Penulis : Wiliam Agung Ende Pratama
Mahasiswa Magister Ilmu Hukum Universitas Jambi
Putusan Mahkamah Konstitusi Nomor 151/PUU-XXII/2024 tentang penafsiran ulang Pasal 53 Undang-Undang Perlindungan Data Pribadi (UU PDP) sekilas tampak sebagai kemenangan bagi hak privasi warga. Mahkamah mengganti kata “dan” menjadi “dan/atau”, memperluas kewajiban institusi untuk menunjuk Petugas Perlindungan Data Pribadi (PPDP). Sebuah langkah yang terdengar progresif.
Namun, pengalaman panjang penegakan hukum di Indonesia mengajarkan kita untuk tidak mudah bertepuk tangan. Pertanyaannya sederhana: apakah putusan ini akan benar-benar mengubah praktik perlindungan data, atau hanya menambah daftar regulasi yang patuh secara administratif tapi lumpuh secara substantif?
Putusan ini secara tidak langsung mengakui bahwa selama ini hukum memberi ruang bagi institusi untuk menghindar dari kewajiban. Ambiguitas norma dimanfaatkan untuk berkelit, meskipun data jutaan warga diproses setiap hari. Dengan penafsiran baru MK, celah itu memang ditutup. Tapi hukum tidak berhenti pada tafsir. Ia hidup atau mati pada tahap penegakan.
Masalahnya, Indonesia punya catatan buruk soal itu.
Kepatuhan di Atas Kertas
Sejak UU PDP disahkan pada 2022, sulit menemukan data terbuka tentang berapa banyak perusahaan yang benar-benar menunjuk PPDP dan menjalankan fungsinya secara serius. Platform e-commerce, fintech, aplikasi kesehatan, hingga layanan transportasi digital mengelola data sensitif dalam skala masif. Tapi transparansi soal kepatuhan nyaris nihil.
Kita patut curiga bahwa PPDP akan bernasib sama dengan banyak jabatan kepatuhan lain: ada di struktur organisasi, tapi tak punya daya tawar. Di atas kertas, PPDP terlihat independen. Dalam praktik, ia tunduk pada kepentingan manajemen yang mengejar profit dan pertumbuhan pengguna.
UU PDP memang mengatur sanksi administratif. Tapi hukum di Indonesia sering kali berhenti di ancaman, bukan tindakan. Sanksi jarang dijatuhkan, audit jarang dilakukan, dan pelanggaran berakhir dengan permintaan maaf publik yang cepat dilupakan.
Dalam situasi seperti ini, putusan MK berisiko menjadi sekadar formalitas baru—mewajibkan penunjukan PPDP tanpa memastikan PPDP itu berfungsi.
Negara yang Lamban Mengawasi
Lembaga Perlindungan Data Pribadi yang baru terbentuk pun menghadapi tantangan besar. Mengawasi ribuan pengendali data dengan sumber daya terbatas bukan pekerjaan ringan. Tanpa pengawasan yang konsisten dan independen, kewajiban hukum mudah berubah menjadi ritual kepatuhan kosong.
Kita sudah melihat polanya berulang kali. Kebocoran data terjadi, publik marah, lalu negara diam. Tidak ada audit forensik terbuka. Tidak ada kompensasi layak bagi korban. Tidak ada pejabat atau korporasi yang benar-benar dimintai pertanggungjawaban.
Dalam konteks itu, kehadiran PPDP justru bisa menciptakan ilusi keamanan. Masyarakat merasa dilindungi karena ada pejabat khusus, padahal pejabat itu tidak memiliki kuasa nyata untuk menghentikan praktik pengelolaan data yang bermasalah.
Privasi yang Tidak Pernah Jadi Prioritas
Masalah lebih dalam terletak pada cara negara dan korporasi memandang data pribadi. Data masih dilihat sebagai komoditas, bukan sebagai perpanjangan hak asasi manusia. Kepatuhan pada UU PDP dipersepsikan sebagai beban regulasi, bukan kewajiban etis.
Di sisi lain, masyarakat juga dibiarkan tetap tidak berdaya. Mayoritas warga tidak mengetahui hak-haknya sebagai subjek data: hak akses, koreksi, penghapusan, hingga keberatan. Tanpa subjek data yang sadar dan aktif, mekanisme perlindungan apa pun akan pincang.
Hukum tidak pernah bekerja efektif jika hanya mengandalkan niat baik institusi.
Macan Kertas Bernama Perlindungan Data
Putusan MK ini seharusnya menjadi momentum koreksi besar. Tapi tanpa perubahan mendasar dalam penegakan hukum, pengawasan, dan kultur organisasi, ia hanya akan menjadi tambahan dokumen yang indah tapi tidak menggigit.
Ini bukan semata soal mengganti satu kata dalam pasal undang-undang. Ini soal keberanian negara menempatkan privasi sebagai hak fundamental, bukan aksesori kebijakan digital. Soal kemauan politik untuk menindak pelanggaran, bukan sekadar merayakan regulasi.
Jika tidak, kita akan kembali pada siklus lama: regulasi dibuat, pujian diberikan, pelanggaran terjadi, dan masyarakat kembali menjadi korban.
Pertanyaannya kini sederhana, sekaligus menentukan: apakah negara sungguh ingin melindungi data warganya, atau hanya ingin terlihat melakukannya?. (*)
