Sejak disahkan pada 17 Oktober 2022, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) diharapkan menjadi pilar utama dalam menjamin hak-hak privasi warga negara . Namun, hampir dua tahun berlalu, penerapan UU ini masih diwarnai ketimpangan regulasi, rendahnya kapasitas lembaga pengendali dan prosesor data, serta ketiadaan otoritas pengawas yang independen dan efektif.
Mayoritas instansi, baik pemerintah maupun swasta, masih belum memiliki sistem kepatuhan yang selaras dengan prinsip-prinsip dasar UU PDP. Audit internal sering kali hanya bersifat administratif, tidak menyentuh aspek teknis dan operasional, dan tidak dilandasi oleh sertifikasi profesional seperti ISO 27001 atau sertifikasi CIPP (Certified Information Privacy Professional).
Fakta di lapangan menunjukkan bahwa SDM di sektor publik dan swasta belum mendapatkan pelatihan memadai dalam memahami konsep dasar seperti consent management, data minimization, privacy by design, atau data subject rights. Akibatnya, banyak organisasi,instansi, bahkan lembaga negara hanya menjadikan “kebijakan privasi” sebagai dokumen formal tanpa pengimplementasian konkret.
Kebocoran data di Indonesia bukan lagi insiden, melainkan epidemi. Beberapa kasus besar dalam 3 tahun terakhir:
- Juli 2022 – 105 juta data penduduk diduga bocor dari sistem Dukcapil Kemendagri, berisi NIK, KK, nama lengkap, alamat, dan status kependudukan.
- September 2022 – 26 juta data pelanggan Indihome bocor, termasuk histori pencarian internet.
- Mei 2023 – Peretasan Bank Syariah Indonesia (BSI) menyebabkan terganggunya layanan nasabah dan dugaan kebocoran data 15 juta nasabah.
- Februari 2024 – Kebocoran 34 juta data paspor dari sistem Imigrasi Kemenkumham, termasuk foto dan nomor dokumen resmi.
Menurut VPNMentor (2023), Indonesia adalah negara peringkat 5 dunia dengan insiden kebocoran data terbesar.
Pasal 58 UU PDP menyebut akan dibentuk lembaga pengawas independen, tetapi hingga Juli 2025, badan tersebut belum juga resmi dibentuk.
Tanpa badan otoritas yang memiliki fungsi pengawasan, investigasi, dan penegakan hukum, UU PDP hanyalah tulisan kertas yang tak mampu melindungi warga negara dari eksploitasi data.
Di negara seperti Eropa, General Data Protection Regulation (GDPR) diawasi oleh badan independen seperti ICO (UK) atau CNIL (Prancis), yang memiliki wewenang investigatif dan menjatuhkan sanksi hingga miliaran euro.
Sementara di Indonesia, otoritas masih bersifat sektoral dan sering kali tidak saling terkoneksi.
UU PDP harus dilihat sebagai infrastruktur kritikal untuk kedaulatan digital Nasional. Namun, tanpa SDM yang terlatih, tanpa penerapan standard, dan tanpa badan pengawas independen, UU ini bakal gagal atau mungkin sudah gagal total menjalankan tujuannya.@ *