JAKARTA – Masih ingat platform World atau Worldcoin? Platform layanan identifikasi biometrik milik Tools for Humanity (TFH) yang berbasis di Amerika Serikat dengan menggandeng PT Sandina Abadi Nusantara sebagai mitra lokal di Indonesia itu pernah menggemparkan publik tanah air.
Bagaimana tidak, sebelum dihentikan oleh Kementerian Komunikasi dan Digital, aktivitas mereka berhasil mengumpulkan sekitar 500 ribu data biometrik retina atau iris mata penduduk Indonesia sejak tahun 2021, atau sebelum Undang-Undang Perlindungan Data Pribadi disahkan.
Pertengahan tahun 2025, Komdigi akhirnya menghentikan aktivitas platform tersebut setelah melakukan proses pemeriksaan menyeluruh terkait pengumpulan data biometrik yang disebut tidak sesuai dengan ketentuan hukum nasional. Apalagi, pengumpulan data itu menyasar kelompok rentan, termasuk anak-anak, lansia, penyandang disabilitas, serta masyarakat di wilayah dengan literasi digital rendah.
Kini dengan adanya klausul transfer data pribadi sebagai salah satu syarat penurunan tarif resiprokal pemerintah Amerika Serikat kepada Indonesia, tentu publik bertanya-tanya apakah kejadian seperti halnya kasus World App atau Worldcoin akan terulang kembali?
Menurut Guru Besar Ilmu Hukum Unpad, Ahmad M Ramli, transfer data pribadi sebenarnya merupakan fenomena yang lazim dan tidak terelakkan dalam transaksi bisnis internasional. Bahkan, sejak memasuki era digital, mekenisme transfer data pribadi baik domestik maupun antarnegara sudah berlangsung lama.
Dia menerangkan, transfer data pribadi ke AS tidak hanya dilakukan Indonesia, tetapi sudah dilakukan negara lain. Contohnya, negara-negara Uni Eropa yang melindungi data pribadinya secara ketat juga sudah membuat kesepakatan terkait data pribadi dengan Pemerintah AS.
“Hal yang harus dipahami adalah transfer data pribadi bukan berarti kita mengalihkan pengelolaan seluruh data pribadi WNI kepada Pemerintah AS,” ujar Ramli, Sabtu 26 Juli 2025.
Dia menyatakan, berkaca dari apa yang dilakukan Uni Eropa, mereka telah menjalin kesepakatan dengan AS dengan transaksi perdagangan senilai 7,1 triliun dolar. Bahkan, Komisi Eropa telah mengadopsi 'EU-US Data Privacy Framework' (DPF) yang mulai berlaku sejak 10 Juli 2023.
Sementara terkait kerja sama Indonesia dengan AS, transfer data pribadi itu secara eksplisit disebut “Move personal data out” dalam Fact Sheet atau Lembar Fakta Gedung Putih berjudul The United States and Indonesia Reach Historic Trade Deal yang secara jelas menyebut langkah menghapus Hambatan Perdagangan Digital antara Indonesia dan AS.
“Poinnya adalah Indonesia akan mempermudah transfer data pribadi ke AS dengan mengakui AS sebagai negara yang memiliki perlindungan data memadai di bawah hukum Indonesia. Hal ini merujuk pada mekanisme transfer data pribadi lintas negara secara kasus per kasus, untuk memastikan aliran data tetap sah dan terlindungi dalam era ekonomi digital,” jelas Ramli.
Dia mengungkapkan, transfer data pribadi sebenarnya telah berlangsung di mana-mana. Contohnya, seseorang yang akan terbang ke New York dari Jakarta, maka akan terjadi transfer data pribadi yang bahkan bisa melibatkan bukan hanya satu negara, belum lagi jika menggunakan maskapai yang berbeda.
Contoh lain adalah pengguna internet di Indonesia yang menurut data APJII 2025 sebanyak 221.563.479 jiwa juga telah memberikan data pribadinya ke berbagai platform digital global untuk diproses dan ditransfer antarteritorial dan yurisdiksi. Pemberian data pribadi itu dilakukan mulai saat membuat akun email, Zoom, Youtube, WhatsApp, ChatGPT, Google Maps, atau lainnya.
