Proses perancangan Undang-Undang Perlindungan Data Pribadi (UU PDP) akhirnya rampung. Hampir semua pihak menganggap ini adalah kemenangan bagi warga Indonesia dan langkah maju untuk menghadirkan privasi lewat berbagai macam mekanisme perlindungan data.
Namun jika ditelisik lebih jauh, adanya UU PDP justru menjadi tantangan tersendiri bagi komunitas bisnis di Indonesia, dan bahkan berpotensi merubah lanskap tata kelola data di Indonesia secara keseluruhan.
Bagi komunitas bisnis di Indonesia, tantangannya akan muncul dari kebijakan esktrateritorial yang tercantum pada pasal 2 ayat 1 UU tersebut. Sedangkan, kebijakan transfer data dari UU PDP berpotensi meliberalisasi tata kelola data Indonesia lebih jauh. Mempelajari dampak regulasi perlindungan data pribadi di kawasan Uni Eropa (GDPR) juga bisa memberi gambaran dampak aturan ini ke pelaku bisnis.
Dampak kebijakan ekstrateritorial bagi komunitas bisnis Indonesia
Kebijakan ekstrateritorial mewajibkan perusahaan dan institusi pemegang data warga Indonesia yang berbasis di luar negeri tunduk pada semua aturan UU PDP. Kebijakan ini, khususnya yang terkait dengan penyimpanan data, tampaknya akan menumbuhkan ketertarikan perusahaan asing untuk menggarap pasar konsumen Indonesia yang begitu potensial secara serius.
Perlu diketahui bahwa sebelum UU PDP, pemerintah melalui PP No. 82 Tahun 2012 sempat mewajibkan perusahaan asing untuk menyimpan data warga Indonesia di dalam fasilitas penyimpanan data yang terletak di dalam teritorial Indonesia. Kebijakan ini secara tidak langsung mendorong perusahaan asing membangun fasilitas data center di Indonesia.
Sedangkan, berdasarkan UU PDP, perusahaan asing dapat bebas dari tanggung jawab tersebut. Mereka diperbolehkan menyimpan data kita di dalam sistem penyimpanan awan (cloud storage). Ini membuat fasilitas data center tidak terletak di satu negara saja.
Dengan skema demikian, perusahaan asing tidak perlu lagi bersusah payah membangun data center di Indonesia ketika ingin menggarap pasar konsumen Indonesia. Mereka bisa saja membangun fasilitas tersebut di negaranya sendiri, atau bahkan di negara yang menawarkan biaya operasional lebih rendah dari pada Indonesia.
Dengan semakin longgarnya syarat yang harus dipenuhi oleh perusahaan asing, agaknya komunitas bisnis Indonesia perlu lebih waspada.
Bagi penyedia layanan digital domestik – seperti e-commerce, dompet digital, telekomunikasi, dan sebagainya – tidak menutup kemungkinan akan menghadapi persaingan yang ketat dengan pihak asing untuk menguasai pangsa konsumen Indonesia yang begitu besar.
Sedangkan bagi produsen barang dan jasa domestik, mereka mungkin akan menghadapi kompetisi dari produsen asing dengan daya saing yang lebih baik. UU PDP lebih memudahkan perusahaan asing yang ingin menggarap pasar Indonesia karena tidak mengharuskan mereka untuk menyimpan data warga di dalam teritorial Indonesia. Ini menjadi semacam insentif bagi penyedia layanan digital asing untuk menggarap pasar konsumen indonesia yang begitu besar, dan memudahkan masuknya barang dan jasa dari luar negeri lewat layanan digital milik perusahaan asing.
Read more: Panel ahli: UU Perlindungan Data Pribadi rentan makan korban dan belum jamin proteksi data yang kuat
Dampak kebijakan transfer data antar negara bagi tata kelola data Indonesia
Kebijakan transfer data dalam UU PDP tampaknya berpotensi meliberalisasi tata kelola data lebih jauh, khususnya terkait third-party cookies – pemroses data pihak ketiga yang biasanya memberikan rekomendasi iklan terkait produk dan layanan pada laman website atau aplikasi berdasarkan preferensi pengunjung.
Ada dua alasan terkait hal ini.
Pertama, liberalisasi data bisa terjadi karena menurunnya daya saing vendor third-party cookies yang sudah ada, terutama vendor dengan sumber daya terbatas seperti dalam hal anggaran, para ahli di bidang terkait, pegawai, infrastruktur digital, dan sebagainya.
