Serangan peretas (hacker) dan kebocoran data dalam beberapa waktu belakangan menjadi semacam blessing in disguise. Sedikit atau banyak, kejadian tersebut akhirnya mendorong Dewan Perwakilan Rakyat dan pemerintah mengesahkan RUU Pelindungan Data Pribadi (UU PDP) yang sudah dibahas sejak 2016 menjadi undang-undang. Naskah final rancangan ini terdiri atas 371 daftar inventarisasi masalah (DIM) serta menghasilkan 16 bab dan 76 pasal. Jumlah pasal bertambah empat dari usulan awal pemerintah pada akhir 2019, yakni 72 pasal, yang di antaranya mengatur soal pidana bagi pembocor data pribadi. Jumlah pengguna media sosial Indonesia 191,4 juta orang dan tingkat penetrasi Internet 73 % (Hootsuite, 2022). Hal itu membuat Indonesia menjadi negara dengan potensi ekonomi digital yang sangat tinggi di Asia Tenggara. Pada 2021, Bain, Temasek, dan Google memperkirakan ekonomi digital kita menembus US$ 146 miliar pada 2025. Sayangnya, potensi ini tercoreng akibat maraknya kebocoran data, baik dari pihak swasta maupun pemerintah; serta tindakan tidak etis, seperti doxing, di kalangan pengguna media sosial, yang membuat Indonesia menempati urutan bawah pada Digital Civility Index oleh Microsoft pada 2021.

Pengesahan Undang-Undang Pelindungan Data Pribadi merupakan awalan baru menuju tata kelola data pribadi di Indonesia, khususnya pemanfaatan data pribadi bagi perkembangan ekonomi digital. Selama ini, isu pemanfaatan data pribadi menjadi hambatan bagi konsumen untuk bertransaksi di platform digital. Sedangkan hambatan bagi industri yang bergerak di dunia digital adalah dasar hukumnya masih tersebar di berbagai lembaga, seperti di Kemenkominfo, BI, serta OJK. Tantangan utama yang dihadapi pemerintah dalam menerapkan UU tersebut. Pertama, harmonisasi peraturan yang berhubungan dengan data pribadi, PP No 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, Peraturan OJK No 6 Tahun 2022 tentang Perlindungan Konsumen dan Masyarakat di Sektor Jasa Keuangan, serta peraturan BI mengenai sistem pembayaran dan transparansi data bank. Tiga lembaga yang menerbitkan aturan itu harus segera mengharmonisasi aturan tersebut agar substansi aturan turunannya sesuai dengan UU-PDP.

Kedua, aturan turunan mengenai hukuman denda bagi pelanggar penyalahgunaan data pribadi. Undang-undang tersebut sudah mengatur bahwa PSE swasta dapat dibubarkan apabila terbukti menyalahgunakan atau membocorkan data pribadi dengan sengaja. Dalam aturan turunan, sudah seharusnya dibangun threshold berbasis asas proporsionalitas, dari bentuk pelanggaran ringan hingga berat, yang batasan dan ruang lingkupnya dijelaskan secara terang. Namun, belum ada aturan yang jelas jika pelanggar merupakan PSE publik. Padahal beberapa kebocoran data juga berasal dari PSE publik. Pengaturan hukuman PSE publik dan swasta harus menerapkan prinsip persamaan di depan hukum. Kita membutuhkan otoritas yang kuat dan SDM yang kompeten serta berintegritas untuk mengurusi data pribadi, mengingat tantangan dalam pelindungan data pribadi ke depan akan makin besar. (Yoga)