भारताचा डेटा कायदा: ग्लोबल हबला मोठा झटका! आता नियमांचे पालन करणे बंधनकारक

कॉस्ट-सेव्हिंगकडून जबाबदारीकडे मोठे स्थित्यंतर

भारताच्या डिजिटल पर्सनल डेटा प्रोटेक्शन ॲक्ट (DPDPA) ची मे २०२७ मध्ये होणारी पूर्ण अंमलबजावणी ग्लोबल कॅपॅबिलिटी सेंटर्स (GCCs) साठी मोठे बदल घडवून आणणार आहे. गेली ३० वर्षे, हे सेंटर्स मल्टीनॅशनल कंपन्यांसाठी कमी खर्चात डेटा प्रोसेसिंगची केंद्रे म्हणून काम करत होते. अनेकदा त्यांचे नियमन फारसे स्पष्ट नव्हते. DPDPA मुळे हे सेंटर्स आता डेटा फिड्युशरी म्हणून जबाबदार असतील आणि डेटा प्रोसेसिंग निर्णयांची कडक जबाबदारी असल्यामुळे त्यांना त्यांच्या अंतर्गत प्रणालींमध्ये महत्त्वपूर्ण सुधारणा कराव्या लागतील.

नियामक जोखमी समजून घेणे

इतर काही नियमांप्रमाणे लवचिक पालनावर लक्ष केंद्रित न करता, भारताचा कायदा कठोर दंड आकारतो. सुरक्षा नियमांचे उल्लंघन केल्यास ₹250 कोटींपर्यंत दंड होऊ शकतो, आणि डेटा ब्रीचची माहिती न दिल्यास ₹200 कोटींपर्यंत दंड होऊ शकतो. हे दंड कंपनीच्या उत्पन्नावर आधारित नसून निश्चित रकमेचे आहेत. त्यामुळे मर्यादित बजेट असलेल्या मध्यम आकाराच्या GCCs साठी हा एक मोठा धोका आहे. कंपन्यांना आता किमान एका वर्षासाठी डेटा प्रोसेसिंगचे तपशीलवार रेकॉर्ड ठेवावे लागतील, ज्यामुळे डेटा एक मौल्यवान आणि नियंत्रित मालमत्ता म्हणून गणला जाईल. तसेच, नोव्हेंबर २०२६ पर्यंत थर्ड-पार्टी कन्सेंट मॅनेजर्स (Consent Managers) सॉफ्टवेअरमध्ये समाकलित करणे तांत्रिकदृष्ट्या आव्हानात्मक ठरेल, ज्यासाठी संमती प्रक्रिया आणि विक्रेता करारांचे लवकर ऑडिट करणे आवश्यक आहे.

संरचनात्मक त्रुटी आणि संभाव्य धोके

या कायद्याकडे केवळ एक औपचारिकतेचा भाग म्हणून पाहणाऱ्या कंपन्यांना गंभीर संरचनात्मक समस्यांना सामोरे जावे लागेल. एक मुख्य समस्या मिश्र डेटासेटच्या (Mixed Datasets) प्रक्रियेतून उद्भवते; जागतिक कंपन्या अनेकदा एकाच भारतीय सुविधेत विविध देशांतील डेटा हाताळतात. DPDPA विशेषतः भारतीय रहिवाशांच्या डेटाशी संबंधित आहे, परंतु 'आउटसोर्सिंग एक्झम्प्शन' (Outsourcing Exemption) परदेशी डेटासाठी मर्यादित संरक्षण देते. जे फर्म्स या डेटा स्ट्रीम्सना वेगळे करू शकत नाहीत, त्यांना अनवधानाने नियमांचे उल्लंघन करण्याचा धोका आहे. आंतरराष्ट्रीय डेटा ट्रान्सफरसाठीच्या 'निगेटिव्ह लिस्ट' (Negative List) बद्दलची अनिश्चितता ही आणखी एक चिंतेची बाब आहे. सरकार काही देशांमध्ये डेटा हस्तांतरण अवरोधित करू शकते, ज्यामुळे केंद्रीय प्रणालींवर अवलंबून असलेल्या कंपन्यांच्या जागतिक कामकाजात अडथळा येऊ शकतो. GDPR किंवा US धोरणांपेक्षा वेगळी, भारतासाठी तयार केलेली मजबूत डेटा गव्हर्नन्स प्रणाली नसल्यास, भारतीय केंद्रावर ब्रीच झाल्यास मूळ कंपन्यांना मोठे आर्थिक आणि प्रतिष्ठेचे नुकसान होऊ शकते.

कामकाजाचे भविष्य

व्यवसाय या नियामक बदलाला आता स्पष्टपणे विभागलेल्या प्रतिसादांमध्ये दिसून येतात. आघाडीच्या कंपन्या खर्च कपातीऐवजी 'विश्वासार्ह पायाभूत सुविधा' (Trust Infrastructure) तयार करण्यावर लक्ष केंद्रित करत आहेत, आणि प्रायव्हसी कंप्लायन्सला (Privacy Compliance) स्पर्धात्मक फायदा म्हणून पाहत आहेत. यामध्ये अधिक डेटा गव्हर्नन्स तज्ञ आणि AI कंप्लायन्स तज्ञांची नेमणूक करणे समाविष्ट आहे, ज्यांच्यासाठी सध्याच्या टॅलेंटच्या कमतरतेमुळे जास्त खर्च येत आहे. मे २०२७ ची अंतिम मुदत जवळ येत असताना, ज्या कंपन्यांनी प्रायव्हसीसाठी त्यांच्या सिस्टीमची सक्रियपणे रचना केली आहे, त्या जुन्या सिस्टीम दुरुस्त करण्याचा प्रयत्न करणाऱ्या कंपन्यांपेक्षा चांगल्या स्थितीत असतील, ज्यामुळे भारतीय बाजारातील त्यांचे दीर्घकालीन यश निश्चित होईल.