جميع المقالات
نصائح تجارية·12 min read

قانون حماية البيانات والذكاء الاصطناعي: ما يجب أن تعرفه الشركات في الإمارات

فريق Omago التحريري·
قفل رقمي ووثيقة قانونية بجانب هاتف يعرض محادثة واتساب لخدمة عملاء في الإمارات

قبل أن تربط أي وكيل ذكاء اصطناعي بواتساب، عليك أن تعرف أن بيانات عملائك — الأسماء والأرقام والمواقع ومحتوى المحادثات — تخضع لقانون حماية البيانات الشخصية في الإمارات. على المستوى الاتحادي، ينظّم هذا المرسوم بقانون اتحادي رقم 45 لسنة 2021 (PDPL) المتمحور حول الموافقة والمتأثّر بالنموذج الأوروبي (GDPR). تتراوح الغرامات على المخالفات بين 50,000 و5 ملايين درهم، مع احتمال تعليق المعالجة.

تنبيه مهمّ قبل المتابعة: هذا المقال مرجع تعريفي وليس استشارة قانونية؛ راجع مختصاً قبل اتخاذ قرارات امتثال. المشهد القانوني في الإمارات متعدّد الطبقات — قانون اتحادي للبرّ الرئيسي، وقوانين مستقلّة لمناطق مالية حرة مثل DIFC وADGM — والتفاصيل تتغيّر.

يشرح هذا الدليل، بلغة عملية لصاحب العمل، ما الذي يطلبه PDPL منك عند استخدام الذكاء الاصطناعي في خدمة العملاء: ما البيانات التي يمكنك جمعها واستخدامها، وكيف تتعامل مع نقل البيانات خارج الإمارات، وما الذي تسأل عنه أي مزوّد قبل توقيع العقد.

هل يخرق وكيل الذكاء الاصطناعي قانون PDPL إذا قرأ بيانات العملاء وخزّنها؟

ليس بالضرورة. قراءة بيانات العميل وتخزينها مسموحان طالما لديك أساس قانوني (غالباً الموافقة)، وتجمع الحدّ الأدنى اللازم فقط، وتستخدمه للغرض الذي صُرّح به، وتحفظه بأمان. الخرق يحدث حين تتجاوز هذه الحدود لا بمجرّد المعالجة.

يقوم PDPL على مبادئ مألوفة: الموافقة، تحديد الغرض، تقليل البيانات (اجمع ما يلزم فقط)، الدقّة، الأمان، وحقوق صاحب البيانات في الوصول والتصحيح والحذف. عملياً، هذا يعني أن وكيلك الذي يجمع اسم العميل ورقمه ليؤكّد طلباً يعمل ضمن غرض مشروع، ما دام العميل يعلم بذلك ووافق عليه.

كما يتطلّب القانون تقييم أثر على حماية البيانات (DPIA) في المعالجة الآلية عالية الخطورة أو التصنيف الآلي (Profiling). إذا كان وكيلك يتّخذ قرارات مؤثّرة تلقائياً أو يصنّف العملاء، فهذا اعتبار يستحق مراجعة مختص. تناولنا الجانب العملي لحوكمة البيانات في خدمة العملاء ضمن دليلنا الأوسع، ويمكنك الاطّلاع على السياق التنظيمي الإماراتي في قانون حماية البيانات الشخصية في الإمارات (u.ae).

ما بيانات العملاء التي يمكنني استخدامها قانونياً لتدريب الذكاء الاصطناعي؟

يمكنك استخدام بيانات العملاء لتحسين الخدمة ضمن الغرض المعلن والموافقة الممنوحة، لكنّ استخدامها لتدريب نماذج عامة غرض مختلف يحتاج عادة أساساً قانونياً منفصلاً وشفافية إضافية. القاعدة: لا تعيد استخدام البيانات لغرض لم يوافق عليه العميل.

التمييز الجوهري هو بين «تشغيل الخدمة» و«تدريب النموذج». الردّ على عميل باستخدام معلومات نشاطك غرض تشغيلي واضح. أما تغذية محتوى المحادثات في تدريب نموذج لغوي عام فقد يُعدّ غرضاً جديداً يستوجب الإفصاح والموافقة. كثير من المنصّات تفصل بين الأمرين، ويجدر بك سؤال مزوّدك صراحة.

