RI-AS Resmi Sepakat Transfer Data Pribadi: Apakah Data Kita Aman?

Pernah gak sih kamu bertanya-tanya, ke mana ya data pribadi kita mengalir setiap kali belanja di e-commerce atau pakai aplikasi buatan luar negeri? Nah, pertanyaan ini makin relevan setelah Pemerintah Indonesia dan Amerika Serikat baru saja menandatangani kesepakatan besar.

Pada 20 Februari 2026 lalu, Presiden Prabowo Subianto dan Presiden Donald Trump resmi meneken Agreement on Reciprocal Trade (ART) . Di dalam dokumen kerjasama dagang strategis ini, ada satu poin yang bikin banyak orang mengernyitkan dahi: Indonesia mengizinkan transfer data pribadi warga negaranya ke Amerika Serikat .

Wajar kalau kemudian muncul kekhawatiran di masyarakat. Apakah data KTP, riwayat transaksi, bahkan data kesehatan kita bakal "dijual" ke luar negeri? Atau jangan-jangan ini langkah maju yang justru menguntungkan Indonesia di era ekonomi digital?

Tenang, kita bahas satu per satu dengan bahasa yang santai tapi tetap mendalam. Simak sampai habis, ya!

Apa Isi Perjanjian ART Soal Data Pribadi?

Dalam dokumen ART, aturan soal pertukaran data pribadi diatur khusus di Bagian 3 tentang Perdagangan Digital dan Teknologi. Ada beberapa pasal penting yang perlu kamu tahu:

1. Transfer Data Diperbolehkan dengan Syarat (Pasal 3.2)

Pasal ini yang paling banyak dibicarakan. Indonesia memberikan kepastian hukum bagi perusahaan AS untuk memindahkan data pribadi keluar dari wilayah Indonesia ke Amerika Serikat. Tapi ada syaratnya: Indonesia harus mengakui bahwa AS punya standar perlindungan data yang setara dengan hukum di Indonesia .

Menteri Koordinator Bidang Perekonomian, Airlangga Hartarto, menegaskan bahwa transfer data ini dilakukan secara terbatas dan tetap mengacu pada ketentuan perundang-undangan di Indonesia .

2. Perlindungan Source Code dan Algoritma (Pasal 3.4)

Kabar baik buat perusahaan teknologi: Indonesia tidak akan mewajibkan perusahaan AS untuk menyerahkan source code, algoritma, atau proses produksi rahasia sebagai syarat menjalankan bisnis di sini. Tapi catatannya, kalau ada penyelidikan hukum atau tindakan peradilan, otoritas tetap punya hak untuk memintanya .

3. Insentif Perdagangan Digital

Indonesia juga sepakat menghapus lini tarif pada produk tidak berwujud dan menangguhkan persyaratan deklarasi impor untuk transmisi elektronik. Tujuannya jelas: mempercepat arus perdagangan digital tanpa hambatan birokrasi yang bertele-tele .

Jaminan Pemerintah: Data WNI Tetap Dilindungi UU PDP

Merespons kekhawatiran publik, juru bicara Kemenko Perekonomian, Haryo Limanseto, langsung buka suara. Ia menegaskan bahwa transfer data ini tetap tunduk sepenuhnya pada aturan domestik, yaitu Undang-Undang Perlindungan Data Pribadi (UU PDP) .

"Artinya, tidak ada penyerahan kedaulatan data. Pemerintah memastikan proses pemindahan data, baik secara fisik maupun digital, dilakukan dalam kerangka tata kelola data yang aman dan tepercaya, tanpa mengorbankan hak-hak warga negara," ujar Haryo .

Menteri Komunikasi dan Digital, Meutya Hafid, juga menambahkan bahwa yang dimaksud dalam perjanjian ini adalah data yang diperlukan untuk operasional bisnis semata, seperti untuk e-commerce, layanan keuangan digital, dan komputasi awan. Praktik transfer data lintas negara sendiri sebenarnya sudah berlangsung lama melalui platform digital internasional. Jadi, ART ini hanya memperjelas kerangka hukum dari praktik yang sudah ada .

