Perlindungan Data Pribadi Bukan Lagi Opsional tapi Urgensi Nasional

Perlindungan data pribadi (PDP) kian menjadi sorotan utama di tengah pesatnya perkembangan teknologi digital di Indonesia. Dalam sebuah diskusi lintas lembaga yang melibatkan Otoritas Jasa Keuangan (OJK), Bank Indonesia (BI), dan Kementerian Komunikasi dan Digitalisasi (Kemkomdigi), ketiganya sepakat tata kelola data pribadi menjadi hal yang sangat krusial untuk segera diperkuat.

Kepala Departemen Pengawasan Inovasi Teknologi Sektor Keuangan (ITSK), Aset Keuangan Digital, dan Aset Kripto OJK, Dino Milano Siregar menegaskan, komponen informasi pribadi seperti nama, alamat, hingga data medis dan kematian kini menjadi incaran aktor jahat digital. Menurutnya, data pribadi merupakan aset yang semakin bernilai dan mulai dikumpulkan secara sistematis oleh pihak-pihak yang tidak bertanggung jawab.

“Kita baru-baru ini mendengar adanya warga yang dibayar Rp800.000 hanya untuk memberikan foto retina. Bayangkan jika data biometrik seperti itu dikumpulkan terus selama 10-15 tahun. Itu bukan data biasa retina adalah data level tinggi, jauh lebih sensitif dari sekadar nama atau tanggal lahir," jelas Dino dalam FGD & Sosialisasi Regulatory Compliance System (RCS) Asosiasi Fintech Indonesia (AFTECH) bersama Hukumonline, Kamis (26/6/2025) kemarin.

Menurutnya, saat ini masyarakat sering kali tanpa sadar menyerahkan informasi pribadi melalui aplikasi, game, maupun perangkat digital. Mulai dari sidik jari hingga tanggal lahir, semua bisa dikumpulkan tanpa kesadaran penuh pengguna. Oleh karena itu, Dino menilai PDP kini bukan hanya penting, tetapi sudah berada dalam tahap "sangat urgent".

Dalam pengawasan OJK terhadap sektor teknologi keuangan, dirinya menyampaikan bahwa regulasi terkait data pribadi sudah masuk dalam Peraturan OJK (POJK), termasuk prinsip pelaksanaan persetujuan eksplisit (explicit consent). OJK mewajibkan lembaga keuangan digital untuk memastikan bahwa setiap persetujuan dari pengguna harus diberikan secara sadar, bukan sekadar menekan tombol ‘Next’ atau ‘Saya Setuju’ tanpa membaca.

"Persetujuan eksplisit itu harus nyata, kami bahkan meminta dua kali konfirmasi 'Apakah Anda Setuju?' dan 'Apakah Anda yakin?' agar tidak ada alasan kelak bahwa persetujuan diberikan tanpa sadar," tegasnya.

Dari perspektif Bank Indonesia (BI), analisis senior BI, Lestianto Medianto Mulyo menyebut, di tengah transformasi digital data pribadi menjadi bagian dari kompetisi ekonomi global. Terutama untuk sektor pembayaran dan infrastruktur data.

"Kita melihat data tidak hanya sebagai tanggung jawab regulasi, tapi juga sebagai kekuatan strategis, apalagi jika digunakan untuk investasi atau deteksi fraud," katanya.

Lestianto menjelaskan banyak prinsip yang digunakan dalam PDP di Indonesia disadur dari General Data Protection Regulation (GDPR) Uni Eropa. Namun, dia menilai penyesuaian dengan konteks nasional tetap penting. Misalnya, pada sektor sistem pembayaran, BI sedang merumuskan regulatory reform yang memasukkan prinsip manajemen konsen untuk penggunaan data secara tepat dan sah.

Sementara itu, Analisis Kebijakan Pengawasan Ruang Digital Kemkomdigi, Ajeng Risda Rahmadani mengungkapkan bahwa tingkat kesadaran masyarakat terhadap Undang-Undang Nomor 27 Tahun 2022tentang PDP (UU PDP) terus meningkat. Sejak UU PDP disahkan, pihaknya fokus mendorong penyusunan peraturan teknis lewat Rancangan Peraturan Pemerintah (RPP) PDP yang sedang dalam tahap harmonisasi lintas kementerian dan lembaga.

"Kami sudah bahas sekitar 196 dari 236 pasal dalam RPP PDP. Target kami bulan Juli ini selesai. Kami bekerja dari pagi hingga malam, dan sangat terbantu dengan dukungan dari OJK dan BI," ujar Ajeng.

Menurutnya, penyusunan RPP PDP cukup kompleks karena menyentuh berbagai sektor dan jenis data. Dalam UU PDP sendiri, data pribadi dibagi menjadi dua, yaitu data umum dan data spesifik, seperti data biometrik, kesehatan, dan keuangan. Namun, berbeda dari GDPR, UU PDP tidak menggunakan istilah ‘data sensitif’ secara langsung untuk menghindari ambiguitas.

‘Kami menyebutnya 'data spesifik' yang kemudian dapat diatur lebih lanjut oleh sektor masing-masing. Misalnya, Kementerian Agama bisa menentukan bahwa data agama termasuk data spesifik yang wajib dilindungi ekstra,’ paparnya.

Ajeng juga mengapresiasi industri fintech yang dianggap paling siap dalam implementasi UU PDP. Meskipun peraturan teknis belum rampung, banyak pelaku usaha sudah mulai menerapkan kode etik dan sistem PDP secara mandiri.

‘Kami melihat pelaku industri justru paling siap dibanding kementerian atau lembaga. Mereka sudah bergerak lebih awal, ini hal yang positif karena akan mempermudah implementasi saat regulasi resmi diberlakukan,’ tutupnya.