1
0
Por Gabby Ortiz – Product Marketing Manager da Thales
Resumo rápido:
- Os EUA agora têm o direito de acessar qualquer dado estrangeiro que entre ou esteja armazenado em seu território — sem necessidade de mandado.
- Essa mudança entra em conflito direto com leis globais de proteção de dados, como o GDPR europeu.
- Empresas fora dos EUA estão reavaliando suas soluções de identidade e infraestrutura em nuvem e, em muitos casos, optando por alternativas locais.
- A Thales reforça o conceito de soberania digital, ajudando empresas a protegerem seus dados e identidades em toda a jornada digital.
Se você acompanhou as notícias recentemente, deve ter notado uma série de mudanças importantes nas políticas dos Estados Unidos — e elas estão afetando não só a forma como fazemos negócios, mas também como lidamos com conformidade regulatória e soberania digital.
Com as tensões geopolíticas em alta e novas legislações sendo aprovadas, o cenário se tornou ainda mais desafiador para empresas globais, especialmente na área de segurança da informação, que agora precisam navegar por uma nova camada de complexidade regulatória.
Embora ajustes regulatórios sejam comuns e já façam parte da rotina de times de GRC e segurança, a nova legislação norte-americana tem forçado essas equipes a repensar completamente suas estratégias. As mudanças impactam diretamente os planos de soberania digital e as estratégias globais de identidade e gestão de acessos (IAM).
O que é soberania digital?
Segundo o Fórum Econômico Mundial, soberania digital é a capacidade de controlar o próprio destino digital — incluindo dados, hardware e software.
Conquistar a soberania digital já era uma tarefa difícil. Mantê-la agora, com dados trafegando constantemente por ambientes em nuvem e leis em constante mutação, é ainda mais complexo.
Novas leis dos EUA levantam preocupações globais
Recentemente, os EUA atualizaram significativamente a Seção 702 do FISA e o CLOUD Act — legislações que vêm gerando grande preocupação, especialmente para empresas fora do território norte-americano.
Vamos entender melhor:
FISA 702
A nova redação da Seção 702 permite que agências de inteligência dos EUA coletem comunicações de pessoas fora dos EUA (não-americanos), sem necessidade de mandado, com o objetivo de obter informações de inteligência estrangeira.
Na prática, isso afeta todas as empresas que utilizam serviços baseados nos EUA, como Google, Microsoft e Meta. Mas o ponto crítico é como isso atinge as soluções de identidade digital — muitas delas operadas por empresas americanas ou com presença nos EUA.
Ou seja, se sua empresa usa uma solução de IAM (gestão de identidade e acesso) de uma empresa com sede ou operações nos EUA, o governo americano pode exigir acesso a dados de usuários não americanos, como:
- Usuários e senhas
- Registros de autenticação
- Dados biométricos
- Padrões de acesso (quem acessou o quê, quando e de onde)
- Perfis e permissões dentro de sistemas corporativos
CLOUD Act
Essa lei permite que autoridades dos EUA solicitem acesso a dados armazenados por empresas americanas — mesmo que esses dados estejam fisicamente em outro país.
Se sua organização usa um fornecedor de IAM com sede nos EUA, os dados de identidade de seus colaboradores ou clientes (mesmo fora dos EUA) podem:
- Ser requisitados por autoridades americanas;
- Ser acessados sem que o titular dos dados ou o regulador local sejam informados;
- Estar em desacordo com leis como o GDPR (Europa), PIPEDA (Canadá) e outras normas globais de proteção de dados.
O conflito com o GDPR e outras regulamentações internacionais
O GDPR exige que dados pessoais sejam protegidos adequadamente e não sejam transferidos entre fronteiras indiscriminadamente — algo já desafiador em ambientes em nuvem.
Hoje, quase todas as organizações utilizam aplicações como Workday, que armazenam dados altamente sensíveis como CPF, dados bancários, endereços e até informações médicas (PHI).
Pelo GDPR, os indivíduos têm o direito de contestar o uso indevido de seus dados. Mas cidadãos não-americanos não têm direito de recorrer na justiça dos EUA — e não podem exigir que seus dados sejam removidos ou deixem de ser coletados.
Antes das mudanças, a transferência de dados da Europa para os EUA exigia cláusulas contratuais específicas (SCCs) e análises de impacto (TIAs). Agora, tudo isso se tornou instável, já que os fornecedores americanos não podem mais recusar pedidos do governo — mesmo que os dados estejam fora dos EUA.
Como as empresas estão reagindo
Nos últimos 10 anos, a área de segurança e compliance já passou por diversas mudanças, mas esse novo cenário criou um verdadeiro campo minado jurídico. Por isso, muitas empresas globais estão:
- Reavaliando suas soluções de nuvem e identidade;
- Buscando alternativas locais para fugir do alcance das leis americanas.
Retome o controle da soberania digital com a Thales
A Thales ajuda empresas a manterem o controle sobre suas identidades digitais — independentemente de onde estejam operando. Nossas soluções de IAM protegem todos os pontos de acesso, desde colaboradores internos até parceiros e terceiros, seja na nuvem ou em ambiente local.
Com autenticação multifator (MFA) de alto nível e opções de login sem senha, sua empresa alcança as maiores taxas de adoção da indústria — atendendo às exigências de leis locais sem gerar fricção para o usuário.
Na Thales, protegemos cada identidade e toda a jornada digital: desde o momento do cadastro, com verificação de identidade, passando por MFA resistente a phishing e Single Sign-On (SSO), até o encerramento de contas de forma segura, minimizando riscos.
Reconhecida como líder em autenticação sem senha pela KuppingerCole e premiada como uma das melhores soluções de IAM pela Expert Insights, a Thales já apoia mais de 35 mil clientes no mundo todo — sendo uma parceira confiável em tempos de incerteza geopolítica.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.