على من ينطبق قانون DPDP

يحكم قانون DPDP معالجة البيانات الشخصية الرقمية داخل الهند، وكذلك المعالجة التي تتم خارج الهند عندما تتعلق بتقديم السلع أو الخدمات للأفراد في الهند. عملياً، إذا كان موقعك الإلكتروني متاحاً للمستخدمين في الهند وتجمع من خلاله بيانات شخصية — بما في ذلك عبر ملفات تعريف الارتباط أو حِزم SDK أو البكسلات أو البصمة الرقمية — فمن شبه المؤكد أن القانون ينطبق عليك.

يستخدم القانون دورين أساسيين: الوصي على البيانات (Data Fiduciary) (المكافئ لمتحكم البيانات في GDPR) ومعالج البيانات (Data Processor). ويمكن تصنيف عدد محدود من أكبر المشغلين على أنهم أوصياء بيانات ذوو أهمية (Significant Data Fiduciaries)، مما يطلق التزامات إضافية مثل إجراء تقييمات أثر حماية البيانات وتعيين مسؤول حماية بيانات مقيم في الهند.

كيفية تعامل قانون DPDP مع ملفات تعريف الارتباط وأدوات التتبع

على عكس توجيه الخصوصية الإلكترونية (ePrivacy Directive)، لا يخصّ قانون DPDP ملفات تعريف الارتباط بفئة منفصلة. بدلاً من ذلك، ينظّم أي معالجة للبيانات الشخصية الرقمية. وهذا يعني أن ملفات تعريف الارتباط، ومعرّفات الأجهزة، وعناوين IP، ومعرّفات الإعلانات، وعناوين البريد الإلكتروني المُجزّأة (hashed emails) كلها تقع ضمن النطاق عندما تكون مرتبطة — بشكل مباشر أو غير مباشر — بشخص يمكن التعرف عليه.

النتيجة بالنسبة للن��شرين واضحة: إذا كان ملف تعريف ارتباط أو وسم (tag) على موقعك يؤدي إلى جمع بيانات شخصية أو مشاركتها، فأنت بحاجة إلى أساس قانوني صالح. وبموجب قانون DPDP، يكون هذا الأساس في الغالب هو الموافقة، مع مجموعة ضيقة من الاستثناءات لما يسمى "الاستخدامات المشروعة" التي يحددها القانون.

كيف تبدو الموافقة الصالحة

يضع قانون DPDP سقفاً عالياً لمتطلبات الموافقة. إذ يجب أن تكون حرة، محددة، مستنيرة، غير مشروطة، وواضحة لا لبس فيها، وأن تُعبَّر عنها من خلال إجراء إيجابي واضح. المربعات المحددة مسبقاً، والموافقة الضمنية من خلال الاستمرار في التصفح، وتصميمات "جدار ملفات تعريف الارتباط" التي تربط الوصول بقبول الشروط، لا تتوافق مع هذه المتطلبات.

هناك قاعدتان إضافيتان خاصتان بقانون DPDP تؤثران في تجربة واجهة المستخدم للموافقة:

• إشعار مفصّل (Itemised notice): قبل أو في وقت الحصول على الموافقة، يجب أن تقدّم للمستخدم إشعاراً واضحاً يحدد البيانات التي يتم جمعها، وأغراض المعالجة، وكيف يمكن للمستخدم سحب الموافقة أو تقديم شكوى إلى مجلس حماية البيانات في الهند (Data Protection Board of India).
• لغة مبسّطة ودعم متعدد اللغات: يجب أن تكون الإشعارات متاحة باللغة الإنجليزية وبأي من اللغات الهندية الـ٢٢ المدرجة في الدستور التي يختارها المستخدم. أي منصة CMP لا يمكنها عرض محتوى الموافقة بالهندية (Hindi) والتاميلية (Tamil) والبنغالية (Bengali) والماراثية (Marathi) وغيرها من اللغات الرئيسية ستجد صعوبة في الامتثال.

بيانات الأطفال وموافقة الوالدين

يعتبر قانون DPDP أن أي شخص دون سن ١٨ عاماً طفلاً، ويتطلب موافقة أبوية يمكن التحقق منها قبل معالجة بياناته الشخصية. كما يحظر المراقبة السلوكية والإعلانات الموجهة للأطفال. أي موقع إلكتروني يمكن أن يصل إليه القُصّر في الهند — وهو ما يعني عملياً تقريباً كل موقع — يحتاج إلى آلية لتقدير العمر أو استراتيجية قائمة على المخاطر، ويجب أن يكون قادراً على حظر سكربتات التتبع عندما تكون موافقة الوالدين غير متوفرة.

حقوق المستخدمين التي يجب أن تدعمها منصة CMP لديك

يتمتع أصحاب البيانات (Data Principals) في الهند بمجموعة من الحقوق التي يجب أن تكون قابلة للتنفيذ من خلال طبقة الموافقة والتفضيلات لديك:

• الحق في الوصول إلى ملخص عن بياناتهم الشخصية التي تتم معالجتها.
• الحق في التصحيح والحذف لبياناتهم.
• الحق في سحب الموافقة في أي وقت، وبنفس سهولة منحها.
• الحق في تسمية (ترشيح) شخص آخر لممارسة الحقوق في حالة الوفاة أو العجز.
• ��لحق في معالجة الشكاوى أولاً مع الوصي على البيانات (Data Fiduciary)، ثم مع مجلس حماية البيانات في الهند.

