Bisnis.com, JAKARTA— Undang-Undang Perlindungan Data Pribadi (UU PDP) yang disahkan pada 2022 disebut sebagai tonggak penting dalam memperkuat regulasi privasi dan keamanan data digital di Indonesia.
Namun, dari perspektif keamanan siber, implementasi aturan tersebut dinilai tidak sederhana. Pakar keamanan siber sekaligus Chairman Lembaga Riset Keamanan Siber Communication and Information System Security Research Center (CISSReC) Pratama Persadha menekankan keberhasilan UU PDP sangat bergantung pada pembentukan lembaga pengawas yang diamanatkan dalam undang-undang.
“Tanpa adanya otoritas independen yang bertugas mengawasi, memberi sanksi, serta memastikan kepatuhan, eksekusi UU PDP menghadapi tantangan serius, baik secara teknis maupun kelembagaan,” kata Pratama kepada Bisnis pada Kamis (25/9/2025)
Menurutnya, salah satu tantangan terbesar adalah kesenjangan antara regulasi dan kesiapan infrastruktur siber di Indonesia. Banyak organisasi, terutama sektor swasta menengah ke bawah, belum memiliki standar keamanan data yang memadai. Kondisi tersebut diperburuk dengan rendahnya literasi digital, baik di kalangan masyarakat maupun pelaku usaha.
Dia mengatakan, ketika UU PDP menuntut adanya standar teknis dan prosedural dalam pengelolaan data pribadi, implementasinya berisiko terhambat oleh keterbatasan sumber daya, kurangnya tenaga ahli keamanan siber, serta belum adanya model penegakan hukum yang jelas.
Meski demikian, Pratama mengakui UU PDP tetap memberikan kerangka hukum yang lebih kuat untuk mengurangi risiko kebocoran data dan serangan siber. Adanya kewajiban notifikasi insiden, persetujuan eksplisit pemilik data hingga sanksi administratif maupun pidana, pada prinsipnya mendorong perusahaan meningkatkan standar keamanan.
Namun, aturan hukum ini bukan berarti mampu menutup seluruh celah teknis maupun regulasi.
“Dari sisi teknis, serangan seperti ransomware, phishing, hingga supply chain attack tetap dapat mengeksploitasi kelemahan sistem yang tidak terlindungi dengan baik, meski perusahaan sudah berusaha mematuhi regulasi,” kata Pratama.
Lebih jauh, dia menekankan absennya lembaga pengawas membuat sanksi dalam UU PDP belum bisa dijalankan secara tegas. Hal ini menimbulkan ruang abu-abu di mana perusahaan bisa saja hanya memenuhi syarat administratif tanpa benar-benar memperkuat pertahanan siber mereka.
“Para peretas akan tetap memanfaatkan kelemahan tersebut, khususnya karena mereka sadar bahwa pengawasan dan penegakan hukum belum berjalan optimal,” ungkapnya.
Dalam konteks global, Pratama mengingatkan meningkatnya serangan siber lintas negara dan tensi perang dagang berbasis teknologi membuat Indonesia berada pada posisi rawan.
Negara dengan standar perlindungan data ketat, seperti Uni Eropa dengan General Data Protection Regulation (GDPR), cenderung lebih tegas dalam melindungi kedaulatan digitalnya. Sementara Indonesia menurut Pratama masih dalam tahap transisi, yang berarti data pribadi warganya berpotensi menjadi sasaran empuk bagi aktor asing, baik peretas negara maupun kelompok kriminal transnasional.
Pratama pun menegaskan, jika UU PDP tidak ditegakkan secara optimal, konsekuensinya bisa serius. Masyarakat akan rentan menjadi korban pencurian identitas, penipuan digital, atau eksploitasi data untuk manipulasi politik dan ekonomi.
“Di sisi lain, perusahaan menghadapi risiko besar berupa kerugian finansial, reputasi, hingga hilangnya kepercayaan publik dari konsumen maupun mitra internasional,” katanya.