Cumplimiento del DOJ en el marco del Programa de Seguridad de Datos de la División de Seguridad Nacional

Proteger los datos sensibles nunca ha sido tan importante. En un mundo globalizado de ciberamenazas avanzadas, sofisticadas técnicas de espionaje y monetización de datos externos, es crucial aumentar la seguridad para salvaguardar la información sensible de robos y usos indebidos. La reciente puesta en marcha del Programa de Seguridad de Datos (DSP) del Departamento de Justicia (DOJ) demuestra la seriedad con la que el gobierno considera la amenaza que supone el acceso de adversarios extranjeros a dichos datos. Las personas y empresas estadounidenses que agregan datos personales de estadounidenses o recopilan cualquier información vinculada al personal del gobierno de EE.UU. se enfrentan ahora a restricciones y prohibiciones obligatorias a la hora de transferir estos datos a países y personas de interés identificados. Dado que el periodo de indulgencia para la aplicación del programa finaliza oficialmente el 8 de julio de 2025^[1], si no se cumple de inmediato, se expone a fuertes sanciones civiles y penales.

Fondo

La DSP establece esencialmente restricciones al control de las exportaciones que impiden a los adversarios extranjeros, y a quienes están bajo el control y la dirección de esos adversarios, acceder a datos relacionados con el gobierno de Estados Unidos y a datos personales sensibles de Estados Unidos.

El DSP se emitió en virtud de la Ley de Poderes Económicos de Emergencia Internacional (IEEPA) y de conformidad con la Orden Ejecutiva 14117, relativa a la Prevención del Acceso a Datos Personales Sensibles Masivos de Estadounidenses y a Datos Relacionados con el Gobierno de Estados Unidos por parte de Países de Interés.^[2] Aunque la fecha de entrada en vigor del programa era el 8 de abril de 2025, la División de Seguridad Nacional (NSD) del DOJ anunció un aplazamiento de las medidas de ejecución durante 90 días para dar más tiempo a los particulares y empresas estadounidenses a aplicar los cambios necesarios para cumplir y colaborar con la NSD en cuestiones relacionadas con el DSP.

Ahora que el periodo de gracia ha finalizado, se espera que las personas y entidades cumplan plenamente la normativa, y la NSD puede empezar a perseguir las posibles infracciones. El DSP tiene por objeto hacer frente a los continuos esfuerzos de los adversarios extranjeros por utilizar actividades comerciales para acceder, explotar y convertir en armas categorías cubiertas de datos gubernamentales y personales sensibles de Estados Unidos. Como el programa está en línea con varias prioridades de la Administración Trump, las empresas estadounidenses deben anticipar una aplicación agresiva y asegurarse de que cumplen.^[3]

Países y personas cubiertos

La DSP restringe y prohíbe a las personas y entidades estadounidenses realizar determinadas transacciones en torno a datos gubernamentales estadounidenses y datos personales de estadounidenses con "países preocupantes" o "personas cubiertas".

El 11 de abril de 2025, la NSD publicó una guía de cumplimiento relacionada con el DSP, en la que se identificaba a cada uno de los siguientes países como "país preocupante":

China (incluidos Hong Kong y Macao)
Cuba
Irán
Corea del Norte
Rusia
Venezuela

Se identificó a estos países por demostrar su intención y capacidad de utilizar datos relacionados con el gobierno y datos personales confidenciales de estadounidenses para amenazar la seguridad nacional de Estados Unidos a través de diversos medios específicos.^[4]

Las "personas sujetas" se describen en la Norma Definitiva como (1) entidades extranjeras con sede u organización conforme a las leyes de un país de interés o propiedad mayoritaria de uno o más países de interés u otras personas sujetas, (2) entidades extranjeras que son propiedad mayoritaria de un país de interés u otra persona sujeta, (3) individuos extranjeros que son empleados o contratistas de un país de interés o persona sujeta, (4) individuos extranjeros que son principalmente residentes en un país de interés, y (5) aquellas personas que la NSD designa e identifica públicamente. [^5] En lo que respecta a la subcategoría (5), la DNS designará y añadirá personas a una lista de Personas Cubiertas publicada tras determinar que dichas personas cumplen determinados criterios, como estar sujetas a la propiedad y el control de un país de interés.^[6]

Transacciones de datos amparadas y exentas

Para determinar si los requisitos del DSP se aplican a una persona o entidad estadounidense concreta, es esencial entender el tipo de datos en cuestión y las transacciones cubiertas por el programa. Si una empresa maneja datos cubiertos por el programa, tendrá restringida o incluso prohibida la transferencia de dicha información en determinadas circunstancias.

