Perjanjian digital RI-AS izinkan data WNI bebas dipindah ke AS. Pakar ingatkan ancaman kedaulatan data dan risiko industri lokal terpukul. (Bloomberg/Apluswire)

Pemerintah Indonesia resmi membuka jalan bagi transfer data pribadi warga ke Amerika Serikat (AS) lewat perjanjian perdagangan digital yang diteken pekan ini. Kesepakatan yang diumumkan Presiden AS Donald Trump pada Rabu (23/7/2025) ini menandai perubahan besar dalam regulasi data, di mana sistem perlindungan privasi AS kini diakui “memadai” oleh Indonesia sesuai Undang-Undang Perlindungan Data Pribadi (UU PDP).

Aturan baru ini memungkinkan raksasa teknologi global seperti Amazon Web Services (AWS), Google Cloud, dan Microsoft Azure memindahkan data pengguna Indonesia ke pusat data di AS tanpa perlu membangun data center di Tanah Air atau mengurus izin tambahan. 

Sebelumnya, regulasi lokalisasi data mewajibkan perusahaan asing, khususnya di sektor perbankan dan layanan publik, menyimpan data di dalam negeri demi keamanan nasional.

Bagi pemerintah, langkah ini diyakini bisa mendongkrak investasi digital dan memperkuat arus perdagangan jasa dengan AS. Namun bagi pengamat dan pelaku industri lokal, kebijakan ini menimbulkan tanda tanya soal kedaulatan data, perlindungan hukum, dan nasib pemain domestik yang sulit bersaing dengan raksasa asing.

“Kalau diobral seperti ini, buat apa kita punya undang-undang? UU PDP dan UU Perlindungan Konsumen jadi lemah karena data bisa dipindah tanpa batas. AS sendiri belum punya undang-undang federal yang setara, jadi mekanisme penegakan saat data bocor masih abu-abu,” kata Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja.

Gedung Putih dalam pernyataannya menegaskan bahwa kesepakatan ini akan memberi “kepastian transfer data pribadi secara aman” ke AS. Namun, sejumlah pakar keamanan siber di Indonesia, seperti Pratama Persadha, menilai pengakuan ini berpotensi melemahkan kontrol negara terhadap aset digital strategis. 

Menurutnya, risiko kebocoran atau akses data oleh otoritas asing akan sulit diantisipasi tanpa perjanjian perlindungan tambahan.

Di sisi lain, UU PDP No. 27/2022 sebenarnya sudah mengatur transfer data lintas batas, dengan syarat negara tujuan memiliki perlindungan yang sepadan atau perusahaan wajib menyediakan mekanisme pengaman tambahan. Dengan pengakuan “adequacy” kepada AS, perusahaan kini bisa memindahkan data tanpa proses izin berlapis.

Bagi industri lokal, perubahan ini bisa menjadi pukulan berat. Perusahaan penyedia data center dan cloud domestik berpotensi kehilangan pasar karena investor lebih memilih menggunakan layanan global dengan biaya dan infrastruktur yang lebih efisien. 

“Industri kita bisa kalah modal, apalagi kalau tidak ada insentif tambahan dari pemerintah,” ujar pengamat keamanan siber Alfons Tanujaya.

Sejumlah pengamat mendorong pemerintah untuk menetapkan mekanisme pengawasan ketat dan jalur hukum yang jelas agar kepentingan warga terlindungi. 

Tanpa langkah itu, kebijakan ini bisa menjadi pintu masuk masalah baru: dari kebocoran data, ketergantungan infrastruktur asing, hingga melemahnya posisi Indonesia dalam negosiasi digital global.