loading...
Firman Tendry Masengi, Advokat/Direktur Eksekutif RECHT Institute. Foto/Dok. SindoNews
Firman Tendry Masengi
Advokat/Direktur Eksekutif RECHT Institute
Research and Education Center for Humanitarian Transparency Law
SAAT data pribadi — termasuk data kesehatan, identitas resmi (NIK), riwayat medis, hingga kontak personal — milik ratusan juta warga Indonesia dilaporkan bocor dan diperjualbelikan secara bebas di pasar gelap digital (dark web), negara tampak terperangah dan gagal bertindak. Insiden kebocoran data yang dikelola lembaga pemerintah, badan usaha digital, dan penyelenggara layanan publik terjadi berulang tanpa adanya pertanggungjawaban hukum yang sebanding.
Implikasinya, privasi warga seolah kehilangan nilai, arah, dan perlindungan nyata. Kebocoran data di lembaga negara seperti Dukcapil, Ditjen Imigrasi, KPU, hingga sistem e-HAC Kemkes menjadi bukti bahwa problem keamanan digital bukan hanya kesalahan teknis sektor privat, melainkan kegagalan struktural tata kelola negara dalam menjaga hak fundamental warga.
Latar sejarah kelam inilah yang mendorong lahirnya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP)—bukan bermula dari kemewahan diskursus akademik atau kejeniusan legislasi, melainkan dari tekanan publik dan kegentingan nasional yang mendesak. Indonesia tertinggal lebih dari satu dekade dibanding yurisdiksi lain yang telah menerapkan standar ketat seperti General Data Protection Regulation (GDPR) Uni Eropa.
Ruang digital nasional selama ini dibiarkan tanpa regulasi memadai, menjadikan warga sebagai objek eksploitasi data secara sistematis, baik oleh korporasi maupun entitas negara. Oleh karena itu, UU PDP menjadi tonggak sejarah baru yang secara eksplisit mengakui privasi sebagai hak asasi manusia fundamental dan data sebagai aset strategis kedaulatan digital.
Efektivitas Hukum: Transisi dari Insiden Menuju Pelanggaran
UU PDP diundangkan pada 17 Oktober 2022 dan menetapkan masa transisi dua tahun untuk penyesuaian infrastruktur dan tata kelola sistem, sehingga berlaku efektif penuh pada 17 Oktober 2024. Sejak tanggal tersebut, setiap insiden kebocoran atau pemrosesan data secara ilegal tidak lagi dapat dikategorikan sebagai kesalahan teknis semata, melainkan telah dikonstitusikan sebagai pelanggaran hukum dengan konsekuensi pidana dan perdata yang mengikat. Era toleransi dan impunitas telah berakhir. Era akuntabilitas sistemik dimulai.
UU ITE (UU 11/2008 jo UU 19/2016) sebenarnya sudah lebih dulu mengatur sejumlah norma yang relevan terkait akses ilegal, intersepsi, manipulasi data elektronik, dan distribusi data pribadi tanpa hak. Namun, UU ITE tidak memberikan definisi komprehensif soal “data pribadi”, tidak mengatur hak subjek data, dan tidak menyediakan mekanisme ganti rugi langsung.
Karena itu, UU ITE hanya menjadi penal umbrella (payung pidana), sedangkan UU PDP menjadi lex specialis yang mengisi kekosongan ruang perlindungan warga. Sejak 2024, kedua UU ini bergerak sinergis: UU PDP mengatur proses, UU ITE mengatur penyalahgunaan dan perbuatan melawan hukumnya.
UU PDP memuat empat tujuan utama yang menjadi penentu orientasi peradaban digital Indonesia. Pertama, menjamin kedaulatan individu atas kendali data pribadinya. Kedua, memberikan kepastian dan perlindungan hukum atas seluruh aktivitas pemrosesan data. Ketiga, mendorong ekosistem pengelolaan data yang etis dan berkeadilan. Keempat, menjaga kepentingan publik dan kepentingan nasional dalam arsitektur digital.