Transacciones cubiertas: Cualquier transacción que implique el acceso por parte de uno de los países de interés o de las personas cubiertas a cualquier dato relacionado con el gobierno o a datos personales sensibles masivos de Estados Unidos está sujeta a las restricciones de la DSP. Para ser una "transacción cubierta", la transacción también debe implicar (1) corretaje de datos, (2) un acuerdo de proveedor, (3) un acuerdo de empleo, o (4) un acuerdo de inversión.^[7]

"Datos relacionados con el Gobierno": Determinados datos de geolocalización relacionados con actividades gubernamentales,^[8] y cualquier dato personal sensible, independientemente de su volumen, que una parte negociadora comercialice como vinculado o vinculable a empleados o contratistas actuales o antiguos recientes del Gobierno de los Estados Unidos, como una empresa estadounidense que anuncie la venta de un conjunto de datos personales sensibles como pertenecientes a "empleados del Gobierno."^[9]

"Datos personales sensibles masivos de Estados Unidos": Una colección o conjunto de datos personales sensibles relativos a personas estadounidenses, en cualquier formato.^[10] "Datos personales sensibles" incluye (1) identificadores personales cubiertos, (2) datos precisos de geolocalización, (3) identificadores biométricos, (4) datos genómicos humanos, (5) datos personales de salud, y (6) datos financieros personales o cualquier combinación de los mismos.^[11]

En virtud de la DSP, existen dos categorías generales de transacciones cubiertas: 1) Operaciones prohibidas y 2) Operaciones restringidas.

Transacciones prohibidas: Generalmente implican el corretaje de datos con un país de interés o persona cubierta y prohíben a cualquier persona estadounidense participar en una transacción cubierta sujeta a ciertas exenciones, y transacciones que implican el acceso de un país de interés o persona cubierta a ciertos datos sensibles masivos de Estados Unidos.^[12]

Transacciones restringidas: Generalmente cubren transacciones de datos en virtud de acuerdos con proveedores, acuerdos de empleo o acuerdos de inversión, sujetos a ciertas exenciones, que están restringidas a menos que la persona estadounidense cumpla con requisitos de seguridad específicos.^[13]

Transacciones exentas: Varias transacciones están exentas de las prohibiciones y restricciones aplicables de otro modo. Dichas exenciones incluyen, entre otras, las siguientes:

Información o material informativo;
Servicios financieros;
Operaciones de grupos de empresas (normalmente relacionadas con operaciones administrativas o auxiliares);
Transacciones exigidas o autorizadas por la legislación federal o por acuerdos internacionales;
Acuerdos de inversión sujetos a una acción del CFIUS;
Servicios de telecomunicaciones;
Autorizaciones de medicamentos, productos biológicos y productos sanitarios.
Otras investigaciones clínicas y datos de vigilancia posterior a la comercialización (normalmente incidentes y parte de investigaciones clínicas reguladas por la Administración de Alimentos y Medicamentos de EE.UU. o la recopilación y el procesamiento de determinados datos de atención clínica o datos de vigilancia posterior a la comercialización).^[14]

Licencias

El DOJ, a través de la DNS, puede expedir licencias generales o específicas para realizar una transacción de datos cubierta que, de otro modo, infringiría la DSP. Una licencia general autorizará un tipo concreto de transacción, sujeta a prohibiciones o restricciones, sin necesidad de solicitar una licencia específica.^[15] Una licencia específica es un documento expedido por la DSP a una persona o entidad concreta, que autoriza una transacción determinada.^[16]

Aplicación y cumplimiento del DOJ

El DSP es administrado y aplicado por la Sección de Revisión de Inversiones Extranjeras (FIRS) de la NSD, que es responsable de los esfuerzos no judiciales del DOJ para abordar y gestionar los riesgos de seguridad nacional para las transacciones transfronterizas, los negocios y la tecnología que plantean amenazas como los adversarios extranjeros. La FIRS también puede gestionar solicitudes de opiniones consultivas presentadas por partes potencialmente reguladas en relación con la aplicación de la DSP a transacciones específicas, que es un mecanismo incluido en la Regla Final relativa a la DSP.^[17]

