Desde abril de 2025, en los contratos con megacorpos estadounidenses se empiezan a ver cláusulas extrañas que apunta a esta nueva norma USA: “Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons Rule”. Lejos de ser parte del follaje típico al estilo de las partes aplicables del estilo a normativa californiana o partes de otras regiones que no aplican, aquí podría impactar en el tratamiento de los datos personales de estadounidenses que se hace como proveedor, aun cuando sea tan extranjero que no tenga ni sede o filial en Estados Unidos . Muy del estilo al enfoque de la famosa “inteligencia de señales”, pero encaminada a prevenir que determinados países y sus empresas accedan a categorías concretas de datos sensibles o reservados de USA.

¿De qué tipo de cláusulas estamos hablando?

De todas las que se parezcan a la siguiente:

“El proveedor declara, garantiza y se compromete a que: (a) ni el proveedor ni ninguna de sus filiales que tengan acceso a datos cubiertos – “Data Covered” (ni ningún empleado o contratista del proveedor o sus filiales que tenga acceso a datos cubiertos) sea una persona cubierta – “Person Covered”; (b) el Proveedor y sus filiales no participarán en ninguna Transacción de Datos Cubiertos; y (c) el Proveedor notificará inmediatamente por escrito a la Empresa si alguna de las declaraciones de esta sección cambia o deja de ser cierta.”

La normativa estadounidense está fuera de nuestro expertise, pero la necesidad de explicar el por qué de encontrarte según qué cosas en medio de un DPA, el acceso a las FAQS del Departamento de Justicia (con referencia a la “rule” enlazada) y algo de ayuda de la IA (especialmente, para confirmar y crear las tablas que mostramos) nos permiten contar esto.

Es un viaje de conceptos cruzados, pero bastante más fácil de entender que la Data Act y el RIA.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, estamos especializados en resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

¡Gracias por leer Zero Party Data!

¿Qué es esta norma y qué países mete en lista negra?

Esta norma intenta limitar o prohibir el acceso a dos a datos personales sensibles masivos de estadounidenses y datos relacionados con el gobierno de EE.UU. por parte de los siguientes países objeto de restricción (“Country of Concern”).

Cero sorpresas en la lista negra de países.

• China (incluidos Hong Kong y Macao);

• Cuba;

• Irán;

• Corea del Norte;

• Rusia; y

• Venezuela.

¿A qué información, personas y supuestos aplica? Los elementos centrales de “covered data” y “covered person”.

-Por “Covered Data” (Datos Cubiertos), entiende dos categorías principales:

• Datos personales sensibles masivos de EE.UU. (los propios Bulk U.S. sensitive personal data). Con independencia de si los datos están anonimizados, seudonimizados, desidentificados o cifrados, siempre que lleguen a su respectivo umbral:

• Datos ómicos humanos (epigenómicos, proteómicos, genéticos o transcriptómicos): más de 1.000 personas estadounidenses (o más de 100 para datos genómicos);

• Identificadores biométricos: más de 1.000 personas estadounidenses;

• Datos de geolocalización precisa: más de 1.000 personas estadounidenses;

• Datos de salud: más de 10.000 personas estadounidenses;

• Datos financieros personales: más de 10.000 personas estadounidenses; y

• Identificadores personales cubiertos: más de 100.000 personas estadounidenses. números de identificación gubernamental (por ejemplo: pasaporte, identificadores de dispositivos datos demográficos/de contacto, IP, datos de cookies o detalles de las llamadas).

• Datos relacionados con el gobierno de EE.UU. (U.S. government-related data):

• Datos de geolocalización precisa en ubicaciones gubernamentales; y

• Datos sensibles de personal gubernamental.

-Por “Covered Person” (Persona Cubierta), se entienden las siguientes categorías de personas o empresas:

• Entidades Extranjeras de los países mencionados;

• Entidades 50% o más Propiedad de Países/Personas Cubiertas;

• Individuos Residentes en Países de Preocupación;

• Empleados/Proveedores o externos de Países/Personas Cubiertas; y

• El listado determinado por el Fiscal General.

