Transacciones de datos: Implicaciones de la norma final del DOJ para los centros médicos académicos con programas de investigación clínica

El Departamento de Justicia (DOJ) publicó su Norma Definitiva para implementar la Orden Ejecutiva 14117 el 8 de enero de 2025, con una enmienda correctiva emitida el 18 de abril de 2025. La Orden Ejecutiva 14117, emitida el 28 de febrero de 2024, titulada «Prevención del acceso a datos personales sensibles masivos de ciudadanos estadounidenses y datos relacionados con el Gobierno de los Estados Unidos por parte de países de interés», instruyó al Fiscal General a crear regulaciones que prohíban o limiten la participación de personas estadounidenses en transacciones relacionadas con propiedades en las que un país extranjero o sus nacionales tengan intereses. Las transacciones se prohíben o limitan si implican datos relacionados con el Gobierno de los Estados Unidos o datos personales sensibles a granel (tal y como se definen en las normas de aplicación definitivas), entran en categorías que el Fiscal General considera que suponen un riesgo para la seguridad nacional (con dicho riesgo de seguridad derivado del posible acceso a los datos por parte de países identificados como preocupantes o personas relacionadas) y cumplen criterios adicionales descritos en la Orden Ejecutiva.

La Norma definitiva describe las categorías de transacciones que están prohibidas o limitadas; designa países específicos y tipos de personas o entidades con las que están restringidas las transacciones relacionadas con datos personales sensibles del Gobierno de los Estados Unidos o en grandes cantidades; crea un sistema para conceder, modificar o revocar licencias para actividades que, de otro modo, estarían restringidas, y para emitir dictámenes consultivos; y establece requisitos para el mantenimiento de registros de transacciones y requisitos de notificación para apoyar las investigaciones, la aplicación de la ley y las medidas reguladoras del Departamento de Justicia en relación con la Orden Ejecutiva. 

Los centros médicos académicos (AMC) y otras entidades similares dedicadas a la investigación clínica y a colaboraciones internacionales deben conocer y determinar la aplicabilidad de los requisitos normativos impuestos por la Norma definitiva. Las asociaciones de investigación que impliquen identificadores biométricos, información sanitaria personal o datos genómicos pueden considerarse transacciones restringidas o prohibidas si las asociaciones incluyen entidades de países designados como preocupantes.

Resumen

La Norma definitiva tiene por objeto impedir que determinados adversarios extranjeros de los Estados Unidos —entre ellos China, Rusia, Irán, Corea del Norte, Cuba y Venezuela— accedan a datos personales sensibles e información relacionada con el Gobierno de los Estados Unidos. 

Definiciones clave. La Norma definitiva autoriza al Departamento de Justicia a regular y aplicar restricciones a las transacciones de datos con determinados «países de interés» y «personas afectadas». 

• «País de interés» se define como: 

cualquier gobierno extranjero que, según lo determine el Fiscal General con el consentimiento del Secretario de Estado y el Secretario de Comercio, (1) haya incurrido en una conducta sistemática a largo plazo o en actos graves que afecten de manera significativa a la seguridad nacional de los Estados Unidos o a la seguridad y protección de los ciudadanos estadounidenses, y (2) represente un riesgo significativo de explotar datos relacionados con el gobierno o datos personales sensibles de los Estados Unidos en detrimento de la seguridad nacional de los Estados Unidos o de la seguridad y protección de los ciudadanos estadounidenses. 

• Se entiende por «persona cubierta»: (1) las entidades extranjeras que (a) sean propiedad, directa o indirectamente, en un cincuenta por ciento o más, de países de interés u otras personas cubiertas; o (b) estén constituidas con arreglo a la legislación de un país de interés o tengan su sede principal en dicho país; (2) las entidades extranjeras que sean propiedad, directa o indirectamente, en un cincuenta por ciento o más, de personas cubiertas, ya sean personas físicas o jurídicas; (3) personas físicas extranjeras que no sean residentes en los Estados Unidos y que trabajen como empleados o contratistas de un país de interés; (4) personas físicas extranjeras que residan principalmente en países de interés; y (5) otras entidades o personas físicas que el Fiscal General determine razonablemente en función de determinados criterios. 

Categorías de datos cubiertos. La norma definitiva se centra en ocho categorías de «datos cubiertos», entre los que se incluyen identificadores biométricos, datos genómicos, datos sanitarios y financieros, información de geolocalización precisa e identificadores personales que pueden vincularse a otros datos sensibles. También incluye cierta información relacionada con el gobierno, como datos vinculados al personal del gobierno de EE. UU. o la geolocalización de instalaciones sensibles. Cabe destacar que las regulaciones se aplican independientemente del volumen de procesamiento de datos cuando se trata de información relacionada con el gobierno. 

Tipos principales de transacciones restringidas. El Departamento de Justicia identifica tres tipos principales de transacciones restringidas: empleo, inversión y acuerdos con proveedores. Las empresas estadounidenses deben asegurarse de que los empleados, inversores y proveedores de servicios extranjeros, especialmente aquellos vinculados a países de interés, no tengan acceso a los datos cubiertos a menos que se cumplan estrictos protocolos de seguridad. Esto afecta a una amplia gama de actividades comerciales, desde la contratación y los acuerdos corporativos hasta los servicios en la nube y las suscripciones de software, y probablemente repercute en las AMC que se dedican a la investigación clínica cuando se comparten datos con determinados empleados. Patrocinadores de investigaciones, inversores y proveedores de servicios. Sin embargo, las prohibiciones y restricciones de la Norma definitiva solo se aplican a las transacciones de datos cubiertos con un país de interés o una persona cubierta que impliquen el acceso por parte de un país de interés o una persona cubierta a datos relacionados con el gobierno o a datos personales sensibles de EE. UU. en bloque. La Norma definitiva no regula las transacciones que no implican el acceso a datos relacionados con el gobierno o a datos personales sensibles de EE. UU. en bloque por parte de un país de interés o una persona cubierta.

