14. Agentes toxicológicos, incluindo agentes químicos, agentes biológicos e equipamentos associados.
15. Naves espaciais e artigos relacionados
16. Artigos relacionados a armas nucleares
17. Artigos classificados, dados técnicos e serviços de defesa não enumerados de outra forma.
18. Armas de energia dirigida
19. Motores de turbina a gás e equipamentos associados
20. Embarcações submersíveis e artigos relacionados
21. Artigos, dados técnicos e serviços de defesa não enumerados de outra forma no Lista de verificação de conformidade com o ITAR

Nota: Esta lista não é exaustiva e as empresas devem analisar cuidadosamente a USML completa para determinar a sua aplicabilidade.

Serviços de Defesa

As organizações que atuam na prestação de serviços regulamentados pelo ITAR devem garantir a conformidade ao fornecer serviços de defesa. Os fornecedores de serviços de defesa sob a jurisdição do ITAR se enquadram em três categorias principais:

1. Aqueles que prestam assistência a estrangeiros em qualquer assunto relacionado a itens de defesa, incluindo treinamento, projeto, desenvolvimento, fabricação, manutenção, etc.
2. Aqueles que fornecem a estrangeiros produtos controlados dados técnicos por meio de canais seguros
3. Aqueles que fornecem treinamento militar a unidades e forças estrangeiras.

Dados técnicos do ITAR

O ITAR também se aplica a três tipos de dados técnicos:

1. Informações para o projeto, desenvolvimento e fabricação de equipamentos militares, incluindo plantas, desenhos, documentação, etc.
2. Informações confidenciais sobre os itens e serviços listados acima.
3. Software diretamente relacionado a produtos de defesa

Emenda ITAR de 2023

Em 2023, as normas de conformidade com o ITAR sofreram algumas alterações com o objetivo de simplificar o processo de exportação de produtos ou serviços relacionados à defesa por empresas americanas. As mudanças visam tornar o processo mais eficiente e fácil de usar, garantindo, ao mesmo tempo, a segurança de informações sensíveis relacionadas à defesa.

A proposta de regulamentação ITAR adiciona duas novas entradas à definição de “atividades que não sejam exportações, reexportações, retransferências ou importações temporárias”. A primeira entrada estabelece que a retirada de itens de defesa de um país previamente autorizado por forças armadas de governos estrangeiros ou por pessoal da ONU não precisa estar em conformidade com o ITAR. A segunda entrada estabelece que qualquer equipamento estrangeiro que entre nos EUA e seja posteriormente exportado sob uma licença (importação temporária) ou outra aprovação está isento dos requisitos de reexportação e retransferência, desde que não tenha sido modificado, aprimorado ou alterado de qualquer outra forma.

Quem precisa estar em conformidade com o ITAR?

As entidades abrangidas não se limitam a organizações da indústria de defesa — ou a organizações governamentais ou militares. Absolutamente qualquer empresa — pública ou privada — que faça negócios com as forças armadas dos EUA ou que lide com informações relacionadas a itens, serviços ou dados técnicos cobertos pela USML deve estar em conformidade com o ITAR.

As partes abrangidas incluem — mas não se limitam a — contratados terceirizados e empresas na cadeia de suprimentos, incluindo fabricantes, exportadores e corretores de artigos ou informações de defesa. Também incluem atacadistas, distribuidores e empresas de tecnologia.

Regulamentos ITAR para Segurança de Dados

Garantir a segurança dos dados controlados pelo ITAR é crucial para que as empresas evitem o acesso ou a divulgação não autorizados de informações sensíveis relacionadas à defesa. A seguir, apresentamos algumas etapas necessárias para proteger os dados controlados pelo ITAR:

• Controle de acesso: Limitar o acesso aos dados apenas a pessoal autorizado.
• Criptografia: Proteja seus dados com criptografia robusta de ponta a ponta.
• Treinamento: Instruir os funcionários sobre as regulamentações do ITAR.
• Segurança física e de rede: Proteja os dados físicos e digitais.
• Classificação de dados: Identifique claramente as informações sensíveis.
• Plano de Resposta a Incidentes: Prepare-se para violações de dados.
• Suporte jurídico e de conformidade: Procure orientação especializada.
• Monitoramento e auditoria: Monitorar continuamente o acesso aos dados.
• Comunicação segura: Utilize canais criptografados para o compartilhamento de dados a fim de garantir a segurança cibernética.
• Gestão de Fornecedores e Terceiros: Garantir que os parceiros cumpram as normas ITAR.
• Descarte seguro: Descarte corretamente dados desnecessários.

