اتخذت وكالة حماية الخصوصية في ولاية كاليفورنيا إجراءً حازمًا ضد شركة تسويق تُدعى"Datamasters" بعد ثبوت قيامها ببيع وإعادة بيع بيانات صحية وشخصية لملايين المستخدمين دون تسجيلها رسميًا كوسيط بيانات، في مخالفة صريحة للقانون.

وبموجب قانون الحذف في كاليفورنيا، تُلزم الشركات التي تشتري أو تبيع بيانات المستهلكين بالتسجيل سنويًا كوسطاء بيانات في موعد أقصاه 31 يناير من كل عام.

وابتداءً من عام 2026، سيتيح هذا القانون للمستخدمين منصة إلكترونية موحدة تُعرف باسمDROP، يمكن من خلالها طلب حذف بياناتهم الشخصية من جميع وسطاء البيانات المسجلين دفعة واحدة، بحسب تقرير نشره موقع "bleepingcomputer" واطلعت عليه "العربية Business".

وفي حالة شركة Rickenbacher Data LLC، التي تعمل تحت اسم Datamasters، فرضت الوكالة غرامة مالية قدرها 45 ألف دولار بسبب عدم التسجيل في الموعد المحدد.

ولم تكتفِ بذلك، بل قررت أيضًا حظر الشركة نهائيًا من بيع أي بيانات شخصية تخص سكان كاليفورنيا، نظرًا لاستمرار المخالفات وخطورتها.

بيع بيانات مرضى لأغراض إعلانية

ووفقًا للقرار النهائي الصادر عن الوكالة، قامت "Datamasters" بشراء وإعادة بيع بيانات حساسة تتعلق بملايين الأشخاص الذين يعانون من حالات صحية مختلفة، مثل مرض ألزهايمر، والإدمان على المخدرات، وسلس البول، واستخدمت هذه البيانات في الإعلانات الموجهة.

كما كشفت الوكالة أن الشركة باعت قوائم مصنفة حسب العمر والعرق المفترض، مثل قوائم كبار السن والقوائم اللاتينية، إلى جانب بيانات تستند إلى الآراء السياسية، والمشتريات من متاجر البقالة، والنشاط المصرفي، والإنفاق الصحي.

وتضمنت قواعد البيانات المتداولة مئات الملايين من السجلات التي شملت أسماء المستخدمين، وعناوين البريد الإلكتروني، والعناوين الفعلية، وأرقام الهواتف.

تضليل ومقاومة للامتثال

زاد من خطورة القضية موقف الشركة من جهود التنظيم، إذ ادعت في البداية أنها لا تعمل داخل كاليفورنيا ولا تتعامل مع بيانات سكانها، قبل أن تعترف لاحقًا بعكس ذلك عند مواجهتها بالأدلة، مدعية أنها كانت تقوم بفرز البيانات يدويًا.

وعلى الرغم من المحاولات المتكررة لإجبار الشركة على الامتثال، استمرت "Datamasters" في العمل كوسيط بيانات غير مسجل.

وبموجب القرار، أُمرت الشركة بحذف جميع بيانات سكان كاليفورنيا التي بحوزتها قبل نهاية ديسمبر.

كما أُلزمت بحذف أي بيانات مستقبلية تخص سكان الولاية خلال 24 ساعة فقط من استلامها، إضافة إلى تطبيق إجراءات امتثال صارمة لمدة خمس سنوات، وتقديم تقرير مفصل عن ممارسات الخصوصية بعد عام واحد.

غرامة أخرى بحق S&P Global

وفي قضية منفصلة، فرضت "وكالة حماية الخصوصية" غرامة قدرها 62,600 دولار على شركةS&P Global لعدم تسجيلها كوسيط بيانات لعام 2024 في الموعد القانوني المحدد.

وأوضحت الوكالة أن المخالفة نتجت عن خطأ إداري، رغم أن الشركة سارعت لاحقًا إلى تصحيح وضعها.

وأكدت الوكالة أن "S&P Global" ظلت غير مسجلة لمدة 313 يومًا، وهو ما استدعى فرض الغرامة رغم تعاون الشركة.

وتعكس هذه الإجراءات تشدد ولاية كاليفورنيا المتزايد في حماية البيانات الشخصية، خصوصًا البيانات الصحية الحساسة، في وقت تتصاعد فيه المخاوف العالمية من تجارة البيانات واستغلالها دون علم المستخدمين.