Jika seorang pengacara dari tahun 1990-an melakukan perjalanan waktu ke tahun 2024, salah satu perbedaan paling mencolok yang akan mereka temukan – selain dari keberadaan telepon pintar di mana-mana dan maraknya internet – adalah konsep hukum yang terkait dengan keduanya, dan konsep yang kini sudah kita semua kenal: privasi digital.
Seiring dengan semakin berkembangnya jaringan dunia, dan meluasnya telekomunikasi digital yang menyediakan akses instan ke berbagai aplikasi yang dapat melayani segala hal – mulai dari kebutuhan berbelanja hingga memperbarui paspor, muncul kekhawatiran tentang apa sebenarnya yang sedang dilakukan dengan volume data yang sangat besar ini. Terutama di kalangan para pebisnis yang mulai khawatir akan rusaknya reputasi mereka seandainya terjadi kebocoran data sehingga hal ini menjadi perhatian utama. Pada tahun 2023, sebuah laporan IBM menghitung bahwa biaya pelanggaran rata-rata adalah sekitar US$4 juta, dan angka ini terus meningkat sejak saat itu. Itulah sebabnya, dalam hal manajemen informasi, privasi data kini menjadi area fokus utama.
Pemerintah pusat dan organisasi supranasional telah mengembangkan atau sedang dalam proses mengembangkan undang-undang perlindungan data yang kuat sebagai tanggapan terhadap hal ini. Peraturan Perlindungan Data Umum (GDPR), yang diperkenalkan di seluruh Eropa pada tahun 2018, adalah yang pertama dari undang-undang komprehensif ini. Tiongkok mengikutinya dengan Undang-Undang Perlindungan Informasi Pribadi (PIPL) pada tahun 2021, India mengesahkan Undang-Undang Perlindungan Data Pribadi Digital (DPDP) pada tahun 2023 dan negara-negara serta kawasan lain mengikutinya, di Asia Tenggara, Amerika Latin, dan sekitarnya. GDPR membentuk rujukan untuk sebagian besar bidang undang-undang ini, tetapi seperti yang telah kita bahas sebelumnya, bahwa ada juga perbedaan utama.
Namun yang mencolok absen dalam daftar ini, tentu saja, adalah Amerika Serikat.
Undang-undang perlindungan data apa yang sudah ada di AS?
Meskipun kurangnya undang-undang Federal yang sebanding, namun kita telah menyaksikan beberapa perkembangan sejumlah undang-undang negara bagian yang harus diperhatikan oleh siapa pun yang melakukan bisnis di Amerika Serikat di dalma 10 tahun terakhir.
Prakarsa tingkat negara bagian ini berupaya untuk mengatasi masalah konsumen terlebih dahulu. Ada dua undang-undang khusus tingkat negara bagian yang perlu disoroti. Pertama, Undang-Undang Privasi Konsumen California (CCPA) yang mulai berlaku pada tahun 2020, dan Undang-Undang Perlindungan Data Konsumen Virginia (VCDPA) yang lebih baru pada tahun 2023.
Apa itu CCPA, dan amandemen apa yang telah dilakukan?
CCPA, seperti halnya GDPR, dirancang untuk melindungi privasi data pribadi, tetapi ada perbedaan signifikan dalam cakupan dan penerapan di antara keduanya.
Secara khusus, cakupan CCPA lebih sempit daripada GDPR. Cakupannya menargetkan bisnis yang mencari laba dengan pendapatan tahunan melebihi US$25 juta atau 50.000 pelanggan tahunan. Cakupan ini memberikan hak kepada pelanggan California untuk mengetahui secara pasti data apa yang dikumpulkan dan untuk menolak penjualannya. Sebaliknya, GDPR jauh lebih luas, berlaku untuk semua organisasi yang memproses data di dalam UE. GDPR juga menetapkan bahwa persetujuan eksplisit harus diperoleh dari pelanggan. Intinya, penerapannya lebih ketat dan lebih luas.
Pada tahun 2023, CCPA diubah oleh California Privacy Rights Act (CPRA). Hal ini memperkuat CCPA dengan memperluas definisi Informasi Pribadi Sensitif (SPI) untuk mencakup status kewarganegaraan dan imigrasi (antara lain) serta mewajibkan persetujuan eksplisit dari anak-anak.
Pola di California jelas, bahwa ada kecenderungan untuk menyelaraskan undang-undang tingkat negara bagian dengan GDPR dan undang-undang nasional lain yang sebanding. Meskipun harus ditunjukkan dalam hal ini bahwa, sebagai sebuah negara bagian, California selalu cukup unik dalam hal ini: rumah bagi beberapa perusahaan teknologi terbesar di dunia, California adalah salah satu badan legislatif pertama yang mengesahkan undang-undang yang mengharuskan situs web memiliki kebijakan privasi. Kembali pada tahun 2003!
