Aplicación de la ley por parte del Departamento de Justicia en el marco del Programa de Seguridad de Datos de la División de Seguridad Nacional

Proteger los datos confidenciales nunca ha sido tan importante. En un mundo globalizado de amenazas cibernéticas avanzadas, técnicas de espionaje sofisticadas y monetización de datos externos, es fundamental aumentar la seguridad para proteger la información confidencial contra el robo y el uso indebido. La reciente implementación del Programa de Seguridad de Datos (DSP) del Departamento de Justicia (DOJ) demuestra la seriedad con la que el gobierno considera la amenaza que representa el acceso de adversarios extranjeros a dichos datos. Las personas y empresas estadounidenses que agregan datos personales de ciudadanos estadounidenses o recopilan cualquier información relacionada con el personal del Gobierno de los Estados Unidos se enfrentan ahora a restricciones y prohibiciones obligatorias a la hora de transferir estos datos a países y personas identificados como sospechosos. Dado que el período de indulgencia para la aplicación del programa finalizó oficialmente el 8 de julio de 2025^[1], el incumplimiento inmediato de las normas conlleva la exposición a severas sanciones civiles y penales.

Antecedentes

El DSP establece esencialmente restricciones de control de las exportaciones que impiden a los adversarios extranjeros, y a aquellos sujetos al control y la dirección de dichos adversarios, acceder a datos relacionados con el Gobierno de los Estados Unidos y a datos personales sensibles de los Estados Unidos en grandes cantidades.

La DSP se emitió en virtud de la Ley de Poderes Económicos de Emergencia Internacional (IEEPA) y de conformidad con la Orden Ejecutiva 14117, relativa a la prevención del acceso a datos personales sensibles de los estadounidenses y a datos relacionados con el Gobierno de los Estados Unidos por parte de países que suscitan preocupación.^[2] Aunque la fecha de entrada en vigor del programa era el 8 de abril de 2025, la División de Seguridad Nacional (NSD) del Departamento de Justicia anunció un retraso de 90 días en las medidas de aplicación para dar más tiempo a los ciudadanos y empresas estadounidenses a implementar los cambios necesarios para cumplir con la normativa y colaborar con la NSD en cuestiones relacionadas con el DSP.

Ahora que el período de gracia ha finalizado, se espera que las personas físicas y jurídicas cumplan plenamente con la normativa, y la NSD puede comenzar a perseguir el cumplimiento de posibles infracciones. El DSP tiene por objeto hacer frente a los continuos esfuerzos de los adversarios extranjeros por utilizar actividades comerciales para acceder, explotar y convertir en armas las categorías cubiertas de datos personales sensibles y del Gobierno de los Estados Unidos. Dado que el programa está en consonancia con diversas prioridades de la Administración Trump, las empresas estadounidenses deben prever una aplicación agresiva de la normativa y asegurarse de que la cumplen.^[3]

Países y personas cubiertos

El DSP restringe y prohíbe a las personas y entidades estadounidenses participar en determinadas transacciones relacionadas con datos del Gobierno de los Estados Unidos y datos personales de ciudadanos estadounidenses con «países de interés» o «personas afectadas».

El 11 de abril de 2025, el NSD publicó una guía de cumplimiento relacionada con el DSP, en la que se identificaba a cada uno de los siguientes países como «países preocupantes»:

China (incluidos Hong Kong y Macao)
Cuba
Irán
Corea del Norte
Rusia
Venezuela

Se identificó que estos países tenían la intención y la capacidad de utilizar datos relacionados con el gobierno y datos personales sensibles de los estadounidenses para amenazar la seguridad nacional de EE. UU. a través de diversos medios específicos.^[4]

