Amerika Serikat dan Indonesia kembali menjadi sorotan setelah kerangka Perjanjian Dagang Resiprokal yang mencakup penghapusan hambatan perdagangan digital memicu diskusi soal perlindungan data dan privasi. Dalam pernyataan resmi yang dikutip dari whitehouse.gov, pihak AS menyebut Indonesia akan menjamin transfer data pengguna ke luar negeri, termasuk ke AS, serta mengakui perlindungan data di AS sebagai memadai. Isu ini ramai dibahas di Jakarta dan Washington karena menyentuh aspek keamanan data, kepatuhan regulasi, dan posisi undang-undang nasional Indonesia di tengah arus pertukaran data lintas batas.
Kesepakatan dagang digital memanaskan diskusi transfer data pengguna ke Amerika Serikat
Kerangka kesepakatan dagang itu menempatkan arus data lintas negara sebagai bagian dari agenda “menghapus hambatan perdagangan digital”. Di sektor ekonomi digital, klausul semacam ini biasanya dipandang sebagai cara menekan friksi bagi layanan komputasi awan, iklan digital, analitik, dan pemrosesan pembayaran yang mengandalkan infrastruktur global.
Namun, pernyataan AS bahwa Indonesia akan mengakui perlindungan data di AS memadai langsung mengundang pertanyaan. Amerika Serikat selama ini dikenal memiliki aturan yang terfragmentasi: ada regulasi sektoral dan aturan di tingkat negara bagian, tetapi tidak berupa satu payung undang-undang komprehensif di level federal yang setara dengan banyak rezim perlindungan data modern.
Di Indonesia, isu ini cepat masuk ke ruang publik karena menyangkut data warga yang sehari-hari melekat pada layanan digital. Dari data pendaftaran akun hingga riwayat transaksi, perpindahan data lintas batas dapat memengaruhi cara sengketa ditangani dan siapa yang berwenang ketika terjadi kebocoran. Untuk konteks perdebatan regulasi nasional, rujukan soal kerangka dan arah pembahasan kebijakan kerap dipautkan dengan isu seperti pembahasan regulasi perlindungan data yang selama beberapa tahun terakhir menjadi perhatian publik.
UU PDP dan PP 71 2019 menjadi rujukan pemerintah untuk keamanan data dan hak pengguna
Di tengah sorotan itu, Menteri Komunikasi dan Digital Meutya Hafid menyatakan mekanisme transfer data ke luar negeri sudah diatur jelas dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) serta Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pemerintah menekankan dua aturan ini dirancang untuk memastikan tata kelola yang aman tanpa menghapus hak pengguna.
Pasal 56 UU PDP mengatur bahwa pengendali data—pihak yang menentukan tujuan dan cara pemrosesan—dapat mentransfer data ke luar negeri dengan syarat tertentu. Intinya, negara tujuan harus memiliki tingkat perlindungan yang setara atau lebih tinggi, atau ada perjanjian internasional, atau pengendali dapat menjamin perlindungan memadai sesuai ketentuan UU PDP.
Jika syarat-syarat itu tidak terpenuhi, perpindahan data hanya bisa dilakukan setelah ada persetujuan eksplisit dari subjek data dan izin dari otoritas yang berwenang. Pasal 57 juga mewajibkan pencatatan dan pelaporan, termasuk negara tujuan, pihak penerima, jenis data, dasar hukum, serta tujuan pengiriman.
Di lapangan, klasifikasi UU PDP ikut menentukan sensitivitas penanganan. Data pribadi umum (misalnya nama dan kewarganegaraan) diperlakukan berbeda dari data pribadi spesifik seperti kesehatan, biometrik, genetika, catatan keuangan, data anak, hingga pandangan politik. Untuk kategori spesifik, UU PDP mensyaratkan perlindungan hukum setara dan persetujuan subjek data; tanpa keduanya, pengiriman dilarang. Bagi perusahaan rintisan di bidang teknologi informasi yang mengandalkan cloud global, ketentuan ini menjadi pekerjaan kepatuhan yang tidak kecil—tetapi menjadi garis pertahanan ketika nilai ekonomi data bertabrakan dengan privasi.
Regulasi platform dan kekhawatiran pengawasan ikut membentuk arah perlindungan data pengguna
Perdebatan tidak berhenti pada teks hukum. Direktur Eksekutif SAFEnet, Nenden Sekar Arum, menilai rencana transfer data ke AS perlu dikaji lebih dalam, mengingat AS disebut belum memiliki payung aturan perlindungan data yang setara dengan standar Eropa maupun Indonesia. Dalam keterangannya pada Kamis, 24 Juli 2025, ia menekankan risiko geopolitik: data dapat dimanfaatkan untuk kepentingan intelijen, tekanan diplomatik, atau memengaruhi opini publik di negara lain.
Peringatan itu menemukan momentumnya di tengah perubahan kebijakan platform digital di AS yang dalam beberapa waktu terakhir mendorong tuntutan transparansi dan akuntabilitas lebih besar terhadap pengelolaan data. Di industri media sosial, kewajiban menjelaskan bagaimana data dikumpulkan, digunakan, dan dibagikan sering dipandang sebagai respons atas kekhawatiran lama publik tentang praktik pelacakan dan profilisasi pengguna.
Untuk pelaku industri, implikasinya konkret: biaya kepatuhan naik, kebutuhan audit keamanan bertambah, dan proses pelaporan menjadi lebih ketat. Perusahaan besar dapat membangun tim kepatuhan lintas negara, tetapi bagi pemain kecil, beban itu dapat memengaruhi kemampuan bersaing. Dalam konteks ini, pembaca juga kerap menautkan isu transfer data dengan pembahasan lebih luas tentang ketentuan hukum yang mengatur ekosistem digital, dari tata kelola sistem elektronik hingga pertanggungjawaban ketika terjadi insiden.
Tarik-menarik kepentingan terlihat jelas: bagaimana menjaga arus data yang dibutuhkan ekonomi digital, sambil memastikan perlindungan data tidak menjadi formalitas di atas kertas? Di titik itulah diskusi kebijakan publik cenderung bergerak dari sekadar “boleh atau tidak” menjadi “siapa mengawasi, bagaimana dibuktikan, dan apa konsekuensinya” ketika keamanan data gagal.