من الناحية العملية، فضّل المزوّد الذي لا يستخدم بيانات عملائك لتدريب نماذجه العامة افتراضياً، أو الذي يتيح لك الانسحاب من ذلك. وفصّلنا كيف تبني قاعدة معرفة من معلومات نشاطك أنت — لا من بيانات حسّاسة — في كيف تبني قاعدة معرفة للذكاء الاصطناعي. تذكير: هذا ليس استشارة قانونية؛ راجع مختصاً قبل أي قرار يخصّ التدريب.

شركتي في البرّ الرئيسي ولديّ عملاء في DIFC — هل أحتاج امتثالاً لنقل البيانات؟

غالباً نعم. الحقيقة العملية التي تفوت كثيرين هي أن المناطق المالية الحرة مثل DIFC وADGM لا تعامل البرّ الرئيسي للإمارات كولاية «ملائمة» تلقائياً، فقد يُعدّ تدفّق البيانات بين البرّ الرئيسي والمنطقة الحرة نقلاً عابراً للحدود يحتاج تقييم ملاءمة موثّقاً وضمانات تعاقدية.

لدى DIFC قانونها الخاص — قانون حماية البيانات رقم 5 لسنة 2020، المعدَّل بالقانون رقم 1 لسنة 2025 (نافذ يوليو 2025) — الذي أدخل حقّ تقاضٍ خاصاً يتيح لصاحب البيانات مقاضاة الشركة مباشرة أمام محاكم DIFC، إضافة إلى غرامات إدارية محدّدة تتراوح بين USD 25,000 و50,000 لإخفاقات معيّنة. أما ADGM فلديها لائحة حماية البيانات لسنة 2021 المتوائمة مع GDPR.

الخلاصة العملية: المسألة ليست «هل يجب أن تبقى البيانات داخل الإمارات؟» بل «بأي شروط تتحرّك البيانات بين الجهات؟». وثّق من أين تأتي البيانات وإلى أين تذهب، وتأكّد من وجود ضمانات تعاقدية عند العبور بين البرّ الرئيسي والمناطق الحرة. للمزيد من التفاصيل، راجع تحليل Bird & Bird لتعديل قانون DIFC (2025) — مع التذكير بأن هذا ليس استشارة قانونية.

هل خوادم الذكاء الاصطناعي في الإمارات أم تُرسل البيانات إلى أمريكا؟

يعتمد ذلك على المزوّد. عند ربط نموذج لغوي عام مستضاف في الخارج (مثل خوادم في الولايات المتحدة) بواتساب، فإن بيانات شخصية قد تغادر الإمارات لأغراض المعالجة (Inference) — وهذا نقل عابر للحدود يستوجب أساساً قانونياً وضمانات.

طرحت بعض المراجع التقنية أنماطاً معمارية للامتثال، مثل «تثبيت المعالجة في منطقة محدّدة» (Region-pinned inference) داخل بنية سحابية لها وجود في الإمارات، و«تنقية البيانات الحسّاسة عند الطرف» (PII redaction) قبل إرسالها للنموذج. هذه مقاربات مطروحة لا متطلّبات رسمية، ومصدرها مدوّنات مزوّدين، فاعتبرها خيارات تصميم تناقشها مع مختص.

السؤال العملي الذي تطرحه على أي مزوّد: أين تُعالَج بياناتي جغرافياً؟ وهل تُنقّى البيانات الحسّاسة قبل الإرسال؟ وكيف توثّقون ملاءمة النقل؟ المزوّد الذي يجيب بوضوح عن هذه الأسئلة هو من يستحق ثقتك. وقد فصّلنا معايير اختيار المزوّد في كيف تقيّم الشركات في الإمارات حلول خدمة العملاء بالذكاء الاصطناعي وتشتريها.

ما الذي يجب أن أسأل عنه أي مزوّد قبل ربط الذكاء الاصطناعي بواتساب؟

اسأل عن خمسة أمور قبل التوقيع: مكان معالجة البيانات، وسياسة التدريب، وآلية الموافقة والحذف، وضمانات نقل البيانات، وسجلّ المعالجة. هذه الأسئلة الخمسة تكشف جدّية المزوّد في الامتثال.