-Si concurrieran (i) los elementos previos de un proveedor o empleado de un país objeto de restricción (“Covered Person”), (ii) contratado por entidad estadounidense (US Person) y con acceso a los datos cubiertos (“Covered Data”); se entraría en el supuesto de cumplimiento de esta norma: transacción de datos cubierta (“Covered Data Transaction”).

Se subdividiría entre dos supuestos: el principal de transacción prohibida (Prohibited Transaction), y uno secundario de transacción restringida si la entidad de Estados Unidos cumple con icertos requisitos de seguridad tasados.

Lo más importante para nosotros ¿A qué casos aplicaría una empresa europea?

Se pueden distinguir dos principales, partiendo de la concurrencia expuesta anteriormente.

A.- La filial estadounidense de empresa matriz europea (“US Person”):

• Filial Estadounidense: deberá tener un especial control para no participar a sabiendas en ninguna de estas “transacciones”. Se abre la posibilidad de excepción por grupo corporativo en todo caso, si la transacción es ordinariamente incidental y parte de operaciones comerciales administrativas o auxiliares. Por ejemplo, RR.HH, nóminas, o gestión de riesgos.

  Si la transferencia se realiza para operaciones comerciales principales (como investigación y desarrollo), la exención no aplica. En caso de que la filial entrara en el supuesto de obligación, son aplicables estos elementos desde el pasado octubre de 2025: programa de compliance concreto con medidas de seguridad concretas y auditoría anual.

• Empresa matriz europea: la misma calificación que para el siguiente supuesto de empresa sin sede o personal en Estados Unidos.

B. -La empresa de la UE que presta servicio a cliente estadounidense sin presencia ni sede allí (“Foreing Person”).

En dicho caso, se pueden dar cuatro supuestos, según sea la entidad considerada como persona cubierta (CP), de país objeto restricción o ninguna de las anteriores (Cualquiera).

Recomendaciones

En la mayor parte de casos, la aplicación de esta norma se limitará al supuesto enunciado al inicio y en el último caso del cuadro anterior (supuesto de “foreign person”): empresa sin tratamiento de los datos cubiertos ni con personas cubiertos, sea de manera propia o con proveedores, que se compromete a no tratarlos y a notificar si algo cambiara.

No obstante, deberíamos realizar comprobaciones concretas a nivel de proveedores y de posibles filiales en Estados Unidos:

• Revisar si alguno de los encargados o subencargados con los que se cuenta, pudieran estar dentro del objeto: sea de estos países cubiertos/prohibidos, o que e el marco del servicio acaben prestando acceso a este tipo de datos de estadounidenses. Muy recomendable empezar a meter preguntas concretas sobre este tema en el cuestionario previo artículo 28.1 del RGPD; y

• Comprobar, junto con posible asesoría especializada desde Estados Unidos, que la filial estadounidense de la empresa está suficiente preparada para cumplir con dicha norma. Siempre hay matices que se escapan para los legos del viejo continente.

Grand Finales: ¿Y todo esto por qué me iba a importar a mí?

Primero.- Porque hay muchos grupos multinacionales (por ejemplo: Chinos) que prestan servicios a través de una filial montada en un país no comprendido en la lista negra de esta grasiosa norma estadounidense. Es la misma jugada que hacen Meta, Google o Microsoft al poner su flamante filial europea en todos sus DPAs, generando esa tranquilizadora disonancia cognitiva en la cabeza del DPO poco reflexivo.

Last but not least.- Como cierre, y adicionalmente a todo lo anterior, recuerden siempre el ejemplo de gracia de aquellas directrices del EDPB sobre el juego del artículo 3 y el capítulo V: si una empresa radicada en la UE es encargada de tratamiento de otra no Europea, importa datos personales y los devuelve como parte de un producto o servicio, hay transferencia internacional en ese flujo de vuelta de los datos al responsable no EU.