Las «personas afectadas» se describen en la Norma definitiva como (1) entidades extranjeras con sede en un país de interés o constituidas con arreglo a la legislación de un país de interés, o cuya propiedad mayoritaria pertenezca a uno o varios países de interés u otras personas afectadas, (2) entidades extranjeras cuya propiedad mayoritaria pertenezca a un país de interés u otra persona afectada, (3) personas físicas extranjeras que sean empleados o contratistas de un país afectado o de una persona cubierta, (4) personas físicas extranjeras que residan principalmente en un país afectado, y (5) aquellas personas que la NSD designe e identifique públicamente.^[5] En lo que respecta a la subcategoría (5), la NSD designará y añadirá personas a una lista publicada de personas cubiertas tras determinar que dichas personas cumplen determinados criterios, como estar sujetas a la propiedad y el control de un país de interés.^[6]

Transacciones de datos cubiertas y exentas

Para determinar si los requisitos del DSP se aplican a una persona o entidad estadounidense en particular, es esencial comprender el tipo de datos en cuestión y las transacciones cubiertas por el programa. Si una empresa maneja datos cubiertos por el programa, se le restringirá o incluso se le prohibirá transferir dicha información en determinadas circunstancias.

Transacciones cubiertas: cualquier transacción que implique el acceso por parte de uno de los países en cuestión o de las personas cubiertas a cualquier dato relacionado con el gobierno o a datos personales sensibles de los Estados Unidos está sujeta a las restricciones del DSP. Para que una transacción sea considerada «transacción cubierta», también debe implicar (1) intermediación de datos, (2) un acuerdo con un proveedor, (3) un contrato de trabajo o (4) un acuerdo de inversión.^[7]

«Datos relacionados con el gobierno»: determinados datos de geolocalización relacionados con actividades gubernamentales.^[8] y cualquier dato personal sensible, independientemente de su volumen, que una parte de la transacción comercialice como vinculado o vinculable a empleados o contratistas actuales o recientes del Gobierno de los Estados Unidos, como una empresa estadounidense que anuncia la venta de un conjunto de datos personales sensibles como pertenecientes a «empleados gubernamentales».^[9]

«Datos personales sensibles de EE. UU. a granel»: una recopilación o conjunto de datos personales sensibles relacionados con personas de EE. UU., en cualquier formato.^[10] Los «datos personales sensibles» incluyen (1) identificadores personales cubiertos, (2) datos de geolocalización precisos, (3) identificadores biométricos, (4) datos genómicos humanos, (5) datos personales sobre salud y (6) datos financieros personales o cualquier combinación de los mismos.^[11]

En el marco del DSP, existen dos categorías generales de transacciones cubiertas: 1) Transacciones prohibidas y 2) Transacciones restringidas.

Transacciones prohibidas: Por lo general, implican la intermediación de datos con un país de interés o una persona cubierta y prohíben a cualquier persona estadounidense participar en una transacción cubierta, salvo determinadas excepciones, así como las transacciones que implican el acceso por parte de un país de interés o una persona cubierta a determinados datos sensibles de Estados Unidos en grandes cantidades.^[12]

Transacciones restringidas: Por lo general, abarcan las transacciones de datos en virtud de acuerdos con proveedores, contratos de trabajo o acuerdos de inversión, con sujeción a determinadas exenciones, que están restringidas a menos que la persona estadounidense cumpla con requisitos de seguridad específicos.^[13]

Transacciones exentas: Varias transacciones están exentas de las prohibiciones y restricciones que, de otro modo, serían aplicables. Dichas exenciones incluyen, entre otras:

Información o materiales informativos;
Servicios financieros;
Transacciones de grupos empresariales (que suelen ser inherentes y formar parte de operaciones administrativas o auxiliares);
Transacciones exigidas o autorizadas por la legislación federal o por acuerdos internacionales.
Acuerdos de inversión sujetos a una acción del CFIUS;
Servicios de telecomunicaciones;
Autorizaciones de medicamentos, productos biológicos y dispositivos médicos; y
Otras investigaciones clínicas y datos de vigilancia posterior a la comercialización (normalmente relacionados con investigaciones clínicas reguladas por la Administración de Alimentos y Medicamentos de los Estados Unidos o con la recopilación y el procesamiento de determinados datos de atención clínica o datos de vigilancia posterior a la comercialización, y que forman parte de dichas investigaciones).^[14]

