التكنولوجيا والقوانين والخصوصية: تطور نموذج حماية البيانات في الشرق الأوسط وشمال إفريقيا
بقلم كيلي بليث، شريك في مكتب المحاماة Addleshaw Goddard، بمساهمة من جاي كيساريا، مستشار قانوني، وتشارلز كريستي، عضو في الفريق.
منذ عام 2020، شهدنا تزايداً مضطرداً في إصدار قوانين خصوصية البيانات في مختلف أنحاء منطقة الشرق الأوسط وشمال إفريقيا (المنطقة)، حيث تبنت كل من القوى الاقتصادية، مصر، والمملكة العربية السعودية، والإمارات العربية المتحدة الآن قوانين حماية البيانات الشاملة. ولطالما كانت حماية الخصوصية والحياة الخاصة حقاً أساسياً في مختلف القطاعات التشريعية في المنطقة، حيث أن هذه النواحي متجذرة في تاريخ وثقافة المنطقة، سواء كان ذلك في القوانين الدستورية أو ضمن مبادئ الشريعة الإسلامية. لكن ومع ذلك، يدفع تطوير واعتماد تقنيات قوية يمكنها تخزين كميات كبيرة من بيانات التعريف الشخصية والاستفادة منها إلى حاجة متزايدة لاعتماد قوانين خصوصية أكثر تطوراً، مع كونها مصممة لمعالجة مخاطر العصر الرقمي.
دور البيانات في التقدم التقني
تعد البيانات شريان حياة التقنيات المختلفة. لذلك، ومع تقدم التكنولوجيا، من المتوقع أن تلعب البيانات المرتبطة بمعرفاتنا الشخصية دوراً محورياً متزايداً في جعل استراتيجيات وأهداف المؤسسات العامة والخاصة أكثر واقعية وملائمة. وقد ساهمت جائحة كوفيد-19 في زيادة وتيرة التحول الرقمي في جميع أنحاء المنطقة، ويبدو أن هذه الوتيرة ستستمر مع الاعتماد الواسع النطاق للتطبيقات التي تستفيد من الذكاء الاصطناعي، والتي تتجه نحو معالجة كميات أكبر من البيانات المرتبطة بالمعرفات الشخصية أكثر من أي وقت مضى.
يمكن القول إن اللائحة الأوروبية العامة لحماية البيانات (GDPR)، التي دخلت حيز التنفيذ في عام 2018، تمثل «المعيار الذهبي» الدولي للامتثال لحماية البيانات. ونظراً لتأثيرها الممتد خارج الحدود الإقليمية، فقد تردد صدى تأثير اللائحة العامة لحماية البيانات على مستوى العالم، مما أثر على ممارسة موردي خدمات التكنولوجيا في المنطقة وتوقعات المستهلكين على نطاق أوسع.
كما عززت اللائحة العامة لحماية البيانات، إلى حد ما، توقعات المستخدمين حيال كيفية حماية بياناتهم الشخصية، كما كانت واحدة من أكثر النصوص تأثيراً في تطوير قوانين الخصوصية في المنطقة العربية.
اتجاهات خصوصية البيانات في المنطقة العربية
الأهمية المتزايدة للامتثال للخصوصية
يجب أن يكون العميل (أو الشخص الذي تحدده البيانات) في مقدمة اهتمامات كل ما تفعله المؤسسات الآن، فقد ولت الأيام التي كان فيها امتثال البيانات مجرد أمر ثانوي لا تعيره معظم الشركات انتباهها. وبالنسبة للشركات كثيفة البيانات والشركات التي تستفيد من التكنولوجيا في عملياتها المواجهة العملاء أو المكاتب الخلفية، فقد أصبح فهم طبيعة ومدى معالجة البيانات والمخاطر التي تخلقها جزءاً أساسياً من الصحة التنظيمية الشاملة لها. وبينما بدأت فكرة «الخصوصية المتجذرة في التصميم» كمبدأ صاغته اللائحة العامة لحماية البيانات (GDPR)، فقد انتقلت الآن إلى أطر دولية أخرى لتصبح مفهوماً معترفاً به بشكل متزايد في قوانين مختلف دول المنطقة. وباختصار، يقتضي المفهوم تصميم التقنيات والممارسات الجديدة مع أخذ التقنية بعين الاعتبار منذ مرحلة التطوير، وذلك بدلاً من إضافتها لاحقاً خلال عملية التنفيذ.
كمثال على ذلك، بدأنا نلاحظ زيادة في أهمية الامتثال للخصوصية ضمن عمليات العناية الواجبة للعديد من معاملات الشركات. حيث أنه من الشائع أن يمتلك هدف الاستحواذ (الشركة التي سيتم شراؤها) معايير امتثال ضعيفة فيما يتعلق بالخصوصية، ولعل سبب ذلك هو عدم تنفيذ أطر العمل بشكل كامل، بالإضافة لحداثة عهدها. وعندما يظهر أن الشركات تستخدم طرقاً لم تعد قانونية لتجمع البيانات اللازمة لعملها، ولا يكون تلافي ذلك أمراً سهلا، يضع ذلك هالة من الشك حول الجدوى التجارية لأعمال الشركة.