Violações comuns do ITAR a evitar

As violações do ITAR (Regulamentos Internacionais de Tráfico de Armas) podem ter sérias consequências legais e financeiras, e geralmente ocorrem devido à falta de compreensão ou de cumprimento dessas regulamentações complexas. Violações comuns do ITAR incluem:

Exportação ou transferência sem licença

Uma das violações mais comuns envolve a exportação ou transferência de itens, serviços ou tecnologia controlados pelo ITAR para uma pessoa ou entidade estrangeira sem a obtenção da licença de exportação necessária. Essa violação geralmente ocorre por desconhecimento das regulamentações, documentação incompleta ou falha em reconhecer que itens específicos estão sujeitos aos controles do ITAR.

Não obtenção das licenças adequadas

Independentemente de uma entidade estar ciente ou não dos requisitos de conformidade com o ITAR, a falta de obtenção da licença de exportação ou transferência apropriada antes de prosseguir com uma transação é uma violação comum. Cada exportação ou transferência de itens controlados geralmente exige uma licença específica, e a sua não obtenção constitui uma infração grave.

Registro inadequado de dados

As entidades em conformidade com o ITAR devem manter registros detalhados de suas atividades relacionadas ao ITAR, incluindo transações de exportação, importação e transferência, bem como licenças e contratos. As violações ocorrem quando as organizações não mantêm registros precisos e completos, dificultando a comprovação da conformidade em caso de auditoria e podendo resultar em penalidades por infrações ao ITAR.

Medidas de segurança inadequadas

Os itens, informações e tecnologias regulamentados pelo ITAR devem ser protegidos contra acesso não autorizado. Violações podem ocorrer se as entidades não possuírem medidas de segurança físicas e digitais adequadas para proteger informações sensíveis contra a divulgação a terceiros não autorizados.

Falha na triagem de funcionários

As empresas devem verificar se seus funcionários e indivíduos com acesso a itens controlados são cidadãos americanos ou se possuem autorização para acessar tais materiais. Violações ocorrem quando indivíduos sem a devida autorização obtêm acesso a esses materiais.

Documentação incompleta ou imprecisa

Documentação imprecisa ou incompleta referente à classificação de itens, serviços ou tecnologia, bem como ao seu status de exportação ou transferência, pode violar o ITAR. A classificação incorreta de itens ou a sua marcação inadequada podem resultar em não conformidade.

Não comunicar violações

As entidades em conformidade com o ITAR são obrigadas a comunicar imediatamente às autoridades competentes quaisquer violações reais ou suspeitas. A omissão na comunicação de violações, intencional ou não, pode acarretar consequências mais graves caso seja descoberta.

Envolvimento de cidadãos estrangeiros

O envolvimento de cidadãos estrangeiros, mesmo que indiretamente, em projetos ou transações que envolvam itens controlados pode resultar em violações. Os procedimentos adequados para lidar com cidadãos estrangeiros em atividades relacionadas ao ITAR devem ser seguidos.

Viagens internacionais com itens ITAR

Viajar internacionalmente com itens controlados pelo ITAR, como laptops ou dados técnicos relacionados, sem as autorizações necessárias, pode resultar em violações.

Isenções e exceções do ITAR

O ITAR prevê certas isenções e exceções às suas regulamentações, permitindo que indivíduos e atividades específicas sejam dispensados do cumprimento integral das normas. Algumas isenções e exceções comuns incluem:

