Oleh: R. Haidar Alwi___ Pendiri Haidar Alwi Institute (HAI) sekaligus Wakil Ketua Dewan Pembina Ikatan Alumni ITB
Pemerintah melalui Menkomdigi Meutya Hafid, menegaskan bahwa transfer data konsumen Indonesia ke Amerika Serikat aman dan dijamin.
Namun ada satu fakta mendasar yang jarang dibahas. Amerika Serikat tidak memiliki satu undang-undang perlindungan data yang komprehensif dan setara dengan standar Uni Eropa.
Di Eropa, perlindungan data diatur oleh General Data Protection Regulation (GDPR), sebuah regulasi yang sangat ketat, terintegrasi, dan memiliki mekanisme sanksi berat.
GDPR bukan sekadar aturan administratif. Ia adalah fondasi kedaulatan digital Eropa. Perusahaan global dipaksa patuh, atau menghadapi denda miliaran euro.
Bandingkan dengan Amerika Serikat. Di sana, perlindungan data bersifat sektoral dan terfragmentasi. Ada aturan data untuk kesehatan, untuk anak-anak, dan ada untuk sektor keuangan, tetapi tidak ada satu payung hukum nasional yang menyeluruh seperti GDPR.
Perlindungan data di AS lebih banyak bergantung pada pendekatan berbasis pasar, bukan sebagai hak asasi warga negara yang dijamin secara menyeluruh seperti dalam sistem Eropa.
Fakta ini bukan asumsi politik. Ia pernah diuji di pengadilan.
Pada tahun 2020, Mahkamah Eropa melalui putusan yang dikenal sebagai Schrems II membatalkan kerangka kerja transfer data antara Uni Eropa dan Amerika Serikat (Privacy Shield).
Alasannya, standar perlindungan data di AS dianggap belum memadai, terutama karena akses lembaga keamanan AS terhadap data warga Eropa dinilai terlalu luas dan tidak memiliki mekanisme pengawasan yang setara dengan standar Eropa.
Artinya apa?
Jika Uni Eropa yang sistem hukumnya matang, kapasitas regulasinya kuat, dan posisi tawarnya tinggi, merasa perlindungan AS belum cukup aman, maka pertanyaannya adalah atas dasar apa pemerintah kita menganggapnya memadai?
Apakah Indonesia memiliki instrumen hukum yang lebih kuat dari GDPR? Tidak.
Apakah posisi tawar Indonesia terhadap raksasa teknologi global lebih besar dari Uni Eropa? Juga tidak.
Sementara itu, dalam perjanjian dagang Indonesia–AS, Indonesia berkomitmen untuk memastikan transfer data lintas batas difasilitasi, dan menahan diri dari kewajiban pemrosesan data di dalam negeri dalam sektor tertentu.
Artinya, ruang untuk membatasi arus data demi kehati-hatian justru semakin menyempit.
Di sinilah letak masalah strategisnya.
Eropa berhati-hati karena menyadari data bukan sekadar informasi. Ia adalah kekuasaan. Data menentukan arah inovasi, kecerdasan buatan, periklanan politik, bahkan keamanan nasional.
Karena itu, Eropa menuntut adequacy decision. Negara tujuan transfer data harus memiliki standar perlindungan yang “setara secara esensial”.
Apakah Indonesia melakukan penilaian kesetaraan seperti itu terhadap Amerika Serikat? Apakah ada kajian resmi yang menyatakan bahwa perlindungan data AS setara atau memadai bagi warga Indonesia?
Indonesia sudah punya aturan, yaitu Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Undang-undang ini dibuat supaya data pribadi seperti nomor KTP, alamat, riwayat transaksi, data kesehatan, sampai kebiasaan kita di internet, tidak bisa dipakai sembarangan.
Secara hukum, data hanya boleh dikirim ke luar negeri jika negara tujuan punya perlindungan yang setara atau ada jaminan yang jelas. Bahkan dalam Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, hak atas perlindungan diri dan rasa aman dijamin. Artinya, privasi itu hak dasar, bukan bonus.
Masalahnya bukan anti-Amerika. Masalahnya adalah konsistensi standar. Jika kita menerima bahwa perlindungan data adalah hak warga negara dan bagian dari kedaulatan digital, maka seharusnya kita menuntut standar yang jelas dan terukur, bukan sekadar kepercayaan.
Oleh karena itu, Schrems II memberi pelajaran penting. Bahkan sekutu dekat pun bisa dianggap belum cukup aman jika standar hukumnya tidak memadai. Uni Eropa berani menghentikan arus data demi menjaga prinsipnya.
Jika Eropa yang kuat saja ragu, lantas mengapa kita begitu yakin???
Jakarta, 27 Februari 2026
Komentar