Pakar: Transfer Data ke AS Berisiko Alami Kebocoran dan Penyalahgunaan

26 Feb 2026, 06:03 WIB

Pakar kebijakan digital Wahyudi Djafar saat memaparkan materi pada diskusi publik yang dilaksanakan di Tebet, Jakarta Selatan, Rabu (25/2/2026). (IDN Times/Anggia Leksa)

Intinya Sih

Pakar kebijakan digital Wahyudi Djafar menilai klausul transfer data dalam perjanjian dagang Indonesia-AS berisiko tinggi karena Amerika Serikat belum memiliki undang-undang perlindungan data pribadi di tingkat federal.
Ia menyoroti bahwa UU PDP Indonesia tidak mengakui pengecualian melalui bilateral agreement, dan revisi yang direncanakan bisa menghapus hak warga untuk menolak transfer datanya ke luar negeri.
Wahyudi juga menegaskan lembaga perlindungan data pribadi belum terbentuk, sehingga risiko penyalahgunaan dan eksploitasi data meningkat tanpa mekanisme pemulihan yang jelas bagi warga Indonesia.

Disclaimer: This was created using Artificial Intelligence (AI)

Jakarta, IDN Times - Pakar kebijakan digital Wahyudi Djafar, menilai klausul transfer data dalam perjanjian dagang Indonesia-Amerika Serikat atau Agreement on Reciprocal Trade (ART) membawa risiko kebocoran dan penyalahgunaan data.

Menurut Wahyudi, risiko ini muncul karena Amerika Serikat tidak memiliki undang-undang perlindungan data pribadi yang komprehensif di tingkat federal. Meskipun beberapa negara bagian seperti California memiliki aturan sendiri, ketiadaan hukum federal membuat perlindungan data tidak merata.

"Sampai dengan hari ini, US itu tidak pernah memiliki yang disebut sebagai Comprehensive Data Protection Law di tingkat federal. Ada memang di tingkat negara-negara bagian, California dengan California Privacy Act ya, lalu kemudian di beberapa negara bagiannya lain, New York dan sebagainya, dia punya. Tapi di tingkat federal, dia tidak ada," ujarnya dalam diskusi publik yang diselenggarakan di Tebet, Jakarta Selatan, Rabu (25/2/2026).

Selain itu, Wahyudi menyebut klausul transfer data dalam perjanjian ini berpotensi melanggar Undang-Undang Perlindungan Data Pribadi (PDP). Ia menjelaskan dalam hukum perlindungan data, ada konsep yang disebut adequate atau memadai. Suatu negara tujuan transfer data dianggap memadai jika negara tersebut memiliki hukum perlindungan data yang setara dengan negara pengirim.

Dalam konteks ini, Indonesia sebagai pengirim data mensyaratkan adanya kesetaraan hukum dengan Amerika Serikat sebagai tujuan transfer. Namun masalahnya, Amerika Serikat tidak memiliki undang-undang perlindungan data pribadi yang komprehensif di tingkat federal.

1. Indonesia tidak mengakui bilateral agreement dalam pengecualian transfer data

Pakar kebijakan digital Wahyudi Djafar saat memaparkan materi pada diskusi publik yang dilaksanakan di Tebet, Jakarta Selatan, Rabu (25/2/2026). (IDN Times/Anggia Leksa)

Lebih jauh, Wahyudi memaparkan dalam Pasal 56 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP), pengecualian transfer data melalui bilateral agreement atau kesepakatan antara dua pihak tidak diakui.

Ketika syarat tersebut tidak terpenuhi, maka satu-satunya cara untuk melakukan transfer data adalah dengan mendapatkan persetujuan eksplisit dari subjek data.

"Kita harus ditanya, kamu mau gak datanya ditransfer ke US? Kalau subjek data tidak mau, dia menolak untuk transfer, gak bisa ditransfer. Karena memang undang-undang kita tidak mengakui," tegasnya.

Ia kemudian mengungkapkan dugaan akan ada upaya revisi terhadap UU PDP pada tahun 2026. Revisi tersebut diduga akan menambahkan klausul pengecualian bilateral agreement untuk mengakomodasi tuntutan dalam perjanjian dengan Amerika Serikat. Jika ini terjadi, maka hak warga untuk menolak transfer datanya bisa hilang.

2. Lembaga perlindungan data pribadi belum terbentuk

Pakar kebijakan digital Wahyudi Djafar saat memaparkan materi pada diskusi publik yang dilaksanakan di Tebet, Jakarta Selatan, Rabu (25/2/2026). (IDN Times/Anggia Leksa)

Tak hanya itu, Wahyudi menyoroti masalah lainnya, yaitu ketidaksiapan infrastruktur kelembagaan untuk melindungi data pribadi warga negara. Undang-Undang PDP telah disahkan pada tahun 2022, namun hingga saat ini lembaga perlindungan data pribadi yang dimandatkan oleh Pasal 59 belum terbentuk. Selain itu, ia juga menyebut Pemerintah belum mengeluarkan peraturan pemerintah tentang implementasi UU PDP.

Menurutnya, tanpa lembaga perlindungan data pribadi, warga Indonesia tidak memiliki pintu pengaduan yang jelas. Ia mempertanyakan jika data warga Indonesia bocor di AS, apakah harus mengadu ke Federal Trade Commission (FTC) atau ke otoritas negara bagian seperti California.

"Ini kan menjadi satu pertanyaan yang cukup-cukup mendasar. Jadi bagaimana kemudian komitmen negara untuk melindungi data-data pribadi kita," ujarnya.

3. Risiko eksploitasi data meningkat tanpa mekanisme pemulihan

Koalisi sipil menggelar diskusi publik yang dilaksanakan di Tebet, Jakarta Selatan, Rabu (25/2/2026). (IDN Times/Anggia Leksa)

Sementara, Wahyudi menjelaskan ketika data pribadi dikirim ke negara tanpa perlindungan data yang memadai, risiko eksploitasi menjadi sangat tinggi. Data dapat digunakan untuk berbagai kepentingan tanpa sepengetahuan pemilik data, dan ketika terjadi penyalahgunaan, korban kesulitan mendapatkan keadilan.

"Bagaimana kemudian hak subjek data bisa mendapatkan remedy, bisa mendapatkan pemulihan. Padahal seharusnya fungsi itu harus dilakukan oleh otoritas perlindungan data pribadi, oleh lembaga perlindungan data pribadi," jelasnya.

Ia menambahkan, tanpa kepastian hukum dan kelembagaan yang jelas, warga Indonesia akan berada dalam posisi lemah. Mereka tidak memiliki perwakilan hukum yang bisa memperjuangkan hak-haknya jika terjadi pelanggaran di Amerika Serikat.