Bagi vendor third-party cookies yang tidak memiliki sumber daya mumpuni, tentu ini akan menurunkan daya saing mereka di mata pemilik bisnis dan website. Sebaliknya, jika vendor bisa menyesuaikan diri dengan UU PDP, ada kemungkinan mereka akan membebankan kenaikan biaya layanan kepada pemilik bisnis dan website, yang pada akhirnya juga menurunkan daya saing.
Pada saat inilah pemilik bisnis dan website di Indonesia akan memaksimalkan peluang yang ditawarkan oleh kebijakan transfer data antar negara dalam UU PDP, yakni dengan mentransfer data ke third-party cookies asing yang dipandang lebih kompetitif.
Jika merujuk pada pengalaman Uni Eropa, menyesuaikan diri dengan aturan UU PDP tentu akan menguras banyak sumber daya.
Dalam konteks Uni Eropa, sebuah studi menunjukan bahwa Google menjadi pemenang dalam penguasaan pasar third-party cookies di Uni Eropa karena menjadi vendor dengan kenaikan tertinggi (5.4%) setelah GDPR resmi diterapkan. Studi lain membuktikan bahwa vendor third-party cookies yang lebih kecil banyak ditinggalkan, sehingga kehilangan pangsa pasar sebanyak 18 hingga 31% setelah GDPR berjalan.
Dalam kata lain, kebijakan transfer data UU PDP bisa melanggengkan pengaruh raksasa digital global dalam rantai pasok data Indonesia. Dengan sumber daya yang melimpah, sangat mudah bagi perusahaan semacam itu untuk bisa fleksibel terhadap berbagai macam regulasi perlindungan data.
Kedua, karena sudah banyak negara yang punya kemampuan untuk menggarap pasar data Indonesia.
Dalam UU PDP, transfer data ke luar wilayah Indonesia dimungkinan jika negara yang bersangkutan mempunyai tingkat perlindungan data pribadi yang setara atau lebih.
Sebagai contoh, setidaknya tercatat ada lebih dari 150 negara yang regulasi perlindungan datanya mirip dengan GDPR. Indonesia bisa dianggap setara dengan negara-negara tersebut karena impelementasi dan ketegasan hukumnya masih di bawah standar pencetusnya, Uni Eropa.
Indonesia juga bisa mentransfer data ke negara yang tingkat proteksinya lebih tinggi, seperti Uni Eropa beserta 15 negara yang perlindungan datanya dianggap setara dengan GDPR oleh Uni Eropa.
Meskipun belum ada peraturan turunan UU PDP yang mengatur dengan negara mana Indonesia bisa menstransfer datanya, negara-negara di atas bisa menjadi gambaran betapa banyaknya pihak yang nantinya bisa bersaing untuk menguasai pasar data di Indonesia.
Read more: UU Perlindungan Data Pribadi: Pemerintah sadar pentingnya keamanan data atau hanya takut Bjorka?
Tugas pemerintah
Untuk menangkal dampak parah dari persaingan bisnis yang timbul dari kebijakan ekstrateritorial, mengenakan tarif tambahan terhadap produk luar negeri dapat menjadi salah satu opsi.
Sedangkan untuk menghadapi persaingan pasar data yang makin ketat, pemerintah harus mendengar masukan berbagai aktor lokal dalam rantai pasok data, khususnya terkait kesiapan mereka terhadap pemenuhan berbagai hak pemilik data.
Pasalnya, survey yang dilakukan oleh ISD Council dengan Kamar Dagang Indonesia (KADIN) menunjukan bahwa mayoritas aktor dalam ekosistem digital belum siap untuk mematuhi seluruh ketentuan UU PDP, terutama aktor-aktor dengan sumber daya yang tidak begitu besar.
Untuk itu, Indonesia harus belajar dari kesalahan Uni Eropa.
Studi menunjukan bahwa ketika GDPR mulai berlaku, banyak pihak di Uni Eropa sangat kewalahan – terutama pelaku bisnis dengan sumber daya yang kecil – untuk mencapai standar yang diinginkan Data Protection Authority (DPA) – lembaga pengawas data independen milik Uni Eropa.
Banyak dari mereka akhirnya harus mengeluarkan ribuan hingga puluhan ribu euro untuk menyewa konsultan agar kegiatan bisnis mereka tetap berjalan di bawah kerangka GDPR.
Belajar dari hal tersebut, memberikan waktu yang cukup untuk adaptasi dan sosialisasi yang masif juga merupakan beberapa opsi yang bisa dipertimbangkan oleh pemerintah kelak.