DOJ Enforcement Under the National Security Division’s Data Security Program

Proteger dados confidenciais nunca foi tão importante. Num mundo globalizado de ameaças cibernéticas avançadas, técnicas sofisticadas de espionagem e monetização externa de dados, o aumento da segurança é crucial para proteger informações confidenciais contra roubo e uso indevido. A recente implementação do Programa de Segurança de Dados (DSP) do Departamento de Justiça (DOJ) demonstra a seriedade com que o governo considera a ameaça representada pelo acesso de adversários estrangeiros a esses dados. Os cidadãos e as empresas dos EUA que agregam dados pessoais de americanos ou coletam qualquer informação relacionada com funcionários do governo dos EUA agora enfrentam restrições e proibições obrigatórias ao transferir esses dados para países e pessoas identificados como preocupantes. Com o período de tolerância para a aplicação do programa oficialmente encerrado em 8 de julho de 2025^[1], o não cumprimento imediato expõe a severas penalidades civis e criminais.

Antecedentes

O DSP estabelece essencialmente restrições de controlo de exportação que impedem adversários estrangeiros, e aqueles sujeitos ao controlo e direção desses adversários, de aceder a dados relacionados com o governo dos EUA e dados pessoais sensíveis em massa dos EUA.

A DSP foi emitida ao abrigo da Lei de Poderes Económicos de Emergência Internacional (IEEPA) e em conformidade com a Ordem Executiva 14117, relacionada com a prevenção do acesso a dados pessoais sensíveis em massa de cidadãos americanos e dados relacionados com o governo dos Estados Unidos por países que suscitam preocupação.^[2] Embora a data de entrada em vigor do programa fosse 8 de abril de 2025, a Divisão de Segurança Nacional (NSD) do DOJ anunciou um adiamento de 90 dias na aplicação da lei, a fim de dar mais tempo aos indivíduos e empresas dos EUA para implementar as mudanças necessárias para cumprir e colaborar com a NSD em questões relacionadas ao DSP.

Agora que o período de carência terminou, espera-se que indivíduos e entidades estejam em total conformidade, e o NSD pode começar a perseguir a aplicação da lei em caso de possíveis violações. O DSP tem como objetivo lidar com os esforços contínuos de adversários estrangeiros para usar atividades comerciais para aceder, explorar e transformar em armas categorias abrangidas de dados do governo dos EUA e dados pessoais sensíveis. Como o programa está alinhado com várias prioridades da administração Trump, as empresas americanas devem antecipar uma aplicação agressiva da lei e garantir que estão em conformidade.^[3]

Países e pessoas abrangidos

O DSP restringe e proíbe pessoas e entidades dos EUA de se envolverem em determinadas transações relacionadas a dados do governo dos EUA e dados pessoais de americanos com «países de interesse» ou «pessoas abrangidas».

Em 11 de abril de 2025, o NSD emitiu um guia de conformidade relacionado ao DSP, que identificou cada um dos seguintes países como um «país preocupante»:

China (incluindo Hong Kong e Macau)
Cuba
Irão
Coreia do Norte
Rússia
Venezuela

Esses países foram identificados como demonstrando intenção e capacidade de usar dados relacionados ao governo e dados pessoais confidenciais de cidadãos americanos para ameaçar a segurança nacional dos EUA por meio de vários meios específicos.^[4]

As «pessoas abrangidas» são descritas na Regra Final como (1) entidades estrangeiras com sede ou constituídas ao abrigo das leis de um país de interesse ou detidas maioritariamente por um ou mais países de interesse ou outras pessoas abrangidas, (2) entidades estrangeiras detidas maioritariamente por um país de interesse ou outra pessoa abrangida, (3) indivíduos estrangeiros que sejam funcionários ou contratados de um país em questão ou pessoa abrangida, (4) indivíduos estrangeiros que sejam principalmente residentes num país em questão e (5) aquelas pessoas que a NSD designar e identificar publicamente.^[5] No que diz respeito à subcategoria (5), a NSD designará e adicionará pessoas a uma lista publicada de Pessoas Abrangidas após determinar que tais pessoas cumprem determinados critérios, tais como estar sujeitas à propriedade e controlo de um país em questão.^[6]

Transações de dados abrangidas e isentas

Para determinar se os requisitos do DSP se aplicam a uma determinada pessoa ou entidade dos EUA, é essencial compreender o tipo de dados em questão e as transações abrangidas pelo programa. Se uma empresa lida com dados abrangidos pelo programa, ela estará sujeita a restrições ou mesmo proibida de transferir tais informações em determinadas circunstâncias.

