العودة إلى المدونة
5 دقيقة قراءةLaw & Regulationprivacygdprcompliancedataarchitecture

تحديد مدة التخزين هو جبهة الإنفاذ لعام 2026 في مجال التحليلات

توقّفت الجهات التنظيمية عن السؤال عما إذا جمعت البيانات بشكل قانوني، وبدأت تسأل متى حذفتها. بعد غرامة CNIL البالغة 42 مليون يورو ضد Free وحملة EDPB لفحص الحذف، أصبح الاحتفاظ ببيانات التحليلات هدف التدقيق.

Izac CavalheiroFounder

كان السؤال المكلف في اللائحة العامة لحماية البيانات في السابق هو هل لديك أساس قانوني لجمع هذا؟. وفي عام 2026 أصبح لماذا لا يزال هذا في قاعدة بياناتك؟. نقل حدثان من أحداث الإنفاذ مسألة الاحتفاظ من هامش في الوثائق إلى الخط الأمامي، وأنظمة التحليلات تقع تماماً ضمن دائرة التأثير.

قراران غيّرا الهدف

في 13 يناير 2026، فرضت CNIL غرامة قدرها 27 مليون يورو على Free Mobile و15 مليون يورو على Free. ركّزت معظم التغطية على خرق عام 2024 الذي كشف 24 مليون عقد مشترك، لكن القرار استشهد أيضاً مباشرة بـ المادة 5(1)(e) — تحديد مدة التخزين. فقد احتفظت Free Mobile ببيانات تخص 2.8 مليون عقد أُلغيت منذ أكثر من عشر سنوات دون أي مبرر. لم تُجمع البيانات بشكل غير قانوني، بل احتُفظ بها بشكل غير قانوني.

وبعد شهر، نشرت EDPB نتائج إجراء الإنفاذ المنسّق لعام 2025. دقّقت اثنتان وثلاثون سلطة لحماية البيانات في 764 جهة تحكّم بشأن ممارسات الحذف، ووجدت إخفاقين منهجيين: غياب التصنيف الداخلي للبيانات، وغياب الحذف الآلي داخل أنظمة تقنية المعلومات نفسها. وعُوملت سياسة الاحتفاظ الموثّقة التي لا يفرضها شيء تقنياً كعامل مشدِّد لا مخفِّف.

الإشارة لا لبس فيها. تفترض الجهات التنظيمية الآن أن الجمع قد حدث؛ وهي تدقّق في الحذف.

لماذا تُعدّ التحليلات المكان البديهي للبحث

ينصّ تحديد مدة التخزين بموجب المادة 5(1)(e) على أنه يجب عدم الاحتفاظ بالبيانات الشخصية في صورة قابلة للتعريف لمدة أطول مما يقتضيه الغرض. ومعظم حزم التحليلات تخالف ذلك بصمت.

يخزّن جدول الأحداث النموذجي صفاً لكل تفاعل مرتبطاً بمُعرّف ثابت — مُعرّف ملف تعريف ارتباط، أو مُعرّف جهاز، أو بريد إلكتروني مُجزّأ — مع طابع زمني ودون انتهاء صلاحية. صُمّم المخطّط للاحتفاظ بكل شيء إلى الأبد كي تظل عبارة «قد نرغب في الاستعلام عنه لاحقاً» قائمة. وهذا بالضبط هو الاحتفاظ تحسّباً الذي عاقبت عليه CNIL.

تتفاقم المشكلة لأن المُعرّف هو ما يجعل الصف بياناً شخصياً. فطالما أن user_id = a91f... يمكن ربطه بشخص عبر أشهر من الأحداث، فإن كل صف من تلك الصفوف يقع ضمن النطاق، وكل صف يخضع لطلبات الوصول والحذف، وكل صف يمثّل مسؤولية عند حدوث خرق. الاحتفاظ ليس تكلفة تخزين، بل هو تعرّض يُقاس بالزمن.

التقليل عند الكتابة يتفوّق على الحذف عند القراءة

الحل الدائم ليس مهمة cron أفضل تقلّم الصفوف القديمة، بل نموذج بيانات لا تستمر فيه الصورة القابلة للتعريف من الأساس.

بُني نموذج الهوية في Monoid حول هذا. فالزائر يُمثَّل فقط بتجزئة يومية:

SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

لا يوجد عنوان IP الخام وسلسلة User-Agent إلا في ذاكرة الـ Worker لمدة تكفي لحساب تلك التجزئة؛ ويخزّن D1 التجزئة، لا القيم الخام أبداً. ولأن التاريخ مُدخَل، فإن تجزئة الزائر نفسه تتغيّر كل منتصف ليل. لا يوجد مُعرّف ثابت عبر الأيام للاحتفاظ به، ومن ثَمّ لا يمكن أن يتراكم الملف الشخصي العابر للجلسات الذي يستهدفه تحديد مدة التخزين — لا بموجب سياسة، بل بحكم البنية.

