Vendor Non-Compliance: அதிகரிக்கும் செலவுகள்!
இந்தியாவில் டிஜிட்டல் தனிநபர் தரவு பாதுகாப்பு (DPDP) சட்டம் அமலுக்கு வந்துள்ள நிலையில், பெரும்பாலான நிறுவனங்கள் ஒரு முக்கியமான விஷயத்தில் தடுமாறி வருகின்றன. அது, தங்கள் சேவைகளைப் பயன்படுத்தும் மூன்றாம் தரப்பு Vendor-களால் (Data Processors) ஏற்படும் தரவுப் பாதுகாப்பு அபாயங்களைக் (Data Privacy Risks) கையாள்வதுதான். பல நிறுவனங்களின் உயர்மட்ட நிர்வாகம் இந்தச் சட்டம் பற்றி அறிந்திருந்தாலும், நடைமுறையில், குறிப்பாக தரவுகளைச் செயல்படுத்தும் Vendor-கள் விஷயத்தில், தயார்நிலை குறைவாகவே உள்ளது. இது வெறும் நிர்வாகக் குறைபாடு மட்டுமல்ல; மிகப்பெரிய நிதிச் சிக்கலையும், நற்பெயருக்குக் களங்கத்தையும் ஏற்படுத்தும். DPDP சட்டப்படி, தனிப்பட்ட தரவுகளை Vendor-கள் எவ்வாறு கையாள்கிறார்கள் என்பதற்கும், தரவுப் பாதுகாப்பு அதிகாரி (Data Fiduciary) தான் பொறுப்பு. IT சேவை வழங்குநர்கள், கிளவுட் பிளாட்ஃபார்ம்கள் அல்லது அனலிட்டிக்ஸ் நிறுவனங்கள் என யார் தவறு செய்தாலும், அதற்கான சட்ட மற்றும் நற்பெயர் பாதிப்புகள் நிறுவனத்திற்கே வரும். ஒவ்வொரு விதிமீறலுக்கும் ₹250 கோடி வரை அபராதம் விதிக்கப்படலாம். ஏற்கெனவே இந்தியாவில் ஒரு டேட்டா பிரீச் (Data Breach) ஏற்படுவதற்கான சராசரி செலவு ₹22 கோடி என 2025-ல் பதிவான நிலையில், Vendor-களின் போதிய பாதுகாப்பு இல்லாததாலோ அல்லது முறையற்ற தகவல் அறிவிப்பாலோ இது மேலும் அதிகரிக்கும்.
செயல்பாட்டுத் தடைகள் மற்றும் நிபுணத்துவப் பற்றாக்குறை
தரவுப் பாதுகாப்பை உறுதிசெய்ய வலுவான நடவடிக்கைகளை மேற்கொள்வது, பல செயல்பாட்டுச் சிக்கல்களால் தடைபடுகிறது. EY அறிக்கையின்படி, சுமார் 77% நிறுவனங்கள், தங்களுக்குச் சம்மதம் மேலாண்மை (Consent Management), தரவு கண்டறிதல் (Data Discovery) போன்ற தனியுரிமைத் தொழில்நுட்பங்களை (Privacy Technologies) தங்கள் பழைய சிஸ்டம்களுடன் (Legacy Systems) ஒருங்கிணைப்பதில் சிரமப்படுகின்றன. இதைவிடப் பெரிய பிரச்சனை, இந்தத் துறையில் நிபுணத்துவம் வாய்ந்தவர்கள் பற்றாக்குறையாக இருப்பதுதான். 76.4% பேர் இதைச் சுட்டிக்காட்டியுள்ளனர். இதனால், DPDP சட்டம் மற்றும் விதிமுறைகளைச் சரியாகப் புரிந்துகொண்டு, நடைமுறைப்படுத்துவது 71% நிறுவனங்களுக்குக் கடினமாக உள்ளது. இந்தப் பிரச்சினைகள், மூன்றாம் தரப்பு Vendor-களின் இடர் மதிப்பீடுகள் (Risk Assessments), காலமுறை தணிக்கைகள் (Periodic Audits), மற்றும் ஒப்பந்தப் புதுப்பிப்புகள் போன்ற அத்தியாவசியமான இணக்க நடவடிக்கைகளை (Compliance Activities) பரவலாக மேற்கொள்ள விடாமல் தடுக்கின்றன. DPDP விதிகள் அறிவிக்கப்பட்டு, மே 2027-க்குள் இணக்கத்தை முடிக்க 18 மாத கால அவகாசம் உள்ள நிலையில், நிறுவனங்கள் இனி தாமதிக்க முடியாது.
