Mohon tunggu...
Merza Gamal
Merza Gamal Mohon Tunggu... Konsultan - Pensiunan Gaul Banyak Acara

Menulis untuk berbagi pengetahuan dan pengalaman agar menjadi manfaat bagi orang banyak dan negeri tercinta Indonesia.

Selanjutnya

Tutup

Financial Pilihan

Perlindungan Data dan Perundang-undangan Privasi

7 Juli 2022   10:10 Diperbarui: 7 Juli 2022   10:22 80 10 3
+
Laporkan Konten
Laporkan Akun
Lihat foto
Image: Perlindungan data dan perundang-undangan privasi di berbagi wilayah dunia (File by Merza Gamal)

Perusahaan global yang khas, selama bertahun-tahun,  membangun keunggulan kompetitif dengan mengambil pendekatan yang sama di seluruh geografi dalam model operasi, sistem TI, dan data. Namun belakangan, strategi memenangkan melalui skala ini berada di bawah tekanan.  Hal tersebut terjadi karena negara dan wilayah di seluruh dunia mengembangkan dan menegakkan sejumlah besar peraturan yang tumpang tindih (dan dalam beberapa kasus membingungkan) tentang privasi data, perlindungan, dan pelokalan.

Akibat aturan-aturan tersebut, perusahaan terpaksa beralih dari pendekatan tradisional mereka ke manajemen data. Organisasi yang unggul dalam berpikir secara global sekarang harus berpikir secara lokal. Kondisi tersebut menaikkan biaya kepatuhan regional perusahaan karena mereka harus menginvestasikan waktu, energi, dan perhatian manajemen untuk memahami aspek unik dari setiap yurisdiksi peraturan tempat perusahaan beroperasi.

Saat ini, telah 75 persen negara yang menerapkan beberapa tingkat aturan pelokalan data. Hal tersebut memiliki implikasi besar untuk jejak TI, tata kelola data, dan arsitektur data perusahaan, serta interaksi mereka dengan regulator lokal. Aturan pelokalan umumnya dimaksudkan untuk mencegah kejahatan dunia maya (seperti pencurian identitas), untuk mempromosikan ekonomi lokal (misalnya, dengan menciptakan lapangan kerja), dan untuk mengatasi kekhawatiran yang meningkat tentang privasi.

Masalah regulasi tersebut sering menjadi masalah yang paling diperdebatkan. Yurisdiksi yang berbeda mencapai kesimpulan yang berbeda tentang bagaimana menyeimbangkannya dengan keinginan perusahaan untuk memanfaatkan data bagi kepentingan komersial mereka sendiri.

Perusahaan dapat menangani persyaratan dengan lebih berhasil dengan memahami motif regulator. Dan, dengan fokus secara eksklusif pada kepatuhan terhadap aturan, mereka dapat mengatasi alasan yang mendasarinya.

Peraturan privasi data saat ini dapat dibagi ke dalam empat kategori besar:

  1. Pembatasan geografis pada ekspor data mengharuskan data disimpan dan diproses dalam negara atau wilayah tertentu. Perusahaan untuk memenuhi hal tersebut harus membuat infrastruktur, kemampuan komputasi, dan tim terpisah untuk masing-masing wilayah. Misalnya, di Eropa peraturan Schrems II membatasi transfer data pribadi negara ketiga tanpa tingkat perlindungan yang sesuai, perusahaan harus membangun infrastruktur regional dan kurang mampu melayani pelanggan di seluruh wilayah. Sementara itu, di Timur Tengah, aturan lokalisasi memaksa perusahaan untuk membangun arsitektur TI di negara tertentu. Dan, perusahaan global di China sedang membangun arsitektur TI yang memagari bisnis China mereka untuk memastikan bahwa mereka menggunakan data mereka sesuai dengan persyaratan hukum negara tersebut.
  2. Pembatasan geografis memungkinkan data disalin di luar negara asal untuk diproses tetapi memerlukan replika di infrastruktur lokal. Misalnya di Indonesia dan Malaysia, aturan-aturan tersebut seringkali dimaksudkan untuk mengembangkan ekonomi lokal.
  3. Peraturan berbasis izin mengharuskan lembaga untuk mendapatkan persetujuan dari individu tertentu untuk mengirimkan data. Misalnya di Brasil dan Argentina mengharuskan bank untuk mendapatkan izin eksplisit dari nasabah mereka.
  4. Peraturan berbasis standar memungkinkan institusi untuk memindahkan data lebih bebas di luar yurisdiksi asal. Akan tetapi, peraturan tersebut mengharuskan mereka untuk memastikan keamanan dan privasi data pelanggan mereka.

Globalisasi telah mendorong konvergensi standar dan menurunkan hambatan perdagangan. Lokalisasi data bekerja dalam arah yang berlawanan dan membutuhkan pendekatan lokal. Kondisi tersebut mengikis efisiensi karena institusi harus mempertahankan lebih banyak orang dan teknologi di pasar tertentu dan menurunkan kemampuan mereka untuk menyediakan layanan yang mulus dan konsisten di seluruh negara. Hal tersebut juga meningkatkan tingkat risiko kepatuhan. Persyaratan pelokalan data di beberapa negara, dapat membuat pasar menjadi tidak menarik secara ekonomi, mendorong institusi untuk keluar, membatasi jejak global mereka, dan menghilangkan layanan pasar tersebut.

