Masih lekat dalam ingatan kita bagaimana pada tahun 2025 lalu, publik dikejutkan dengan antrean panjang di mana masyarakat rela memindai retina matanya demi mendapatkan insentif uang kripto.
Platform tersebut bernama Worldcoin, sebuah proyek ambisius yang digagas oleh Sam Altman, sosok yang juga dikenal sebagai CEO OpenAI (pembuat ChatGPT). Proyek ini menggabungkan sistem identitas digital berbasis biometrik dengan mata uang kripto.
Dengan iming-iming imbalan instan, masyarakat berbondong-bondong mendatangi booth Worldcoin dan menyerahkan data biometriknya secara sukarela. Walau akhirnya Pemerintah membekukan operasional Worldcoin karena masalah perizinan, faktanya Pemerintah Indonesia sudah “kecolongan”. Fenomena ini membuktikan betapa kita masih meremehkan urgensi pelindungan data pribadi.
Prof. Dr. Teguh Prasetyo dalam bukunya "Pengaturan Perlindungan Data Pribadi di Indonesia: Perspektif Teori Keadilan Bermartabat", mendudukkan Data Pribadi sebagai ranah privasi yang sangat intim. Pelindungan Data Pribadi oleh negara dan korporasi pada hakikatnya adalah upaya menjaga dan memanusiakan manusia di ruang siber. Pembobolan atau komodifikasi data tanpa izin adalah bentuk perendahan martabat individu.
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) kini sudah memasuki tahun keempat pasca-pengesahan. Sayangnya, implementasinya masih jauh dari harapan, bahkan ketika kebocoran data terus terjadi. Masalah utamanya adalah Rancangan Peraturan Pemerintah (“RPP PDP”) sebagai aturan pelaksana tak kunjung disahkan. Akibatnya, Pelindungan Data Pribadi di Indonesia seakan hanya menjadi ilusi, di mana secara bentuk ia ada dalam lembaran negara, namun secara fungsi ia mati suri.
Alih-alih memperkuat fondasi Pelindungan Data Pribadi yang belum sempurna, Kementerian Komunikasi dan Digital (Komdigi) justru tampak “lompat pagar” dengan memprioritaskan pengaturan Kecerdasan Artifisial (Artificial Intelligence - “AI”). Hal ini terbukti dengan rilisnya Surat Edaran Menkominfo Nomor 9 Tahun 2023 tentang Etika Kecerdasan Artifisial. Menjadi sebuah ironi, ketika negara sibuk mengatur etika teknologi canggih di permukaan, namun abai pada fondasi Pelindungan Data Pribadi yang menjadi basisnya.
Ketika kondisi ini terjadi, di mana UU PDP hanya menjadi macan kertas tanpa RPP PDP, maka timbul pertanyaan mendasar yaitu bagaimana seharusnya kita memaknai kepastian hukum Pelindungan Data Pribadi di negeri ini?
Labirin Kepatuhan Tanpa PetaMenjadi pertanyaan mendasar dalam usaha penegakan Pelindungan Data Pribadi, yaitu bagaimana Pengendali Data Pribadi dapat menjalankan kewajiban Pelindungan Data Pribadi jika standar kepatuhannya sendiri masih abu-abu? Saat ini, para pelaku usaha di Indonesia terjebak dalam situasi yang membingungkan. Di satu sisi, ancaman sanksi administratif berupa denda hingga 2% dari pendapatan tahunan (Pasal 57 UU PDP) terus membayangi setiap Pengendali Data Pribadi. Di sisi lain, panduan teknis dalam bentuk RPP PDP yang seharusnya menjadi peta jalan kepatuhan tersebut, nihil keberadaannya.
Contohnya, terkait dengan Transfer Data Pribadi ke Luar Wilayah Hukum Negara Republik Indonesia. Sebagaimana yang diketahui, bahwa banyak perusahaan yang menjadi Prosesor Data Pribadi berada di luar wilayah Indonesia (bahkan hingga saat ini, OpenAI memproses data penggunanya di server yang berlokasi di Amerika Serikat atau lokasi global lainnya, dan bukan di Indonesia). Dengan fakta seperti itu, kerumitan terjadi, mengingat Pasal 56 UU PDP mengatur bahwa transfer Data Pribadi dapat dilakukan jika:
Negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam UU PDP:
Jika huruf a tidak terpenuhi, maka Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat
Jika huruf b pun tidak terpenuhi, maka Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi.
