Publik ramai menyoroti poin mengenai transfer data pribadi lintas batas dalam kesepakatan perdagangan antara Amerika Serikat dan Indonesia.
Kesepakatan itu disampaikan Presiden Amerika Serikat (AS) Donald J Trump melalui media sosialnya pada 22 Juli 2025, dan lebih detail dituangkan dalam Fact Sheet (Lembar Fakta) berjudul ”The United States and Indonesia Reach Historic Trade Deal” yang dipublikasikan oleh Gedung Putih melalui laman resminya pada hari yang sama.
Dalam Lembar Fakta itu dinyatakan Indonesia akan memberikan kepastian mengenai kemampuan transfer data pribadi dari wilayah Indonesia ke AS melalui pengakuan AS sebagai negara yang memiliki tingkat pelindungan data yang setara dengan hukum Indonesia.
Kesepakatan ini dinilai berpotensi melanggar ketentuan dalam Undang-Undang Pelindungan Data Pribadi (UU PDP) hingga UUD 1945. Situasi ini menimbulkan kekhawatiran publik atas keamanan data pribadi masyarakat Indonesia. Hal ini terkait dengan potensi eksploitasi ekonomi dan pengawasan massal. Terlebih, pengaturan transfer data pribadi lintas batas dalam UU PDP memiliki celah tersendiri.
UU PDP pada dasarnya mengatur transfer data pribadi lintas batas dengan model berjenjang.
Pertama, pengendali data wajib memastikan kesetaraan tingkat pelindungan data pribadi antara Indonesia dan negara tempat kedudukan pengendali data dan/atau prosesor data yang menerima transfer data pribadi. Hal ini merupakan syarat utama dilakukannya transfer data pribadi sebagaimana diatur dalam Pasal 56 Ayat (2) UU PDP.
Kedua, apabila syarat kesetaraan tidak dipenuhi, Pasal 56 Ayat (3) mengatur bahwa pengendali data wajib memastikan terdapat pelindungan data pribadi yang memadai dan bersifat mengikat.
Sayangnya, tidak ada ketentuan yang eksplisit dalam UU PDP mengenai apa yang dimaksud pelindungan data yang ”memadai dan bersifat mengikat”.
Ketiga, apabila ketentuan Ayat (2) dan Ayat (3) itu tak dipenuhi, Pasal 56 Ayat (4) menyatakan pengendali data wajib mendapatkan persetujuan subyek data pribadi. Lagi-lagi, terdapat kekosongan pengaturan mengenai detail terkait bagaimana memastikan ketentuan ini bisa digunakan tanpa disalahgunakan.
Dalam UU PDP dinyatakan bahwa ketentuan terkait transfer data akan diatur lebih lanjut dalam peraturan pemerintah (PP). Namun, hingga saat ini PP yang dimaksud belum diundangkan.
Terlebih, belum semua sektor menunjukkan kepatuhannya pada UU PDP. Meski telah memiliki UU PDP, pengaturan mengenai transfer data lintas batas secara umum masih mengadopsi pendekatan yang cenderung sektoral (Rahman dan Mulyani, 2025). Artinya, tingkat pelindungan atas transfer data (pribadi) yang dikelola instansi sektoral akhirnya akan sangat bergantung pada ketentuan sektor masing-masing.
Ketiadaan pengaturan lebih lanjut mengenai transfer data pribadi rentan diinterpretasikan secara luas dan sembarangan. Misalnya, pemerintah bisa saja mengabaikan syarat kesetaraan dan ketersediaan mekanisme pelindungan yang memadai dan berdalih telah mendapatkan persetujuan dari subyek data, tanpa dasar yang jelas mengapa dua syarat sebelumnya tak dapat dipenuhi.
Ditambah lagi, saat ini belum ada lembaga pelindungan data pribadi (Lembaga PDP) yang salah satu kewenangannya adalah menilai pemenuhan syarat transfer data pribadi lintas batas.
Dimasukkannya syarat transfer data pribadi sebagai salah satu poin kesepakatan perdagangan AS-RI secara tak langsung menunjukkan bahwa pemerintah menempatkan data pribadi sebagai sebuah komoditas. Ditambah lagi, Kepala Kantor Kepresidenan Hasan Nasbi, pada 23 Juli 2025, secara eksplisit menyatakan transfer data pribadi dilakukan untuk kebutuhan komersial.
Pemahaman ini tentunya bertentangan dengan semangat pengaturan UU PDP yang menempatkan pelindungan data pribadi sebagai ”hak asasi manusia yang merupakan bagian dari pelindungan diri pribadi” yang dijamin konstitusi (lihat bagian Menimbang huruf a UU PDP).
Secara historis, kepentingan perekonomian nasional menjadi salah satu tujuan yang mendasari dibentuknya UU PDP, di samping pelindungan privasi warga negara, meski kemudian tujuan ekonomi tidak dinyatakan secara eksplisit pada bagian menimbang UU PDP.
Tujuan ganda ini secara konseptual menimbulkan ketegangan antara kepentingan pelindungan hak asasi dan kepentingan ekonomi nasional. Artinya, jika kepentingan ekonomi lebih diutamakan, pemerintah bisa membuat kebijakan yang lebih condong ke pengembangan ekonomi dibandingkan pelindungan hak asasi (Padden dan Öjehag-Pettersson, 2021).