Transações abrangidas: Qualquer transação que envolva o acesso por parte de um dos países em questão ou de pessoas abrangidas a quaisquer dados relacionados com o governo ou dados pessoais sensíveis dos EUA em massa está sujeita às restrições do DSP. Para ser considerada uma «transação abrangida», a transação também deve envolver (1) corretagem de dados, (2) um contrato de fornecedor, (3) um contrato de trabalho ou (4) um contrato de investimento.^[7]

«Dados relacionados com o governo»: determinados dados de geolocalização relacionados com atividades governamentais,^[8] e quaisquer dados pessoais sensíveis, independentemente do volume, que uma parte envolvida na transação comercialize como ligados ou passíveis de serem ligados a funcionários ou contratados atuais ou recentes do Governo dos Estados Unidos, como uma empresa norte-americana que anuncia a venda de um conjunto de dados pessoais sensíveis como pertencentes a “funcionários do governo”.^[9]

«Dados pessoais sensíveis dos EUA em massa»: uma coleção ou conjunto de dados pessoais sensíveis relacionados com cidadãos dos EUA, em qualquer formato.^[10] «Dados pessoais sensíveis» incluem (1) identificadores pessoais abrangidos, (2) dados de geolocalização precisos, (3) identificadores biométricos, (4) dados genómicos humanos, (5) dados pessoais de saúde e (6) dados financeiros pessoais ou qualquer combinação dos mesmos.^[11]

No âmbito do DSP, existem duas categorias gerais de transações abrangidas: 1) Transações proibidas e 2) Transações restritas.

Transações proibidas: geralmente envolvem corretagem de dados com um país ou pessoa abrangida e proíbem qualquer cidadão dos EUA de se envolver em uma transação abrangida, sujeita a certas isenções, e transações que envolvam o acesso por um país ou pessoa abrangida a determinados dados confidenciais dos EUA em massa.^[12]

Transações restritas: geralmente abrangem transações de dados sob contratos com fornecedores, contratos de trabalho ou contratos de investimento, sujeitos a certas isenções, que são restritos, a menos que a pessoa dos EUA cumpra requisitos de segurança específicos.^[13]

Transações isentas: Várias transações estão isentas das proibições e restrições aplicáveis. Essas isenções incluem, entre outras:

Informações ou materiais informativos;
Serviços financeiros;
Transações de grupos empresariais (normalmente inerentes e parte integrante de operações administrativas ou auxiliares);
Transações exigidas ou autorizadas pela legislação federal ou acordos internacionais;
Acordos de investimento sujeitos a uma ação do CFIUS;
Serviços de telecomunicações;
Autorizações para medicamentos, produtos biológicos e dispositivos médicos; e
Outras investigações clínicas e dados de vigilância pós-comercialização (normalmente incidentais e parte de investigações clínicas regulamentadas pela Administração de Alimentos e Medicamentos dos EUA ou pela recolha e processamento de determinados dados de cuidados clínicos ou dados de vigilância pós-comercialização).^[14]

Licenças

O DOJ, através do NSD, pode emitir licenças gerais ou específicas para realizar uma transação de dados abrangida que, de outra forma, violaria o DSP. Uma licença geral autorizará um tipo específico de transação, sujeita a proibições ou restrições, sem a necessidade de solicitar uma licença específica.^[15] Uma licença específica é um documento emitido pelo NSD a uma pessoa ou entidade específica, autorizando uma transação específica.^[16]

Implementação e aplicação do DOJ

O DSP é administrado e aplicado pela Secção de Revisão de Investimentos Estrangeiros (FIRS) do NSD, que é responsável pelos esforços não judiciais do DOJ para abordar e gerir os riscos à segurança nacional em transações, negócios e tecnologia transfronteiriços que são representados por ameaças, tais como adversários estrangeiros. A FIRS também pode lidar com pedidos de pareceres consultivos apresentados por partes potencialmente reguladas sobre a aplicação do DSP a transações específicas, o que é um mecanismo incorporado na Regra Final relativa ao DSP.^[17]

Quaisquer processos civis ou criminais relacionados a violações do DSP provavelmente serão tratados pelo NSD ou encaminhados ao Ministério Público federal competente. As empresas americanas devem esperar que a aplicação do DSP reflita em grande parte as ações tradicionais de controle de exportação ou violações de sanções. Tanto o DSP quanto os regimes de sanções económicas dos EUA derivam sua autoridade da IEEPA. A responsabilidade civil e criminal nos termos da IEEPA pode ser significativa, com penalidades civis de até US$ 386.136 ou o dobro do valor de cada transação violadora, e penalidades criminais de até 20 anos de prisão, multa de US$ 1.000.000 ou ambos.^[18] Como tal, as pessoas ou empresas dos EUA cujas atividades possam enquadrar-se no âmbito do DSP devem consultar um advogado com antecedência e frequência para garantir que os requisitos de conformidade e comunicação sejam cumpridos.