Pengaturan ini membingungkan implementasinya. Hingga saat ini belum ada rilis yang menjelaskan mengenai negara mana saja yang memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam UU PDP untuk memenuhi ketentuan huruf a, juga tidak ada standar kontrak terkait dengan pemastian Pelindungan Data Pribadi yang memadai dan bersifat mengikat untuk memenuhi huruf b.
Terlebih lagi, meminta persetujuan Subjek Data Pribadi menjadi langkah lain yang menyulitkan dan tidak efisien, terutama ketika pemrosesan Data Pribadi dilakukan dalam skala besar.
Contoh lainnya adalah terkait dengan penunjukan Pejabat Pelindungan Data Pribadi (Data Protection Officer atau DPO). Mahkamah Konstitusi melalui Putusan Nomor 151/PUU-XXII/2024 sebenarnya telah memberikan angin segar kepastian hukum. Mahkamah Konstitusi mengoreksi tafsir Pasal 53 ayat (1) UU PDP, menegaskan bahwa syarat penunjukan DPO bersifat alternatif-kumulatif ("dan/atau") dan tidak bersifat alternatif. Artinya, cakupan kewajiban menunjuk DPO menjadi lebih luas dan fleksibel sesuai risiko pemrosesan data.
Sayangnya, pasca putusan ini terdapat kemandekan terkait dengan pembaruan pengaturan Pelindungan Data Pribadi di tangan eksekutif. Tanpa RPP PDP, siapa yang berhak menjadi DPO? Apakah mereka harus memiliki sertifikasi khusus? Jika ya, lembaga mana yang berwenang menerbitkan sertifikasi tersebut? Ketiadaan aturan teknis ini membuat itikad baik perusahaan untuk patuh menjadi sebuah perjudian. Mereka dipaksa meraba-raba standar kepatuhan Pelindungan Data Pribadi. Alih-alih menciptakan iklim bisnis yang aman, UU PDP tanpa RPP justru menciptakan kebingungan yang membebani ongkos kepatuhan tanpa jaminan perlindungan hukum.
Paradoks AI dan Rapuhnya Kedaulatan DataIroni ketidakpastian hukum ini semakin tajam ketika kita melihat ambisi digital pemerintah yang begitu menggebu-gebu. Kementerian Komunikasi dan Digital (Komdigi) tampak agresif mengatur soal kecerdasan buatan, salah satunya lewat penerbitan Surat Edaran Menteri Komunikasi dan Informatika Nomor 9 Tahun 2023 tentang Etika Kecerdasan Artifisial. Langkah ini tentu patut diapresiasi, namun jika dilihat lebih jernih, fondasi yang belum jelas ini hanya membuat Surat Edaran tersebut terlihat “performatif”.
Kita tahu bahwa teknologi AI, terutama Generative AI, bekerja dengan "memakan" data dalam jumlah yang sangat masif (Big Data) untuk melatih algoritmanya. Dalam proses pelatihan itulah seringkali terjadi Pemrosesan Data Pribadi milik masyarakat. UU PDP sebenarnya sudah mencoba mengantisipasi hal ini, misalnya lewat Pasal 5 hingga Pasal 13 yang memberikan hak kepada Subjek Data Pribadi terkait tindakan pemrosesan Data Pribadi yang terjadi.
Masalahnya, tanpa adanya RPP PDP yang mengatur batasan teknis yang jelas, misalkan mengenai pemrofilan (profiling), pasal-pasal perlindungan di UU PDP itu menjadi tumpul. Bagaimana Pengendali Data Pribadi bisa dituntut transparan soal algoritmanya kalau standar transparansinya saja belum dibuat oleh negara?
