Personas cubiertas: El programa se definirá categóricamente para incluir ciertas clases de entidades e individuos sujetos a la jurisdicción, dirección, propiedad o control de los países de interés, si los datos de estas personas los colocarán al alcance de los países de interés. La EO define cuatro categorías de personas cubiertas:
- “Una entidad propiedad de, controlada por o sujeta a la jurisdicción o dirección de un país de interés”
- “Una persona extranjera que sea empleado o contratista de dicha entidad”
- “Una persona extranjera que sea empleado o contratista de un país de interés” y
- “Una persona extranjera que reside principalmente en la jurisdicción territorial de un país de interés”
Según la EO y la ANPRM, las categorías de personas cubiertas no incluirían a nadie que sea ciudadano estadounidense, nacional o residente permanente legal, cualquier persona admitida en los Estados Unidos como refugiado o que haya recibido asilo, cualquier entidad organizada únicamente bajo las leyes de los EE. UU. o jurisdicción, y cualquier persona ubicada en los Estados Unidos.
La EO también autoriza al DOJ a complementar estas categorías de personas cubiertas mediante la designación de entidades o individuos específicos como personas cubiertas si cumplen ciertos criterios, como ser propiedad o estar controlados por un país de interés o estar sujetos a la jurisdicción o dirección de éste, o actuar en nombre de él. de un país de interés u otra persona cubierta.
Datos personales sensibles: La EO define “datos personales sensibles” como identificadores personales cubiertos, geolocalización y datos de sensores relacionados, identificadores biométricos, datos de salud personal, datos genómicos humanos, datos financieros personales o cualquier combinación de los mismos que podría ser explotada por un país de interés para dañar la seguridad nacional de los Estados Unidos si esos datos están vinculados o pueden vincularse a cualquier individuo estadounidense identificable o a un grupo discreto e identificable de individuos estadounidenses.
El Departamento de Justicia planea perfeccionar aún más el alcance de estas categorías de datos personales sensibles en su reglamentación. La información personal confidencial no incluirá datos que sean un asunto de registro público, como registros judiciales u otros registros gubernamentales, que estén legal y generalmente disponibles para el público o para comunicaciones personales.
Umbrales masivos y datos relacionados con el gobierno de EE. UU.: El programa del DOJ generalmente regulará las categorías especificadas de transacciones de datos en las seis categorías de datos personales sensibles sólo si las transacciones exceden los volúmenes masivos prescritos (es decir, un número umbral de personas o dispositivos estadounidenses). Sin embargo, esos volúmenes a granel no se aplicarían a transacciones que involucren ciertos datos relacionados con el gobierno de EE. UU. El programa regulará las transacciones de datos que involucren datos personales confidenciales sobre personal o ubicaciones del gobierno de EE. UU., independientemente del volumen de dichos datos.
Para los datos de personal relacionados con el gobierno, la ANPRM contemplará centrarse en datos personales sensibles que una parte de la transacción (como un corredor de datos) comercializa como vinculados o vinculables a ex empleados o contratistas actuales o recientes o ex altos funcionarios del gobierno federal, incluidos la comunidad de inteligencia y el ejército. Para los datos sobre ubicaciones relacionados con el gobierno de EE. UU., la ANPRM contemplará centrarse en datos de geolocalización que estén vinculados o puedan vincularse a ciertas ubicaciones sensibles dentro de áreas geocercadas que el Departamento especificaría en una lista pública.
Transacciones de datos cubiertas: El próximo ANPRM contempla identificar dos categorías de transacciones de datos prohibidas entre personas estadounidenses y países de interés o personas cubiertas: