No lo olvide, octubre trae consigo nuevas obligaciones del programa de seguridad de datos del Departamento de Justicia.
Como se informó anteriormente, el 6 de octubre de 2025 marca la fecha límite para la implementación del Programa de Seguridad de Datos (DSP) del Departamento de Justicia (DOJ). A partir de esa fecha, las empresas que manejen datos personales masivos de EE. UU. o datos relacionados con el gobierno deberán cumplir con los requisitos de diligencia debida, auditoría, mantenimiento de registros y presentación de informes. Se espera que cualquier empresa que realice transacciones de datos cubiertas por el programa cumpla con las siguientes medidas de cumplimiento:
Requisitos de diligencia debida y auditoría
Diligencia debida para transacciones restringidas[1]
Para el 6 de octubre de 2025, las empresas deben implementar, como mínimo, un programa de cumplimiento de datos que incluya lo siguiente:
- Procedimientos basados en el riesgo para verificar los flujos de datos de cualquier transacción restringida, incluyendo los tipos y volúmenes de datos personales relacionados con el gobierno o masivos de EE. UU., la identidad de las partes que realizan la transacción y el uso final de los datos y el método de transferencia.
- Procedimientos basados en el riesgo para verificar la identidad de los proveedores.
- Una política escrita que describa el programa de cumplimiento normativo en materia de datos de la empresa, certificada anualmente por un responsable de cumplimiento normativo; y
- Una política escrita que describe la implementación de los requisitos de seguridad necesarios que son certificados anualmente por un responsable de cumplimiento.
Auditorías para transacciones restringidas[2]
Las personas estadounidenses que participen en transacciones restringidas también deben someterlas a una auditoría anual realizada por un auditor independiente. La auditoría debe consistir en un examen completo de las transacciones restringidas del año anterior y del programa de cumplimiento de datos de la persona estadounidense. El auditor debe preparar y presentar un informe escrito en un plazo de 60 días a partir de la finalización de la auditoría.
Requisitos de presentación de informes y mantenimiento de registros
Las personas estadounidenses que participen en cualquier transacción restringida deben mantener registros completos de dichas transacciones y conservarlos disponibles para su examen durante al menos 10 años después de la fecha de dicha transacción. También se exigirá la presentación de informes a petición del Departamento de Justicia en un formato utilizable.
Informes anuales[3]
A partir del 6 de octubre de 2025, cualquier persona estadounidense que participe en una transacción restringida relacionada con servicios de computación en la nube y que tenga un 25 % o más de sus participaciones accionarias en manos de un país de interés o una persona cubierta, deberá presentar un informe anual al Departamento de Justicia. Los informes anuales deberán contener la siguiente información:
- El nombre y la dirección de la persona estadounidense que participa en la transacción de datos cubierta, y el nombre, número de teléfono y dirección de correo electrónico de una persona de contacto a la que se puede solicitar información adicional.
- Una descripción de la transacción de datos cubierta;
- Una copia de la documentación creada en referencia a la transacción; y
- Cualquier otra información que el Departamento de Justicia pueda requerir.
Informes sobre transacciones prohibidas rechazadas[4]
Cualquier persona estadounidense que haya recibido y rechazado expresamente una oferta para participar en una transacción prohibida relacionada con el corretaje de datos deberá presentar un informe en un plazo de 14 días a partir del rechazo de la transacción. Los informes deberán contener información similar a la exigida en los informes anuales para las transacciones restringidas cubiertas.
[2] Véase el artículo 202.1002.
[3] Véase el artículo 202.1103.
[4] Véase el artículo 202.1104.
