FGD tentang Data Protection Impact Assessment (DPIA) dalam Pemrosesan Data Biometrik

JAKARTA – Tim Peneliti Pelindungan Data Biometrik di bawah Lembaga Penelitian dan Pengabdian kepada Masyarakat (LPPM), Universitas Katolik Indonesia Atma Jaya kembali menyelenggarakan diskusi kelompok terfokus (FGD) mengenai pelindungan data biometrik. Diskusi kali ini berfokus pada topik Data Protection Impact Assessment (DPIA) dalam pemrosesan data biometrik.

Kegiatan yang diselenggarakan secara hibrida tersebut bekerja sama dengan para pakar dan pemangku kepentingan dalam bidang data biometrik. Berlangsung di Aryaduta Suite, Semanggi dan melalui Zoom, pada Selasa (24/10), Fokus bahasan dalam FGD mengenai DPIA dalam pemrosesan data biometrik tersebut secara normatif merujuk pada ketentuan dalam Undang-Undang Nomor 22 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), khususnya pada Pasal 34 ayat (1), yang memandatkan adanya DPIA dalam pemrosesan data spesifik, termasuk di dalamnya data biometrik.

Data Protection Impact Assessment (DPIA) adalah cara untuk menemukan dan menghindari potensi ancaman terhadap privasi dan kepatuhan terhadap undang-undang perlindungan data saat memproses data pribadi. 

Dengan menganalisis bagaimana organisasi akan menggunakan teknologi informasi dan informasi pribadi dalam praktiknya, DPIA memungkinkan organisasi untuk menemukan dan mengurangi ancaman terhadap privasi data.

Kegiatan ini merupakan langkah penting dalam penelitian berkelanjutan dan melibatkan seluruh pemangku kepentingan mengenai pelindungan data biometrik, yang dipimpin oleh Dr. jur. Sih Yuliana Wahyuningtyas, S.H., M.Hum. Tim ini juga melibatkan Dr. Yerik Afrianto Singgalen, M.Si., M.Kom, Stephen Aprius Sutesno, Elias Konrad S.H., M.H., dan Antonius Bayu S.H. FGD ini merupakan FGD kedua dari rangkaian kegiatan penelitian mengenai pelindungan data biometrik dalam teknologi extended reality (XR) untuk wisata virtual, setelah FGD pertama dalam bulan Juli lalu. Penelitian ini diselenggarakan dengan dana Hibah Multi-tahun Direktorat Riset, Teknologi, dan Pengabdian kepada Masyarakat (DRTPM) Kemdikbudristek Tahun Anggaran 2023 untuk tahun pertama.

Penyelenggaraan FGD ini adalah untuk mendorong diskusi yang komprehensif mengenai DPIA untuk data biometrik, dengan menggabungkan wawasan dari berbagai pemangku kepentingan. Tujuan utamanya adalah untuk dapat memformulasikan mekanisme DPIA atas pemrosesan data biometrik dengan memastikan pelindungan yang memadai bagi subyek data.

Pakar Hukum Privasi Data Universitas Padjadjaran, Prof. Dr. Sinta Dewi Rosadi, S.H., M.H. mengungkapkan bahwa DPIA penting dalam konteks global undang-undang privasi dan signifikansinya dalam mencegah pelanggaran data.

“Pentingnya persetujuan yang jelas, identifikasi kebutuhan pemrosesan data, penilaian risiko, dan dokumentasi untuk mencegah pelanggaran dalam pengolahan data pribadi,” ucap Prof. Dr. Sinta Dewi Rosadi.

Begitu pula dengan Edward Juanda, sebagai pengguna dan akademisi, melihat penggunaan data pribadi dalam ranah Metaverse memerlukan DPIA. Sementara Eugenius Kau Suni, seorang pengguna media sosial dan akademisi, menyoroti penggunaan data biometrik dalam berbagai aplikasi, termasuk tantangan dan potensi resiko yang mungkin terjadi.

Di sisi lain, industri telekomunikasi melihat pentingnya untuk mendapatkan persetujuan secara eksplisit untuk pengumpulan data biometrik, hal ini disampaikan oleh Dr. Rizal Akbar, VP Network/IT Strategy, Tech Architecture, Telkom Indonesia.

Dr. Rizal Akbar menilai penting untuk patuh terhadap UU PDP, dengan menekankan perlunya ketentuan khusus dalam situasi tertentu, seperti penegakan hukum. Secara komprehensif, Dr. Rizal Akbar juga memaparkan mengenai mekanisme yang dilakukan dalam praktik.

Hadir juga mewakili industri digital, Danny Ardianto, Head of Government Affairs and Public Policy, Indonesia and South Asia Google, berpendapat bahwa penggunaan yang bertanggung jawab terhadap data biometrik adalah penghormatan terhadap privasi.

