- 2/5/2021
- 5 minutos para leer
-
- r
Acerca de los EAR
El Departamento de Comercio de EE.UU. aplica los Reglamentos de administración de exportaciones (EAR) a través de la Oficina de Industria y Seguridad (BIS). Las EAR regulan e imponen controles sobre la exportación y reexportación de la mayoría de los bienes comerciales, software y tecnología, incluidos los artículos de «doble uso» que pueden utilizarse tanto para fines comerciales como militares y ciertos artículos de defensa.
Las directrices del BIS sostienen que, cuando los datos o el software se suben a la nube o se transfieren entre nodos de usuario, el cliente, y no el proveedor de la nube, es el «exportador» que tiene la responsabilidad de garantizar que las transferencias, el almacenamiento y el acceso a esos datos o software cumplen con las EAR.
Según el BIS, la exportación se refiere a la transferencia de tecnología o datos técnicos protegidos a un destino extranjero o a su entrega a una persona extranjera en los Estados Unidos (también denominada exportación prevista). El EAR regula ampliamente:
- Las exportaciones desde Estados Unidos.
- Las reexportaciones o retransferencias de artículos de origen estadounidense y ciertos artículos de origen extranjero con más de una porción de minimis de contenido de origen estadounidense.
- Transferencias o revelaciones a personas de otros países.
Los artículos sujetos a las EAR pueden encontrarse en la Lista de Control de Comercio (CCL), donde a cada artículo se le asigna un número único de clasificación de control de exportaciones (ECCN). Los artículos que no figuran en la CCL se designan como EAR99 y la mayoría de los productos comerciales EAR99 no requerirán una licencia para ser exportados. Sin embargo, dependiendo del destino, el usuario final o el uso final del artículo, incluso un artículo EAR99 puede requerir una licencia de exportación del BIS.
La norma final, publicada en junio de 2016, aclaró que los requisitos de licencia EAR tampoco se aplicarían a la transmisión y el almacenamiento de datos técnicos y software no clasificados si se cifraron de extremo a extremo utilizando módulos criptográficos validados por FIPS 140-2 y no se almacenaron intencionadamente en un país sometido a embargo militar o en la Federación Rusa.
Microsoft y las EAR
Las tecnologías, productos y servicios de Microsoft están sujetos a la normativa de administración de exportaciones de Estados Unidos (EAR). Aunque no existe una certificación de cumplimiento para la EAR, Microsoft Azure, Microsoft Azure Government y Microsoft Office 365 Government (entornos GCCHigh y DoD) ofrecen importantes características y herramientas para ayudar a los clientes elegibles sujetos a la EAR a gestionar los riesgos de control de las exportaciones y cumplir con sus requisitos de cumplimiento.
El Departamento de Comercio de los Estados Unidos, que hace cumplir la EAR, ha adoptado la posición de que los clientes, y no los proveedores de servicios en la nube como Microsoft, son considerados exportadores de los datos de sus propios clientes. Aunque la mayoría de los datos de los clientes no se consideran «tecnología» o «datos técnicos» sujetos a los controles de exportación de las EAR, los servicios en la nube de Microsoft están estructurados para ayudar a los clientes a gestionar y mitigar significativamente los posibles riesgos de control de las exportaciones a los que se enfrentan. Microsoft generalmente, pero no exclusivamente, recomienda el uso de sus servicios en la nube gubernamentales para los clientes que reúnen los requisitos. Con una planificación adecuada, los clientes pueden utilizar las siguientes herramientas y sus propios procedimientos internos para ayudar a garantizar el pleno cumplimiento de los controles de exportación de Estados Unidos.
