تبسيط اللائحة العامة لحماية البيانات (GDPR) للشركات الصغيرة والمتوسطة: الآثار والتحديات

“Portrait of Madame X - graph animation of knowledge graph” — المصدر: Wikimedia Commons. License: CC BY-SA 4.0.

في وقت سابق من هذا العام، اقترحت المفوضية الأوروبية حزمة تبسيط شاملة لـاللائحة العامة لحماية البيانات (GDPR) كجزء من مبادرة Omnibus IV الأوسع. صُممت هذه المبادرة لتخفيف أعباء الامتثال التنظيمي عن الشركات الصغيرة والمتوسطة (SMEs). بموجب القواعد الحالية، قد تُعفى الشركات التي يقل عدد موظفيها عن 250 موظفًا من الاحتفاظ بسجلات مفصلة لأنشطة معالجة البيانات، ولكن هذا الإعفاء مشروط بأن تكون المعالجة عرضية، ولا تتضمن فئات خاصة من البيانات الحساسة، ومن غير المرجح أن تشكل أي مخاطر على حقوق الأفراد. عمليًا، نادرًا ما يُمكن الاستفادة من هذا الإعفاء الحالي.

يقترح الاقتراح الجديد توسيع نطاق الإعفاء ليشمل الشركات التي يصل عدد موظفيها إلى 750 موظفًا، مع تخفيف عتبة المخاطر في الوقت نفسه، ليتم تطبيقها فقط على الشركات التي تشارك في معالجة بيانات "عالية المخاطر". تشير التقديرات إلى أن هذا التغيير قد يعني أن حوالي 38,000 شركة صغيرة ومتوسطة في الاتحاد الأوروبي ستواجه التزامات مبسطة تجاه اللائحة العامة لحماية البيانات.

التحديات والمخاوف بشأن التبسيط المقترح

بينما يدرس صانعو السياسات في الاتحاد الأوروبي تخفيف متطلبات الامتثال لـ GDPR للشركات الصغيرة، فإن تفاصيل التبسيط المقترح تتطلب تدقيقًا أعمق. إن استخدام عدد الموظفين كمعيار للإعفاء أو التبسيط هو نهج معيب جوهريًا ويخاطر بتقويض الحماية الحيوية التي توفرها اللائحة العامة لحماية البيانات في العصر الرقمي. ليس هذا فحسب، بل إن تضييق عتبة المخاطر من "أي مخاطر" إلى "مخاطر عالية" يعني أن الشركات قد تتعامل مع البيانات متوسطة المخاطر وتظل معفاة.

القيمة الجوهرية للائحة العامة لحماية البيانات (GDPR)

قبل حتى التفكير في إضعاف اللائحة العامة لحماية البيانات، يجدر بنا التأمل في قيمتها الجوهرية. تم تقديم اللائحة لأول مرة قبل أكثر من 7 سنوات، ولا تزال تعمل كمعيار عالمي حيوي لـحماية الخصوصية، وهو أمر بالغ الأهمية للحفاظ عليه مع تزايد اعتماد ومخاطر الذكاء الاصطناعي. أثبتت اللائحة فعاليتها في حماية حقوق الخصوصية في جميع أنحاء العالم وفي المساعدة على تجنب خسائر الجرائم الإلكترونية الكبرى (ما يصل إلى 1.4 مليار يورو، وفقًا لتقرير CNIL).

الأساس المنطقي للتبسيط ومخاطره المحتملة

“2020-02 Smithsonian sample image - Knowledge Graph - 2021 Q1” — المصدر: Wikimedia Commons. License: CC0.

إن النوايا الكامنة وراء التبسيط المقترح إيجابية ومبررة. بالنسبة للعديد من الشركات الصغيرة والمتوسطة، قد يكون التنقل في المتطلبات التنظيمية المعقدة أمرًا مرهقًا، خاصةً في غياب فرق أو موارد امتثال مخصصة. في الواقع، تكشف الأبحاث أن حوالي 11 أسبوع عمل سنويًا يتم قضاؤها في مهام الامتثال التنظيمي، بزيادة أسبوع واحد سنويًا، مما يعكس تصاعد التعقيد في هذا المجال. وهذا يتردد صدى نتائج دراسة الامتثال العالمية لشركة PwC التي تشير إلى أن 85% من المنظمات ترى أن متطلبات الامتثال أصبحت أكثر تعقيدًا على مدار السنوات الثلاث الماضية. لذلك، قد يبدو تبسيط الالتزامات طريقة فعالة لتعزيز الابتكار وتقليل الأعباء الإدارية، ولكن أي تغييرات على اللائحة العامة لحماية البيانات يجب أن توازن بعناية بين احتياجات الأعمال وضرورة حماية خصوصية الفرد.