Cualquier acción civil o penal relacionada con infracciones de la DSP será probablemente tramitada por la NSD o remitida a la fiscalía estadounidense competente. Las empresas estadounidenses deben esperar que la aplicación de la DSP refleje en gran medida las acciones tradicionales de control de exportaciones o de infracción de sanciones. Tanto la DSP como los regímenes de sanciones económicas de EE.UU. derivan su autoridad de la IEEPA. La responsabilidad civil y penal en virtud de la IEEPA puede ser significativa, con sanciones civiles de hasta 386.136 dólares o el doble del valor de cada transacción infractora, la cantidad que resulte mayor, y sanciones penales de hasta 20 años de prisión, una multa de 1.000.000 de dólares, o ambas^[18]. Por ello, las personas o empresas estadounidenses cuyas actividades puedan entrar en el ámbito de aplicación de la DSP deben ponerse en contacto con un abogado con la suficiente antelación y frecuencia para garantizar que se cumplen los requisitos de cumplimiento y notificación.

Principales conclusiones y recomendaciones

Las personas y empresas estadounidenses que aún no hayan empezado a planificar la plena aplicación de la DSP deben cumplirla inmediatamente. Entre las empresas afectadas se encuentran:

Proveedores de servicios en la nube

Proveedores de servicios virtuales

Centros de procesamiento de datos

Fabricantes de productos sanitarios

Instituciones académicas

Empresas y consultores de análisis de datos

Contratistas públicos de los sectores de defensa o sanidad

Al igual que las medidas de cumplimiento del control de las exportaciones, estas personas y entidades estadounidenses deben contratar a un abogado con experiencia en este ámbito para llevar a cabo lo siguiente:

Llevar a cabo revisiones y auditorías internas para identificar posibles accesos a datos cubiertos o transacciones que impliquen el flujo de dichos datos a países o personas cubiertos.

Implantar políticas, procedimientos y cursos de formación que aborden la seguridad de los datos y la transferencia o el acceso a cualquier dato relacionado con el gobierno de EE.UU. o datos personales sensibles de EE.UU. en bloque.

Determinar la aplicabilidad de cualquier licencia general o la necesidad de solicitar licencias específicas para cualquier transacción prohibida o restringida.

Implemente un programa de cumplimiento para realizar un seguimiento de las transacciones, llevar a cabo una diligencia debida periódica y mantener registros precisos.

Contratar a un abogado para que redacte o revise los contratos con los proveedores según sea necesario, lleve a cabo la diligencia debida e interactúe con organismos gubernamentales como el Departamento de Justicia cuando sea necesario.

Ajustar los lugares de trabajo, las funciones o las responsabilidades de los empleados en función de la proximidad o la exposición a países preocupantes o personas cubiertas.

Aplicar los requisitos de seguridad de la Agencia de Ciberseguridad e Infraestructuras (CISA).

La adopción de estas medidas ayudará a las empresas y personas estadounidenses a prepararse adecuadamente para las medidas coercitivas que probablemente se adopten.

Las empresas y personas afectadas también deben tomar nota del 6 de octubre de 2025. A partir de esa fecha, las entidades y personas deberán cumplir los requisitos de diligencia debida y auditoría para las operaciones restringidas, y los requisitos de información para las operaciones restringidas y las operaciones prohibidas rechazadas.

Si tiene alguna pregunta sobre este tema, no dude en ponerse en contacto con cualquiera de los autores o con su abogado de Foley & Lardner. Si desea recibir futuras actualizaciones sobre "Lo que toda empresa multinacional debe saber" acerca de cómo operar en el complicado mundo actual del comercio internacional, suscríbase a nuestro blog de Aranceles y Comercio Internacional - haga clic aquí para registrarse.

***

[1] "PROGRAMA DE SEGURIDAD DE DATOS: IMPLEMENTATION AND ENFORCEMENT POLICY THROUGH JULY 8, 2025," Departamento de Justicia (11 de abril de 2025), https://www.justice.gov/opa/media/1396346/dl?inline

[2] Véase 50 U.S.C. § 1705; véase también el Decreto 14117, "Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern" (28 de febrero de 2024), https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related.

[3] Casa Blanca, "American First Investment Policy", (21 de febrero de 2025), https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/; Casa Blanca, "Fact Sheet: President Donald J. Trump Restores Maximum Pressure on Iran", (4 de febrero de 2025), https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/.