Licencias

El Departamento de Justicia, a través de la NSD, puede expedir licencias generales o específicas para realizar transacciones de datos cubiertas que, de otro modo, infringirían la DSP. Una licencia general autorizará un tipo concreto de transacción, sujeta a prohibiciones o restricciones, sin necesidad de solicitar una licencia específica.^[15] Una licencia específica es un documento expedido por la NSD a una persona o entidad concreta, que autoriza una transacción concreta.^[16]

Aplicación y cumplimiento por parte del Departamento de Justicia

El DSP es administrado y aplicado por la Sección de Revisión de Inversiones Extranjeras (FIRS) de la NSD, que es responsable de los esfuerzos no judiciales del DOJ para abordar y gestionar los riesgos para la seguridad nacional que plantean las transacciones, los negocios y la tecnología transfronterizos ante amenazas como las de adversarios extranjeros. La FIRS también puede tramitar las solicitudes de dictámenes consultivos presentadas por partes potencialmente reguladas en relación con la aplicación del DSP a transacciones específicas, lo cual es un mecanismo integrado en la Norma definitiva relativa al DSP.^[17]

Cualquier proceso civil o penal relacionado con infracciones del DSP probablemente será tramitado por el NSD o remitido a la fiscalía federal correspondiente. Las empresas estadounidenses deben esperar que la aplicación del DSP refleje en gran medida las medidas tradicionales contra las infracciones de control de exportaciones o sanciones. Tanto el DSP como los regímenes de sanciones económicas de EE. UU. derivan su autoridad de la IEEPA. La responsabilidad civil y penal en virtud de la IEEPA puede ser significativa, con sanciones civiles de hasta 386 136 dólares o el doble del valor de cada transacción infractora, y sanciones penales de hasta 20 años de prisión, una multa de 1 000 000 de dólares, o ambas.^[18] Por lo tanto, las personas o empresas estadounidenses cuyas actividades puedan entrar en el ámbito de aplicación del DSP deben consultar con un abogado desde el principio y con frecuencia para garantizar el cumplimiento de los requisitos de conformidad y notificación.

Conclusiones y recomendaciones clave

Las personas y empresas estadounidenses que aún no hayan comenzado a planificar la implementación completa del DSP deben cumplir con la normativa de inmediato. Entre las empresas afectadas se pueden incluir:

Proveedores de servicios en la nube

Proveedores de servicios virtuales

Centros de procesamiento de datos

Fabricantes de dispositivos médicos

Instituciones académicas

Empresas y consultores de análisis de datos

Contratistas gubernamentales en los sectores de defensa o salud.

Al igual que las medidas de cumplimiento de los controles de exportación, estas personas y entidades estadounidenses deben contratar a un abogado con experiencia en este ámbito para que lleve a cabo lo siguiente:

Realizar revisiones y auditorías internas para identificar el posible acceso a datos protegidos o transacciones que impliquen el flujo de dichos datos a países o personas protegidos.

Implementar políticas, procedimientos y capacitaciones que aborden la seguridad de los datos y la transferencia o el acceso a cualquier dato relacionado con el gobierno de los Estados Unidos o datos personales confidenciales de los Estados Unidos en grandes cantidades.

Determinar la aplicabilidad de cualquier licencia general o la necesidad de solicitar licencias específicas para cualquier transacción prohibida o restringida.

Implementar un programa de cumplimiento para realizar un seguimiento de las transacciones, llevar a cabo una diligencia debida periódica y mantener registros precisos.

Contratar a un abogado para redactar o revisar los contratos con los proveedores según sea necesario, llevar a cabo la debida diligencia y relacionarse con organismos gubernamentales como el Departamento de Justicia cuando sea necesario.

