Perjanjian perdagangan resiprokal Indonesia dengan Amerika Serikat tak hanya bicara soal tarif. Data pribadi masyarakat pun turut masuk dalam arus perdagangan. Ketika data melintas batas, pertaruhan negara tak sebatas efisiensi ekonomi tetapi juga kedaulatan hukum dan konsistensi melindungi hak privasi warga.
Kesepakatan yang diteken Presiden Prabowo Subianto dengan Presiden Amerika Serikat (AS) Donald Trump mengenai perjanjian perdagangan resiprokal pekan lalu memuat komitmen transfer data pribadi untuk kepentingan perdagangan digital dan teknologi. Indonesia pun mengakui AS sebagai yurisdiksi yang memiliki aturan pelindungan data yang memadai berdasarkan hukum nasional.
Namun, pengakuan tersebut memunculkan persoalan ketika berhadapan dengan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Mengacu Pasal 56 UU PDP, pengendali data harus memastikan bahwa negara tempat kedudukan pengendali atau prosesor data pribadi yang menerima data harus memiliki tingkat pelindungan data yang setara atau lebih tinggi dari yang diatur dalam UU PDP. Jika kesetaraan tidak terpenuhi, harus ada jaminan pelindungan yang memadai dan mengikat, atau ada persetujuan dari subyek data.
Sementara itu, AS belum memiliki aturan pelindungan data yang komprehensif di tingkat federal. Di AS, pelindungan data diatur secara sektoral. Contohnya, di bidang kesehatan melalui Health Insurance Portability and Accountability Act of 1996, di bidang jasa keuangan melalui Gramm-Leach-Bliley Act of 1999. Terkait dengan pelindungan data anak, terdapat pula Children’s Online Privacy Act of 1998.
Konsekuensinya, pengaturan hak setiap individu di AS berbeda. Begitu pula cakupan data, pendekatan dalam menangani masalah, serta sanksi hukum terkait pelanggaran data. Otoritas yang menyelenggarakan pelindungan data itu pun tidak sama.
Sementara UU PDP, mengatur pelindungan data secara komprehensif di semua sektor. Bahkan, UU PDP juga mengamanatkan pembentukan otoritas pelindungan data yang berwenang mengimplementasikan seluruh isi UU, termasuk menuntut tanggung jawab pihak yang terkait dengan pelanggaran data pribadi warga.
Sejumlah perbedaan tersebut, menurut Direktur Raksha Initiatives Wahyudi Djafar, menunjukkan ketidaksetaraan antara aturan pelindungan data di Indonesia dan AS. Kesepakatan transfer data RI-AS pun menjadi problematik karena aturan pelindungan data pribadi Indonesia dan AS tidak setara. “Namun, perjanjian ini memberi kesan bahwa AS tidak punya (aturan yang memadai) tetapi kita harus mengatakan bahwa AS itu setara dengan Indonesia,” ujarnya saat dihubungi, Minggu (22/2/2026).
Oleh karena itu, poin kesepakatan membawa konsekuensi besar bagi Indonesia. Salah satunya revisi UU PDP terkait dengan aturan pengecualian dalam transfer data ketika kesetaraan aturan tidak terpenuhi. Saat ini, pengecualian hanya terkait jaminan perlindungan yang bersifat mengikat dan persetujuan dari subjek data. Tidak ada poin kesepakatan bilateral bisa mengecualikan aturan di Pasal 56 UU PDP.
Menurut Wahyudi, kesepakatan juga dapat mengancam pelindungan data warga mengingat AS tidak memiliki aturan hukum yang berlaku di tingkat federal. Hal ini semestinya menjadi perhatian pemerintah dan DPR karena perjanjian perdagangan yang semula berfokus pada penentuan tarif bea masuk komoditas berdampak luas pada berbagai sektor non-tarif, salah satunya kedaulatan data.
Anggota Komisi I DPR dari Fraksi Partai Demokrasi Indonesia Perjuangan (PDI-P) Tubagus Hasanuddin, Senin (23/2/2026), sepakat, pemerintah perlu menjelaskan mengenai poin perjanjian perdagangan RI-AS yang berdampak pada aspek pelindungan data pribadi masyarakat. Apalagi, aturan pelindungan data kedua negara belum setara. Padahal kesetaraan aturan itu merupakan syarat mutlak dalam transfer data antarnegara yang disebutkan dalam UU PDP.
“Kalau tidak setara, ya, tidak bisa (mentransfer data ke AS). Karena jadi melanggar undang-undang dan merugikan dalam hal ini publik, rakyat,” ujarnya.
Hasanuddin menilai, DPR dan pemerintah perlu duduk bersama untuk kembali membicarakan kesepakatan transfer data. Harus ada pembahasan yang jelas mengenai pelindungan data serta keuntungan bagi Indonesia dalam perjanjian ini. Bagaimana pun, kedaulatan data tidak bisa dinegosiasikan.
DPR dan pemerintah perlu duduk bersama untuk kembali membicarakan kesepakatan transfer data
Juru Bicara Kementerian Koordinator Bidang Perekonomian Haryo Limanseto melalui keterangan tertulis menjelaskan, data yang akan ditransfer terkait dengan keperluan bisnis atau sistem aplikasi. Transfer data juga akan tunduk pada aturan domestik, yakni UU PDP. Dengan begitu, ia menjamin tidak ada penyalahgunaan data pribadi masyarakat Indonesia di AS.
