Isu transfer data pribadi Indonesia ke Amerika Serikat (AS) sebagai bagian dari kesepakatan dagang kedua negara tengah menjadi sorotan. Salah satu poin yang menjadi pertanyaan adalah soal perbandingan standar perlindungan data. Lembaga Studi dan Advokasi Masyarakat (ELSAM) menyoroti masalah standar perlindungan data. Menurut peneliti ELSAM Parasurama Pamungkas, titik kritis dalam transfer data Indonesia ke AS adalah soal level kesetaraan. Menurutnya, Amerika Serikat belum memiliki standar praktik terbaik dalam pelindungan data dan privasi, seperti yang diakui dalam putusan Schrems II. Hal ini terkait dengan fakta bahwa AS tidak mengakui hak atas privasi sebagai hak fundamental secara hukum.
ELSAM juga mencatat bahwa informasi pribadi dapat diproses secara bebas di AS, kecuali dalam kasus anak di bawah usia 13 tahun atau layanan kesehatan atau keuangan yang tunduk pada undang-undang sektoral tertentu. Di sisi lain, Indonesia telah mengesahkan Undang-Undang Pelindungan Data Pribadi (UU PDP) yang menjamin hak-hak privasi dan informasi pribadi hanya dapat diproses dengan mematuhi hukum atau persetujuan subjek data. Tranfer data pribadi ke pengendali atau pemroses data di luar yurisdiksi Indonesia juga harus tunduk pada ketentuan dalam UU PDP.
Meski belum ada aturan turunan yang memuat tentang lembaga PDP dan mengatur rincian teknis, Indonesia memiliki UU PDP sebagai landasan perlindungan data. Di AS, meskipun tidak memiliki aturan federal khusus untuk melindungi data, terdapat beberapa aturan sektoral seperti HIPAA, COPPA, Gramm-Leach-Bliley Act, dan ECPA. Beberapa negara bagian di AS juga memiliki aturan privasi data yang komprehensif, dengan yang paling menonjol adalah California Consumer Privacy Act (CCPA).
Kedua negara, Indonesia dan AS, pernah mengalami kasus kebocoran data besar. Pengamat digital dan keamanan siber Vaksin.com, Alfons Tanujaya, mencatat beberapa kasus kebocoran data di kedua negara, seperti MyPertamina, eHAC, KPU, Dukcapil di Indonesia, serta Equifax, Facebook-Cambridge Analytica, dan T-Mobile di AS. Namun, penanganan kasus kebocoran data di Indonesia seringkali tidak menghasilkan penegakan hukum yang tegas, berbeda dengan di AS yang sering berujung pada denda miliaran dollar, gugatan class-action, dan investigasi kongres.
Secara hukum tertulis, Indonesia memiliki landasan perlindungan data yang lebih kokoh daripada AS. Namun, dalam pelaksanaan dan budaya hukum, AS dinilai lebih unggul dari segi penegakan hukum, kesiapan institusi, dan tanggapan terhadap pelanggaran data. Masing-masing negara memiliki peraturan dan tantangan tersendiri terkait perlindungan data pribadi, namun kolaborasi antar negara dapat meningkatkan standar perlindungan data di masa depan.