يجب أن توفّر منصة CMP المتوافقة رابط تفضيلات دائماً، وأن تدعم سحب الموافقة بنقرة واحدة، وأن تسجّل أحداث الموافقة بطريقة يمكن تقديمها عند الطلب أثناء التحقيقات.

نقل البيانات عبر الحدود

يتّبع قانون DPDP نهج "القائمة السلبية" في ما يتعلق بالنقل الدولي: يمكن نقل البيانات الشخصية خارج الهند ما لم تكن الدولة المستقبِلة مدرجة تحديداً ضمن قائمة الدول المحظورة من قبل الحكومة المركزية. هذا أكثر تساهلاً من نظام الملاءمة (adequacy) في GDPR، لكن لا يزال ينبغي لك توثيق الدول الثالثة التي تستقبل بيانات من المستخدمين في الهند ومراقبة قائمة القيود المنشورة.

العقوبات والإنفاذ

العقوبات المالية بموجب قانون DPDP كبيرة. يمكن لمجلس حماية البيانات فرض غرامات تصل إلى ٢٥٠ كرور روبية (حوالي ٣٠ مليون دولار أمريكي) لعدم اتخاذ تدابير أمنية معقولة، وما يصل إلى ٢٠٠ كرور روبية لعدم الوفاء بالالتزامات تجاه الأطفال. أما الإخفاقات المتعلقة بالموافقة — بما في ذلك جمع الموافقة من خلال لافتات غير متوافقة — فتخضع لغرامات تصل إلى ٥٠ كرور روبية عن كل مخالفة.

تطبيق موافقة متوافقة مع DPDP في منصة CMP لديك

1. اكتشاف المستخدمين في الهند جغرافياً وتطبيق قالب موافقة خاص بقانون DPDP بدلاً من إعادة استخدام لافتة GDPR. فمحتوى الإشعار وخيارات اللغة المطلوبة مختلفان.
2. عرض الإشعارات بعدة لغات هندية. على الأقل، ادعم الهندية والإنجليزية، وأضف اللغات الإقليمية بناءً على توزيع حركة المرور لديك.
3. حظر جميع أدوات التتبع غير الضرورية افتراضياً. لا تقم بتحميل إعلانات أو أدوات تحليلات أو حِزم SDK تابعة لجهات خارجية إلا بعد الحصول على موافقة صريحة.
4. فصل الأغراض بوضوح. لا تدمج الإعلانات والتحليلات والتخصيص في إجراء "قبول" واحد إذا كان من المعقول أن يرغب المستخدم في الموافقة على بعضها دون البعض الآخر.
5. تسجيل أحداث الموافقة وسحبها مع الطوابع الزمنية، وإصدار الإشعار الذي عُرض بالضبط، ولغة المستخدم المختارة، حتى تتمكن من إثبات الامتثال أثناء الاستفسارات التنظيمية.
6. توفير رابط تفضيلات ظاهر في كل صفحة يسمح للمستخدمين بمراجعة الموافقة أو تحديثها أو سحبها في أي وقت.

قانون DPDP مقابل GDPR: فروق عملية

• لا يوجد أساس عام لـ "المصالح المشروعة". لا يعترف قانون DPDP بالمصالح المشروعة كأساس قانوني عام كما يفعل GDPR. وبالتالي تكتسب الموافقة وزناً أكبر، ويصبح تصميم تجربة المستخدم أكثر أهمية.
• قواعد أكثر صرامة بشأن الأطفال. سن الموافقة الرقمية هو ١٨ عاماً، وليس ١٣ أو ١٦، كما أن الإعلانات الموجهة للقُصّر محظورة صراحة.
• متطلب الإشعار متعدد اللغات فريد لقانون DPDP ولا يمكن الوفاء به من خلال لافتة باللغة الإنجليزية فقط.
• التزامات أوصياء البيانات ذوي الأهمية (Significant Data Fiduciary) تخلق طبقة امتثال ثانية للمشغلين عاليي المخاطر لا يوجد لها نظير مباشر في GDPR.

الخلاصة

يُدخل قانون DPDP الهند إلى مشهد حماية البيانات العالمي الحديث بطابعه الخاص — قائم على الموافقة أولاً، ومتعدد اللغات في جوهره، ويحمي القُصّر بدرجة غير معتادة. لدى الناشرين والمنصات الذين يديرون بالفعل منصة CMP متوافقة مع GDPR أفضلية مبدئية، لكنهم ما زالوا بحاجة إلى تعديل محتوى اللافتات، ودعم اللغات، وآليات التعامل مع الأعمار، والتسجيلات لتلبية متطلبات DPDP. التعامل مع الهند على أنها "مجرد ولاية قضائية أخرى من نوع GDPR" هو أسرع طريق للانتهاء أمام مجلس حماية البيانات.