[4] "PROGRAMA DE SEGURIDAD DE DATOS: COMPLIANCE GUIDE", Departamento de Justicia (11 de abril de 2025), https://www.justice.gov/opa/media/1396356/dl

[5] Véase §§ 202.211(a)(1)-(5)

[6] Véase § 202.701

[7] Véanse los §§ 202.214, 202.258, 202.217 y 202.228.

[8] Véase § 202.222(a)(1)

[9] Véase § 202.222(b)

[10] Véase § 202.206

[11] Véase § 202.249

[12] Véanse §§ 202.301-303

[13] Véase § 202.401

[14] Véanse §§ 202.501-511

[15] Véase § 202.801

[16] Véase § 202.802

[17] Véase § 202.901

[18] Véase § 202.1301; véase también 50 U.S.C. § 1705

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

Hombre con traje azul marino y corbata de pie delante de un fondo borroso de despacho de abogados, mirando a la cámara y sonriendo.

[email protected]

Washington, D.C. 202.295.4110

[email protected]

Tampa 813.225.4161

[email protected]

Milwaukee 414.297.5519

Un hombre con traje oscuro, camisa blanca y corbata roja está de pie en el interior de un pasillo de un despacho de abogados, muy iluminado, mirando a la cámara y sonriendo ligeramente.

[email protected]

Washington, D.C. 202.295.4103

Información relacionada

Ver todas las entradas

5 de diciembre de 2025 Recursos sobre aranceles y comercio internacional

Lo que toda multinacional debe saber sobre... la preservación del derecho a los reembolsos arancelarios de la IEEPA

Cualquier empresa que haya importado mercancías sujetas a los aranceles basados en el fentanilo o a los aranceles recíprocos de la administración Trump, es decir, los aranceles impuestos en virtud de la Ley de Poderes Económicos de Emergencia Internacional (los aranceles IEEPA), debe considerar la posibilidad de presentar una demanda ante el Tribunal de Comercio Internacional de los Estados Unidos (CIT) para preservar la posibilidad de recuperar el reembolso de dichos aranceles.

23 de octubre de 2025 Recursos arancelarios y de comercio internacional

Lo que toda multinacional debe saber sobre ... Buenas prácticas para una declaración de aduanas en el nuevo entorno arancelario

En el actual entorno comercial mundial, los importadores se enfrentan a una convergencia de presiones sin precedentes. El fuerte aumento de los nuevos aranceles, el análisis cada vez más sofisticado de los datos de entrada por parte del Servicio de Aduanas y Protección de Fronteras de Estados Unidos (CBP, por sus siglas en inglés) y una postura más agresiva por parte del gobierno para hacer cumplir la normativa han hecho que incluso los pequeños incumplimientos sean potencialmente costosos.

9 de octubre de 2025 Recursos arancelarios y de comercio internacional

Las designaciones de organizaciones terroristas extranjeras ofrecen al Departamento de Justicia nuevas oportunidades y facultades de decomiso civil

El decomiso civil se está convirtiendo en una herramienta cada vez más importante en la campaña del Departamento de Justicia de los Estados Unidos (DOJ) contra las Organizaciones Criminales Transnacionales (TCO), las Organizaciones Terroristas Extranjeras (FTO) y otras partes sancionadas. Este desarrollo es parte de la campaña en curso de la Administración Trump contra los cárteles y otras TCO, que más recientemente ha implicado la aparente determinación de que los cárteles son actores no estatales en un conflicto armado no internacional con los Estados Unidos, ataques militares contra buques venezolanos en el Mar Caribe y la designación de la pandilla Barrio 18 a/k/a 18th Street como FTO.

Cumplimiento del DOJ en el marco del Programa de Seguridad de Datos de la División de Seguridad Nacional

Fondo

Países y personas cubiertos

Transacciones de datos amparadas y exentas

Licencias

Aplicación y cumplimiento del DOJ

Principales conclusiones y recomendaciones

Autor(es)

John F. Korba

Joseph W. Swanson

David W. Simon

Christopher Swift

Información relacionada

Lo que toda multinacional debe saber sobre... la preservación del derecho a los reembolsos arancelarios de la IEEPA

Lo que toda multinacional debe saber sobre ... Buenas prácticas para una declaración de aduanas en el nuevo entorno arancelario

Las designaciones de organizaciones terroristas extranjeras ofrecen al Departamento de Justicia nuevas oportunidades y facultades de decomiso civil