Tapi... Ada PR Besar yang Belum Beres

Nah, di sinilah letak persoalannya. Secara normatif, jaminan pemerintah terdengar meyakinkan. Tapi kalau kita lihat lebih dalam, ada beberapa tantangan serius yang bikin keamanan data WNI ini masih abu-abu.

1. Lembaga Pengawas PDP Belum Juga Terbentuk

UU PDP Pasal 58 mengamanatkan adanya lembaga pengawas pelindungan data pribadi yang independen dan bertanggung jawab langsung kepada presiden. Lembaga ini punya 15 kewenangan, mulai dari menetapkan kebijakan, mengawasi kepatuhan, menerima aduan, hingga memberi sanksi administratif .

Masalahnya? Tiga tahun setelah UU PDP disahkan, lembaga ini belum juga terbentuk. Peraturan Pemerintah (PP) sebagai turunannya pun masih mandek. Padahal, perjanjian ART ini sudah diteken .

Anggota Komisi I DPR, Sukamta, mendesak pemerintah segera menyelesaikan pembahasan Rancangan Perpres tentang lembaga ini. Menurutnya, lembaga pengawas yang independen adalah kunci agar perlindungan data tidak berhenti di atas kertas .

Direktur Eksekutif CISSRec, Pratama Persadha, mengingatkan bahwa tanpa lembaga ini, penegakan aturan cenderung tersebar dan tidak terkoordinasi. "Konflik kepentingan pun berpotensi muncul apabila pengawasan dilakukan oleh institusi yang sekaligus menjadi operator atau pembuat kebijakan teknis," jelasnya .

2. Siapa yang Menilai "Kesetaraan" Perlindungan Data AS?

UU PDP Pasal 56 memang membolehkan transfer data ke luar negeri asalkan negara tujuan punya tingkat perlindungan data yang setara atau lebih tinggi. Tapi, hingga kini belum ada kejelasan: siapa yang berwenang melakukan penilaian kesetaraan ini? Apakah Kemenko Perekonomian, Kemenkomdigi, atau nanti lembaga pengawas PDP? .

Asosiasi Profesional Privasi Data Indonesia (APPDI) menekankan bahwa penilaian kesetaraan ini harus dilakukan melalui kajian mendalam. Soalnya, pendekatan hukum AS dan Indonesia sangat berbeda. AS tidak punya undang-undang payung seperti UU PDP, melainkan aturan sektoral yang berbeda-beda di tiap negara bagian. California punya privacy act sendiri, sektor kesehatan diatur beda, dan seterusnya .

3. Ancaman CLOUD Act AS

Nah, ini yang bikin publik semakin resah. Amerika Serikat punya instrumen hukum bernama CLOUD Act yang memungkinkan otoritas AS meminta akses terhadap data yang dikelola perusahaan Amerika, termasuk data yang berada di luar wilayah fisik AS .

Pratama Persadha menjelaskan, dalam praktik lintas yurisdiksi, dimensi hukumnya jadi lebih kompleks. "Meskipun data warga Indonesia dilindungi oleh hukum domestik, tetap terdapat kemungkinan akses oleh otoritas asing melalui mekansime hukum yang tidak sepenuhnya berada dalam kendali pemerintah Indonesia," katanya .

Artinya, meskipun secara normatif data kita dijamin UU PDP, secara teknis tetap ada celah bagi otoritas AS untuk mengaksesnya.

4. Putusan MK: Konstitusional, Tapi Masih Banyak Tanya

Pada 19 Januari 2026, Mahkamah Konstitusi (MK) memutuskan bahwa Pasal 56 UU PDP tentang transfer data lintas negara adalah konstitusional. MK menegaskan bahwa transfer data adalah tindakan administratif dan teknis, bukan perjanjian internasional yang butuh persetujuan DPR .