“Melakukan verifikasi yang lebih ketat menjadi penting untuk mengurangi resiko yang muncul. Hal ini dapat dilakukan dengan memverifikasi usia pengguna dengan menggunakan data biometrik,” tambahnya.

Sementara itu, Raditya Kosasih, Head of Governance, GoTo Group Data Protection & Privacy Office, menekankan perlunya DPIA dalam seluruh proses pengumpulan data, termasuk penghapusan data. Menurutnya penilaian dampak dan identifikasi risiko internal adalah komponen penting dari DPIA. 

“Pelaku industri menunggu kejelasan lembaga PDP agar bisa mempersiapkan kebijakan dan membangun kesadaran yang perlu dilakukan oleh internal perusahaan,” ungkapnya.

Sejalan dengan pandangan akademisi dan industri terkait, Analisis Kebijakan Ahli Muda pada Direktorat Tata Kelola Aptika (Kemenkominfo), Ulfah Diah, menekankan pentingnya membangun kesadaran, edukasi, dan memfasilitasi kepatuhan pengendali data. Selain bagaimana pentingnya kerangka kerja untuk kepatuhan dan akuntabilitas dalam pelindungan data.

Badan Pelindungan Konsumen Nasional, Ir. Heru Sutadi, S.T., M.I.Kom., menekankan kebutuhan kebijakan yang komprehensif, penilaian dampak pelindungan data yang jelas, dan pengawasan yang ketat untuk melindungi data biometrik. Transparansi dan publikasi hasil DPIA merupakan hal-hal yang penting untuk dipertimbangkan.

Sementara itu, Widyawati Purwanti, mewakili Direktorat Tata Kelola Ekonomi Digital Kementerian Pariwisata dan Ekonomi Kreatif, menyampaikan pentingnya transformasi digital dalam sektor pariwisata dan peluang yang ditawarkan.

Pada aspek lain terdapat potensi pelanggaran hak asasi manusia terkait pemrosesan data biometrik, terutama yang berkaitan dengan kelompok rentan. Peneliti Lembaga Kajian dan Advokasi Independensi Peradilan (LeIP), Shevierra Danmadiyah, menekankan pentingnya menyesuaikan DPIA untuk setiap kelompok tertentu dan menilai jumlah info pribadi, pengungkapan, dan probabilitas pelanggaran.

Beberapa elemen kunci untuk DPIA, imbuhnya, adalah jumlah atau banyaknya data pribadi yang diproses, apakah data pribadi tersebut dibuka untuk pihak ketiga, dan bagaimana kemungkinan pelanggaran atau kebocoran.

Direktur Eksekutif ELSAM, Wahyudi Djafar, menyoroti sensitivitas data biometrik dan kebutuhan pelindungan yang kuat. Terdapat perbedaan antara persetujuan dalam data biometrik dan data genetik. Menilai resiko menjadi sangat penting untuk menjaga kemungkinan timbulnya resiko dari pemprosesan data sensitif yang berkaitan dengan risiko kepentingan, hak, dan kebebasan mendasar dari subjek data, terutama risiko diskriminasi.

DPIA sangat penting dilakukan untuk menentukan tingkat risiko terhadap hak dan kebebasan individu, khususnya ketika pemrosesan data melibatkan data pribadi yang sensitif, pengambilan keputusan otomatis, pembuatan profil, atau pemantauan ruang publik. Lebih lanjut, ia mengkategorikan empat jenis risiko pemrosesan data sensitif: risiko moneter, risiko sosial, risiko fisik, dan risiko psikologis.

Dr. Sih Yuliana Wahyuningtyas dalam sejumlah pertanyaan pendalaman materi dengan para Narasumber mengangkat beberapa persoalan krusial. Poin pertama terkait tantangan praktis dalam proses pelindungan data biometrik dalam industri telekomunikasi mengingat besarnya dan beragamnya pengguna layanan ini.

Dr. Rizal Akbar dalam tanggapannya menjelaskan bahwa tidak ada perbedaan signifikan dari proses pelindungan data pribadi secara teknis antara industri telekomunikasi dengan industri lain. Perbedaannya lebih ke volume dari data saat di industri telekomunikasi. Hal penting dari proses data biometrik pada industri telekomunikasi adalah terkait transmisinya karena jika ada gangguan koneksi transmisi di saat penyimpanan akan menjadi dapat menimbulkan masalah dalam penyimpanan dan proses data pribadi selanjutnya.

Poin kedua terkait sinergi UU PDP dengan kerangka hukum internasional dalam aspek-aspek beragam seperti pelindungan untuk anak dan kalangan rentan dan langkah yang dapat diambil dengan masih terdapatnya banyak isu yang belum tercakup dalam UU PDP, seperti pelindungan berbasis risiko. 

