وفي الأشهر المقبلة، ستبدأ 19 ولاية بتشريع شامل للخصوصية. هل أنت مستعد؟
تتفاجأ العديد من المنظمات عندما تعلم أن العديد من الولايات قد أصدرت تشريعات خصوصية تكاد تكون شاملة مثل لائحة حماية البيانات العامة للاتحاد الأوروبي (GDPR) أو قانون حماية المستهلك في كاليفورنيا (CCPA) الأكثر شهرة. إذا كنت تستوفي حدودًا معينة للنشاط في هذه الولايات، فقد تخضع لأنظمة الخصوصية الشاملة هذه، حتى لو لم تكن ولايتك الأصلية قد أصدرت تشريعات خصوصية شاملة بعد.
من المحتمل أن تكون معرفة ما إذا كنت خاضعًا لهذه القوانين هو أكبر سؤال يتعلق بالامتثال يتعين على مؤسستك طرحه الآن. إذا كنت تخضع لواحد أو أكثر من قوانين الخصوصية الشاملة، فإن أكبر سؤال يتعلق بالامتثال بالنسبة لك هو ما إذا كانت مؤسستك تبيع المعلومات الشخصية أو تشاركها. قد يكون من الصعب الإجابة على هذا السؤال الأخير، على الرغم من أهميته البالغة.
تفرض الدول التي لديها تشريعات خصوصية شاملة مجموعة من الالتزامات الإضافية على الكيانات التي تبيع المعلومات الشخصية أو تشاركها. ويشمل ذلك إخطار الأفراد بأنه قد يتم بيع معلوماتهم للآخرين أو مشاركتها لأغراض إعلانية مستهدفة، وإبلاغ الأفراد بأن لديهم الحق في إلغاء الاشتراك في هذا البيع أو المشاركة، وإنشاء آلية سهلة الاستخدام للأفراد للقيام بذلك. ويلزم إرسال هذه الإشعارات عبر سياسة الخصوصية الخاصة بمؤسستك.
بالإضافة إلى حقوق الإخطار وإلغاء الاشتراك، تشترط 10 دول لديها أنظمة خصوصية شاملة حاليًا، أو ستطلب (في عام 2025)، من المؤسسات التعرف على إشارات تفضيلات إلغاء الاشتراك (OOPS) ومعالجتها التي ترسلها متصفحات الأفراد الذين يزورون مواقعهم الإلكترونية. يمكن أن يمثل الامتثال لتفويضات OOPS مهمة تكنولوجية صعبة، ويتم اكتشاف الغموض في المتطلبات القانونية المعمول بها. على سبيل المثال، ليس من الواضح حاليًا ما هي الإشارات التي يجب التعرف عليها في كل ولاية. ومن غير الواضح أيضًا ما إذا كان يجب معالجة إشارة إلغاء الاشتراك في المتصفح فقط لزيارة موقع الويب الخاص بهذا الفرد أو ما إذا كانت مؤسستك مطالبة أيضًا بمعالجة إشارة إلغاء الاشتراك من أجل الجميع معلومات أخرى في الملف لهذا المستهلك. على الرغم من تقديم التوجيه في ولايتي كاليفورنيا وكولورادو، حيث قوانين OOPs سارية بالفعل، إلا أن هناك العديد من الفخاخ التي ينصبها غير الحذرين، وهناك حاجة إلى نظرة متأنية مع ظهور المزيد من التوجيهات.
عدم الامتثال ينطوي على عواقب وخيمة. على الرغم من أن ولاية كاليفورنيا هي الولاية الوحيدة حاليًا التي توفر حقًا خاصًا في رفع دعوى بموجب نظام الخصوصية الخاص بها، فقد قامت ولايات أخرى بتمكين المدعين العامين لديها من مراقبة التنفيذ وفرض الغرامات المناسبة بموجب قوانين الممارسات التجارية غير العادلة في الولاية المعنية. علاوة على ذلك، أصبحت لجنة التجارة الفيدرالية يقظة بشكل متزايد في تطبيق قوانين الممارسات التجارية الفيدرالية غير العادلة على مشغلي مواقع الويب الذين يفشلون في الالتزام بمتطلبات خصوصية المستهلك. الغرامات في كلتا الحالتين يمكن أن تكون كبيرة لكل انتهاك، مما يجعل هذا أولوية قصوى للامتثال.