• Agências do Governo dos EUA: As regulamentações do ITAR normalmente não se aplicam a agências governamentais dos EUA quando se trata de itens ou informações relacionados à defesa. No entanto, essas agências estão sujeitas a seus próprios controles internos, que devem estar alinhados com as melhores práticas do ITAR.
• Informações de domínio público: Informações que já são de domínio público, como livros publicados, artigos e sites, geralmente estão isentas dos controles do ITAR. No entanto, a linha divisória entre informações de domínio público e informações controladas pode ser complexa.
• Pesquisa fundamental: A pesquisa básica e aplicada realizada em instituições de ensino superior credenciadas nos Estados Unidos está isenta dos controles do ITAR, desde que se destine à publicação e não envolva tecnologia específica relacionada à defesa.
• Lista de Munições dos EUA (USML) Categoria XII: Dependendo de certas condições, alguns itens específicos da Categoria XII da USML (Equipamentos de Controle de Tiro, Telêmetro, Óptica, Orientação e Controle) podem ser elegíveis para isenções.
• Exportações temporárias: Exportações temporárias de itens controlados pelo ITAR para eventos como feiras comerciais ou exposições podem ser elegíveis para licenças de exportação temporárias.
• Assistência técnica e manutenção: As normas ITAR podem não se aplicar à manutenção e aos serviços de rotina de produtos de defesa se estes não envolverem a transferência de dados técnicos ou modificações significativas.
• TAA (Acordo de Assistência Técnica) e MLA (Acordo de Licença de Fabricação): As regulamentações do ITAR podem ser isentas ou modificadas nos termos de um TAA ou MLA, sujeitas à aprovação do Departamento de Estado dos EUA.
• Regra de minimis: Se um item ou sistema fabricado no exterior contiver apenas uma pequena porcentagem de componentes de origem americana controlados pelo ITAR (normalmente menos de 10% em valor), ele poderá não estar sujeito aos controles do ITAR.

Penalidades por violações de conformidade com o ITAR

Dependendo da infração e de seu impacto, empresas e indivíduos podem enfrentar sanções civis ou criminais. As sanções civis podem incluir multas superiores a 1 milhão de libras esterlinas por infração e proibição de participação em feiras e negócios. Já as sanções criminais acarretam multas de até 1 milhão de libras esterlinas, 20 anos de prisão ou ambas.

Como proteger dados ITAR com o BigID

Qualquer organização sujeita aos requisitos do ITAR deve tomar medidas concretas para proteger seus dados de defesa e implementar um plano detalhado de resposta a incidentes em caso de violação das regulamentações do ITAR.

Plataforma de inteligência de dados automatizada da BigID Permite ao governo, às forças armadas, à defesa e a qualquer empresa que lide com equipamentos ou serviços de defesa garantir que os dados sujeitos ao ITAR sejam identificados e protegidos. prevenir violações de dados, reduzir o risco e, em última análise, demonstrar conformidade eficaz com o ITAR.

• Identifique, classifique e conheça seus dados: BigID's fundação de descoberta de dados Analisa profundamente todos os dados estruturados e não estruturados, locais ou na nuvem, com múltiplos conectores para encontrar dados sensíveisIsso permite que as organizações inventariem, mapeiem, classifiquem e conectem dados aos requisitos do ITAR, bem como a outras políticas regulatórias.
• Monitorar atividades de processamento: Com o BigID, o mapeamento visual do fluxo de dados mostra como os dados são processados e compartilhados em toda a empresa e com terceiros.
• Reduzir o risco de acesso indevido aos dados: O BigID pode sinalizar e investigar usuários, grupos e dados de alto risco em toda a organização. As empresas podem rastrear e revisar arquivos que contêm dados confidenciais com acesso aberto — e gerar relatórios de auditoria de alvos de alto risco.
• Alavancagem da pontuação de risco: A BigID avalia o risco com base em diversos parâmetros de dados, como tipo e localização dos dados, e fornece uma visão centrada no risco para que as organizações possam ser proativas na redução de riscos, ao mesmo tempo que aderem às melhores práticas de cibersegurança.

Para saber mais sobre como proteger e gerenciar dados ITAR para atender aos requisitos de conformidade— Agende uma demonstração individual com a BigID hoje mesmo.

Autor

Alexis Porter

Gerente de Marketing de Conteúdo

Alexis atua como Gerente de Marketing de Conteúdo na BigID, uma empresa líder em DSPM (Gerenciamento de Propostas de Conteúdo Digital). Ela se especializa em ajudar startups de tecnologia a desenvolver e aprimorar sua voz, para que contem histórias mais envolventes e que ressoem com públicos diversos. Alexis possui bacharelado em Escrita Profissional e mestrado em Comunicação de Marketing pela Universidade de Denver. Ela reside em Orlando, Flórida.