भारताच्या डिजिटल पर्सनल डेटा प्रोटेक्शन ऍक्ट (DPDP) नुसार, कंपन्यांना मे २०२७ पर्यंत नवीन 'कन्सेंट मॅनेजर' (Consent Manager) फ्रेमवर्कचा अवलंब करावा लागेल. ग्लोबल कॅपेबिलिटी सेंटर्स (GCCs) ना आता त्यांच्या डेटा इन्फ्रास्ट्रक्चरचे विश्लेषण करून स्थानिक कन्सेंट नियमांखाली येणाऱ्या आणि परदेशी डेटा सूट (exemption) अंतर्गत येणाऱ्या ऑपरेशन्स निश्चित कराव्या लागतील.
काय घडले?
भारतातील डेटा प्रायव्हसी (Data Privacy) संबंधी नियम अधिक कठोर होत आहेत. डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) फ्रेमवर्क पूर्णपणे लागू होण्याच्या तयारीत आहे. या नियमांचे एक महत्त्वाचे वैशिष्ट्य म्हणजे 'कन्सेंट मॅनेजर'ची (Consent Manager) ओळख. हे मध्यस्थ (intermediaries) व्यक्तींना त्यांची वैयक्तिक माहिती कशी वापरली जात आहे हे ट्रॅक (track) आणि मॅनेज (manage) करण्यास मदत करतील. कन्सेंट मॅनेजर म्हणून काम करू इच्छिणाऱ्या कंपन्या नोव्हेंबर २०२६ पासून नोंदणी प्रक्रिया सुरू करू शकतील आणि मे २०२७ पर्यंत त्यांना पूर्णपणे नियमांचे पालन करावे लागेल. या बदलाचा अनेक कंपन्यांवर परिणाम होणार आहे, विशेषतः ग्लोबल कॅपेबिलिटी सेंटर्स (GCCs) वर, जे भारतीय आणि आंतरराष्ट्रीय दोन्ही ग्राहकांसाठी डेटा हाताळतात.
GCCs साठी याचे महत्त्व काय?
भारतात GCCs चालवणाऱ्या कंपन्यांसमोरील मुख्य आव्हान म्हणजे कोणता डेटा नवीन भारतीय नियमांनुसार येतो आणि कोणता डेटा सूट (exemption) मिळवण्यास पात्र आहे हे निश्चित करणे. सरकारने भारतीय कंपन्यांसाठी एक सूट (carve-out) दिली आहे, ज्या परदेशी कंपन्यांसोबतच्या करारांतर्गत परदेशी नागरिकांचा डेटा प्रोसेस करतात. अशा परिस्थितीत, युरोपमधील GDPR सारखे परदेशी कायदे अधिक महत्त्वाचे ठरतील. मात्र, हे संपूर्ण GCC साठी सूट नाही. ही सूट केवळ त्या विशिष्ट डेटावर लागू होईल जो त्या परदेशी करारांनुसार प्रोसेस केला जात आहे. यामुळे, सामायिक डिजिटल पायाभूत सुविधा (shared digital infrastructure) वापरणाऱ्या कंपन्यांसाठी एक जटिल कामकाजाचे वातावरण तयार होत आहे.
सामायिक पायाभूत सुविधांचे आव्हान
भारतातील अनेक GCCs त्यांच्या जागतिक पालक कंपन्यांसाठी (global parent companies) सेवा केंद्र म्हणून काम करतात. अनेकदा ते एकाच सर्व्हरवर देशी आणि आंतरराष्ट्रीय कर्मचारी किंवा ग्राहकांसाठी डेटा साठवतात. नवीन नियमांनुसार, ही केंद्रे त्यांच्या सर्व डेटासाठी एकच गोपनीयता मानक (privacy standards) लागू करू शकणार नाहीत. त्यांना डेटा स्ट्रीम्स वेगळे करण्यासाठी तपशीलवार ऑडिट (audit) करावे लागेल. जर GCC भारतीय कर्मचाऱ्यांसाठी डेटा प्रोसेस करत असेल, तर त्यांना नोंदणीकृत कन्सेंट मॅनेजरसोबत जोडले जावे लागेल. जर ते पालक कंपनीसोबतच्या करारानुसार जर्मन कर्मचाऱ्यासाठी डेटा प्रोसेस करत असतील, तर त्यांना कन्सेंट मॅनेजरच्या जबाबदाऱ्या लागू होणार नाहीत. हा फरक योग्यरित्या न केल्यास तांत्रिक आणि कंप्लायन्स (compliance) मध्ये त्रुटी येऊ शकतात.
कामकाजाच्या आवश्यकता आणि खर्च
कन्सेंट मॅनेजर म्हणून पात्र होण्यासाठी, कंपनीची स्थापना भारतात झालेली असावी आणि किमान ₹2 कोटींचा नेट वर्थ (net worth) असणे आवश्यक आहे. हे मॅनेजर्स स्वतंत्र फिड्युशरी (independent fiduciaries) म्हणून काम करतील, म्हणजे ते ज्या कंपनीचा डेटा व्यवस्थापित करत आहेत त्यापासून वेगळे राहतील. त्यांना 'डेटा-ब्लाइंड' (data-blind) पद्धतीने काम करावे लागेल, म्हणजेच ते संवेदनशील माहितीमध्ये प्रवेश न करता किंवा त्याचे monetisation न करता केवळ कन्सेंट सिग्नल्स (consent signals) च्या हालचाली सुलभ करतील. GCCs साठी, याचा अर्थ एकाच अंतर्गत उपायावर (internal-only solution) अवलंबून राहण्याऐवजी अनेक कन्सेंट प्लॅटफॉर्म्सशी संवाद साधण्यास सक्षम तंत्रज्ञानामध्ये गुंतवणूक करणे.
गुंतवणूकदारांनी काय लक्ष ठेवावे?
मे २०२७ ची अंतिम मुदत जवळ येत असल्याने, भागधारकांसाठी (stakeholders) मुख्य लक्षणीय बाबी म्हणजे तांत्रिक एकत्रीकरणाचा खर्च (technical integration costs) आणि भारतीय टेक हब्समधील कार्यक्षमतेवर होणारा संभाव्य परिणाम. कंपन्या 'डेटा-ब्लाइंड' कन्सेंट सिग्नल्स हाताळण्यासाठी त्यांच्या IT पायाभूत सुविधांमध्ये कसे बदल करतात याकडे गुंतवणूकदार लक्ष देऊ शकतात. याव्यतिरिक्त, कंप्लायन्स बजेट (compliance budgets) आणि डेटा प्रोसेसिंग ऍक्टिव्हिटीजच्या वाढत्या कायदेशीर देखरेखेबद्दल (legal oversight) व्यवस्थापनाचे भाष्य (management commentary) हे कंपन्या त्यांच्या नियामक एक्सपोजरचे (regulatory exposure) व्यवस्थापन कसे करत आहेत याचे महत्त्वाचे निर्देशक असतील.