هذا هو تقليل البيانات عند الكتابة. أنت لا تحذف الربط لاحقاً لأنك لم تكتبه قط. ويصبح طلب الحذف أمراً تافهاً حين لا يوجد مفتاح دائم تحذف بناءً عليه.

احتفاظ يمكنك إثباته فعلاً

لا يزال تحديد مدة التخزين يحتاج إلى حدّ خارجي، والحدّ القابل للدفاع عنه قصير ومُنفَّذ، لا طويل وطموحاً. تحتفظ Monoid ببيانات مشاهدات الصفحات لمدة أقصاها 730 يوماً. والسنتان سقف متعمَّد لتحليل الاتجاهات، والمسح عملية فعلية على الجدول، لا سطر في ملف PDF لسياسة ما. كان استنتاج EDPB أن السياسات بلا إنفاذ هي الثغرة التي تستغلّها التحقيقات؛ والاحتفاظ الذي يُنفَّذ فعلاً يسدّ تلك الثغرة.

يهمّ الجمع بين الأمرين أكثر من أي نصف منهما بمفرده. فالتجزئات المتبدّلة يومياً تعني أن البيانات صارت بالفعل بشكل تجميعي قبل أن يُطبَّق الاحتفاظ أصلاً. ومسح الـ 730 يوماً يعني أنه حتى تلك الإشارة التجميعية لها نهاية صارمة وقابلة للإثبات.

كيف تحكم على أي تحليلات تعتمد عليها

أياً كانت التحليلات التي تقف خلف موقعك، فهناك ثلاثة فحوص ترتبط مباشرةً بما دقّقته الجهات التنظيمية:

  • اعثر على كل حقل يربط سجلاً بشخص عبر الزمن. مُعرّف مستخدم ثابت، أو قيمة ملف تعريف ارتباط دائمة، أو عنوان IP خام، أو fingerprint. كل واحد منها يحوّل سجل الأحداث إلى ملف شخصي محتفَظ به — لذا اسأل عمّا إذا كانت التحليلات التي تستخدمها تخزّن أياً منها من الأساس.
  • اسأل متى يُطبَّق الاحتفاظ — عند الاستيعاب أم في مراجعة فصلية. التقليل الذي يحدث أثناء كتابة البيانات يتفوّق على مهمة حذف يتعيّن على أحدهم أن يتذكّر تشغيلها. والإجابة الأقوى هي نموذج لم تُخزَّن فيه الصورة القابلة للتعريف من الأساس.
  • اسأل عمّا إذا كان الحذف قابلاً للإثبات. إن لم يستطع المورِّد الإشارة إلى حدّ احتفاظ صارم يُنفَّذ فعلاً، فلديه سياسة لا ضابط — وحملة EDPB أخبرتك للتو أيّ الاثنين يُغرَّم.

أرخص البيانات للدفاع عنها في تدقيق هي البيانات التي لم تحتفظ بها قط في صورة قابلة للتعريف. لم يعد تحديد مدة التخزين بنداً تعيد صياغته في سياسة خصوصية؛ بل هو ما سيقيسه التحقيق القادم، والبنية التي تجيب عليه هي تلك التي لم يكن لديها ملف شخصي لحذفه من الأساس.

المصادر

Related posts

5 دقيقة قراءةLaw & Regulation

متى يكون التجزئة (Hash) بيانات شخصية؟ حكم SRB من محكمة العدل الأوروبية وهوية التحليلات

حوّل حكم EDPS ضد SRB من محكمة العدل الأوروبية قابلية التعرّف إلى اختبار نسبي يعتمد على السياق. إليك ما يعنيه ذلك للتحليلات القائمة على التجزئة، ولماذا يصمد التجزئة المملّحة المتجددة يوميًا أمام قراءة المحكمة وأمام قراءة EDPB الأكثر صرامة معًا.

اقرأ المزيد
4 دقيقة قراءةLaw & Regulation

مشروع Digital Omnibus يسعى إلى إعفاء التحليلات من الطرف الأول من شرط الموافقة

يقترح Digital Omnibus الأوروبي الصادر في نوفمبر 2025 إعفاءً من الموافقة لقياس الجمهور من الطرف الأول للاستخدام الداخلي. وهو يصف النموذج الذي تُشغّله التحليلات الخالية من الكوكيز بالفعل.

اقرأ المزيد
5 دقيقة قراءةLaw & Regulation

Consent Mode v2 ونهاية Google Signals في يونيو 2026

في 15 يونيو 2026 يصبح ad_storage أداة التحكم الوحيدة في بيانات الإعلانات داخل منظومة Google. إليك ما تغيّره نهاية Google Signals بالنسبة للمطورين — ولماذا كانت هذه الآلية كلها شيئًا لم تحتج التحليلات الخالية من الكوكيز إلى بنائه قط.

اقرأ المزيد

Comments

Loading comments…