El Departamento de Justicia de EE. UU. ha presentado una iniciativa diseñada para contrarrestar la práctica de gobiernos extranjeros de adquirir datos personales sensibles de ciudadanos estadounidenses.

El nuevo Programa de Seguridad de Datos establece «controles de exportación» que impiden que adversarios extranjeros accedan a datos relacionados con el gobierno estadounidense, así como a datos genómicos, de geolocalización, biométricos, de salud, financieros y otros datos personales sensibles.

El plan implementa además una orden ejecutiva publicada bajo la administración Biden en febrero de 2024.

Esta orden fue diseñada para contrarrestar la amenaza de que estados-nación como Rusia, China e Irán compren datos del gobierno y ciudadanos estadounidenses a entidades comerciales, o que obliguen a empresas de su jurisdicción a acceder a dicha información.

El fiscal general adjunto de EE. UU., Todd Blanche, comentó: «Si eres un adversario extranjero, ¿por qué te tomarías la molestia de intrusiones y robos cibernéticos complejos para obtener datos de estadounidenses cuando puedes simplemente comprarlos en el mercado abierto u obligar a una empresa bajo tu jurisdicción a que te dé acceso?».

El gobierno de EE. UU. afirmó que los gobiernos extranjeros utilizan tecnologías avanzadas, como la IA, para analizar y manipular datos personales sensibles a gran escala con diversos fines maliciosos.

Estos incluyen espionaje y otras operaciones cibernéticas, o la identificación de posibles ventajas estratégicas sobre EE. UU.

Además, estos conjuntos de datos pueden utilizarse para impulsar la creación y el perfeccionamiento de la IA y otras tecnologías avanzadas.

El Departamento de Justicia de EE. UU. (DoJ) designó a seis países como «países de preocupación» en relación con prácticas nefastas relacionadas con la compra de datos estadounidenses. Estos son China, Cuba, Irán, Corea del Norte, Rusia y Venezuela.

Bajo el Programa de Seguridad de Datos, las personas y organizaciones estadounidenses tienen prohibido realizar, a sabiendas, transacciones que impliquen la transferencia de datos con un país de interés, a menos que estén exentas o autorizadas por una licencia general o específica.

Las transacciones de datos contempladas se dividen en cuatro categorías: intermediación de datos, contratos con proveedores, contratos de trabajo y contratos de inversión.

Las infracciones del programa pueden resultar en importantes sanciones civiles y penales para entidades y personas, incluyendo una pena máxima de prisión de 20 años.

El Programa de Seguridad de Datos entró en vigor el 8 de abril de 2025. Sin embargo, el gobierno indicó que su aplicación será leve durante los primeros 90 días, siempre y cuando la organización o persona realice esfuerzos de buena fe para cumplir con el programa durante ese período.