Transacciones prohibidas. Cabe destacar que, en virtud de la Norma definitiva, determinadas transacciones están totalmente prohibidas, como aquellas relacionadas con la venta o la concesión de licencias de datos cubiertos a entidades extranjeras en acuerdos de intermediación de datos, o aquellas relacionadas con datos biométricos o muestras biológicas. 

Sanciones por incumplimiento. Las infracciones de la Norma definitiva conllevan multas y sanciones importantes. Las multas civiles pueden alcanzar los 368 136 dólares estadounidenses o el doble del importe de la transacción, lo que sea mayor. Las infracciones deliberadas pueden dar lugar a sanciones penales de hasta 1 millón de dólares estadounidenses y hasta 20 años de prisión.

Conclusión sobre la investigación clínica. Para cumplir con la Norma definitiva, las AMC deben llevar a cabo una diligencia rigurosa y exhaustiva sobre las actividades de investigación, colaboraciones y operaciones propuestas y existentes, incluyendo a sus socios, clientes, empleados/contratistas y destinatarios de datos, para determinar si una transacción propuesta o existente entra dentro del ámbito de la Norma definitiva.  El alcance y las sanciones por infringir y incumplir la Norma definitiva son un claro indicador de que un proceso para determinar y garantizar el cumplimiento de la Norma definitiva será fundamental para las AMC y las empresas de todos los sectores que realicen actividades y transacciones relacionadas con datos personales o gubernamentales.

Implicaciones para los centros médicos académicos con programas de investigación clínica

La Norma definitiva añade un nuevo nivel de complejidad al cumplimiento normativo para las AMC y entidades similares dedicadas a la investigación clínica y a colaboraciones internacionales. 

• Los estudios y actividades de investigación, incluidas las colaboraciones y asociaciones de investigación que impliquen identificadores biométricos, información sanitaria personal o datos genómicos, pueden considerarse transacciones restringidas o prohibidas si las asociaciones incluyen entidades de países designados como «países de interés» y/o personas cubiertas. 
• Se deben revisar los estudios multinacionales y las iniciativas de intercambio de datos existentes y propuestos para determinar si la Norma definitiva es aplicable al estudio o la actividad y, en caso afirmativo, garantizar su cumplimiento. 
• Además, las AMC también deben asegurarse de que los proveedores, incluidos los proveedores de servicios en la nube y de inteligencia artificial, no estén afiliados a países de interés y que todas las actividades de procesamiento de datos cumplan con las nuevas y estrictas normas de seguridad y cumplimiento. Como se ha señalado anteriormente, garantizar el cumplimiento de la Norma definitiva requerirá una revisión exhaustiva de los contratos de los proveedores de las AMC. 
• Además, la Norma definitiva exige que las AMC reevalúen sus políticas de intercambio de datos y sus protocolos multisitio, y es probable que requiera la incorporación de cláusulas de cumplimiento centradas en la seguridad nacional en determinados acuerdos de intercambio de datos (como los acuerdos de uso de datos) y la mejora de los marcos institucionales de gobernanza de datos, que deben diseñarse para evitar y mitigar cualquier exposición legal y normativa, y garantizar que la institución pueda mantener su elegibilidad para recibir financiación federal.

Próximos pasos

Esta Norma definitiva establece normas categóricas significativas que impiden a las personas estadounidenses proporcionar datos relacionados con el gobierno o datos personales sensibles y masivos de ciudadanos estadounidenses, incluso a través de transacciones comerciales de intermediación de datos, a países de interés o personas cubiertas. El cumplimiento de la Norma definitiva exige específicamente que las AMC y las instituciones apliquen medidas de seguridad cuando realicen transacciones de inversión, acuerdos de empleo y contratos con proveedores que impliquen datos relacionados con el gobierno o recopilaciones a gran escala de datos personales sensibles, como historiales médicos, identificadores biométricos o información financiera. 

Los requisitos de la Norma definitiva tienen por objeto impedir que adversarios extranjeros accedan indirectamente a estos datos a través de relaciones comerciales. Al identificar estos tipos específicos de transacciones, la Norma definitiva pretende subsanar las deficiencias percibidas en materia de seguridad nacional y establece normas claras y aplicables que definen cuándo y cómo se restringen las transacciones relacionadas con datos con actores extranjeros.

El incumplimiento de estos nuevos requisitos podría dar lugar a multas y sanciones, escrutinio regulatorio, pérdida de financiación federal y medidas coercitivas, lo que convierte el cumplimiento de la Norma definitiva, cuando y según sea aplicable a una transacción y actividad, en una prioridad fundamental para las AMC y las instituciones que manejan grandes volúmenes de datos personales sensibles.

Foley está aquí para ayudarle a abordar las repercusiones a corto y largo plazo de los cambios normativos. Disponemos de los recursos necesarios para ayudarle a navegar por estas y otras importantes consideraciones legales relacionadas con las operaciones empresariales y cuestiones específicas del sector. Póngase en contacto con los autores, con su socio de Foley o con nuestro Grupo de Práctica de Sanidad y Sector de Sanidad y Ciencias de la Vida si tiene alguna pregunta.