Pemerintah Indonesia baru-baru ini menyepakati kebijakan yang memungkinkan transfer data pribadi warga negara Indonesia ke Amerika Serikat. Langkah ini merupakan bagian dari perjanjian perdagangan timbal balik yang disebut-sebut akan memperkuat kerja sama digital dan ekonomi. Namun, keputusan ini menimbulkan kekhawatiran serius dari para pakar, aktivis privasi, dan masyarakat sipil. Pertanyaannya: apakah perlindungan Undang-Undang Perlindungan Data Pribadi (UU PDP) cukup untuk mengamankan hak digital warga Indonesia? Jawaban tegasnya: tidak cukup.
UU PDP: Kuat di Atas Kertas, Lemah di Batas Negara
UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi memberikan kerangka hukum domestik yang memadai untuk mengatur pemrosesan dan transfer data pribadi. Regulasi ini mewajibkan persetujuan eksplisit dari subjek data, mengharuskan negara penerima memiliki tingkat perlindungan yang setara, serta membentuk Otoritas PDP sebagai pengawas independen. Namun, peraturan ini bersifat inward-looking—kuat di dalam negeri, namun tak bergigi dalam urusan lintas negara.
Amerika Serikat, hingga kini, belum memiliki undang-undang federal tentang privasi data yang sebanding dengan UU PDP. Perlindungan data di AS bersifat sektoral dan tidak menyeluruh. Lebih buruk lagi, dengan adanya CLOUD Act, pemerintah AS berhak mengakses data milik warga negara asing yang disimpan oleh perusahaan AS, bahkan tanpa perlu pemberitahuan atau izin dari negara asal data tersebut.
Kritik Pakar: Antara Risiko Siber dan Kelemahan Posisi Tawar
Ketua Indonesia Cyber Security Forum, Ardi Sutedja, memperingatkan bahwa kebijakan ini membuka risiko serangan siber, manipulasi opini publik, dan bahkan spionase. Ia menilai bahwa Indonesia seolah menyerahkan kendali atas data strategis ke negara asing dengan sistem hukum yang tidak simetris.
Pakar keamanan digital dari UGM, Prof. Ridi Ferdiana, juga mengkritik bahwa kesepakatan ini menguntungkan Amerika Serikat secara sepihak. AS tak perlu membangun infrastruktur di Indonesia, sementara data—sebagai “minyak baru” abad 21—mengalir bebas ke pusat-pusat data mereka.
Kedaulatan Digital Bukan Komoditas Perdagangan
Kesepakatan ini mencederai prinsip dasar kedaulatan digital, yaitu hak sebuah negara untuk mengatur dan melindungi data warganya di ruang digital. Saat data dijadikan bagian dari transaksi dagang, maka negara membuka pintu lebar untuk dominasi ekonomi digital asing dan mengerdilkan kapasitas kedaulatannya sendiri.
Organisasi seperti Imparsial dan ELSAM menyebut bahwa tidak ada justifikasi moral maupun hukum untuk menjadikan data pribadi sebagai barang tukar dalam perjanjian dagang. Mereka menuntut transparansi dalam proses perundingan dan jaminan bahwa setiap transfer data harus melalui persetujuan individu yang sadar dan sah.
Apa yang Harus Dilakukan Pemerintah?
Pertama, tunda implementasi transfer data pribadi hingga Otoritas PDP terbentuk dan berfungsi penuh. Kedua, evaluasi ulang perjanjian dengan AS melalui audit independen yang melibatkan lembaga perlindungan konsumen, pakar hukum siber, dan organisasi masyarakat sipil. Ketiga, perkuat diplomasi data Indonesia di forum multilateral, termasuk ASEAN dan G20, agar ada standar global yang melindungi negara berkembang dari dominasi digital negara maju.
Penutup
Data pribadi bukan sekadar serangkaian angka dan nama. Ia adalah perpanjangan identitas warga negara di dunia digital. Mengalihkannya ke yurisdiksi asing tanpa jaminan perlindungan setara adalah bentuk pengabaian terhadap kedaulatan rakyat. UU PDP adalah fondasi penting, namun tak cukup jika Indonesia tak punya keberanian politik untuk menegakkan prinsipnya di arena global. Jangan sampai kita terlambat menyadari bahwa ketika data hilang kendali, demokrasi dan martabat bangsa ikut terancam.
