Isu kebocoran data pribadi menjadi salah satu masalah krusial yang melanda negara Indonesia dalam beberapa waktu terakhir. Kebocoran tak hanya melanda instansi seperti Bank Indonesia, riwayat pelanggan indihome, hingga kebocoran data pengguna Tokopedia. Kebocoran juga terjadi sampai menyasar data pribadi yang kemudian disalahgunakan untuk mendaftar sebagai kader partai politik. Seperti tak berkutik, kasus kebocoran diperparah dengan kelakuan hacker seperti bjorka yang mengumumkan data-data beberapa lembaga negara. Berdasarkan laporan dari National Cyber Security Index (NCSI), pada tahun 2022 mencatat skor indeks keamanan siber Indonesia sebesar 38,9 poin dari 100. Secara global, Indonesia menduduki peringkat ke-83 dari 160 negara dalam daftar di laporan tersebut. Indeks yang dikeluarkan NCSI diambil berdasarkan pada sejumlah indikator seperti aturan hukum, keberadaan lembaga pemerintah di bidang keamanan siber, kerja sama pemerintah terkait keamanan siber, serta bukti-bukti publik seperti situs resmi pemerintah atau program lain yang terkait. Sementara Jerman dinilai NCSI memiliki keamanan siber terbaik di antara negara G20. Jerman berada diurutan ke-6 secara global dengan skor 90,91 poin.

Pemerintah terus berupaya mengatasi permasalahan tersebut melalui sejumlah kebijakan. Setelah menunggu sejak 2019, akhirnya Undang-undang Perlindungan Data Pribadi (UU PDP) disetujui untuk diundangkan pada tanggal 20 September 2022. Pengesahan tersebut bertepatan dengan kian banyakya kasus kebocoran data pribadi penduduk. Kehadiran UU tersebut berfungsi untuk menjamin hak warga negara atas perlindungan diri pribadi dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya perlindungan data pribadi. Undang-undang tersebut diharapkan menjadi payung hukum yang kuat bagi tata kelola dan perlindungan data personal warga negara dan para penyelenggara pemerintahan. Perlindungan data pribadi merupakan salah satu hak asasi manusia yang merupakan bagian dari perlindungan diri pribadi. Perlindungan diri pribadi ini tercantum dalam Pasal 28G UUD 1945. Perlindungan diri pribadi atau privasi ini bersifat universal, dalam arti diakui banyak negara. Di Indonesia, sebelum UU ini disahkan, pengaturan perlindungan data pribadi tersebar di beberapa peraturan perundang-undangan, antara lain UU Nomor 11 Tahun 2008 jo UU Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik, UU Nomor 39 Tahun 1999 tentang Hak Asasi Manusia, UU Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik, dan UU Nomor 23 Tahun 2006 jo UU Nomor 24 Tahun 2013.

Banyak tantangan yang akan dihadapi dalam pelaksanaan UU PDP. Meminimalkan risiko adalah tanggung jawab bersama, tetapi beban di pundak pemerintah jauh lebih berat. Data personal penduduk banyak dikelola pemerintah untuk kebutuhan pelayanan publik. Ada yang karena paksaan, masyarakat menyerahkan identitas seperti nomor induk kependudukan dan nomor kartu keluarga. Ada yang bersifat sukarela, misalnya untuk melamar sebagai aparatur sipil negara. Terhadap hal ini, ada dua hal penting yang harus digarisbawahi: bagaimana menjaga keamanannya dan bagaimana pemanfaatannya. Jangan sampai informasi yang ada kemudian menjadi komoditas ekonomi. Tantangan kedua adalah kelembagaan. Dalam UU ini disebutkan, penyelenggaraan perlindungan data pribadi dilaksanakan lembaga yang ditetapkan oleh dan bertanggung jawab kepada presiden. Belum ada pengaturan tentang kedudukan dan struktur kelembagaan serta otoritas yang diberikan kepada lembaga ini. Tantangan ketiga yakni penyelenggaraan Pemilu 2024. Banyak politikus yang sudah siap-siap bertarung memperebutkan kursi, baik sebagai presiden, kepala daerah, maupun anggota dewan. Agar tidak seperti membeli kucing dalam karung, beragam upaya dilakukan, termasuk mencari informasi seperti apakah latar belakang para kandidat. Bagi masyarakat, informasi tersebut mungkin dapat menjadi dasar apakah kandidat itu pantas dipilih atau tidak. Terhadap situasi ini, para pengendali dan prosesor data pribadi harus hati-hati karena bisa jadi pidana penjara hingga 6 tahun dan/atau denda hingga Rp 6 miliar menanti. Bisa jadi informasi yang ada disalahgunakan, bahkan diperjualbelikan. Terakhir, terkait dengan perilaku masyarakat yang dengan mudahnya berbagi data pribadi. Untuk itu, sosialisasi berupa literasi digital harus dilakukan secara masif agar masyarakat memiliki pemahaman yang sama tentang pentingnya perlindungan data pribadi. Tata kelola kolaboratif (collaborative governance) perlu didorong untuk mempercepat tujuan perlindungan data diri. Pengesahan UU PDP bukanlah akhir dari perjuangan melindungi data pribadi. Masih panjang pekerjaan rumah yang harus dilakukan pemerintah untuk membuat aturan pelaksanaannya sesegera mungkin. Terutama dalam mendefinisikan beragam konsep pengejawantahannya yang masih sangat umum, memastikan pelaksanaan dan pengawasannya berjalan dengan benar, serta sinkronisasi dengan berbagai peraturan perundang-undangan lainnya. Termasuk dukungan masyarakat atas kesadaran pentingnya melindungi data pribadi.