Jika kondisi ini dibiarkan, di mana pemerintah sibuk membuat pengaturan AI tapi menelantarkan pengesahan RPP PDP, maka Indonesia menghadapi risiko besar. Kita hanya akan menjadi pasar dan objek Data Pribadi bagi AI asing. Data Pribadi masyarakat akan terus ditambang (mining) oleh perusahaan tanpa memiliki mekanisme Pelindungan Data Pribadi yang berdaulat untuk melindunginya, seolah-olah membiarkan Subjek Data Pribadi terekspos.
Menanti Taji Lembaga PengawasDampak paling nyata dari kekosongan regulasi ini dirasakan langsung oleh masyarakat sebagai Subjek Data Pribadi. Masih teringat bahwa terjadi serangan ransomware ke Pusat Data Nasional Sementara (PDNS) pada Juni 2024 lalu. Insiden itu melumpuhkan layanan publik dan mengekspos kerentanan sistem keamanan dan Data Pribadi di dalam sistem tersebut.
Namun, persoalannya bukan hanya pada insiden peretasan itu sendiri, melainkan pada ketiadaan mekanisme penegakan hukum pasca-insiden. Pasal 58 UU PDP secara tegas mengamanatkan pembentukan Lembaga Pengawas Pelindungan Data Pribadi (Data Protection Authority) yang bertanggung jawab langsung kepada Presiden. Lembaga inilah yang seharusnya menjadi ujung tombak dalam menjatuhkan sanksi administratif dan memfasilitasi penyelesaian sengketa data.
Sayangnya, hingga Februari 2026, lembaga krusial ini belum juga terbentuk karena menunggu payung hukum RPP PDP dan Peraturan Presiden. Akibatnya, terjadi kelumpuhan dalam penegakan hukum. Ketika Subjek Data Pribadi dirugikan, jalur untuk menuntut hak ganti rugi atau pemulihan hak menjadi tidak jelas prosedurnya.
Kondisi ini membuat UU PDP terdengar garang di atas kertas dengan ancaman sanksi administratif di dalamnya, namun organ penegaknya lumpuh di lapangan. Masyarakat sebagai Subjek Data Pribadi dibiarkan tanpa perlindungan yang nyata, sementara negara absen menyediakan wasit yang adil untuk menegakkan aturan main tersebut.
Mengapa Pantas berharap pada RPP PDP?Di tengah belantara ketidakpastian hukum dan implementasi penegakan yang terjadi, pengesahan RPP PDP menjadi titik krusial yang dinanti oleh seluruh ekosistem digital Indonesia. RPP PDP bukanlah sekadar dokumen administratif pelengkap; ia adalah instrumen utama yang akan menghidupkan pasal-pasal yang selama ini sulit diimplementasikan dalam UU PDP.
Mengapa harus menaruh harapan besar pada peraturan ini? Karena bagi Pengendali Data Pribadi, RPP PDP akan mengubah standar kepatuhan dari sekadar tebak-tebakan menjadi daftar periksa (checklist) yang terukur dan pasti. Bagi masyarakat sebagai Subjek Data Pribadi, ia adalah jaminan bahwa hak-hak privasi mereka memiliki mekanisme perlindungan yang konkret, bukan sekadar janji manis undang-undang. Tanpa kehadiran aturan turunan ini, UU PDP ibarat macan yang dikurung tanpa kunci; tampak garang, namun tak berdaya mengejar pelanggar.
Kini, bola panas sepenuhnya berada di tangan Presiden Prabowo Subianto. Sebagai kepala negara dan kepala pemerintahan, Presiden memiliki otoritas mutlak untuk mengakhiri masa penantian ini. Pengesahan RPP PDP bukan semata soal melengkapi administrasi negara, melainkan ujian nyata terhadap komitmen pemerintah baru dalam menegakkan kedaulatan digital (digital sovereignty).
Apakah pemerintahan hari ini akan membiarkan warganya terus-menerus menjadi korban eksploitasi data di era kecerdasan buatan? Ataukah Presiden akan mengambil langkah tegas dengan mengesahkan RPP PDP, memberikan "taji" pada penegakan hukum, dan membuktikan bahwa negara hadir? Patut untuk dinanti.
