نقل البيانات بموجب GDPR هو خطر الامتثال الوحيد الذي يمكنك التخلص منه بالتصميم

معظم مخاطر GDPR إجرائية — إشعار يمكنك إعادة صياغته، ونافذة احتفاظ يمكنك تقصيرها، ومسار موافقة يمكنك إصلاحه. أما نقل البيانات الدولي فمختلف. فهو يعتمد على أداة قانونية لا تتحكم فيها ولا يمكنك تصحيحها، وهذه الأداة قد أُلغيت مرتين خلال عقد واحد. الحل الوحيد الدائم هو حل في التصميم: ألّا تنقل البيانات من الأساس.

آلية النقل تنهار مرارًا

يحظر الفصل الخامس (Chapter V) من GDPR إرسال البيانات الشخصية إلى دولة لا توفر مستوى حماية كافيًا ما لم تكن لديك آلية نقل صالحة. وبالنسبة لتدفقات البيانات من الاتحاد الأوروبي إلى الولايات المتحدة، فإن لهذه الآلية مقبرة. فقد أبطلت محكمة العدل الأوروبية (CJEU) اتفاق Safe Harbour عام 2015 (Schrems I) واتفاق Privacy Shield عام 2020 (Schrems II)، وكلاهما لأن قانون المراقبة الأمريكي لم يمنح مواطني الاتحاد الأوروبي أي وسيلة انتصاف حقيقية.

الأداة الحالية هي إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF)، الذي اعتُمد عام 2023. وفي 3 سبتمبر 2025 رفضت المحكمة العامة للاتحاد الأوروبي أول طعن ضده، في قضية Latombe v Commission (القضية T-553/23)، مؤيِّدةً قرار الكفاية الصادر عن المفوضية.

لكن هذه ليست نهاية القصة. فقد قدّم Latombe استئنافًا أمام محكمة العدل (Court of Justice) في 31 أكتوبر 2025، كما أشارت منظمة noyb — منظمة Max Schrems — إلى أنها تُعِدّ طعنًا أوسع نطاقًا في DPF على أساس حجج المراقبة نفسها التي أسقطت الإطارين السابقين. وهكذا ستُلقي المحكمة التي قضت على Safe Harbour وPrivacy Shield نظرةً أخرى عليه.

لماذا يقع هذا على التحليلات تحديدًا

التحليلات هي الطريقة الأكثر شيوعًا التي ينتهي بها المطاف بموقع أوروبي صغير إلى إجراء عملية نقل إلى الولايات المتحدة دون أن يدرك ذلك. يرسل المتصفح حدثًا؛ فيتلقى مزوّد تحليلات يتخذ من الولايات المتحدة مقرًّا له عنوان IP الخاص بالزائر وبياناته السلوكية على بنية تحتية أمريكية. هذا نقلٌ للبيانات الشخصية، وهو يرث أيًّا كان الوضع القانوني الذي يحمله DPF في أي يوم بعينه.

لقد سبق للجهات التنظيمية أن اعتبرت هذا غير قانوني حتى قبل وجود DPF. فبعد الشكاوى المنسّقة التي تقدّمت بها noyb، قضت هيئة DSB النمساوية عام 2022 بأن عمليات النقل من الاتحاد الأوروبي إلى الولايات المتحدة عبر Google Analytics تنتهك الفصل الخامس، وحذت حذوها سلطات حماية البيانات (DPAs) في فرنسا وإيطاليا والدنمارك وفنلندا والسويد والنرويج بالاستناد إلى المنطق نفسه. فقد كان وصول عنوان IP إلى الخوادم الأمريكية كافيًا.

وإذا أبطلت محكمة العدل الأوروبية DPF، فستعود هذه الأحكام لتصبح القالب المعتمد من جديد، بين عشية وضحاها، لكل أداة لا تزال توجّه بيانات الزوار الأوروبيين إلى الولايات المتحدة.