Dampak dari amandemen ini sudah terasa, karena bisnis yang berbasis di California menyediakan opsi wajib untuk tidak ikut serta bagi konsumen. Demikian pula, lembaga penegakan CCPA, Badan Perlindungan Privasi California (CPPA) kini “diperkuat” dan siap untuk mulai menegakkan pelanggaran undang-undang tersebut.
Undang-Undang Perlindungan Data Konsumen Virginia (VCDPA) – dan negara bagian lainnya:
VCDPA, yang diperkenalkan pada tahun 2023, menawarkan ketentuan yang sangat mirip dengan hukum California. Perbedaannya dengan GDPR terletak pada cakupan, penegakan, dan ketentuan khusus. Misalnya, VCDPA ditegakkan hanya oleh Jaksa Agung Virginia, tidak ada badan penegakan yang sebanding dengan CPPA dan memberikan pengecualian yang lebih luas daripada CCPA (nirlaba dan usaha kecil) atau GDPR (di mana pengecualian sangat terbatas).
Pada tahun 2024, 8 dari 50 negara bagian AS (California, Colorado, Virginia, Utah, Connecticut, Montana, Oregon, dan Texas) kini menawarkan semacam undang-undang perlindungan data yang kira-kira setara dengan GDPR. Sekitar 50+ RUU perlindungan data dari berbagai jenis juga sedang dibahas di badan legislatif tingkat negara bagian (termasuk yang pertama) di seluruh negeri.
Singkatnya, negara-negara sendiri mulai mengejar ketertinggalan, meskipun ekonomi-ekonomi besar lainnya sudah lebih dulu memulai, tetapi jelas ada keinginan di tingkat lokal untuk persyaratan privasi yang lebih ketat yang sebagian besar datang dari konsumen sendiri.
Namun, jika bisnis Anda memiliki kantor di AS, penting untuk memahami undang-undang tingkat negara bagian ini dan implikasinya bagi organisasi Anda. Undang-undang ini mungkin tidak berasal dari Pemerintah Federal, tetapi masih memiliki kekuatan hukum. CPPA sendiri telah memberikan saran yang bermanfaat, yang paling sederhana adalah agar organisasi secara umum “berhenti mengumpulkan begitu banyak data” jika tidak diperlukan.
Mengapa AS tidak memiliki undang-undang nasional? Tantangan bisnis dan banyak lagi
Seperti yang disebutkan, terlepas dari semua kemajuan ini di tingkat negara bagian, AS tidak memiliki undang-undang perlindungan data nasional yang komprehensif. Pertanyaannya adalah, mengapa?
Salah satu alasan yang paling jelas adalah dampak ekonomi pada bisnis. Seperti yang mungkin Anda duga, biaya kepatuhan meningkat seiring dengan tingkat keparahan dan kecanggihan undang-undang perlindungan data. Biro Riset Ekonomi Nasional (NBER) di AS menerbitkan sebuah makalah pada bulan Februari 2024 berjudul: “Data, Undang-Undang Privasi, dan Produksi Perusahaan: Bukti dari GDPR”, yang menganalisis biaya undang-undang tersebut pada bisnis. Perkiraannya berkisar dari US$1,7 juta untuk UKM hingga US$70 juta untuk organisasi besar.
Salah satu temuan lain dari studi ini adalah bahwa perusahaan-perusahaan Eropa, atau perusahaan-perusahaan dengan divisi yang berpusat di Eropa, memproses lebih sedikit data daripada sebelumnya sebagai bagian dari upaya yang lebih luas untuk memangkas biaya penyimpanan dan pemrosesan data serta mengurangi risiko pelanggaran data. Jadi, ada pelajaran tentang cara terbaik untuk mengurangi jejak cloud organisasi Anda sendiri di sini.
Lebih tepatnya, hal ini menggarisbawahi sesuatu yang telah lama diperdebatkan oleh firma-firma AS ketika melobi Pemerintah Negara Bagian dan Federal: bahwa peningkatan biaya bagi mereka ini akan berarti lebih sedikit perekrutan, dan harga yang lebih tinggi bagi konsumen. Studi lain dari NBER, berjudul: “GDPR dan Generasi Aplikasi Inovatif yang Hilang” mengklaim bahwa sepertiga dari semua aplikasi di Google Play store menghilang setelah diperkenalkannya GDPR pada Mei 2018. Makalah tersebut selanjutnya menyoroti peningkatan biaya manajemen dan pemrosesan data sebagai hal yang sangat mahal bagi pengembang baru. Meskipun ada beberapa ketidaksepakatan tentang kesimpulan yang diambil dari studi ini, tidak diragukan lagi bahwa firma-firma sedang memikirkan kembali strategi manajemen data dan berinvestasi lebih banyak dalam strategi dan perangkat lunak Manajemen Informasi sebagai hasil dari aturan perlindungan data yang ditingkatkan.