Ramli menegaskan bila transfer data pribadi merupkan sebuah keniscayaan. Sebab, tanpa proses transfer data pribadi, tidak akan ada layanan dan transaksi digital. Karena itu, pekerjaan rumah besar pemerintah Indonesia adalah bagaimana melakukan pengawasan, monitoring, evaluasi dan menegakan kepatuhan UU PDP agar transfer data ke manapun di dunia, tetap dilakukan secara akuntabel dan mematuhi hukum yang berlaku.
“Dalam kaitan ini, Lembaga Pelindungan Data Pribadi berperan sangat strategis untuk menjalankan ketentuan UU PDP secara optimal. Pemerintah sebaiknya tidak menunda lagi terbentuknya Lembaga PDP ini,” tukasnya.
Indonesia Harus Menjadi Pengendali Aturan Transfer Data Pribadi
Meski disebut sebagai hal yang lazim terjadi di era digital, Ketua Indonesia Cyber Security Forum, Ari Sutedja menyoroti risiko pelanggaran privasi dan keamanan negara dengan adanya kesepakatan transfer data pribadi antara Indonesia dan AS. Dia menyebut, boleh jadi UU PDP mengizinkan transfer data lintas batas ke AS, namun persoalan sebenarnya adalah siapa yang akan menentukan syarat soal aliran data tersebut. “Pangkal masalahnya bukan pada apakah aliran data lintas batas diizinkan atau tidak, tetapi di bawah syarat dan ketentuan siapa aliran data itu diatur,” imbuhnya.
Dia mengatakan, UU PDP memuat syarat ketat untuk memberikan kendali dan kedaulatan terkait transfer data kepada Indonesia. Namun jika berkaitan dengan AS, kendali itu bisa jadi akan kendur. Apalagi, perjanjian itu bertujuan untuk menghilangkan hambatan dan memaksimalkan kebebasan aliran data, yang dapat melucuti kendali dan kedaulatan tersebut.
Ardi lantas menjabarkan beberapa risiko yang mungkin timbul, salah satunya adalah potensi penyalahgunaan data pribadi WNI oleh pihak asing. Hal ini dapat meningkatkan risiko serangan siber, termasuk pencurian data dan serangan ransomware Dari sisi ekonomi, ada ancaman kolonialisasi digital, ketika perusahaan teknologi raksasa AS yang menguasai data global akan semakin dominan sehingga berujung para persaingan usaha yang tidak adil.
“Mereka dapat menganalisis data pasar Indonesia dari server mereka di AS untuk menciptakan produk yang sangat kompetitif, mematikan inovasi dan startup lokal yang tidak memiliki akses data sebesar itu,” terangnya.
Peringatan senada dilontarkan anggota Komisi I DPR RI, Amelia Anggraini, yang mengingatkan pemerintah Indonesia berhati-hati dalam urusan transfer data pribadi yang menjadi bagian dari negosiasi dagang dengan pemerintah AS. Sebab, data pribadi bukan komoditas dagang, tapi hak fundamental warga negara yang dijamin konstitusi dan dilindungi oleh UU PDP.
Dia menegaskan, sesuai Pasal 56 UU PDP, transfer data pribadi ke luar negeri hanya dapat dilakukan ke negara yang memiliki tingkat perlindungan data pribadi yang setara atau lebih tinggi dengan Indonesia, dan harus melalui mekanisme persetujuan, perjanjian bilateral, atau jaminan perlindungan yang memadai sebagaimana diatur dalam Pasal 57 dan 58.
Politikus dari Fraksi Partai NasDem ini meminta pemerintah mempercepat pembentukan lembaga otoritatif yang independen atau Amelia mengimbau pemerintah perlu memastikan bahwa prinsip kehati-hatian serta perlindungan hak subjek data benar-benar dijalankan.
Lebih lanjut legislator Partai NasDem itu menyoroti pentingnya percepatan pembentukan lembaga otoritatif yang independen atau Lembaga PDP seperti diamanatkan dalam Pasal 58 dan 59 UU PDP. “Lembaga PDP ini untuk memastikan pengawasan, evaluasi, dan penegakan hukum terhadap seluruh praktik pemrosesan dan transfer data, termasuk dalam konteks kerja sama internasional,” kata Amelia.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
