Buka konten ini
Dosen Hukum Siber Fakultas Hukum Universitas Airlangga
Pemerintah Indonesia dan Amerika Serikat (AS) baru saja menandatangani perjanjian dagang yang membuka peluang besar pengembangan di sektor ekonomi digital. Banyak pihak yang menyambut langkah itu sebagai momentum strategis untuk mempercepat transformasi digital Indonesia. Namun, di balik peluang tersebut, muncul satu pertanyaan mendesak: apakah perjanjian itu bisa menjadi ancaman terhadap privasi warga negara?
Dalam era digital saat ini, data pribadi bukan sekadar informasi, melainkan aset yang sangat strategis. Data menjadi bahan baku utama dalam layanan digital, kecerdasan buatan, serta transaksi lintas negara. Ketika data menjadi komoditas yang dapat dipindahkan dari satu yurisdiksi ke yurisdiksi lain, isu pelindungan hak privasi tak bisa diabaikan.
Ketimpangan Regulasi
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) memang mengatur kemungkinan transfer data pribadi ke luar negeri. Namun, mekanisme pelaksanaannya masih buram. UU PDP mengamanatkan bahwa transfer data hanya boleh dilakukan jika negara tujuan memiliki standar perlindungan yang setara (prinsip kecukupan/adequacy principle) atau jika ada perjanjian yang menjamin perlindungan, atau sebagai jalan terakhir, dengan mekanisme permintaan persetujuan dari subjek data (consent).
Permasalahannya, Indonesia hingga kini belum memiliki lembaga pengawas pelindungan data seperti yang diwajibkan pasal 58 UU PDP. Tanpa otoritas itu, akan timbul pertanyaan: siapa yang memastikan bahwa data warga benar-benar dilindungi ketika ditransfer ke negara lain? Bagaimana mekanisme pengawasan dan penegakannya?
AS tidak menganut sistem hukum pelindungan data yang komprehensif seperti Uni Eropa. Sistem mereka bersifat terfragmentasi dan sektoral. Sampai saat ini, belum ada satu pun undang-undang di level federal yang mengatur secara menyeluruh soal pelindungan data pribadi.
Hal itu membuat AS tidak mendapat pengakuan adequacy dari Uni Eropa. Begitu pula apabila kita merefleksikan UU PDP kita. Masih banyak elemen pengaturan yang belum bisa dikatakan sebagai regulasi PDP yang komprehensif.
Dengan kondisi seperti itu, bagaimana posisi Indonesia jika data warganya ditransfer ke AS? Apakah perlindungan privasi akan setara atau justru makin rentan? Tanpa aturan pelaksana dan lembaga pengawas yang berfungsi efektif, kita bisa saja membiarkan data warga mengalir ke yurisdiksi lain tanpa adanya jaminan bahwa perlakuan terhadap data tersebut sesuai dengan prinsip-prinsip pelindungan yang dijamin dalam hukum nasional.
Implikasi hukumnya pun tidak sederhana. Pertama, tanpa dasar hukum yang jelas, transfer data ke luar negeri berpotensi melanggar pasal 56 UU PDP. Terutama jika tidak didasarkan pada prinsip adequacy, perjanjian yang memadai, atau persetujuan yang sah. Kedua, tidak adanya otoritas yang dapat menyelidiki dan menindak pelanggaran membuat hak subjek data sulit ditegakkan. Apalagi jika pelanggaran terjadi di negara lain yang memiliki sistem hukum beda atau tak kompatibel.
Ketiga, dalam konteks hukum internasional, posisi Indonesia menjadi lemah karena tidak memiliki perangkat kelembagaan yang bisa menjadi mitra sejajar dalam kerja sama atau penyelesaian sengketa lintas negara terkait data pribadi.
Akibatnya, bukan hanya hak warga negara yang berpotensi dilanggar. Reputasi hukum Indonesia di mata dunia juga akan dipertanyakan. Negara bisa dianggap tidak mampu melindungi datanya sendiri. Hal itu bisa berimbas pada menurunnya kepercayaan global terhadap ekosistem digital Indonesia, termasuk investor dan penyedia layanan internasional.
Jika tidak ada adequacy principle dan perjanjian, consent (persetujuan) dari subjek data menjadi opsi terakhir. Namun, itu pun mengandung persoalan. Dalam banyak kasus, persetujuan yang diberikan pengguna digital sering kali tidak benar-benar bebas. Lebih dari itu, banyak pengguna yang tidak tahu ke mana data mereka dikirim dan bagaimana data itu diproses di negara tujuan. Setelah data berpindah ke luar negeri, sangat sulit bagi warga negara untuk menelusuri pelanggaran atau meminta pemulihan. Dengan kata lain, consent sering kali hanyalah formalitas yang tak menjamin pelindungan yang paripurna.
Upaya Pelindungan
Perjanjian dagang RI dengan AS tak bisa ditolak begitu saja. Namun, pemerintah harus menyadari bahwa keterbukaan arus data harus dibarengi dengan sistem pelindungan yang kuat. Setidaknya, ada tiga langkah mendesak.
Pertama, segera membentuk otoritas pengawas pelindungan data pribadi yang independen dan berwenang penuh untuk mengatur transfer data lintas negara.
Kedua, menerbitkan peraturan pelaksana UU PDP, termasuk standar kontrak internasional, pengakuan prinsip adequacy, dan model perjanjian antarkorporasi (binding corporate rules/BCRs).
Ketiga, aktif berdiplomasi siber dalam forum regional dan internasional –seperti APEC Cross-Border Privacy Rules (CBPR) atau ASEAN Model Contractual Clauses (MCCs)– guna memperkuat posisi tawar Indonesia dalam ekonomi digital global.
Pemerintah tak boleh hanya berfokus pada pertumbuhan ekonomi digital dan investasi asing tanpa memikirkan pelindungan warga negaranya. Privasi adalah hak dasar, hak konstitusional yang dijadikan objek dalam perjanjian dagang tersebut. Bukan bonus yang bisa dinegosiasikan. (*)