- Controles sobre la ubicación de los datos. Los clientes tienen visibilidad sobre dónde se almacenan sus datos y acceso a herramientas sólidas para restringir su almacenamiento. Por tanto, pueden asegurarse de que sus datos se almacenan en Estados Unidos y minimizar la transferencia de tecnología o datos técnicos controlados fuera de Estados Unidos. Además, los datos de los clientes no se almacenan en un lugar no conforme, de acuerdo con las prohibiciones de la EAR sobre dónde se «almacenan intencionadamente» los datos: ningún centro de datos de Azure está situado en ninguno de los 25 países del Grupo D:5 ni en la Federación Rusa.
- Cifrado de extremo a extremo. Al aprovechar el puerto seguro de cifrado de extremo a extremo para las ubicaciones de almacenamiento físico especificadas en las EAR, los servicios en la nube de Microsoft ofrecen características de cifrado que pueden ayudar a proteger contra los riesgos de control de las exportaciones. También ofrecen a los clientes una amplia gama de opciones para cifrar los datos en tránsito y en reposo, así como la flexibilidad de elegir entre las opciones de cifrado.
- Herramientas y protocolos para evitar la exportación no autorizada considerada. El uso de la encriptación también ayuda a proteger contra una posible presunta exportación (o presunta reexportación) en virtud de las EAR, porque incluso si una persona no estadounidense tiene acceso a los datos encriptados, no se revela nada si no pueden leer o entender los datos mientras están encriptados; por lo tanto, no hay «liberación» de los datos controlados.
Servicios en la nube de Microsoft dentro del ámbito de aplicación
- Azure y Azure Government
- Office 365 Government (GCC-High y DoD)
- Intune
Cómo implementar
Resumen de los controles de exportación de EE.UU. y orientación para que los clientes evalúen sus obligaciones según las EAR.
- Azure
- Office 365
Preguntas frecuentes
¿Qué debo hacer para cumplir con los controles de exportación al utilizar los servicios en la nube de Microsoft?
En virtud de las EAR, cuando los datos se suben a un servidor en la nube, como la nube de Microsoft, el cliente propietario de los datos -no el proveedor de servicios en la nube- se considera el exportador. Por esta razón, el propietario de los datos -es decir, el cliente de Microsoft- debe evaluar cuidadosamente cómo su uso de la nube de Microsoft puede implicar los controles de exportación de EE.UU. y determinar si alguno de los datos que desea utilizar o almacenar allí puede estar sujeto a los controles de las EAR, y si es así, qué controles se aplican. Obtenga más información sobre cómo los servicios en la nube de Azure y Office 365 pueden ayudar a los clientes a garantizar el pleno cumplimiento de los controles de exportación de Estados Unidos.
¿Las tecnologías, productos y servicios de Microsoft están sujetos a las EAR?
La mayoría de las tecnologías, productos y servicios de Microsoft:
- No están sujetos a las EAR y, por lo tanto, no están en la Lista de control de comercio y no tienen ECCN;
- O son EAR99 o 5D992 elegibles para el mercado masivo para la autoclasificación de Microsoft y pueden exportarse a países no sujetos a embargos sin una licencia como No License Required (NLR).
Dicho esto, a algunos productos de Microsoft se les ha asignado un ECCN que puede o no requerir una licencia. Consulte las EAR o a su asesor legal para determinar el tipo de licencia apropiado y los países elegibles para fines de exportación.
¿Cuál es la diferencia entre las EAR y el Reglamento de Tráfico Internacional de Armas (ITAR)?
Los principales controles de exportación de EE.UU. con la aplicación más amplia son las EAR, administradas por el Departamento de Comercio de EE.UU.. El EAR se aplica a los productos de doble uso que tienen aplicaciones tanto comerciales como militares, y a los productos con aplicaciones puramente comerciales.
Estados Unidos también tiene reglamentos de control de exportaciones separados y más especializados, como el ITAR, que regula los productos y la tecnología más sensibles. Administradas por el Departamento de Estado de EE.UU., imponen controles sobre la exportación, la importación temporal, la reexportación y la transferencia de muchos artículos militares, de defensa y de inteligencia (también conocidos como «artículos de defensa»), incluidos los datos técnicos relacionados.