Ajustar los lugares de trabajo, las funciones o las responsabilidades de los empleados en función de la proximidad o la exposición a países de interés o personas afectadas.

Implementar los requisitos de seguridad de la Agencia de Ciberseguridad e Infraestructura (CISA).

La adopción de estas medidas ayudará a las empresas y personas estadounidenses a prepararse adecuadamente para las medidas coercitivas que probablemente se adopten.

Las empresas y personas afectadas también deben tomar nota del 6 de octubre de 2025. A partir de esa fecha, las entidades y los individuos deberán cumplir con los requisitos de diligencia debida y auditoría para las transacciones restringidas, así como con los requisitos de notificación para las transacciones restringidas y las transacciones prohibidas rechazadas.

Si tiene alguna pregunta sobre este tema, no dude en ponerse en contacto con cualquiera de los autores o con su abogado de Foley & Lardner. Si desea recibir futuras actualizaciones sobre «Lo que toda empresa multinacional debe saber» acerca del funcionamiento del complicado mundo del comercio internacional actual, suscríbase a nuestro blog sobre aranceles y comercio internacional. haga clic aquí para registrarse.

***

[1] «PROGRAMA DE SEGURIDAD DE DATOS: POLÍTICA DE IMPLEMENTACIÓN Y APLICACIÓN HASTA EL 8 DE JULIO DE 2025», Departamento de Justicia (11 de abril de 2025), https://www.justice.gov/opa/media/1396346/dl?inline

[2] Véase 50 U.S.C. § 1705; véase también la Orden Ejecutiva 14117, «Prevención del acceso a datos personales sensibles de los estadounidenses y datos relacionados con el Gobierno de los Estados Unidos por parte de países de interés» (28 de febrero de 2024), https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related

[3] La Casa Blanca, «Política de inversión American First» (21 de febrero de 2025), https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/; La Casa Blanca, «Hoja informativa: El presidente Donald J. Trump restablece la máxima presión sobre Irán» (4 de febrero de 2025), https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/

[4] «PROGRAMA DE SEGURIDAD DE DATOS: GUÍA DE CUMPLIMIENTO», Departamento de Justicia (11 de abril de 2025), https://www.justice.gov/opa/media/1396356/dl

[5] Véase §§ 202.211(a)(1)-(5)

[6] Véase el artículo 202.701.

[7] Véanse los artículos 202.214, 202.258, 202.217 y 202.228.

[8] Véase el artículo 202.222(a)(1).

[9] Véase el artículo 202.222(b).

[10] Véase el artículo 202.206.

[11] Véase el artículo 202.249.

[12] Véanse los apartados 202.301-303.

[13] Véase el artículo 202.401.

[14] Véanse los artículos 202.501-511.

[15] Véase el artículo 202.801.

[16] Véase el artículo 202.802.

[17] Véase el artículo 202.901.

[18] Véase § 202.1301; véase también 50 U.S.C. § 1705.

Descargo de responsabilidad

Este blog ha sido creado por Foley & Lardner LLP («Foley» o «la Firma») con fines meramente informativos. No pretende transmitir la posición legal de la Firma en nombre de ningún cliente, ni tampoco pretende ofrecer asesoramiento legal específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. Por lo tanto, no actúe basándose en esta información sin consultar primero con un abogado colegiado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entradas de blog o cualquier otro medio no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que transmita a Foley a través de este blog, ya sea por correo electrónico, publicación en el blog o cualquier otro medio, no se tratará como confidencial o privado. La información de este blog se publica «TAL CUAL» y no se garantiza que sea completa, precisa o actualizada. Foley no ofrece ninguna garantía, expresa o implícita, en cuanto al funcionamiento o el contenido del sitio. Foley renuncia expresamente a todas las demás garantías, condiciones y declaraciones de cualquier tipo, ya sean expresas o implícitas, ya sea que surjan en virtud de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, título y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, en virtud de cualquier teoría jurídica (contrato, agravio, negligencia o de otro tipo), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto, especial, incidental, punitivo o consecuente, que resulte o se derive de la creación, el uso o la confianza en este sitio (incluida la información y otros contenidos) o en cualquier sitio web de terceros o en la información, los recursos o el material a los que se acceda a través de dichos sitios web. En algunas jurisdicciones, el contenido de este blog puede considerarse publicidad de abogados. Si procede, tenga en cuenta que los resultados anteriores no garantizan un resultado similar. Las fotografías tienen fines meramente dramáticos y pueden incluir modelos. Las semejanzas no implican necesariamente la condición actual de cliente, socio o empleado.