الإبلاغ عن خروقات البيانات
لقد تم دمج متطلبات الإبلاغ عن خروقات البيانات في العديد من قوانين الخصوصية واللوائح الخاصة بقطاعات محددة في المنطقة، مما خلق حاجة أكبر لسياسات الاستجابة للانتهاكات الإلكترونية والاستعداد للاختراقات السيبرانية. ولسوء الحظ، من المرجح أن يزداد خطر هذه الهجمات نتيجة المستويات الأعلى من الرقمنة وزيادة التفاعل بين الأنظمة. وبالنسبة للعديد من المنظمات، لم يعد السؤال هو «هل سنتعرض للهجوم؟»، بل «متى سنتعرض للهجوم؟»
بالنسبة لمنطقة الشرق الأوسط وشمال إفريقيا، غالباً ما تشترط القوانين على المؤسسات إخطار الجهات التنظيمية بانتهاكات البيانات في غضون 72 ساعة أو أقل من اكتشافها للحادثة (وهو ما يتماشى مع الفترة المنصوص عليها في اللائحة العامة لحماية البيانات). كما تتضمن العديد من القوانين المعتمدة متطلبات لإخطار الأشخاص الذين تم اختراق بيانتهم وفق بعض الشروط المحددة. وبالإضافة لذلك، من المحتمل أن تبدأ بعض البلدان بنشر قوائم بالمنظمات التي تعاني من خروقات البيانات، والتي يتبين أنها فشلت في الامتثال لالتزاماتها القانونية.
تتأثر هذه المسألة كذلك بمعايير الحدود الدنيا الإلزامية للأمان في مختلف المجالات وقطاعات السوق، والتي تعد جزءاً أساسياً من تشريعات الخصوصية الوطنية في المنطقة. ومع تطور مشهد التهديدات، ستتطور أيضاً لوائح ومعايير أمن المعلومات، بما في ذلك الحاجة إلى مواكبة الأطر الدولية الرائدة مثل NIST Cybersecurity Framework.
الجهات الناظمة المتخصصة
تمتلك معظم دول المنطقة هيئات تنظيمية مخصصة لخصوصية البيانات، أو أنها تخطط لإنشائها في الفترة القريبة. وفي بعض الحالات، ستكون هذه الجهات الناظمة هي المسؤولة أيضاً عن مراقبة سياسة الدولة المتعلقة بالتطوير والاستخدام المسموح به للذكاء الاصطناعي.
وعلى الرغم من التطورات التشريعية الأخيرة، لا تزال العديد من بلدان المنطقة مميزة على المستوى العالمي بكونها تفرض مستويات منخفضة نسبياً من التنظيم، بالإضافة لكون أطر تحديد عمل الشركات فضفاضة نسبياً بشكل يسمح بمستويات أعلى من التجربة. وقد دفع هذا الواقع – إلى جانب وجود البنية التحتية التقنية الممتازة والسجل الحافل في دعم الابتكار التكنولوجي بشكل علني – بعض المنظمات العالمية إلى تجربة تقنيات الذكاء الاصطناعي في المنطقة للمساعدة في تحسين نهجها وسياساتها.
الطريق نحو التنفيذ
لا يعد نشر الحكومات لقوانين خصوصية البيانات في المنطقة سوى خطوة أولى فيما سيكون على الأرجح مسيرة ماراثونية لتطوير وتطبيق أطر تنظيمية متكاملة للبيانات. حيث تركز العديد من الحكومات الإقليمية الآن على الخطوة التالية، وهي تطوير وتنفيذ اللوائح لإكمال قانون الخصوصية الأساسي وتطوير إرشادات مفصلة للمساعدة في فهم وتطوير أنظمة مراقبة الامتثال. وفي غضون ذلك، سيتعين على المنظمات اتخاذ قرارات محورية حول كيفية تضمين هذه المتطلبات ضمن العمليات في ظل غياب التوجيهات العامة والتفاصيل الدقيقة لآلية تفسير هذه القوانين الجديدة. كما يعد الفهم الأوسع للمبادئ وللاتجاه القادم أساساً بالغ الأهمية لبناء نهج متماسك يصمد أمام تحديات المستقبل.
علاوة على ذلك، يبدو طموح العديد من الحكومات في المنطقة لتمكين أنفسها كشريكة رائدة عالمياً في مجال الابتكار التكنولوجي غير محدود، ولذلك نتوقع أنها ستواصل جهودها لاعتماد القوانين والتعاون مع أصحاب المصلحة في الصناعة لحماية حقوق الأفراد وتعزيز ثقة المستهلك. كما أنها ستعمل على تشجيع الابتكار وتمكين الاستفادة من القيمة الكاملة للبيانات بشكل مسؤول.