Pakar Ungkap Risiko Transfer Data Imbas Perjanjian Dagang RI-AS

Chairman Lembaga Riset Keamanan Siber dan Komunikasi CISSReC Pratama Persadha mengungkap sejumlah konsekuensi dari transfer data pribadi lintas negara ke Amerika Serikat (AS), buntut Perjanjian Perdagangan Resiprokal Indonesia-AS (ART) yang ditandantangi kedua negara pada 19 Februari.

Transfer data pribadi dari Indonesia ke AS merupakan salah satu poin yang dibahas dalam perjanjian tersebut.

Menurut Pratama, data pribadi warga negara bukan hanya informasi administratif, tetapi juga aset strategis yang dapat dimanfaatkan untuk analisis perilaku, pemodelan kecerdasan buatan, hingga kepentingan ekonomi dan geopolitik.

"Ketika data berada di luar yurisdiksi nasional, kontrol substantif negara terhadap akses, pemrosesan, dan permintaan oleh otoritas asing menjadi lebih kompleks," katanya kepada CNNIndonesia.com, Senin (23/2).

"Tanpa kerangka pengawasan yang kuat, risiko eksposur dan penyalahgunaan meningkat, sementara mekanisme pemulihan bagi subjek data menjadi lebih sulit ditegakkan," imbuhnya.

Merespons klausul tersebut, Kemenko Perokonomian memastikan tidak ada penyerahan kedaulatan data. Kemudian, pemerintah memastikan proses pemindahan data tidak mengorbankan hak warga negara.

"Transfer data yang disepakati dalam perjanjian ART tetap tunduk pada aturan domestik, yaitu UU Perlindungan Data Pribadi (PDP)," kata Juru Bicara Menko Perekonomian Haryo Limanseto dalam keterangannya, Minggu (22/2).

"Artinya, tidak ada penyerahan kedaulatan data. Pemerintah memastikan proses pemindahan data secara fisik maupun secara digital (transmisi cloud dan kabel) dilakukan dalam kerangka secure and reliable data governance, tanpa mengorbankan hak-hak warga negara," imbuhnya.

Namun demikian, komitmen untuk tunduk terhadap Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) menyisakan satu lubang penting, yakni kehadiran Lembaga Pengawas PDP.

Menurut Pratama, pembentukan lembaga Pengawas PDP harus dipercepat karena UU PDP secara eksplisit menyebut transfer data pribadi ke luar negeri hanya dapat dilakukan apabila negara tujuan memiliki tingkat pelindungan yang setara atau lebih tinggi dibandingkan standar Indonesia.

"Penilaian atas kesetaraan tersebut secara eksplisit diberikan kepada Lembaga Pengawas Pelindungan Data Pribadi sebagai otoritas independen. Hingga saat ini, lembaga tersebut belum terbentuk dan belum menjalankan fungsi pengawasan sebagaimana diamanatkan undang-undang," kata Pratama

Secara konseptual, katanya, mekanisme adequacy decision atau keputusan kecukupan) bukan sekadar formalitas administratif, melainkan proses evaluasi komprehensif terhadap sistem hukum, mekanisme penegakan, struktur pengawasan, hingga praktik akses data oleh aparat penegak hukum di negara tujuan.

Ia menjelaskan bahwa AS menganut pendekatan perlindungan data yang bersifat sektoral dan terfragmentasi, sehingga penilaian terhadap tingkat kesetaraannya tidak dapat dilakukan secara simplistik.

"Tanpa lembaga independen yang memiliki mandat, kompetensi teknis, serta legitimasi hukum untuk melakukan evaluasi tersebut, maka keputusan pengakuan adequacy berpotensi dipersepsikan sebagai keputusan politik, bukan sebagai hasil audit normatif dan teknis yang objektif," terangnya.

Pratama mengatakan pemerintah dapat menerbitkan regulasi pelaksana atau keputusan sementara untuk menjembatani kekosongan kelembagaan. Namun, langkah ini akan menghadapi tantangan legitimasi hukum dan risiko uji materiil karena Undang-Undang PDP telah mendesain secara tegas adanya pemisahan antara pembuat kebijakan dan pengawas kepatuhan.

Dengan demikian, apabila fungsi penilaian dilakukan oleh cabang eksekutif yang juga menjadi pihak dalam perjanjian internasional, maka prinsip checks and balances menjadi tereduksi.

Pratama menegaskan bahwa dalam tata kelola keamanan siber modern, independensi otoritas pelindungan data merupakan fondasi kepercayaan publik dan kredibilitas internasional.

Solusi

Pratama menyarankan solusi yang paling strategis untuk menghadapi masalah ini adalah mempercepat pembentukan dan operasionalisasi Lembaga Pengawas Pelindungan Data Pribadi secara penuh dan independen.

Ia mengatakan pembentukan lembaga ini tidak seharusnya dipandang sebagai beban administratif, melainkan sebagai infrastruktur keamanan nasional di era ekonomi digital.

Menurutnya, Presiden Prabowo Subianto dapat memprioritaskan proses pembentukan melalui percepatan penerbitan peraturan turunan, penetapan struktur organisasi, alokasi anggaran yang memadai, serta rekrutmen sumber daya manusia dengan kompetensi teknis dan hukum yang kuat di bidang data dan keamanan siber.

Percepatan pembentukan lembaga ini tentu akan memberikan sejumlah manfaat strategis. Pertama, legitimasi internasional Indonesia dalam melakukan kerja sama digital akan meningkat karena terdapat otoritas independen yang diakui.

Kemudian, kepastian hukum bagi pelaku usaha akan lebih terjamin karena terdapat mekanisme pengawasan dan penilaian yang jelas. Ketiga, kepercayaan publik terhadap komitmen negara dalam melindungi hak digital warga akan terjaga.

"Apabila implementasi klausul transfer data lintas negara tetap berjalan sebelum lembaga tersebut terbentuk, maka setidaknya perlu disiapkan mekanisme transisi yang transparan dan partisipatif, termasuk publikasi parameter penilaian kesetaraan, konsultasi dengan pakar independen, serta pengawasan parlemen," katanya.

"Namun langkah transisi ini tidak dapat menggantikan urgensi pembentukan lembaga permanen sebagaimana diamanatkan undang-undang," pungkasnya.