Hombre con traje azul marino y corbata de pie delante de un fondo difuminado de un bufete de abogados corporativos, mirando a la cámara y sonriendo.

[email protected]

Washington, D.C. 202.295.4110

[email protected]

Tampa 813.225.4161

[email protected]

Milwaukee 414.297.5519

Un hombre vestido con traje oscuro, camisa blanca y corbata roja está de pie en el interior de un pasillo muy iluminado de un bufete de abogados corporativos, mirando a la cámara y sonriendo levemente.

[email protected]

Washington, D.C. 202.295.4103

Información relacionada

Ver todas las publicaciones

16 de marzo de 2026 Recursos sobre aranceles y comercio internacional

Lo que toda multinacional debe saber sobre… cómo gestionar las consecuencias de la histórica sentencia del Tribunal Supremo sobre los aranceles de la IEEPA (Parte VIII)

En un escrito presentado recientemente ante el CIT, la CBP describió una nueva funcionalidad que se está desarrollando dentro del Entorno Comercial Automatizado (ACE), denominada CAPE (Administración y Tramitación Consolidada de Entradas).

16 de marzo de 2026 Recursos sobre aranceles y comercio internacional

Lo que toda multinacional debe saber sobre… cómo gestionar las consecuencias del histórico caso del Tribunal Supremo sobre los aranceles de la IEEPA (Parte VII)

La sentencia del Tribunal Supremo rechazó la IEEPA como fundamento para la imposición de aranceles generales, pero no puso en tela de juicio los aranceles impuestos en virtud de otras leyes comerciales. Esto significa que la decisión eliminó un mecanismo jurídico, pero no los objetivos políticos más amplios que motivaron la imposición de los aranceles en primer lugar.

13 de marzo de 2026 Recursos sobre aranceles y comercio internacional

Lo que toda multinacional debe saber sobre… cómo gestionar las consecuencias de la histórica sentencia del Tribunal Supremo sobre los aranceles de la IEEPA (Parte VI)

Para las empresas que actuaron como importadores registrados, el riesgo más inmediato es de carácter procedimental: no tomar las medidas necesarias para preservar y garantizar los derechos de reembolso. La decisión del Tribunal Supremo no da lugar automáticamente a reembolsos, y el proceso se verá condicionado por los litigios en curso en el CIT y las posibles medidas administrativas.

Búsquedas populares

Aplicación de la ley por parte del Departamento de Justicia en el marco del Programa de Seguridad de Datos de la División de Seguridad Nacional

Antecedentes

Países y personas cubiertos

Transacciones de datos cubiertas y exentas

Licencias

Aplicación y cumplimiento por parte del Departamento de Justicia

Conclusiones y recomendaciones clave

Autor(es)

John F. Korba

Joseph W. Swanson

David W. Simon

Christopher Swift

Información relacionada

Lo que toda multinacional debe saber sobre… cómo gestionar las consecuencias de la histórica sentencia del Tribunal Supremo sobre los aranceles de la IEEPA (Parte VIII)

Lo que toda multinacional debe saber sobre… cómo gestionar las consecuencias del histórico caso del Tribunal Supremo sobre los aranceles de la IEEPA (Parte VII)

Lo que toda multinacional debe saber sobre… cómo gestionar las consecuencias de la histórica sentencia del Tribunal Supremo sobre los aranceles de la IEEPA (Parte VI)