Perjanjian “Agreement on Reciprocal Trade” (ART) antara Indonesia dan Amerika Serikat yang ditandatangani pada 19 Februari 2026, kini menjadi sorotan. Kesepakatan ini memuat dua klausul krusial yang berpotensi memengaruhi kedaulatan data pribadi 280 juta warga Indonesia, khususnya terkait kewajiban lokalisasi data dan pengakuan tingkat perlindungan data.
Alih-alih berfokus pada tarif dan angka investasi, perhatian kini beralih pada dampak jangka panjang klausul digital yang dinilai lebih fundamental. Perjanjian ini juga membawa manfaat nyata seperti penurunan tarif ekspor dari 32 persen menjadi 19 persen bagi sektor manufaktur Indonesia.
Klausul Kontroversial dalam Perjanjian ART
Larangan Lokalisasi Data
Klausul pertama dalam ART melarang Indonesia mewajibkan perusahaan-perusahaan AS untuk menyimpan atau memproses data di wilayah Indonesia. Hal ini berlawanan dengan sejumlah regulasi domestik yang telah berlaku.
Sebelumnya, PP PSTE No. 71/2019 Pasal 20 ayat (2) mewajibkan pengelolaan, pemrosesan, dan penyimpanan sistem elektronik publik di wilayah Indonesia. Bank Indonesia (PBI No. 23/6/PBI/2021 Pasal 48 ayat (4)) dan OJK (POJK 11/2022 Pasal 35 ayat (1)) juga mengatur hal serupa untuk sektor keuangan.
Dengan adanya klausul ART, data pengguna Indonesia, termasuk data nasabah bank, transaksi fintech, hingga rekam medis digital, berpotensi disimpan di server di luar negeri seperti Virginia atau Oregon. Data tersebut akan tunduk pada hukum negara lain.
Pengakuan Otomatis Perlindungan Data AS
Klausul kedua mewajibkan Indonesia mengakui bahwa Amerika Serikat memiliki tingkat perlindungan data yang memadai menurut hukum Indonesia. Ini secara efektif mempredeterminasi hasil mekanisme penilaian kelayakan yang diamanatkan UU Perlindungan Data Pribadi (UU PDP) 2022.
Frasa dalam Pasal 3.2 ART yang mengatur “transfer data across trusted borders with appropriate protection” mengandung ambiguitas. Ambiguitas ini justru menjadi argumen tambahan perlunya renegosiasi untuk mendapat kepastian teks yang lebih protektif.
Risiko Berlapis bagi Data Warga Indonesia
Ancaman CLOUD Act dan FISA Section 702
Salah satu kekhawatiran terbesar adalah berlakunya CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Undang-undang ini memungkinkan pemerintah AS meminta akses ke data yang disimpan perusahaan-perusahaan AS di seluruh dunia, termasuk data warga Indonesia.
Selain itu, data yang mengalir ke AS juga tunduk pada FISA Section 702. Ini memungkinkan akses intelijen AS terhadap data warga negara asing tanpa jaminan perlindungan yang setara.
Tiga Risiko Utama
Tiga risiko berlapis segera teridentifikasi akibat klausul ini. Pertama, risiko pengawasan prudensial, di mana OJK dan BI tidak dapat mengaudit data nasabah di server luar negeri secara real-time.
Kedua, risiko keamanan data, karena yurisdiksi AS akan berlaku atas data warga Indonesia. Ketiga, risiko kedaulatan yurisdiksi, yang menimbulkan pertanyaan hukum mana yang berlaku dalam sengketa, UU PDP Indonesia atau hukum AS.
UU PDP Terancam Menjadi Formalitas
Pasal 56 UU PDP mengatur bahwa data pribadi warga Indonesia hanya bisa dikirim ke luar negeri apabila negara tujuan terbukti memberikan perlindungan setara atau lebih tinggi. Mekanisme ini dirancang mengikuti model GDPR Eropa dan menjadi capaian penting regulasi digital Indonesia.
Namun, ART mewajibkan Indonesia mengakui AS sebagai negara dengan perlindungan yang memadai, padahal hasil evaluasi independen belum pernah dijalankan. Proses yang seharusnya menjadi alat pengawasan objektif berisiko berubah menjadi formalitas administratif yang hasilnya sudah dikunci sejak awal.
AS memang tidak memiliki undang-undang perlindungan data federal yang komprehensif. Perlindungannya bersifat sektoral, seperti HIPAA untuk data kesehatan, Gramm-Leach-Bliley untuk keuangan, dan CCPA yang hanya berlaku di California.