قد يجد المسؤولون التنفيذيون المعنيون بالامتثال ومسؤولو الخصوصية ومستشارو الشركات صعوبة في التنقل بين مجموعة واسعة من الآليات والعمليات المستخدمة لجمع المعلومات الشخصية. وما يتم فعله بهذه المعلومات بعد جمعها هو تحقيق مماثل، إن لم يكن أكثر تعقيدًا. إن تحديد المسؤول النهائي عن فهم هذه المنطقة شديدة التنظيم يمكن أن يوفر الوقت والجهد.
تميل المسؤولية عن مراقبة جمع المعلومات الشخصية وتوزيعها إلى أن تكون مشتركة عبر القيادة التنظيمية، مما يعني كثرة النقاط العمياء في كثير من الأحيان. عادةً ما يتمتع كبار مسؤولي أمن المعلومات ومسؤولي الخصوصية بفهم جيد لأنشطة المعالجة العامة التي تتم داخل مؤسستهم، ويعدون مكانًا رائعًا للبدء عند البحث عن صورة واضحة لجمع المعلومات. لكن نادراً ما يكون لدى هذه الفرق فهم كامل للمعلومات التي قد تكون موجودة يتم جمعها تلقائيا (أي من خلال أجهزة تتبع مواقع الويب وملفات تعريف الارتباط). وهذا الفهم ضروري لضمان الامتثال الكامل.
تعهد العديد من المؤسسات بمواقعها الإلكترونية العامة إلى فريق التسويق بالشركة. على الرغم من أن بعض فرق التسويق في الشركات تنشر مواقع الويب وتحافظ عليها داخليًا، فقد أصبح من الشائع أكثر أن يتم الاستعانة بمصادر خارجية لمثل هذه الأنشطة لبائعي الطرف الثالث الذين يقومون بتطوير هذه المواقع واستضافتها وصيانتها. من المحتمل أن يكون هؤلاء البائعون – وخاصة المطورين – أفضل الموارد للحصول على معلومات حول المعلومات الشخصية التي يتم جمعها تلقائيًا من خلال موقع الويب وكيفية استخدام هذه المعلومات. إذا لم يتمكن قسم التسويق أو المطور لديك من تقديم نظرة عامة تفصيلية عن تقنيات التتبع المستخدمة في موقع الويب والغرض من جمع هذه البيانات، فيجب عليك البحث بشكل أعمق والمشاركة في مراجعة تفصيلية لملفات تعريف الارتباط لموقع الويب وتقنيات التتبع الأخرى.
تجدر الإشارة إلى أن كل موقع ويب يواجه الجمهور تقريبًا لديه بعض تقنيات التجميع التي تلتقط المعلومات الشخصية. حدد تقدير حديث من W3Techs.com أن ما يقرب من 84% من جميع مواقع الويب تستخدم Google Analytics أو أدوات مماثلة. يحدث هذا أحيانًا دون علم أحد، كما هو الحال عندما يتم إعادة نشر قوالب مواقع الويب التي تحتوي على مثل هذه الآليات من عميل إلى آخر.
نظرًا لأنظمة الخصوصية الحكومية الجديدة، فمن الأهمية بمكان أن تقوم المؤسسات بإجراء عمليات تدقيق دورية لأجهزة تتبع مواقع الويب. بمساعدة فريق التسويق ومطور موقع الويب الخاص بك، نأمل أن تتمكن من تفصيل ملفات تعريف الارتباط المختلفة ووحدات البكسل وأجهزة التتبع الأخرى المستخدمة وأنواع المعلومات الشخصية التي يتم جمعها وما يتم فعله بهذه المعلومات. عندها فقط يمكنك أن تبدأ في فهم ما عليك القيام به، بناءً على القانون المعمول به، لتحقيق الامتثال للمشهد التنظيمي الذي يستمر في التطور بوتيرة مذهلة.
