El Departamento de Justicia de los Estados Unidos (DoJ) ha publicado una normativa final en cumplimiento de la Orden Ejecutiva (EO) 14117, que prohíbe la transferencia masiva de datos personales de ciudadanos estadounidenses a naciones consideradas riesgosas, como China (incluidos Hong Kong y Macao), Cuba, Irán, Corea del Norte, Rusia y Venezuela.
«Esta norma representa un avance significativo para enfrentar la grave amenaza a la seguridad nacional que implica que nuestros adversarios accedan a los datos personales más sensibles de los estadounidenses», expresó Matthew G. Olsen, Fiscal General Adjunto de la División de Seguridad Nacional del Departamento de Justicia.
«Este innovador programa de seguridad nacional busca garantizar que los datos personales de los estadounidenses no puedan ser vendidos a potencias extranjeras hostiles, ya sea mediante compra directa u otros mecanismos de acceso comercial», añadió.
En febrero de 2024, el presidente Joe Biden firmó una orden ejecutiva destinada a mitigar los riesgos para la seguridad nacional derivados del acceso no autorizado a datos sensibles personales y gubernamentales de los estadounidenses, los cuales podrían ser utilizados para actividades malintencionadas como espionaje, influencia, operaciones cibernéticas o incluso ataques físicos.
La orden también subraya que los países designados como riesgosos podrían usar el acceso a grandes volúmenes de datos para desarrollar o perfeccionar tecnologías avanzadas, incluida la inteligencia artificial, así como adquirir dicha información a través de corredores de datos y empresas comerciales.
«Estos países y sus representantes también pueden explotar estos datos para recopilar información sobre activistas, académicos, periodistas, disidentes, opositores políticos o integrantes de organizaciones no gubernamentales y comunidades marginadas. Esto podría emplearse para intimidar, restringir la oposición política, limitar las libertades de expresión, reunión pacífica o asociación, o incluso facilitar la represión de los derechos civiles», señaló el DoJ.
La nueva normativa, que entrará en vigor en 90 días, detalla las categorías de transacciones prohibidas, restringidas y exentas; define umbrales para la activación de restricciones en transacciones relacionadas con datos sensibles a gran escala; y establece mecanismos de cumplimiento que incluyen sanciones civiles y penales.
La regulación abarca seis categorías de datos: identificadores personales (como números de Seguro Social o licencias de conducir), información de geolocalización precisa, identificadores biométricos, datos ‘ómicos humanos (genómicos, epigenómicos, proteómicos y transcriptómicos), información de salud personal y datos financieros.
No obstante, la norma no exige la localización obligatoria de los datos ni impide que ciudadanos estadounidenses lleven a cabo investigaciones científicas, médicas u otras en los países designados como riesgosos.
«La norma tampoco prohíbe de forma generalizada que las personas estadounidenses realicen transacciones comerciales, como el intercambio de datos financieros u otra información en la venta de bienes y servicios comerciales con estos países o sus representantes. Tampoco establece medidas que busquen desvincular ampliamente las relaciones económicas, científicas y comerciales sustanciales que los Estados Unidos mantienen con otras naciones», aclaró el DoJ.
