Transacções de dados: Implicações da regra final do DOJ para os centros médicos académicos com programas de investigação clínica

O Departamento de Justiça (DOJ) publicou a sua Regra Final para implementar a Ordem Executiva 14117 em 8 de janeiro de 2025, com uma emenda corretiva emitida em 18 de abril de 2025. A Ordem Executiva 14117, emitida em 28 de fevereiro de 2024, intitulada “Prevenção do acesso a dados pessoais confidenciais em massa de americanos e dados relacionados ao governo dos Estados Unidos por países de interesse”, instruiu o Procurador-Geral a criar regulamentos que proíbam ou limitem a participação de cidadãos americanos em transações envolvendo propriedades nas quais um país estrangeiro ou seus cidadãos tenham interesse. As transações são proibidas ou limitadas se envolverem dados relacionados ao governo dos Estados Unidos ou dados pessoais confidenciais em massa (conforme definido pelas regras finais de implementação), se enquadrarem em categorias consideradas pelo Procurador-Geral como um risco à segurança nacional (com tal risco de segurança decorrente do acesso potencial aos dados por países identificados como preocupantes ou indivíduos relacionados) e se atenderem a critérios adicionais descritos na Ordem Executiva.

A Regra Final descreve categorias de transações que são proibidas ou limitadas; designa países específicos e tipos de indivíduos ou entidades com os quais as transações envolvendo dados pessoais confidenciais relacionados ao governo ou em massa dos EUA são restritas; cria um sistema para conceder, modificar ou revogar licenças para atividades restritas e para emitir pareceres consultivos; e estabelece requisitos para manutenção de registros de transações e requisitos de relatório para apoiar as investigações, fiscalização e ações regulatórias do DOJ em relação à Ordem Executiva. 

Os Centros Médicos Académicos (AMCs) e entidades semelhantes envolvidas em investigação clínica e colaborações internacionais precisam estar cientes e determinar a aplicabilidade dos requisitos regulamentares impostos pela Regra Final. Parcerias de investigação envolvendo identificadores biométricos, informações pessoais de saúde ou dados genómicos podem ser consideradas transações restritas ou proibidas se as parcerias incluírem entidades de países designados como preocupantes.

Resumo

A Regra Final visa impedir que certos adversários estrangeiros dos EUA — incluindo China, Rússia, Irão, Coreia do Norte, Cuba e Venezuela — tenham acesso a dados pessoais confidenciais e informações relacionadas ao governo dos EUA. 

Definições importantes. A Regra Final autoriza o DOJ a regulamentar e aplicar restrições às transações de dados com «Países de Preocupação» e «Pessoas Abrangidas» designados. 

• «País de preocupação» é definido como: 

qualquer governo estrangeiro que, conforme determinado pelo Procurador-Geral com a concordância do Secretário de Estado e do Secretário do Comércio, (1) tenha se envolvido em um padrão de longo prazo ou em casos graves de conduta significativamente adversa à segurança nacional dos Estados Unidos ou à segurança e proteção de cidadãos dos Estados Unidos, e (2) represente um risco significativo de explorar dados relacionados ao governo ou dados pessoais confidenciais em massa dos EUA em detrimento da segurança nacional dos Estados Unidos ou da segurança e proteção de cidadãos dos EUA. 

• «Pessoa abrangida» é definida como incluindo: (1) entidades estrangeiras que (a) sejam detidas, direta ou indiretamente, em cinquenta por cento ou mais por países de interesse ou outras pessoas abrangidas; ou (b) estejam constituídas ao abrigo da legislação de um país de interesse ou tenham a sua sede principal nesse país; (2) entidades estrangeiras que sejam detidas, direta ou indiretamente, em cinquenta por cento ou mais por pessoas abrangidas, sejam elas pessoas singulares ou coletivas; (3) indivíduos estrangeiros que não sejam residentes nos EUA e trabalhem como funcionários ou contratados de um país de interesse; (4) indivíduos estrangeiros que residam principalmente em países de interesse; e (5) outras entidades ou indivíduos, conforme determinado razoavelmente pelo Procurador-Geral com base em determinados critérios. 

Categorias de dados abrangidos. A Regra Final abrange oito categorias de «Dados Abrangidos», incluindo identificadores biométricos, dados genómicos, dados de saúde e financeiros, informações precisas de geolocalização e identificadores pessoais que podem ser associados a outros dados sensíveis. Também inclui certas informações relacionadas com o governo, tais como dados ligados ao pessoal do governo dos EUA ou a geolocalização de instalações sensíveis. Notavelmente, os regulamentos aplicam-se independentemente do volume de processamento de dados quando estão envolvidas informações relacionadas com o governo. 

Tipos principais de transações restritas. O DOJ identifica três tipos principais de transações restritas: contratos de trabalho, investimento e fornecimento. As empresas americanas devem garantir que funcionários, investidores e prestadores de serviços estrangeiros — especialmente aqueles ligados a países de interesse — não tenham acesso a dados protegidos, a menos que protocolos de segurança rigorosos sejam cumpridos. Isso afeta uma ampla gama de atividades comerciais, desde contratações e acordos corporativos até serviços em nuvem e assinaturas de software, e provavelmente afeta as AMCs envolvidas em pesquisas clínicas quando os dados são compartilhados com determinados funcionários. Patrocinadores de investigação, investidores e prestadores de serviços. No entanto, as proibições e restrições da Regra Final aplicam-se apenas às Transações de Dados Abrangidos com um País de Preocupação ou Pessoa Abrangida que envolvam o acesso por parte de um País de Preocupação ou Pessoa Abrangida a dados relacionados com o governo ou dados pessoais sensíveis dos EUA em massa. A Regra Final não regula transações que não impliquem o acesso a dados relacionados com o governo ou dados pessoais sensíveis dos EUA em massa por parte de um País de Preocupação ou Pessoa Abrangida.

