Trump Minta Transfer Data RI ke AS, Cek Aturan Perlindungan Data di AS

Jakarta, CNBC Indonesia - Dalam kesepakatan tarif resiprokal antara Amerika Serikat (AS) dan Indonesia, salah satu poin yang disampaikan Gedung Putih menyoal tranfer data dari RI ke AS. Beberapa pakar menilai hal ini berisiko membahayakan kedaulatan dan keamanan data pribadi warga Indonesia.

Menurut Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, tidak masalah jika data pribadi disimpan di mana saja. Namun, perlu dipastikan integritas dan kerahasiaan data pribadi tersebut.

Untuk itu, Indonesia perlu segera melaksanakan syarat transfer data berdasarkan Undang-undang (UU) Perlindungan Data Pribadi (PDP), termasuk membentuk lembaga yang menilai level kesetaraan perlindungan data.

"Penilaian tersebut salah satunya untuk memastikan bahwa Amerika Serikat berdasarkan hukumnya tidak memiliki kewenangan apapun untuk menciderai integritas data tersebut," kata Parasurama kepada CNBC Indonesia, Kamis (24/7/2025).

Hal senada disampaikan Ketua Asosiasi Cloud Computing Indonesia (ACCI), Alex Budiyanto. Ia mengatakan transfer data lintas batas, termasuk ke Amerika Serikat, harus selalu mematuhi regulasi yang berlaku di Indonesia, terutama UU PDP. Artinya, meskipun ada kesepakatan resiprokal, standar perlindungan data di Indonesia tidak boleh diturunkan.

Pilihan Redaksi Trump Minta Data Warga RI Ditukar Tarif Impor, Begini Penjelasannya Trump Minta Data Warga RI Ditransfer ke AS, Begini Respons Prabowo! Penjelasan Lengkap Meutya Hafid Soal Trump Nego Data Ditukar Tarif Trump Minta Data RI Ditukar Tarif 19%, Pakar Sorot Risiko Ini "Barter Damai": Ini Beda Tuntutan & Kesepakatan Dagang AS vs RI

Sebagai informasi, Indonesia telah memiliki UU no. 27/2022 tentang PDP yang seharusnya sudah berlaku pada Oktober 2024. Namun, hingga kini pemerintah belum membentuk badan yang bertugas mengawasi pelaksanaan UU tersebut, sehingga pelaksanaannya terus tertunda.

AS Tak Punya Satu Payung Hukum Data Pribadi

Di sisi lain, menarik melihat aturan perlindungan data yang ada di AS. ACCI mengatakan perlindungan data di AS saat ini cenderung bersifat sektoral. Misalnya ada HIPAA yang mengatur soal data kesehatan, COPPA untuk data anak-anak, serta beberapa aturan data yang berbeda-beda di setiap negara bagian.

"Tidak ada satu payung hukum federal yang mengatur seluruh jenis data pribadi secara umum. Ini menciptakan fragmentasi hukum dan potensi celah perlindungan," kata ACCI kepada CNBC Indonesia.

Sebagai informasi, American Privacy Rights Act (ARPA) yang merupakan aturan data pribadi di AS hingga kini masih dalam bentuk draf dan beberapa kali direvisi. Aturan itu pertama kali diperkenalkan DPR AS pada 25 Juni 2024 dan diniatkan untuk memberikan standar keamanan dan privasi nasional untuk data pribadi, mirip seperti UU PDP di Indonesia.

Dalam draf yang ada sejauh ini, belum ada pula kerangka jelas terkait pengelolaan data lintasbatas (cross-border) dari negara lain yang disimpan di AS. Pada 8 April 2025, Departemen Kehakiman AS (DOJ) juga merilis aturan terkait data lintasbatas. Namun, fokusnya lebih kepada pembatasan data dari AS ke negara-negara tertentu seperti China, Kuba, Iran, Korea Utara, Rusia, dan Venezuela.

Aturan PDP di Indonesia

Seperti dijelaskan sebelumnya, Indonesia sudah memiliki UU PDP yang bersifat ekstrateritorial. Artinya, UU ini berlaku juga ke perusahaan di luar negeri selama terkait dengan data pribadi milik warga negara Indonesia. Sebaliknya, warga negara lain yang bersinggungan dengan "pemroses data" di RI juga mendapatkan pelindungan setara.

Aturan soal transfer data pribadi warga RI tertulis di Pasal 55 dan Pasal 56 UU PDP. Poin yang disasar oleh pemerintahan Trump ada di pasal 56 UU PDP, yaitu:

(1) Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini.

(2) Dalam melakukan transfer Data Pribadi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memastikan negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam Undang-Undang ini.

(3) Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat.

(4) Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) dan ayat (3) tidak terpenuhi, Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi.

(5) Ketentuan lebih lanjut mengenai transfer Data Pribadi diatur dalam Peraturan Pemerintah.

(fab/fab)
[Gambas:Video CNBC]
Next Article Trump Minta Data RI Ditukar Tarif 19%, Pakar Sorot Risiko Ini