Namun, pakar hukum menyoroti bahwa putusan ini mengasumsikan struktur kelembagaan pengawasan dan kultur penegakan hukum sudah siap bekerja. Padahal kenyataannya, kedua elemen ini masih rapuh. MK juga tidak memberikan panduan jelas tentang bagaimana mekanisme "perlindungan yang mengikat" (appropriate and binding safeguards) harus diwujudkan dalam praktik .

Lalu, Apa Dampaknya Buat Kita?

Kesepakatan ini punya dua sisi mata uang. Di satu sisi, ini bisa jadi kabar baik buat ekonomi digital Indonesia.

Haryo Limanseto optimistis, dengan adanya kepastian aturan transfer data, Indonesia bisa menarik lebih banyak investasi global, terutama di sektor pusat data (data centers), infrastruktur cloud, dan layanan digital lainnya. Perusahaan teknologi dunia butuh kepastian hukum untuk memproses data lintas negara. Dengan tata kelola yang kredibel, posisi Indonesia sebagai hub ekonomi digital Asia Tenggara bisa menguat .

Di sisi lain, risiko terhadap hak privasi warga negara tetap ada. Apalagi dengan belum adanya lembaga pengawas independen, mekanisme pengaduan jika terjadi penyalahgunaan data di luar negeri juga belum jelas.

Anggota Komisi I DPR, Sukamta, menekankan pentingnya penyusunan aturan turunan yang mengatur secara rinci:

• Kriteria negara yang memiliki tingkat perlindungan data setara
• Mekanisme evaluasi berkala
• Standar kontrak perlindungan data
• Kategori data sensitif strategis (kesehatan, biometrik, infrastruktur kritikal) yang butuh pengamanan tambahan
• Mekanisme pengaduan yang jelas dan dapat diakses warga negara.

Yang Bisa Kita Lakukan sebagai Warga Negara

Sambil menunggu pemerintah membenahi aturan teknis dan membentuk lembaga pengawas, ada beberapa langkah praktis yang bisa kita lakukan untuk melindungi data pribadi:

• Baca kebijakan privasi sebelum menginstall aplikasi atau menggunakan layanan digital. Pahami data apa saja yang dikumpulkan dan ke mana data itu dikirim.
• Batasi izin aplikasi. Jangan asal kasih izin akses kontak, lokasi, atau kamera kalau tidak diperlukan.
• Gunakan kata sandi yang kuat dan berbeda untuk tiap akun. Aktifkan autentikasi dua faktor.
• Waspada terhadap phishing. Jangan mudah klik tautan mencurigakan atau bagikan data pribadi ke pihak tak dikenal.
• Pantau aktivitas akun secara berkala. Kalau ada transaksi mencurigakan, segera laporkan.

Kesimpulan

Perjanjian ART antara Indonesia dan AS adalah langkah strategis di tengah arus ekonomi digital global. Pemerintah menjamin bahwa transfer data pribadi tetap tunduk pada UU PDP dan tidak menyerahkan kedaulatan data.

Namun, kesenjangan antara norma dan implementasi masih menjadi pekerjaan rumah besar. Lembaga pengawas PDP yang tak kunjung terbentuk, mekanisme penilaian kesetaraan yang belum jelas, serta ancaman hukum ekstrateritorial seperti CLOUD Act adalah tantangan nyata yang harus segera diatasi.

Pada akhirnya, keamanan data warga negara tidak hanya ditentukan oleh klausul dalam perjanjian dagang, tapi juga oleh ketegasan regulasi, kapasitas pengawasan, serta posisi tawar Indonesia dalam memastikan prinsip kesetaraan dan perlindungan hak warga negara.

Kita tunggu saja langkah selanjutnya dari pemerintah. Semoga lembaga pengawas PDP segera terbentuk agar perlindungan data pribadi kita tidak sekadar ilusi.