Transações proibidas. Notavelmente, nos termos da Regra Final, certas transações são absolutamente proibidas, tais como aquelas que envolvem a venda ou licenciamento de Dados Abrangidos a entidades estrangeiras em acordos de corretagem de dados, ou aquelas que envolvem dados biométricos ou amostras biológicas. 

Penalidades por incumprimento. As violações da Regra Final acarretam multas e penalidades significativas. As multas civis podem chegar a US$ 368.136 ou o dobro do valor da transação, o que for maior. Violações intencionais podem resultar em penalidades criminais de até US$ 1 milhão e até 20 anos de prisão.

Conclusão para a investigação clínica. Para cumprir a Regra Final, as AMCs devem realizar uma diligência rigorosa e completa sobre as atividades de pesquisa, colaborações e operações propostas e existentes, incluindo seus parceiros, clientes, funcionários/contratados e destinatários de dados, para determinar se uma transação proposta ou existente se enquadra no âmbito da Regra Final.  O âmbito e as sanções por violações e incumprimento da Regra Final são um indicador claro de que um processo para determinar e garantir o cumprimento da Regra Final será fundamental para as AMCs e empresas de todos os setores que se envolvem em atividades e transações que envolvem dados pessoais ou relacionados com o governo.

Implicações para centros médicos académicos com programas de investigação clínica

A Regra Final adiciona uma nova camada de complexidade à conformidade regulatória para AMCs e entidades semelhantes envolvidas em pesquisas clínicas e colaborações internacionais. 

• Estudos e atividades de investigação, incluindo colaborações e parcerias de investigação envolvendo identificadores biométricos, informações pessoais de saúde ou dados genómicos, podem ser considerados transações restritas ou proibidas se as parcerias incluírem entidades de países designados como preocupantes e/ou pessoas abrangidas. 
• Os estudos multinacionais e as iniciativas de partilha de dados existentes e propostos devem ser revistos para determinar se a Regra Final é aplicável ao estudo ou atividade e, em caso afirmativo, para garantir a conformidade. 
• Além disso, as AMCs também devem garantir que os fornecedores, incluindo prestadores de serviços de nuvem e IA, não estejam afiliados a países de risco e que todas as atividades de processamento de dados atendam a novos padrões rigorosos de segurança e conformidade. Conforme observado acima, garantir a conformidade com a Regra Final exigirá uma revisão completa dos contratos de fornecedores da AMC. 
• Além disso, a Regra Final exige uma reavaliação por parte das AMCs das suas políticas de partilha de dados e protocolos multissítio, e provavelmente exigirá a incorporação de cláusulas de conformidade com foco na segurança nacional em determinados acordos de partilha de dados (como acordos de utilização de dados) e o aprimoramento das estruturas institucionais de governança de dados, que devem ser projetadas para evitar e mitigar qualquer exposição legal e regulatória e garantir que a instituição seja capaz de manter a elegibilidade para receber financiamento federal.

Próximos passos

Esta Regra Final estabelece regras categóricas significativas que impedem pessoas dos EUA de fornecer dados relacionados ao governo ou dados pessoais confidenciais em massa de cidadãos dos EUA, inclusive por meio de transações comerciais de corretagem de dados, a Países de Preocupação ou Pessoas Abrangidas. A conformidade com a Regra Final exige especificamente que as AMCs e instituições implementem medidas de segurança ao se envolverem em transações de investimento, contratos de trabalho e contratos com fornecedores que envolvam dados relacionados ao governo ou coleções em grande escala de dados pessoais confidenciais — como registros de saúde, identificadores biométricos ou informações financeiras. 

Os requisitos da Regra Final têm como objetivo impedir que adversários estrangeiros acessem indiretamente esses dados por meio de relações comerciais. Ao identificar esses tipos específicos de transações, a Regra Final busca abordar lacunas percebidas na segurança nacional e fornece padrões claros e aplicáveis que definem quando e como as negociações relacionadas a dados com atores estrangeiros são restritas.

O não cumprimento destes novos requisitos pode resultar em multas e penalidades, fiscalização regulatória, perda de financiamento federal e ações coercitivas, tornando o cumprimento da Regra Final, quando e conforme aplicável a uma transação e atividade, uma prioridade crítica de conformidade para AMCs e instituições que lidam com grandes volumes de dados pessoais confidenciais.

A Foley está aqui para ajudá-lo a lidar com os impactos de curto e longo prazo na sequência de alterações regulamentares. Temos os recursos para ajudá-lo a navegar por essas e outras considerações legais importantes relacionadas a operações comerciais e questões específicas do setor. Entre em contacto com os autores, com o seu parceiro de relacionamento na Foley ou com o nosso Grupo de Prática de Cuidados de Saúde e Setor de Saúde e Ciências da Vida em caso de dúvidas.