துறைகளுக்கிடையேயான வேறுபாடுகள் மற்றும் Vendor கண்காணிப்பு சவால்கள்
DPDP சட்டத்திற்குக் கீழ்ப்படிவதற்கான தயார்நிலை, இந்தியாவின் பல்வேறு தொழில்துறைகளில் கணிசமாக வேறுபடுகிறது. நுகர்வோர், சில்லறை வணிகம், மற்றும் இ-காமர்ஸ் (E-commerce) துறைகள் இணக்கப் பயணத்தை 50% தொடங்கியுள்ளன. இதைத் தொடர்ந்து தொழில்நுட்ப சேவைகள் 38.8%, நிதிச் சேவைகள் 34.7% என அடுத்த இடங்களில் உள்ளன. ஆனால், சுகாதாரம், உற்பத்தி, சுரங்கம், மற்றும் எரிசக்தி போன்ற துறைகளில், சிக்கலான Vendor கட்டமைப்புகள் இருப்பதால், தயார்நிலை மிகவும் குறைவாக உள்ளது. குறிப்பாக, அதிகப் பாதுகாப்பான தரவுகளைக் கையாளும் சுகாதாரத் துறையில், வெறும் 9.9% நிறுவனங்கள் மட்டுமே முன்னேற்றம் கண்டுள்ளன. இந்த சீரற்ற நிலை, Vendor கண்காணிப்பில் ஒரு பிளவுபட்ட அணுகுமுறையை உருவாக்குகிறது. பல நிறுவனங்கள் தனிப்பட்ட தரவுகளைக் கையாளும் Vendor-களை அடையாளம் கண்டாலும், DPDP தேவைகளைப் பூர்த்தி செய்யும் அவர்களின் நடைமுறைத் திறனைச் சரிபார்க்கவில்லை. 72 மணி நேரத்திற்குள் தரவு மீறல் (Breach) குறித்துக் கண்டிப்பாகத் தெரிவிக்க வேண்டும் என்ற விதி, Vendor-களிடம் பதிவுக் காப்பு (Log Retention) மற்றும் பாதுகாப்பு ஏற்பாடுகள் குறித்த அழுத்தத்தை அதிகரிக்கிறது.
நிறுவனங்களுக்கான மூலோபாய அவசியம்
DPDP சட்டத்தைச் செயல்படுத்துவதற்கு, இந்திய வணிகங்கள் தனியுரிமையை (Privacy) பார்க்கும் விதத்தில் ஒரு அடிப்படை மாற்றம் தேவை. இது இனி வெறும் ஒரு ஒப்பந்தப் புள்ளி அல்ல; மாறாக, இது ஒரு ஒருங்கிணைந்த செயல்பாட்டுக் கட்டுப்பாடு (Operational Control). Vendor இடர்களை, நிறுவன இடர்களாக (Enterprise Risk) இது உயர்த்துகிறது. இந்தியாவில் இதற்கு முன்பு நடைபெற்ற பொருட்கள் மற்றும் சேவைகள் வரி (GST) அமலாக்கம், இணக்கச் சுமைகள் மற்றும் தொழில்நுட்ப மாற்றங்கள் தேவைப்பட்டதை நிரூபித்தன. ஐரோப்பிய யூனியனின் GDPR அனுபவம், தரவுப் பாதுகாப்பு விதிமுறைகள் காரணமாக கணிசமான இணக்கச் செலவுகள் மற்றும் முதலீட்டுக் குறைவுகள் ஏற்பட்டதைக் காட்டுகிறது. DPDP இணக்கத்தை வெறும் விதிமுறைப் பட்டியலாகக் கருதாமல், ஒரு கட்டமைப்பு மாற்றமாகக் (Structural Transformation) கருதும் நிறுவனங்கள் அதிக நம்பிக்கையையும், மீள்தன்மையையும் (Resilience) பெறும் என்று ஆய்வாளர்கள் வலியுறுத்துகின்றனர். பெரிய நிறுவனங்களுக்கான ஒரு முறை இணக்கச் செலவுகள் (One-time compliance costs) ₹2.5 கோடி முதல் ₹18 கோடி வரை இருக்கலாம் என்றும், ஆண்டுதோறும் தொடரும் செலவுகள் (Annual recurring costs) ₹50 லட்சம் முதல் ₹10 கோடி வரை இருக்கலாம் என்றும் மதிப்பிடப்பட்டுள்ளது. இது தேவைப்படும் முதலீட்டின் அளவைக் காட்டுகிறது.
ஆய்வாளர்களின் பார்வை மற்றும் எதிர்காலத் தயார்நிலை
இந்திய IT சேவைகள் துறை, AI (Artificial Intelligence) மூலம் வளர்ச்சி அடையும் என்று எதிர்பார்க்கப்படுகிறது. இது முதலீட்டுத் திறனைக் குறிக்கிறது, ஆனால் அதே நேரத்தில் தரவுப் பங்கு அபாயங்களையும் அதிகரிக்கிறது. இருப்பினும், வரவுசெலவுத் திட்டக் கட்டுப்பாடுகள் (Budget Constraints) DPDP இணக்கத்திற்கு ஒரு காரணியாகவே உள்ளது. நிபுணர்களின் பொதுவான கருத்து என்னவென்றால், தரவு நிர்வாகத்தை நவீனமயமாக்குதல், ஒப்புதல் கட்டமைப்புகளை வலுப்படுத்துதல், மற்றும் தனியுரிமை-வடிவமைப்பு (Privacy-by-Design) அமைப்புகளை உருவாக்குதல் போன்ற முன்கூட்டிய அணுகுமுறை (Proactive approach) அவசியம். Vendor நிர்வாகத்தில் தாமதிப்பது, ஒழுங்குமுறை அபராதங்களை மட்டுமல்லாமல், செயல்பாட்டுத் தடைகளையும், கடுமையான நற்பெயர் சேதத்தையும் ஏற்படுத்தும். எதிர்காலப் பாதை, ஆரம்பகட்ட மதிப்பீடுகளைத் தாண்டி, தனியுரிமையை நிறுவனத்தின் கலாச்சாரம், அமைப்புகள் மற்றும் செயல்முறைகளில் ஆழமாகப் பதித்து, அதை ஒரு மூலோபாய வணிகக் கட்டாயமாக (Strategic Business Imperative) மாற்றுவதை நோக்கியதாக இருக்க வேண்டும்.