Kesepakatan dagang AS-Indonesia, ditambah pernyataan resmi dari pemerintah di atas, menunjukkan kecenderungan pengutamaan kepentingan ekonomi daripada hak asasi. Pendekatan ini justru menurunkan derajat hak asasi dan membuat posisi warga negara Indonesia semakin rentan terhadap risiko pelanggaran hak pribadi dan eksploitasi ekonomi di tengah dominasi perusahaan teknologi AS. Apalagi jika dipadu dengan situasi demokrasi di kedua negara yang menunjukkan regresi.
Publik juga perlu memahami, ada potensi besar atas pengawasan massal oleh AS terhadap WNI sebagai konsekuensi dari kesepakatan perdagangan yang dibuat. Seharusnya Pemerintah Indonesia bisa belajar dari kasus Schrems I (2015) dan Schrems II (2020) sebelum menyepakati ketentuan terkait transfer data pribadi lintas batas dengan AS.
Dalam kedua kasus itu, Mahkamah Eropa menjatuhkan putusan yang masing-masing membatalkan EU-US Safe Harbor (Schrems I) dan EU-US Privacy Shield (Schrems II) dengan pertimbangan yang pada intinya menyatakan bahwa hukum AS tidak menyediakan pelindungan yang memadai sebagaimana disyaratkan oleh hukum Uni Eropa, terutama dari potensi pengawasan (surveillance) oleh otoritas publik AS.
Misalnya, dalam kasus Schrems II, Mahkamah Eropa menyoroti kemungkinan pengawasan massal yang terdapat dalam pengaturan terkait keamanan nasional di AS, misal Foreign Intelligence Surveillance Act (FISA) Section 702, Executive Order 12333 (US Intelligence Activities) dan Presidential Policy Directive28 (Signals Intelligence Activities).
Sebagai contoh, FISA Section 702 memungkinkan Pemerintah AS untuk melakukan pengawasan elektronik terhadap warga negara non-AS yang berada di luar negeri untuk keperluan intelijen asing.
Berangkat dari kedua kasus itu, Pemerintah RI seharusnya bisa menerka bahwa besar kemungkinan AS tak mampu menyediakan pelindungan data pribadi yang memadai dan setara dengan UU PDP, terutama dari pengawasan massal.
Alih-alih memberi dampak positif terhadap ekonomi, kesepakatan transfer data lintas batas Indonesia-AS justru memiliki potensi dampak negatif yang signifikan, tak hanya terhadap HAM, tapi juga terhadap keamanan nasional. Apalagi, dengan perkembangan teknologi digital yang pesat, bukan tak mungkin data pribadi dalam jumlah besar diolah dan digunakan untuk tindakan yang justru mengancam kedaulatan negara.
Lebih dari itu, publik patut bertanya mengapa transfer data pribadi masuk dalam poin kesepakatan. Hal ini disebabkan saat ini tidak terdapat lagi ketentuan yang eksplisit yang mensyaratkan lokalisasi data bagi perusahaan asing di Indonesia sehingga sebenarnya tidak ada kondisi yang secara signifikan memberatkan perusahaan teknologi asing untuk berusaha di Indonesia.
Dengan memperhatikan situasi yang berkembang saat ini, setidaknya ada tiga hal yang perlu dilakukan pemerintah.
Pertama, pemerintah harus beritikad baik untuk memastikan transfer data pribadi sesuai dengan ketentuan UU PDP, termasuk transparansi dan akuntabilitas pelaksanaannya. Pemerintah perlu mencermati kembali kesepakatan yang dibuat dan memastikan tujuan dan ruang lingkup data pribadi yang akan ditransfer, serta mekanisme pelindungannya.
Poin-poin ini perlu masuk dalam perjanjian yang akan dibuat dan mengikat kedua negara. Terlebih, untuk pemrosesan data pribadi tertentu, ada persyaratan khusus yang lebih ketat yang harus dipenuhi oleh pengendali data, seperti kewajiban penilaian dampak pelindungan data pribadi.
Kedua, pemerintah perlu segera menyelesaikan pembahasan PP PDP yang menjadi dasar hukum teknis pelaksanaan transfer data pribadi lintas batas. Ini penting tak hanya untuk memberi kepastian hukum, tapi juga dalam rangka integrasi pengaturan transfer data lintas batas yang masih cenderung sektoral.
Ketiga, pemerintah segera membentuk Lembaga PDP, dengan memastikan independensinya. Hal ini mengingat nantinya lembaga ini memiliki posisi sentral untuk menilai pemenuhan syarat transfer data pribadi lintas batas dan memberikan sanksi apabila syarat itu tidak dipenuhi.
Situasi saat ini perlu terus mendapatkan perhatian publik. Hal ini mengingat kesan yang ditimbulkan dari kesepakatan AS-Indonesia menempatkan data pribadi sebagai komoditas ekonomi. Padahal, data pribadi seharusnya ditempatkan sebagai elemen penting dari konstruksi diri pribadi sebagai hak asasi manusia yang dijamin oleh konstitusi.
Faiz Rahman, Dosen dan Peneliti Pusat Kajian Hukum dan Teknologi CTRL Fakultas Hukum Universitas Gadjah Mada