لماذا عدد الموظفين معيار خاطئ لتقييم المخاطر؟

إن ربط متطلبات الامتثال بعدد الموظفين يفشل في تحقيق هذا التوازن المطلوب، ويفشل أيضًا في عكس مخاطر الخصوصية في العالم الحقيقي بدقة. ببساطة، يوفر عدد الموظفين مؤشرًا ضئيلاً للمخاطر الفعلية التي قد تشكلها أنشطة معالجة البيانات للشركة. يمكن للشركات بسهولة التلاعب بعدد موظفيها من خلال الاعتماد على المقاولين الخارجيين أو الاستعانة بمصادر خارجية، وبالتالي التهرب من تدقيق اللائحة العامة لحماية البيانات. علاوة على ذلك، في الاقتصاد الرقمي اليوم، يمكن للفرق الصغيرة تشغيل منصات عالمية تعالج كميات هائلة من المعلومات الحساسة. إن التأثير المتزايد لـالذكاء الاصطناعي عبر الصناعات، مما يساعد الفرق الأصغر على إنجاز المزيد والذهاب أبعد، يجعل عدد الموظفين مقياسًا قديمًا وغير دقيق. إن افتراض أن كشوف الرواتب الأصغر تعني مخاطر خصوصية أقل يتجاهل كيفية عمل العديد من الشركات الحديثة، وكيف من المرجح أن تعمل في المستقبل القريب.

نحو إطار امتثال أكثر فعالية وتناسبًا

لإنشاء إطار عمل امتثال أكثر تناسبًا وفعالية، يجب على صانعي السياسات النظر إلى ما هو أبعد من مجرد عدد الموظفين. بينما يستبعد الاقتراح بحق الشركات التي تشارك في معالجة عالية المخاطر من الالتزامات المبسطة، فإن العديد من المخاطر في العالم الحقيقي تقع بين مستويي "منخفض" و "عالي" وبالتالي هناك حاجة إلى مقاييس أكثر دقة وفعالية لتقييم المخاطر بشكل شامل. على سبيل المثال، يمكن النظر في عوامل مثل حجم البيانات المعالجة أو إيرادات الشركة. تلتقط عوامل مثل هذه بشكل أفضل مخاطر الخصوصية الفعلية ويجب أن تلعب دورًا أكثر مركزية في تحديد متى يكون التبسيط مناسبًا، دون إنشاء ثغرات إشكالية قد تعرض البيانات للخطر.

الخلاصة: مستقبل الخصوصية والمسؤولية المشتركة

بالتأكيد، لا ينبغي أن تعاقب لوائح الخصوصية الابتكار، ولكن لا ينبغي لها أيضًا أن تمنح إعفاءات شاملة تعرض حقوق الأفراد للخطر. في النهاية، تهدد المقترحات الرامية إلى إضعاف نطاق اللائحة العامة لحماية البيانات بتآكل حماية الخصوصية في وقت تشتد الحاجة إليها. تمتلك تقنيات الذكاء الاصطناعي سريعة التطور القدرة على زيادة تعريض حماية الخصوصية للخطر، وبالتالي يجب أن نفكر مليًا في أي تغييرات من شأنها إضعاف هذه الدفاعات. وهذا يشمل إعادة تقييم ليس فقط من يتأهل للإعفاءات بناءً على الحجم، ولكن أيضًا كيفية تحديد وتقييم المخاطر في المقام الأول. نظرًا لأن البيانات أصبحت أكثر عرضة للخطر، فإن حماية الخصوصية هي مسؤولية مشتركة بشكل متزايد. يجب أن يظل التركيز على تعزيز الحماية وتقديم دعم ذكي ومتناسب للشركات من جميع الأحجام. مستقبل الخصوصية يعتمد على ذلك.