Spoiler.id – Perjanjian Agreement on Reciprocal Trade (ART) antara Indonesia dan Amerika Serikat memuat dua klausul yang langsung bersinggungan dengan fondasi regulasi digital nasional. Pertama, larangan mewajibkan perusahaan-perusahaan AS menyimpan atau memproses data di wilayah Indonesia. Kedua, kewajiban mengakui Amerika Serikat memiliki tingkat perlindungan data yang memadai menurut hukum Indonesia.
Kedua klausul ini bukan isu teknis perdagangan semata. Ia menyentuh aspek kedaulatan data, kepastian hukum, serta efektivitas pelaksanaan Undang-Undang Perlindungan Data Pribadi (UU PDP) 2022.
Di satu sisi, ART menghadirkan manfaat nyata berupa penurunan tarif ekspor dari 32 persen menjadi 19 persen, yang berpotensi menguntungkan sektor manufaktur nasional. Namun, klausul digital di dalamnya menunjukkan adanya trade-off strategis: tekanan tarif digunakan sebagai pintu masuk pengaturan arsitektur tata kelola data lintas batas. Pertanyaannya, apakah manfaat jangka pendek tersebut sebanding dengan konsekuensi jangka panjang terhadap kedaulatan regulasi digital?
Implikasi Lokalisasi Data dan Yurisdiksi Asing
Selama ini, Indonesia menerapkan kebijakan lokalisasi data untuk sektor tertentu. PP PSTE No. 71/2019 mengatur kewajiban pengelolaan dan penyimpanan sistem elektronik publik di dalam negeri. Bank Indonesia melalui PBI No. 23/6/PBI/2021 mewajibkan sistem pemrosesan transaksi berada di wilayah NKRI. OJK melalui POJK 11/2022 juga mengatur ketentuan serupa bagi sektor perbankan.
Klausul ART berpotensi membalik pendekatan tersebut. Perusahaan teknologi seperti Google, Meta, Amazon, dan Microsoft tidak lagi wajib menempatkan pusat data di Indonesia untuk melayani pengguna domestik. Data nasabah, transaksi fintech, hingga rekam medis digital berpotensi disimpan di yurisdiksi Amerika Serikat.
Konsekuensinya bukan hanya teknis, tetapi juga yuridis. Data yang berada di wilayah AS tunduk pada instrumen hukum seperti CLOUD Act dan FISA Section 702, yang memungkinkan akses otoritas AS terhadap data yang dikelola perusahaan berbasis di negaranya. Dalam konteks ini, muncul pertanyaan mendasar: hukum mana yang berlaku jika terjadi sengketa atau pelanggaran data—UU PDP Indonesia atau hukum federal AS?
Tiga risiko utama dapat diidentifikasi. Pertama, risiko pengawasan prudensial, karena otoritas seperti OJK dan BI tidak dapat mengaudit server luar negeri secara real-time. Kedua, risiko keamanan data akibat perbedaan rezim hukum. Ketiga, risiko kedaulatan yurisdiksi dalam penyelesaian sengketa.
Adequacy Assessment dan Ancaman Formalitas
Pasal 56 UU PDP mensyaratkan pengiriman data pribadi ke luar negeri hanya dapat dilakukan jika negara tujuan memiliki tingkat perlindungan setara atau lebih tinggi. Mekanisme ini mengikuti model GDPR Uni Eropa dan dikenal sebagai adequacy assessment.
Namun, ART mewajibkan Indonesia mengakui kecukupan perlindungan data AS. Jika pengakuan tersebut bersifat otomatis, maka proses evaluasi independen yang diamanatkan UU PDP berisiko menjadi formalitas administratif.
Perlu dicatat, Amerika Serikat tidak memiliki undang-undang perlindungan data federal yang komprehensif. Perlindungan bersifat sektoral, seperti HIPAA untuk kesehatan atau CCPA di California. Memang, sejak 2023 terdapat EU-US Data Privacy Framework, tetapi bahkan kerangka tersebut lahir setelah dua kali sengketa hukum di Eropa, termasuk putusan Schrems II.
Pertanyaannya, apakah standar tersebut otomatis memenuhi parameter UU PDP Indonesia? Jawaban semestinya diperoleh melalui proses penilaian independen. Ironisnya, Lembaga Pengawas Perlindungan Data Pribadi yang seharusnya menjadi otoritas penilai hingga kini belum terbentuk.
Dinamika Global: Tren Kedaulatan Data
Dalam satu dekade terakhir, banyak yurisdiksi memperkuat kontrol atas aliran data lintas batas. Uni Eropa memperketat regulasi melalui Digital Markets Act dan Digital Services Act. China membangun rezim kedaulatan data melalui serangkaian undang-undang keamanan siber dan perlindungan data.
Bahkan negara sekutu AS seperti Australia tetap mempertahankan ruang kebijakan digitalnya, termasuk melalui News Bargaining Code. Di kawasan ASEAN, Singapura dan Vietnam tetap menjalankan mekanisme penilaian kecukupan secara domestik tanpa pengakuan otomatis melalui perjanjian dagang.
Dalam konteks itu, pendekatan Indonesia melalui ART tampak berbeda: membuka pengakuan kecukupan dalam kerangka perjanjian perdagangan.
Dampak bagi Industri dan Ekosistem Cloud
Klausul ART juga berdampak pada kepastian hukum bagi institusi yang menggunakan layanan komputasi awan. Selain raksasa global seperti Oracle, terdapat alternatif seperti Alibaba Cloud, Tencent Cloud, dan Huawei Cloud, maupun penyedia domestik seperti Telkomsigma dan Lintasarta.
Bagi sektor keuangan, kesehatan, dan layanan publik, pertimbangan utama bukan semata harga dan kualitas layanan, tetapi kepatuhan terhadap regulasi nasional. Ketidakjelasan interpretasi ART berpotensi memunculkan keraguan dalam strategi multi data center dan manajemen risiko kepatuhan.
Opsi Kebijakan dan Jalan Struktural
Secara konstitusional, DPR memiliki kewenangan untuk memastikan proses ratifikasi berlangsung melalui mekanisme undang-undang, bukan sekadar peraturan presiden. Ini membuka ruang pengaturan implementasi yang lebih protektif.
Selain itu, public policy exception dalam perjanjian perdagangan dapat dimanfaatkan untuk melindungi sektor strategis seperti perbankan dan kesehatan. Namun, opsi ini tidak lepas dari risiko sengketa internasional.
Solusi yang lebih struktural adalah renegosiasi klausul digital dengan memasukkan carve-out eksplisit untuk sektor keuangan dan mekanisme adequacy assessment, atau membangun Mutual Recognition Arrangement yang setara dan dapat diaudit.
Pada akhirnya, isu ini melampaui diskursus teknis perdagangan. Ketika perjanjian dagang mulai mengatur di mana data keuangan, kesehatan, dan komunikasi pribadi warga negara disimpan, maka yang dipertaruhkan adalah fondasi kedaulatan hukum.
Penurunan tarif ekspor memang penting bagi pertumbuhan ekonomi. Namun, dalam era ekonomi digital, data adalah infrastruktur strategis. Revisi atau klarifikasi atas klausul ART menjadi krusial agar manfaat perdagangan tidak dibayar dengan melemahnya kendali atas data 280 juta warga negara.
Oleh : Dr. Ir. Dimitri Mahayana, M. Eng, CISA, ATD. Dosen STEI ITB & Founder Lembaga Riset Telematika Sharing Vision Indonesia
