UU PDP Sudah Berlaku, 5 Alasan Mayoritas Fintech Indonesia Masih Tidak Siap dan Siapa yang Harus Bertanggung Jawab

Bima Aditya
2 days ago
3 min read

Oktober 2024. UU Perlindungan Data Pribadi berlaku penuh. Masa transisi dua tahun sudah selesai.

Sekarang pertanyaannya bukan lagi "kapan UU PDP berlaku?", pertanyaannya adalah: berapa banyak perusahaan fintech Indonesia yang benar-benar siap? Berdasarkan kondisi yang terlihat di industri, jawabannya tidak menggembirakan.

"Dua tahun masa transisi UU PDP sudah habis. Kalau perusahaan masih tidak siap sekarang, masalahnya bukan lagi kurangnya waktu, masalahnya adalah pilihan yang dibuat selama dua tahun itu."

5 Alasan Struktural Mengapa Industri Masih Tidak Siap

Alasan 1: UU PDP diperlakukan sebagai proyek IT, bukan sebagai perubahan cara berbisnis

Ketika UU PDP pertama kali disosialisasikan, reaksi paling umum adalah: "Ini masalah tim IT, minta mereka update sistem keamanan dan privacy policy." UU PDP bukan regulasi teknis, ini adalah regulasi yang mengubah cara perusahaan boleh mengumpulkan, menggunakan, dan membagikan data. Implementasi yang benar memerlukan perubahan pada proses bisnis, kebijakan pemasaran, kontrak dengan mitra, dan tata kelola di level direksi.

Alasan 2: Tidak ada enforcement yang terlihat membuat urgensi terasa rendah

Sampai saat ini belum ada kasus besar di Indonesia di mana perusahaan dikenai sanksi maksimum UU PDP secara publik. Ini menciptakan persepsi bahwa regulasi ini "belum ditegakkan." Ini adalah logika yang berbahaya, enforcement yang tertunda bukan berarti enforcement tidak akan terjadi. Ketika enforcement action pertama yang besar terjadi, itu akan digunakan sebagai preseden untuk seluruh industri.

Alasan 3: Kompleksitas regulasi melebihi kapasitas tim compliance yang ada

Implementasi yang benar memerlukan koordinasi antara tim legal, IT, produk, pemasaran, dan operasional. Banyak perusahaan fintech tidak memiliki kapasitas tim yang cukup untuk menangani ini secara paralel dengan tekanan operasional sehari-hari. Hasilnya: UU PDP selalu menjadi prioritas yang akan "segera ditangani" tapi tidak pernah benar-benar dimulai.

Alasan 4: Panduan implementasi yang konkret masih terbatas

UU PDP adalah undang-undang dengan tingkat abstraksi yang cukup tinggi. Peraturan Pemerintah turunan dan panduan teknis dari Komdigi yang memberikan petunjuk implementasi yang lebih konkret masih dalam proses. Tapi menunggu panduan yang "sempurna" sambil melanggar kewajiban yang sudah jelas adalah strategi yang tidak bisa dipertahankan.

Alasan 5: Tanggung jawab implementasi tidak jelas di level organisasi

Di banyak perusahaan, tidak ada satu pun orang atau tim yang secara eksplisit bertanggung jawab atas kepatuhan UU PDP secara menyeluruh. Legal menganggap ini tugas IT. IT menganggap ini tugas compliance. Compliance menganggap ini sudah ditangani legal. Dan tidak ada yang benar-benar dilakukan.

Siapa yang Bertanggung Jawab?

• Direksi bertanggung jawab memastikan perusahaan memiliki sistem dan sumber daya yang memadai. Pasal 67 UU PDP mengancam pidana personal, dan tanggung jawab ini bisa ditelusuri ke level direksi yang mengetahui atau seharusnya mengetahui adanya pelanggaran.

• Tim compliance dan legal bertanggung jawab untuk mengidentifikasi gap dan mengkomunikasikannya kepada manajemen dengan cukup jelas sehingga ada tindakan.

• Konsultan dan advisor yang merekomendasikan "update privacy policy" sebagai solusi UU PDP tanpa membantu implementasi yang lebih substantif ikut berkontribusi pada kondisi ini.

Take Away: 5 Langkah yang Tidak Bisa Ditunda Lagi

• Tunjuk satu orang atau tim dengan mandate eksplisit untuk koordinasi implementasi UU PDP, dengan authority untuk melibatkan semua tim yang relevan.

• Lakukan audit sederhana: inventarisasi semua jenis data pribadi yang dikumpulkan, untuk tujuan apa, di mana disimpan, dan siapa yang memiliki akses.

• Prioritaskan 3 hal yang paling berisiko: consent management untuk penggunaan data scoring, DPA dengan vendor yang memiliki akses data nasabah, dan prosedur notifikasi insiden.

• Jadwalkan briefing direksi tentang kewajiban dan risiko personal mereka di bawah Pasal 67 UU PDP, ini bukan sesuatu yang bisa didelegasikan sepenuhnya.

• Mulai sekarang, bukan setelah ada enforcement action yang menjadi berita.