كشفت تقارير حديثة عن تورط شركة تسويق أميركية في بيع البيانات الصحية والشخصية لملايين المستخدمين دون تسجيلها رسمياً كوسيط بيانات، ما دفع هيئة حماية الخصوصية في كاليفورنيا إلى التدخل وفرض عقوبات صارمة.

وبحسب التفاصيل، فإن شركة Rickenbacher Data التي تعمل تحت اسم Datamasters قامت بشراء وبيع بيانات حساسة تعود لملايين الأشخاص، من بينهم مرضى يعانون من حالات طبية خطيرة مثل ألزهايمر، مشكلات المثانة، وإدمان المخدرات، وذلك لأغراض الإعلانات الموجهة.

مخالفة صريحة لقانون Delete Act

وينص قانون Delete Act في ولاية كاليفورنيا على إلزام أي شركة تعمل في شراء أو بيع بيانات المستخدمين بالتسجيل سنوياً كوسيط بيانات قبل 31 يناير، بحسب تقرير نشره موقع "phonearena" واطلعت عليه "العربية Business".

ويهدف القانون، الذي يبدأ تطبيق منصته الرقمية في عام 2026، إلى تمكين المستخدمين من طلب حذف بياناتهم من جميع وسطاء البيانات المسجلين عبر منصة موحدة تحمل اسم DROP.

غير أن "Datamasters" فشلت في الالتزام بهذا الشرط، ما أدى إلى تغريمها 45 ألف دولار ومنعها من بيع أي بيانات شخصية تخص سكان كاليفورنيا، بعد أن اعتبرت الهيئة التنظيمية المخالفة جسيمة.

بيانات شديدة الحساسية

وأوضحت هيئة حماية الخصوصية أن الشركة كانت تمتلك قوائم تصنيفية شديدة الحساسية، شملت تقسيمات بحسب العمر والعرق المتصور، مثل قوائم كبار السن.

كما تضمنت البيانات معلومات حول التوجهات السياسية، أنماط التسوق، النشاط المصرفي، وعمليات شراء مرتبطة بالصحة.

الأخطر من ذلك، أن هذه القواعد البيانية شملت ملايين السجلات التي تحتوي على أسماء كاملة، عناوين بريد إلكتروني، عناوين سكن فعلية، وأرقام هواتف.

إنكار ثم اعتراف

وفي البداية، ادعت "Datamasters" أنها لا تمارس أعمالاً داخل كاليفورنيا ولا تتعامل مع بيانات سكانها، قبل أن تعترف لاحقاً بعكس ذلك عند مواجهة الأدلة، مدعية أنها كانت تفحص البيانات يدوياً.

ورغم محاولات الهيئة المتكررة لإجبار الشركة على الامتثال، استمرت في العمل كوسيط بيانات دون تسجيل رسمي.

وبموجب القرار الموقع في 12 ديسمبر، أُمرت الشركة بحذف جميع بيانات سكان كاليفورنيا التي حصلت عليها قبل نهاية الشهر نفسه، إضافة إلى حذف أي بيانات جديدة تخصهم خلال 24 ساعة من استلامها مستقبلاً.

كما فُرض عليها الالتزام الكامل بالقوانين لمدة خمس سنوات، مع تقديم تقرير مفصل عن ممارسات الخصوصية بعد عام.

عقوبات أخرى ورسالة واضحة

وفي سياق متصل، فرضت هيئة حماية الخصوصية غرامة قدرها 62,600 دولار على شركة S&P Global لعدم تسجيلها كوسيط بيانات لعام 2024 في الموعد المحدد، رغم أن الشركة عزت المخالفة إلى خطأ إداري وسارعت إلى تصحيحه.

وتسلط هذه القضية الضوء على مدى هشاشة حماية البيانات الشخصية، وكيف يتم تداول معلومات شديدة الحساسية وكأنها مجرد سلوكيات استهلاكية عادية. كما تعزز أهمية قوانين مثل Delete Act، التي لا يبدو أن بعض الشركات تأخذها على محمل الجد إلا عند فرض عقوبات فعلية.

ورغم أن الغرامات المالية قد تبدو محدودة، فإن إجبار الشركات على حذف البيانات والخضوع لرقابة طويلة الأمد يبعث برسالة أقوى: عصر العمل في الظل بتجارة البيانات قد لا يكون آمناً بعد اليوم.