Meskipun EU-US Data Privacy Framework (DPF) yang baru telah disepakati sejak Juli 2023, apakah DPF ini cukup memenuhi standar UU PDP Indonesia harus dijawab melalui adequacy assessment yang sungguh-sungguh independen. Ironisnya, Lembaga Pengawas Perlindungan Data Pribadi (LPPDP) yang seharusnya menjadi otoritas penentu adequacy assessment di Indonesia hingga kini belum terbentuk.
Tren Global Berlawanan Arah
Selama satu dekade terakhir, hampir semua yurisdiksi besar bergerak ke arah yang sama: memperkuat kedaulatan data, memperketat kontrol atas aliran data lintas batas, dan memastikan platform digital global beroperasi dalam kerangka hukum yang melindungi kepentingan nasional.
Uni Eropa tidak pernah mengorbankan mekanisme adequacy assessment-nya dalam perjanjian dagang, bahkan setelah satu dekade negosiasi. Eropa justru memperluas kontrolnya melalui Digital Markets Act dan Digital Services Act, dengan denda pelanggaran hingga 20 persen omzet global.
China membangun kedaulatan data lewat tiga undang-undang berturutan (2017–2021) dan secara konsisten mengandalkan pengecualian keamanan nasional. Australia dan Kanada, sekutu terdekat AS, tetap mempertahankan ruang kebijakan digitalnya, seperti saat Australia mewajibkan platform digital membayar penerbit berita lokal melalui News Bargaining Code (2021).
Di kawasan ASEAN, Vietnam, Thailand, dan Singapura tetap mempertahankan mekanisme adequacy yang dinilai secara independen oleh otoritas domestik masing-masing. Tidak satu pun dari mereka memberikan pengakuan kecukupan otomatis kepada AS melalui perjanjian bilateral.
Jalur Jangka Pendek dan Solusi Struktural
Tiga Jalur Jangka Pendek
Ada tiga jalur jangka pendek yang tersedia untuk mengatasi situasi ini. Pertama, ratifikasi parlemen, di mana DPR memiliki kewenangan konstitusional untuk memastikan ART diratifikasi melalui undang-undang, bukan sekadar Peraturan Presiden, yang membuka ruang undang-undang implementasi yang lebih protektif.
Kedua, public policy exception, di mana data perbankan dan kesehatan dapat diargumentasikan sebagai kepentingan strategis yang sah. Ketiga, pembentukan LPPDP yang selama ini tertunda, karena tanpa lembaga ini, mekanisme adequacy assessment UU PDP tidak bisa dijalankan sama sekali.
Namun, ketiga jalur ini memiliki batas. Ratifikasi menghadapi jebakan waktu jika perjanjian sudah berlaku sebelum DPR bertindak. Public policy exception hanya bisa ditegakkan jika Indonesia siap bersengketa secara internasional dengan AS, posisi yang tidak mudah bagi negara dengan daya tawar lebih lemah. LPPDP, sekuat apapun kelak dibentuk, tidak bisa mengubah hasil adequacy assessment yang klausulnya sudah mengunci sejak awal.
Solusi Struktural: Renegosiasi
Akar persoalan ada di dalam perjanjian itu sendiri, sehingga solusi struktural hanya bisa datang dari dua arah. Pertama, renegosiasi dengan carve-out yang eksplisit, sebagaimana dicontohkan CPTPP, yang secara tegas memuat pengecualian untuk mekanisme adequacy assessment dan kewajiban lokalisasi data prudensial di sektor keuangan.
Kedua, Mutual Recognition Arrangement (MRA) di bidang perlindungan data, di mana kedua negara mengakui sistem perlindungan masing-masing secara setara. Ini harus disertai komitmen AS untuk tidak menggunakan CLOUD Act secara sepihak terhadap data warga Indonesia, serta integrasi mekanisme Binding Corporate Rules (BCR).
Kedua jalur ini membutuhkan keberanian untuk kembali ke meja negosiasi dengan agenda spesifik. Membiarkan klausul-klausul data ini tanpa koreksi akan meninggalkan preseden yang jauh lebih mahal dari seluruh nilai investasi yang dijanjikannya. Ini bukan lagi sekadar urusan negosiator, melainkan percakapan 280 juta orang yang berhak ikut di dalamnya.
Informasi mengenai dampak perjanjian dagang ini disampaikan melalui analisis mendalam yang dirilis pada Jumat, 27 Februari 2026.