هذه قائمة عملية يمكنك استخدامها حرفياً مع أي مزوّد:

  1. مكان المعالجة: أين تُعالَج بيانات عملائي جغرافياً، وهل تغادر الإمارات؟
  2. التدريب: هل تستخدمون محتوى محادثاتي لتدريب نماذجكم العامة؟ وهل أستطيع الانسحاب؟
  3. الموافقة والحقوق: كيف تدعمون جمع الموافقة، وحقوق العميل في الوصول والتصحيح والحذف؟
  4. نقل البيانات: ما الضمانات التعاقدية عند نقل البيانات عبر الحدود أو بين البرّ الرئيسي والمناطق الحرة؟
  5. الأمان والسجلّ: كيف تشفّرون البيانات وتخزّنونها، وهل تحتفظون بسجلّ معالجة يمكنني مراجعته؟

ذكّرنا استطلاع DFSA بأن جزءاً من متبنّي الذكاء الاصطناعي يفتقرون لإشراف واضح على البيانات، ما يجعل هذه الأسئلة ضرورية لا تكميلية. منصّات مثل Omago — وهي منصّة وكلاء ذكاء اصطناعي تساعد الشركات الصغيرة على أتمتة محادثات العملاء عبر واتساب وتيليجرام ودردشة الويب — يجب أن تجيب عنها بوضوح. والقاعدة الأخيرة، وهي الأهمّ: هذا المقال ليس استشارة قانونية؛ راجع مختصاً في حماية البيانات قبل اعتماد أي إعداد.

الأسئلة الشائعة

هل يكفي PDPL وحده أم تنطبق قوانين أخرى؟

يعتمد على مكان تأسيس شركتك. شركات البرّ الرئيسي تخضع للمرسوم الاتحادي 45/2021، بينما شركات DIFC تخضع لقانون 5/2020 المعدَّل (1/2025)، وشركات ADGM للائحة 2021. إذا كنت تتعامل عبر هذه الجهات، فقد ينطبق أكثر من إطار. هذا ليس استشارة قانونية؛ راجع مختصاً.

هل يجب أن تبقى بيانات عملائي داخل الإمارات إلزامياً؟

ليس بالضرورة بشكل مطلق. القاعدة الأدقّ هي أن نقل البيانات خارج الإمارات (أو بين البرّ الرئيسي والمناطق الحرة) يحتاج أساساً قانونياً وضمانات وتقييم ملاءمة، لا أن البيانات «ممنوعة» من المغادرة. الشروط أهمّ من الموقع وحده.

ما الغرامات المحتملة على مخالفة PDPL؟

على المستوى الاتحادي، تتراوح الغرامات بين 50,000 و5 ملايين درهم مع احتمال تعليق المعالجة (PDPL، 2021). أما في DIFC فهناك غرامات إدارية محدّدة بين USD 25,000 و50,000 لإخفاقات معيّنة، إضافة إلى حقّ التقاضي الخاص. تحقّق من الأرقام المحدّثة مع مختص.

كيف أبدأ الامتثال دون مشروع تقني ضخم؟

ابدأ بالأساسيات: اجمع الموافقة بوضوح، اجمع الحدّ الأدنى من البيانات، اختر مزوّداً يجيب عن أسئلة الامتثال الخمسة أعلاه، ووثّق تدفّق بياناتك. للمزيد عن الجوانب العملية، راجع خصوصية بيانات العملاء والذكاء الاصطناعي للشركات الصغيرة. ثم اعرض إعدادك على مختص قانوني.

المصادر: المرسوم بقانون اتحادي رقم 45 لسنة 2021 — PDPL (uaelegislation.gov.ae)، قانون حماية البيانات الشخصية في الإمارات (u.ae)، Bird & Bird — تعديل قانون حماية البيانات في DIFC (2025)، DataGuidance — نظرة على تعديل قانون DIFC، KPMG — تعزيز حماية البيانات في DIFC. تنبيه: هذا المقال ليس استشارة قانونية؛ راجع مختصاً في حماية البيانات.

هل أنت مستعد لتجربة Omago؟

أنشئ وكيل الذكاء الاصطناعي الخاص بك في دقائق. ابدأ مجانًا، بدون بطاقة ائتمان.

ابدأ مجانًا

المقال السابق

خدمة عملاء بالعربية والإنجليزية معاً: كيف يديرها وكيل ذكاء اصطناعي واحد

المقال التالي

كم تكلّف خدمة واتساب للأعمال الشركات الصغيرة في الإمارات فعلياً؟ (بالدرهم)