Kompleksitas lokalisasi dalam globalisasi memanifestasikan dirinya dalam beberapa cara sebagai berikut:

  1. Persyaratan lokalisasi yang bervariasi. Banyak peraturan seperti itu di tingkat nasional, yang membuatnya sangat bervariasi dan, dalam beberapa kasus, kontradiktif (lihat Image). Beberapa yurisdiksi dapat mengatur kumpulan data yang sama. Namun, tidak mungkin bagi banyak perusahaan untuk mematuhi semua peraturan. Salah satu contoh utama, yaitu: protokol anti-pencucian uang AS, yang harus diterapkan secara global, meskipun di banyak negara peraturan lokasi data menghalangi pertukaran informasi.
  2. Campuran standar peraturan dan interpretasi. Beberapa peraturan didasarkan pada prinsip, yang lain pada aturan. Ketidakjelasan tersebut dapat menyulitkan untuk memprediksi apa yang boleh dan tidak boleh. Terkadang aturan diterapkan secara tidak konsisten: regulator memberikan jawaban yang berbeda untuk lembaga yang berbeda. Perusahaan harus dapat memperbarui pendekatan mereka secara sering karena aturan berkembang pesat. Masalah tersebut menjadi sangat sulit, karena keputusan teknologi sering kali melibatkan cakrawala waktu multidekade. Sebagai contoh, The European Union's General Data Protection Regulation (GDPR/ Peraturan Perlindungan Data Umum Uni Eropa), menjabarkan standar dan persyaratan teknis untuk menangani informasi pribadi yang dikumpulkan di negara-negara anggotanya. Akan tetapi, perusahaan masih belajar untuk menerjemahkan peraturan ini ke dalam pedoman internal khusus untuk keputusan teknologi.
  3. Memvariasikan standar untuk sistem teknis. Peraturan seperti GDPR, Undang-Undang Keamanan Siber China, dan undang-undang data Rusia semuanya menguraikan standar untuk sistem yang menangani data pribadi warga negara. GDPR menciptakan persyaratan pelokalan de facto yang tidak eksplisit dalam undang-undang dengan secara ketat mengatur transfer data ke wilayah yang "tidak aman". Sementara itu, India mengamanatkan kehadiran fisik data (atau salinan) di dalam negara. Lalu, China dan Rusia memberlakukan persyaratan pelokalan teknis tambahan (misalnya, tinjauan kode sumber dan pembatasan kriptografi), yang dapat membahayakan kekayaan intelektual, sistem, dan aset.
  4. Kesulitan bertahan dari ancaman siber. Persyaratan pelokalan membalikkan tren menuju model keamanan terpusat. Kerentanan yang dihasilkan termasuk eksfiltrasi data dan masalah dengan infrastruktur, enkripsi, dan integritas kode sumber. Model yang lebih terdesentralisasi membagi perhatian manajemen dan alokasi sumber daya.
  5. Ketegangan yang meningkat pada teknologi. Banyak institusi mengalami kesulitan mengidentifikasi semua sistem yang menyimpan informasi sensitif dan menerapkan kontrol untuk mereka. Hal tersebut sangat sulit di lingkungan warisan di mana para teknolog asli telah pindah dan dokumentasi yang buruk membuat tata kelola sulit untuk diterapkan.
  6. Model operasi. Memastikan kepatuhan terhadap persyaratan pelokalan membutuhkan lebih banyak investasi di berbagai wilayah, termasuk mempekerjakan keahlian lokal. Hal tersebut membutuhkan tanggung jawab yang jelas dan koordinasi yang baik di banyak entitas yang berbeda, termasuk privasi, data, teknologi, unit bisnis, dan urusan peraturan. Kondisi tersebut bisa sulit dicapai, karena mereka mungkin memiliki prioritas yang saling bertentangan.
  7. Pengawasan menyebar di luar data pribadi menjadi data komersial. Beberapa undang-undang, misalnya China Cybersecurity Law, mengidentifikasi sektor-sektor penting di mana informasi bisnis tidak boleh ditransfer ke luar negeri tanpa izin dari pemerintah. Sektor-sektor tersebut adalah telekomunikasi, energi, jasa keuangan, pemerintah, dan infrastruktur penting.
  8. Penegakan sebagai prioritas dan denda yang signifikan. Sebagai contoh di Uni Eropa dan Rusia mengambil tindakan regulasi besar untuk menegakkan aturan mereka. Uni Eropa mendenda Amazon $888 juta baru-baru ini karena melanggar GDPR. Rusia melarang perusahaan media sosial asing. Sementara itu, badan pengatur di China telah bergerak melawan raksasa teknologi China yang terdaftar di bursa saham global. Dalam contoh yang lebih ekstrim, negara-negara melarang beberapa layanan sama sekali. Misalnya, Otoritas Perlindungan Data Austria telah memutuskan untuk melarang penggunaan Google Analytics karena kekhawatiran bahwa data pribadi Uni Eropa dapat diekspos sebagai akibat dari undang-undang pengawasan Amerika Serikat yang bertentangan dan melanggar GDPR.

Penyesuaian tersebut bukan peningkatan yang mudah. Namun demikian, perusahaan yang menemukan cara untuk bergerak dengan mulus melintasi geografi akan menikmati imbalan yang signifikan melalui pertumbuhan dan peningkatan pangsa pasar dengan mematuhi persyaratan lokal.  Pada saat yang sama, dengan kumpulan data yang diperoleh, perusahaan dapat menawarkan pengalaman pelanggan yang hebat dan memanfaatkan kekuatan global mereka.

Sumber bacaan:

HALAMAN :
  1. 1
  2. 2
Mohon tunggu...

Lihat Konten Financial Selengkapnya
Lihat Financial Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!

Video Pilihan

LAPORKAN KONTEN
Alasan