التخلص من الخطر بالتصميم

لا يمكنك أن تجعل DPF أكثر استقرارًا. لكن يمكنك بناء تدفق بيانات لا ينطوي على أي تعرّض للفصل الخامس من الأساس. وهناك خاصيتان تحقّقان ذلك:

عالِج البيانات على الحافة (edge) وداخل المنطقة. تتيح حزمة توطين البيانات (Data Localization Suite) من Cloudflare لأي Worker حصرَ المعالجة والسجلّات داخل مراكز بيانات الاتحاد الأوروبي، بحيث لا يغادر الطلب أبدًا المنطقة التي نشأ فيها. وبذلك يصبح القرار بشأن مكان معالجة البيانات إعدادًا في البنية التحتية، لا أداةً قانونية تأمل أن تنجو من الاستئناف.

لا تحتفظ أبدًا بالمدخلات التعريفية. عنوان IP الخام وString الـ User-Agent اللذان يجعلان الطلب "بيانات شخصية" لا يوجدان في الذاكرة إلا للمدة الكافية لحساب تجزئة (hash) يومية للزائر، ثم يُتلَفان:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

ما يُخزَّن هو التجزئة (hash)، لا المدخلات. ولأن الملح (salt) يتغيّر يوميًا ويظل سريًا، فلا يمكن عكس التجزئة لتعود إلى فرد بعينه ولا ربطها عبر الأيام. لا يوجد ملف تعريفي، ولا يعبر الحدودَ أبدًا أي شيء تعريفي لأنه لا يُحتفَظ أبدًا بأي شيء تعريفي.

ويمكنك التحقق من جغرافية التدفق على مستوى السلك (wire). فمنارة (beacon) مشاهدة الصفحة هي طلب واحد إلى نقطة نهاية من الطرف الأول (first-party) تتحكم فيها أنت:

POST /collect HTTP/2
Host: api.monoid.website
Content-Type: application/json

{"site_id":"...","path":"/pricing","referrer":"..."}

إذا كان api.monoid.website يُحَلّ إلى عُقَد الحافة الأوروبية وكان الـ Worker يثبّت تخزينه داخل الاتحاد الأوروبي، فلا يوجد معالِج أمريكي في المسار، ولا قرار كفاية تعتمد عليه، ولا عملية نقل عليك الإفصاح عنها. ومع ذلك يصلك بلد الزائر — مستمَدًّا من تحديد الموقع الجغرافي الخاص بالحافة نفسها، لا من شحن عنوان IP إلى طرف ثالث.

وضعية الامتثال التي ينتجها هذا

عملية نقل لا تجريها مطلقًا هي عملية نقل لا يتعيّن عليك الدفاع عنها مطلقًا. فلا يوجد DPF لتستشهد به في سجلّات المعالجة لديك، ولا بنود تعاقدية معيارية (standard contractual clauses) لتحافظ عليها، ولا تقييم أثر للنقل (transfer impact assessment) لتعيد إجراءه عند تغيّر الأساس القانوني، ولا معالِج فرعي (sub-processor) في دولة ثالثة عليك الإفصاح عنه بموجب قواعد الشفافية التي تدقّقها الجهات التنظيمية في عام 2026.

كل مهمة امتثال أخرى للتحليلات هي شيء تواصل القيام به. أما التخلص من عملية النقل فهو شيء تفعله مرة واحدة، في التصميم، ثم تتوقف عن التفكير فيه — بصرف النظر عن كيفية حكم محكمة العدل الأوروبية في الاستئناف.

المصادر

• محكمة العدل الأوروبية — بيان صحفي: المحكمة العامة ترفض دعوى Latombe (القضية T-553/23)
• IAPP — المحكمة العامة الأوروبية ترفض طعن Latombe وتؤيّد إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة
• noyb — هيئة DSB النمساوية: نقل البيانات من الاتحاد الأوروبي إلى الولايات المتحدة عبر Google Analytics غير قانوني
• noyb — سلطات حماية بيانات أوروبية أخرى تأمر بوقف Google Analytics
• Cloudflare — حزمة توطين البيانات (Data Localization Suite)