Surabaya 28 Agustus 2025 | Draft Rakyat Newsroom – Pengungkapan sindikat penjualan data pribadi di kawasan Surabaya–Sidoarjo yang digunakan untuk transaksi judi online dengan perputaran dana mencapai miliaran rupiah kembali menjadi alarm keras bagi keamanan siber di Indonesia. Kasus ini bukan hanya soal kebocoran data, tetapi juga memperlihatkan lemahnya implementasi perlindungan data pribadi yang sudah diatur dalam Undang-Undang Perlindungan Data Pribadi (UU PDP).
Menurut Dr Faizal Kurniawan S H M H LL M, dosen Ilmu Hukum Fakultas Hukum Universitas Airlangga, masalah utama terletak pada kesenjangan antara norma hukum dan praktik di lapangan. Meskipun Pasal 20 UU PDP mewajibkan pengendali data untuk melindungi informasi dari penyalahgunaan dan akses ilegal, lemahnya pengawasan membuat kejahatan seperti ini tetap marak.
“UU PDP sudah jelas menegaskan bahwa setiap orang berhak atas perlindungan data pribadi. Namun, faktanya data sensitif seperti milik nasabah perbankan masih bisa diperjualbelikan untuk mendukung kejahatan digital seperti judi online,” ujarnya.
Penegakan Hukum Masih Reaktif
Lebih lanjut, Faizal menilai penegakan hukum atas pelanggaran data pribadi masih bersifat reaktif. Aparat cenderung bergerak ketika sudah terjadi kasus besar, bukan melakukan pencegahan sejak awal.
“Pasal 67 UU PDP sebenarnya sudah mengatur pidana hingga lima tahun penjara dan denda maksimal Rp5 miliar bagi pelaku. Tapi, praktiknya seperti kasus Cambridge Analytica, sanksi hukum datang terlambat dibanding dampak sosial yang sudah terjadi,” jelasnya.
Ia menambahkan, kompleksitas kasus yang melibatkan jaringan lintas negara seperti judi online juga membuat proses hukum semakin menantang. Tanpa kerja sama internasional yang kuat, sindikat akan terus mencari celah hukum untuk beroperasi.
Penguatan Proteksi Digital Wajib Dipercepat
Dalam konteks keamanan digital, Faizal menekankan pentingnya penerapan prinsip privacy by design sebagaimana diamanatkan Pasal 20 UU PDP. Lembaga perbankan dan platform digital harus memperketat pengamanan teknis melalui enkripsi, autentikasi multifaktor, kontrol akses, audit internal, hingga memiliki rencana respons insiden.
“Kalau ada kebocoran, pengendali data wajib memberitahu pemilik data dalam waktu maksimal 3 x 24 jam. Ini langkah minimum agar korban bisa segera mengambil tindakan,” tegasnya.
Peran Individu dan Edukasi Publik
Selain penguatan regulasi, masyarakat juga harus proaktif menjaga keamanan data pribadinya. Menghindari phishing, tidak membagikan OTP, dan memastikan keamanan PIN adalah langkah dasar yang wajib dilakukan.
“UU PDP memberi hak kepada individu untuk meminta salinan data pribadinya. Jadi masyarakat tidak boleh pasif, mereka punya hak menuntut transparansi dari lembaga pengelola data,” kata Faizal.
Menurutnya, edukasi publik harus diperkuat agar masyarakat memahami hak dan kewajibannya di era digital.
Langkah Strategis Jangka Panjang
Sebagai rekomendasi, Faizal menyarankan percepatan pembentukan otoritas pengawas independen, penerapan standar teknis minimum, serta peningkatan literasi publik dan kapasitas forensik. “Tanpa regulasi yang kuat dan kesadaran publik, kasus serupa akan terus berulang,” pungkasnya.(far)