Bayangkan jika data KTP, riwayat kesehatan, percakapan daring, hingga rekam transaksi digital Anda, tanpa sepengetahuan atau persetujuan Anda, berakhir di tangan lembaga intelijen asing. Fantasi? Bukan. Itu skenario yang mungkin saja terjadi jika Indonesia gegabah mempercayakan data pribadi warganya kepada negara dengan rekam jejak pengawasan massal. Di tengah gegap-gempita kesepakatan digital lintas batas dengan Amerika Serikat, kita perlu bertanya: apakah ini terobosan atau jebakan?
Publik Indonesia dikejutkan dengan kabar mengenai kesepakatan antara pemerintah Indonesia dan Amerika Serikat yang melibatkan penyerahan pengelolaan data pribadi masyarakat Indonesia kepada Negeri Paman Sam. Narasi yang beredar, termasuk dari media terkemuka, menyebutkan bahwa langkah ini merupakan bentuk pengakuan Indonesia terhadap AS sebagai yurisdiksi dengan perlindungan data yang memadai, sekaligus terikat pada kesepakatan penetapan tarif resiprokal 19 persen untuk Indonesia.
Di permukaan, ini terdengar sebagai langkah strategis dalam memperkuat perdagangan digital dan mempererat hubungan bilateral. Namun, di balik janji-janji ekonomi, tersembunyi kekhawatiran serius mengenai implikasi jangka panjang terhadap privasi, keamanan, dan, yang terpenting, kedaulatan data pribadi jutaan warga negara Indonesia. Mengingat rekam jejak historis Amerika Serikat dalam isu pengawasan data dan kompleksitas lanskap hukum privasi global, wajar jika muncul pertanyaan krusial: apakah "kemitraan" ini benar-benar menguntungkan, atau justru membuka celah bagi risiko yang tidak sepadan?
Indonesia, melalui Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), telah menegaskan komitmennya terhadap hak-hak dasar individu atas privasi dan kendali terhadap data pribadi mereka. Undang-undang ini dirancang sebagai benteng hukum, menetapkan kewajiban ketat bagi Pengendali Data Pribadi, serta memberikan serangkaian hak esensial kepada setiap warga negara: hak untuk menarik persetujuan, hak akses dan koreksi data, hak untuk menghapus data, hingga hak untuk keberatan terhadap pemrosesan otomatis.
Salah satu pasal paling krusial dalam UU PDP adalah Pasal 20 ayat (1) dan (2), yang mengatur secara ketat transfer data pribadi ke luar wilayah hukum Indonesia. Intinya, transfer hanya dapat dilakukan jika negara tujuan memiliki tingkat perlindungan data yang setara atau lebih tinggi, jika ada persetujuan eksplisit dari subjek data setelah edukasi risiko, atau jika ada kontrak perlindungan yang setara dengan ketentuan UU PDP.
Di sinilah letak permasalahannya: apakah benar Amerika Serikat memiliki sistem perlindungan data yang setara atau lebih tinggi dari UU PDP Indonesia?
Pandangan bahwa kesepakatan ini bisa menjadi bumerang bukanlah asumsi liar. Amerika Serikat memiliki sejarah panjang dan meresahkan dalam hal pengelolaan data pribadi, khususnya terhadap warga negara non-AS.
Skandal pengawasan massal oleh National Security Agency (NSA), yang terungkap melalui bocoran Edward Snowden pada tahun 2013, adalah pengingat paling mencolok. Melalui program PRISM, NSA terbukti mengumpulkan data komunikasi dan internet dalam skala besar dari server-server perusahaan teknologi raksasa AS seperti Google, Facebook, Apple, dan Microsoft. Yang paling mengkhawatirkan: data ini tidak hanya mencakup warga AS, tetapi juga miliaran catatan komunikasi dari warga negara asing, termasuk kemungkinan dari Indonesia. Ini bukan lagi fiksi ilmiah. Data kita, tanpa pelindung hukum memadai, meluncur seperti kapal tak bertuan ke pelabuhan asing yang tak mengenal pemiliknya.
Dalam konteks UU PDP, praktik semacam ini berpotensi melanggar sejumlah pasal penting: Pasal 28 tentang penarikan persetujuan, Pasal 29 tentang hak atas informasi pemrosesan data, dan Pasal 30 tentang kontrol penggunaan data. Bagaimana mungkin hak-hak ini ditegakkan jika data sudah berada dalam pengawasan rahasia lembaga asing yang bahkan tidak tunduk pada hukum Indonesia?
Masalah lainnya adalah struktur hukum privasi di Amerika Serikat yang tidak terpusat dan tidak menyeluruh. Berbeda dengan Uni Eropa yang memiliki General Data Protection Regulation (GDPR) sebagai satu sistem komprehensif, AS mengandalkan pendekatan sektoral, seperti HIPAA untuk kesehatan atau CCPA untuk konsumen California. Tidak ada satu pun undang-undang federal yang memberikan perlindungan data pribadi secara holistik dan seragam. Maka wajar jika klaim "kesetaraan perlindungan" dengan UU PDP layak dipertanyakan. Karena bagaimana mungkin sistem yang terfragmentasi dan penuh celah bisa dianggap setara dengan UU PDP yang dirancang sebagai satu sistem pelindung menyeluruh?
