Transfer Data RI-AS Bukan Kasus Pertama, Sudah Dilakukan Negara Lain
- Uni Eropa dan AS adopsi perjanjian Safe Harbor pada 2000, digantikan Privacy Shield pada 2016 setelah gugatan Max Schrems. Mahkamah Eropa putuskan Privacy Shield tak cukup aman untuk data warga Eropa.
- Jepang mengakui perlindungan data AS memadai, namun tetap mensyaratkan enkripsi data tertentu dan pembatasan penggunaan. Kanada juga hati-hati soal transfer data pribadi antara kedua negara.
- Israel atur transfer data ke AS dengan ketat, sementara Korea Selatan punya perjanjian bilateral dengan AS namun tetap harus proses data strategis secara lokal. Brasil dan India kritis terhadap dominasi korporasi global dalam regulasi perlindungan data.
Jakarta, IDN Times - Pendiri Drone Emprit, Ismail Fahmi, menjelaskan transfer data antarnegara bukan pertama kali dilakukan Amerika Serikat, seperti terhadap Indonesia. Ismail dalam analisis yang diunggahnya pada Senin (28/7/2025), merespons klausul transfer data pribadi dalam Joint Statement on Framework for United States–Indonesia Agreement on Reciprocal Trade yang diumumkan oleh Gedung Putih pada 22 Juli 2025.
IDN Times telah diizinkan Ismail untuk mengutip analisisnya. Dia menjelaskan ada negara-negara lain yang juga telah berjabat tangan dengan Negeri Paman Sam, berkerja sama terkait transfer data.
"Indonesia bukan negara pertama yang menjalin kesepakatan transfer data pribadi dengan Amerika Serikat. Sejumlah negara maju dan berkembang telah lebih dulu memasuki kerangka kerja sama serupa, baik dalam bentuk perjanjian dagang, kerangka multilateral, maupun pengakuan timbal balik soal standar perlindungan data," kata dia.
1. Perjalanan perjanjian Uni Eropa dan AS
Contohnya, dijelaskan Ismail, Uni Eropa dan AS mengadopsi perjanjian Safe Harbor pada 2000 kemudian digantikan oleh Privacy Shield pada 2016 setelah gugatan oleh aktivis privasi Max Schrems.
Namun, pada 2020, Mahkamah Eropa lewat kasus Schrems II memutuskan Privacy Shield tak cukup menjamin perlindungan data warga Eropa, utamanya karena tak ada perlindungan hukum yang sebanding bagi warga non-AS pada pengawasan badan intelijen seperti NSA. Hal ini juga terjadi karena tak ada akses efektif ke pengadilan bagi warga asing yang datanya disimpan di server AS.
Makanya, perusahaan AS kembali harus memakai mekanisme kontrak standar atau Standard Contractual Clauses (SCC), yang lebih rumit dan rentan sengketa hukum. Kemudian, baru pada Juli 2023 aturan baru EU–US Data Privacy Framework diadopsi, meski masih dibumbui ancaman gugatan jika tak seimbang. Negara anggota Uni Eropa seperti Jerman, Austria, dan Prancis, tetap lakukan pembatasan pada penggunaan layanan seperti Google Analytics serta Meta Pixel.
2. Jepang mengakui perlindungan data AS memadai
Kemudian, ada Jepang yang dapat pengakuan reciprocal edaquacy yakni Jepang mengakui perlindungan data AS memadai dan sebaliknya Uni Eropa mengakui sistem Jepang setara dengan GDPR atau Peraturan Perlindungan Data Umum. Meski demikian, Jepang tidak sepenuhnya membuka diri, ada syarat yang mereka berikan pada AS.
'"Namun, Jepang tidak serta-merta membuka semua transfer. Mereka mensyaratkan kategori data tertentu harus dienkripsi. Penggunaan harus terbatas pada tujuan yang sah dan terdokumentasi. Perusahaan penerima data di AS wajib mendaftar dan memenuhi audit regulator Jepang," ujar Ismail.
3. Kanada hati-hati soal transfer data
Hal serupa juga dilakukan antara AS dan Kanada. Ismail menjelaskan dua negara ini punya aturan soal transfer data pribadi. Dalam hal ini, Kanada terbilang hati-hati meskipun dekat secara ekonomi dan budaya dengan AS. Dalam konteks layanan keuangan dan kesehatan, OPC beri kewajiban adanya penilaian dampak transfer (DPIA).
"Badan pengawasnya, Office of the Privacy Commissioner (OPC), menyarankan perusahaan hanya melakukan transfer ke AS jika penerima data menjamin kepatuhan terhadap prinsip-prinsip PIPEDA, regulasi data Kanada," kata dia.
4. Israel atur transfer data secara ketat dan Korea Selatan proteksi data finansial
Israel punya reputasi sistem keamanan siber dan perlindungan data yang tinggi. Namun, transfer data ke AS tetap diatur ketat. Israel memberi syarat data tidak boleh dipakai untuk tujuan sekunder tanpa izin eksplisit.
Sedangkan, Korea Selatan, sebagai negara industri digital besar, punya perjanjian bilateral dengan AS. Namun, data strategis seperti informasi biometrik dan finansial tetap harus diproses secara lokal atau melalui kontrol ketat dari Komisi Perlindungan Informasi Pribadi (PIPC).
5. Brasil dan India kritis terhadap dominasi korporasi global
Brasil dengan UU LGPD (Lei Geral de Proteção de Dados) dan India dengan Digital Personal Data Protection Act 2023, dijelaskan Ismail,mengambil pendekatan yang semakin kritis terhadap dominasi korporasi global. Brasil belum memberi pengakuan AS punya perlindungan yang memadai dan mensyaratkan persetujuan eksplisit untuk setiap transfer.
"India, dengan semangat nasionalisme digital yang tinggi, bahkan mendorong lokalisasi data (data localization) dan membatasi ekspor data strategis, khususnya dari sektor keuangan, kesehatan, serta digital payment," kata dia.