Dalam tanggapannya, Ulfah Diah memaparkan bahwa selain Rancangan Peraturan Pemerintah tentang Pelindungan Data Pribadi (RPP PDP), saat ini sedang dibahas pula Rancangan Peraturan Pemerintah tentang Informasi dan Transaksi Elektronik (RPP ITE) yang terkait dengan pendekatan appropriasi usia dalam penggunaan media informasi bagi anak-anak. Namun demikian, masih banyak skenario teknis yang harus dipertimbangkan dalam pengendaliannya.

Terkait dengan pelindungan data anak, Shevierra Danmadiyah menekankan perlunya mengintegrasikan kerangka pelindungan anak dalam instrumen lainnya seperti CEDAW, CRPD, dan CRC, dalam peraturan turunan dari UU PDP. Perlu pembedahan risiko dari kondisi aktualnya. Semakin spesifik akan semakin baik. 

Sementara itu, Wahyudi Djafar menyoroti perlunya mekanisme pengawasan orang tua atau wali yang lebih jelas, termasuk dalam hal terdapat persoalan dalam hubungan orang tua dengan anak, sehingga regulasi yang mengatur pengawasan orang tua dalam pemrosesan data anak tidak justru menempatkan posisi anak dalam situasi yang sulit.

Terkait dengan verifikasi usia pengguna, Dr. Wahyuningytas menyampaikan adanya fenomena privacy paradox yang perlu disikapi dengan hati-hati, sejalan dengan paparan dari Danny Ardianto. Verifikasi usia pengguna merupakan hal yang krusial sebagai bagian dari proses pelindungan terhadap hak termasuk data anak. Verifikasi dengan menggunakan data biometrik pada satu sisi akan membantu memastikan akurasi, namun pada sisi lain akan juga justru dapat menimbulkan risiko baru bagi pengguna. 

Poin ketiga adalah penggunaan standar privasi seperti ISO 29134 mengenai Privacy Impact Assessment (PIA) untuk rujukan teknis di lapangan khususnya dengan absennya regulasi yang mengatur tentang pengendalian risiko dalam pemrosesan data biometrik.  Dalam tanggapannya, Raditya Kosasih mengemukakan bahwa ISO 29134 sebagai acuan internasional dapat digunakan, namun perlu dikaji kesesuaiannya pula dengan aturan nasional. Selain itu, DPIA juga dapat dilakukan dalam sinerginya dengan penilaian risiko internal perusahaan dalam aspek-aspek lainnya.

Poin keempat adalah persoalan apakah semua data biometrik merupakan data sensitif (atau spesifik dalam istilah UU PDP). Dalam konteks ini, Wahyudi Djafar menyampaikan bahwa persoalan ini masih diperdebatkan dengan menjelaskan latar belakang historis diperkenalkannya pelindungan data biometrik. Dasar pertimbangan data biometrik dan genetik direkognisi sebagai data sensitif terkait dengan dua hal: persoalan identifikasi dan penggunaannya dalam aktivitas komersial. 

Poin kelima adalah pelindungan data biometrik dalam penggunaan generative artificial intelligence (AI). AI di masa sekarang akan mengakses banyak data publik dan membentuk rangkaian informasi. Generative AI adalah kecerdasan buatan yang mampu menghasilkan teks, gambar, atau media lainnya, dengan menggunakan model generatif. Model generative AI mempelajari pola dan struktur data pelatihan masukannya dan kemudian menghasilkan data baru yang memiliki karakteristik serupa. 

Persoalan hukum yang banyak muncul lazimnya adalah dalam konteks hak kekayaan intelektual namun terbuka potensi pula untuk pelanggaran hak subyek data, imbuh Wahyudi Djafar. Persoalan ini masih menyisakan banyak pekerjaan rumah baik dari sisi legal maupun etik. Namun demikian, identifikasi risiko sudah mulai harus dilakukan sejak dini untuk dapat memformulasikan pelindungan bagi subyek data.

Secara keseluruhan, peserta FGD membahas peran penting pengendali data dalam melindungi data pribadi dan biometrik. Mereka sepakat perlu adanya mekanisme yang terukur dan akuntabel, pengendalian risiko yang memadai dan masuk akal, kejelasan peran lembaga pelindungan data pribadi nantinya, dan pelindungan data anak.

Dalam proses diskusi diungkapkan persamaan proses teknis pemrosesan data pribadi dan tantangan khusus yang dihadapi oleh para pelaku industri tersebut. Ini juga menekankan pentingnya peraturan yang jelas dan komprehensif untuk melindungi data sensitif, terutama informasi biometrik. 

Wawasan dan diskusi dari FGD ini diharapkan dapat berkontribusi pada pengembangan kebijakan, regulasi, dan strategi yang efektif untuk memastikan pemrosesan data biometrik yang menjamin terlindunginya hak-hak subyek data khususnya dalam era digital.