“Tidak ada penyerahan kedaulatan data. Pemerintah memastikan proses pemindahan data secara fisik maupun secara digital (transmisi cloud dan kabel) dilakukan dalam kerangka secure and reliable data governance, tanpa mengorbankan hak-hak warga negara,” kata Haryo.
Menurut dia, kepastian aturan transfer data tersebut memperkuat posisi Indonesia sebagai hub ekonomi digital di kawasan. Perusahaan teknologi global membutuhkan regulasi yang dapat memfasilitasi pemrosesan data lintas batas dengan perlindungan data yang memadai. Dengan tata kelola yang kredibel, Indonesia dapat menarik investasi pusat data, infrastuktur cloud, dan layanan digital lainnya.
Selain aturan yang tidak setara, data pribadi masyarakat kian rentan karena lebih dari tiga tahun setelah UU PDP disahkan, negara belum juga membentuk otoritas pelindungan data pribadi. Padahal, dalam konteks perdagangan digital dengan AS peran otoritas tersebut sangat dibutuhkan ketika terjadi permasalahan, misalnya, kebocoran ataupun eksploitasi data pribadi.
Sebelum ada kesepakatan dengan AS, data pribadi masyarakat pun sudah rentan meski UU PDP sudah disahkan. Mengacu data Kementerian Komunikasi dan Digital, sepanjang 2019—2024 saja terdapat 124 kasus pelanggaran pelindungan data pribadi, yang mayoritas (111 kasus) merupakan kebocoran data. Setiap kasus bisa melibatkan ratusan juta data pribadi penduduk (Kompas.id, 3/6/2024).
Lemahnya sistem keamanan siber secara nasional juga menambah kerentanan data masyarakat. Catatan Badan Siber dan Sandi Negara, sepanjang 2020 hingga Juli 2025, terdapat rata-rata 1,25 miliar anomali trafik internet atau upaya menginfeksi sistem keamanan siber di Indonesia per tahun. Dari berbagai serangan siber yang juga kerap terjadi pada instansi pemerintah, kebocoran data yang dilanjutkan dengan penjualan data pribadi di pasar daring sudah berulang.
Dari sejumlah kasus tersebut, belum pernah ada permintaan pertanggungjawaban dari pengendali data. Sebab, belum ada otoritas yang berwenang melakukannya.
Kini, ketika data masyarakat ditransfer ke AS tidak ada jaminan ada pihak yang bakal bertanggung jawab ketika pelanggaran atau eksploitasi terjadi. Lebih dari itu, tidak ada pula pihak yang secara resmi memastikan bahwa pelindungan data masyarakat Indonesia di AS dilindungi dengan standar yang sesuai dengan UU PDP.
Anggota Komisi I DPR dari Fraksi Partai Keadilan Sejahtera (PKS) Sukamta mengatakan, transfer data lintasnegara merupakan keniscayaan dari perkembangan ekonomi digital modern. Namun, kemudahan arus data harus diimbangi dengan penguatan kedaulatan digital dan pelindungan hak warga negara. “Kebijakan diperlukan untuk memastikan bahwa setiap data warga Indonesia, di mana pun diproses, tetap terlindungi oleh sistem hukum yang kuat dan dapat ditegakkan,” kata dia.
Wakil Ketua Fraksi PKS di DPR itu menambahkan, momentum ini harus digunakan untuk mempercepat tata kelola data nasional yang kredibel, transparan, berdaya saing global dan tetap selaras dengan kepentingan nasional. Pendekatan yang diperlukan bukan proteksionisme data maupun liberalisasi tanpa batas, melainkan keseimbangan antara kelancaran arus data untuk pertumbuhan ekonomi dan kepastian perlindungan hukum bagi warga negara.
Untuk itu, ada beberapa hal yang perlu disiapkan dan ditindaklanjuti pemerintah. Pertama, pembentukan otoritas PDP yang independen. Lembaga itu diharapkan memiliki kapasitas investigatif, teknis, dan kewenangan sanksi yang memadai. Sebab, tanpa pengawasan efektif, perlindungan data hanya bersifat normatif.
Sejauh ini, berdasarkan informasi yang didapatkan DPR, pemerintah sedang menggodok peraturan presiden (Perpres) mengenai pembentukan otoritas PDP yang diamanatkan Pasal 58 UU PDP. “Saya mendesak Pemerintah agar segera menyelesaikan pembahasan Rancangan Perpres ini,” kata Sukamta.
Selanjutnya, dibutuhkan pula penyusunan aturan turunan yang komprehensif dari UU PDP dalam bentuk peraturan pemerintah (PP). PP dimaksud nantinya harus memperjelas kriteria negara dengan pelindungan memadai (adequate), mekanisme evaluasi berkala, standar kontrak perlindungan data lintas batas. Tak hanya itu, PP juga perlu mengatur soal transfer data ke luar yurisdiksi Indonesia.
Pemerintah juga perlu membuat klasifikasi data strategis, mekanisme pengaduan dan remediasi lintas negara, serta evaluasi berkala atas status adequacy. Begitu juga penguatan infrastruktur data domestik. “Ini momentum untuk mempercepat konsolidasi tata kelola data nasional agar Indonesia tidak hanya menjadi pasar digital, tetapi juga mampu menjadi pemain penting global di pasar digital,” tutur Sukamta.
Data pribadi bukan sekadar komoditas, melainkan juga merepresentasikan identitas dan hak warga negara. Karenanya, setiap kebijakan yang memungkinkan data berpindah lintas batas hendaknya tidak hanya memperhitungkan keuntungan ekonomi, tetapi juga memastikan standar pelindungan yang sudah ditetapkan tetap ditegakkan secara konsisten.