Principais conclusões e recomendações

Os cidadãos e empresas dos EUA que ainda não começaram a planear a implementação total do DSP devem entrar em conformidade imediatamente. As empresas afetadas podem incluir:

Fornecedores de serviços em nuvem

Prestadores de serviços virtuais

Centros de processamento de dados

Fabricantes de dispositivos médicos

Instituições académicas

Empresas e consultores de análise de dados

Contratantes governamentais nos setores de defesa ou saúde

Tal como as medidas de conformidade com o controlo das exportações, estas pessoas e entidades dos EUA devem contratar advogados com experiência nesta área para realizar o seguinte:

Realizar revisões e auditorias internas para identificar o potencial acesso a dados abrangidos ou transações envolvendo o fluxo desses dados para países ou pessoas abrangidos.

Implementar políticas, procedimentos e formações que abordem a segurança dos dados e a transferência ou acesso a quaisquer dados relacionados com o governo dos EUA ou dados pessoais sensíveis em massa dos EUA.

Determinar a aplicabilidade de quaisquer licenças gerais ou a necessidade de solicitar licenças específicas para quaisquer transações proibidas ou restritas.

Implementar um programa de conformidade para rastrear transações, realizar diligências regulares e manter registos precisos.

Contrate um advogado para redigir ou revisar contratos com fornecedores, conforme necessário, realizar a devida diligência e interagir com órgãos governamentais, como o DOJ, quando necessário.

Ajuste os locais de trabalho, funções ou responsabilidades dos funcionários, dependendo da proximidade ou exposição a países de risco ou pessoas abrangidas.

Implementar os requisitos de segurança da Agência de Cibersegurança e Infraestrutura (CISA).

A adoção dessas medidas ajudará as empresas e pessoas dos EUA a se prepararem adequadamente para as medidas coercitivas que provavelmente serão tomadas.

As empresas e pessoas afetadas também devem tomar nota da data de 6 de outubro de 2025. A partir dessa data, as entidades e os indivíduos devem cumprir os requisitos de diligência devida e auditoria para transações restritas, bem como os requisitos de comunicação para transações restritas e transações proibidas rejeitadas.

Se tiver dúvidas sobre este tópico, não hesite em contactar qualquer um dos autores ou o seu advogado da Foley & Lardner. Se desejar receber futuras actualizações sobre "O que todas as empresas multinacionais devem saber" sobre como operar no complicado mundo do comércio internacional de hoje, inscreva-se no nosso blogue Tarifas e Comércio Internacional - clique aqui para se registar.

***

[1] «PROGRAMA DE SEGURANÇA DE DADOS: POLÍTICA DE IMPLEMENTAÇÃO E APLICAÇÃO ATÉ 8 DE JULHO DE 2025», Departamento de Justiça (11 de abril de 2025), https://www.justice.gov/opa/media/1396346/dl?inline

[2] Ver 50 U.S.C. § 1705; ver também a Ordem Executiva 14117, «Prevenção do acesso a dados pessoais sensíveis em massa de cidadãos americanos e dados relacionados com o Governo dos Estados Unidos por países preocupantes» (28 de fevereiro de 2024), https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related

[3] Casa Branca, “Política de Investimento American First” (21 de fevereiro de 2025), https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/; Casa Branca, “Ficha informativa: Presidente Donald J. Trump restaura pressão máxima sobre o Irão” (4 de fevereiro de 2025), https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/

[4] «PROGRAMA DE SEGURANÇA DE DADOS: GUIA DE CONFORMIDADE», Departamento de Justiça (11 de abril de 2025), https://www.justice.gov/opa/media/1396356/dl

[5] Ver §§ 202.211(a)(1)-(5)

[6] Ver § 202.701

[7] Ver §§ 202.214, 202.258, 202.217 e 202.228.

[8] Ver § 202.222(a)(1)

[9] Ver § 202.222(b)

[10] Ver § 202.206

[11] Ver § 202.249

[12] Ver §§ 202.301-303

[13] Ver § 202.401

[14] Ver §§ 202.501-511

[15] Ver § 202.801

[16] Ver § 202.802

[17] Ver § 202.901

[18] Ver § 202.1301; ver também 50 U.S.C. § 1705

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.