Perusahaan-perusahaan AS, pada kenyataannya, telah berargumen dengan cukup meyakinkan bahwa undang-undang Federal yang serupa akan merugikan mereka dan konsumen mereka. Rincian argumen yang beragam dan sering kali politis ini terlalu luas untuk dibahas di sini, tetapi cukup untuk mengatakan bahwa argumen tersebut telah berhasil setidaknya menunda undang-undang Federal. Tidak adanya raksasa teknologi yang sebanding dengan Google, Amazon, dan Facebook di Eropa juga harus dicatat di sini. Eropa tidak memiliki raksasa teknologi domestik dengan ukuran yang sebanding yang mampu melobi sejauh yang dilakukan perusahaan-perusahaan tersebut di AS. Untuk ikhtisar yang lebih menyeluruh tentang bagaimana lobi di AS telah memengaruhi undang-undang tingkat negara bagian, Cookie Law Info memiliki artikel yang sangat bagus di sini yang berjudul “Big Tech vs. GDPR”.
Hal lain yang perlu diperhatikan adalah bahwa hukum AS yang berlaku saat ini, karena hubungan antara Pemerintah Negara Bagian dan Pemerintah Federal, sudah sangat rumit sehingga harmonisasi apa pun akan sangat sulit. DLA Piper, sebuah firma hukum terkemuka, secara akurat menunjukkan bahwa meskipun bagian di atas tentang CCPA mungkin tampak sederhana, California sebenarnya memiliki sekitar 25 undang-undang privasi dan keamanan data negara bagian, yang mana CCPA hanyalah yang paling menonjol.
Masalah lain yang menghambat pengembangan hukum federal adalah bahwa AS memiliki preferensi historis baik di tingkat negara bagian maupun federal untuk peraturan dan hukum data khusus sektor. 
Misalnya, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) berlaku untuk catatan Kesehatan, dan Undang-Undang Perlindungan Privasi Daring Anak (COPPA) berlaku untuk catatan anak-anak, dan seterusnya. Kecenderungan untuk membagi hal-hal berdasarkan sektor ini, seperti yang disebutkan, merupakan tradisi yang kuat dalam hukum AS.
Ini bukan berarti tidak ada upaya untuk membuat Undang-Undang Federal. Undang-Undang Perlindungan Data dan Privasi Amerika (ADPPA) diusulkan pada tahun 2022 dan tampaknya mendapat dukungan bipartisan di Kongres AS, tetapi tidak pernah benar-benar menjadi prioritas bagi eksekutif. Sejak itu, undang-undang tersebut telah dihidupkan kembali pada bulan April 2024 oleh seorang Senator dari Partai Republik dan seorang Senator dari Partai Demokrat yang ikut mensponsorinya, tetapi undang-undang tersebut menghadapi rintangan yang signifikan dan masa depan yang tidak pasti.
Apa sebenarnya ADPPA itu, dan seberapa besar kemungkinannya untuk menjadi “GDPR AS”?
Dengan meningkatnya kekhawatiran tentang privasi data dan semakin beragamnya undang-undang negara bagian, muncul pertanyaan: dapatkah AS mengadopsi sesuatu seperti ADPPA atau sesuatu yang serupa segera?
Pertama-tama, penting untuk dicatat bahwa meskipun dalam bentuk rancangannya saat ini, ADPPA berbeda dengan GDPR dalam beberapa hal yang signifikan.
- ADPPA tidak mengusulkan yurisdiksi ekstrateritorial. Tidak seperti GDPR, ADPPA hanya akan mencakup pemrosesan penduduk AS oleh entitas di AS.
- ADPPA mensyaratkan bahwa pemrosesan data harus “diperlukan dan proporsional” dengan produk atau layanan yang dimaksud. ADPPA tidak menetapkan “kepentingan yang diperlukan” sebagai dasar hukum, seperti yang ditetapkan GDPR.
- Apa yang dikategorikan oleh kedua kerangka kerja sebagai “data sensitif” sedikit berbeda. Sementara GDPR memasukkan ras, etnis, opini politik, dan kesehatan sebagai hal yang memerlukan “persetujuan eksplisit”, ADPPA memasukkan beberapa kategori tambahan seperti pengenal yang dikeluarkan pemerintah (misalnya nomor jaminan sosial) dan nomor rekening keuangan.
- Usulan penegakan ADPPA akan berada di bawah kewenangan Komisi Perdagangan Federal (FTC) dan Jaksa Agung negara bagian. GDPR dilaksanakan oleh otoritas pengawas nasional. Yang terpenting, GDPR memungkinkan perusahaan untuk menangani pelanggaran sebelum hukuman dijatuhkan.
- ADPPA memiliki “hak tindakan pribadi” yang lebih terbatas, sedangkan GDPR memungkinkan individu untuk mengajukan keluhan kepada otoritas pengawas dan mencari penyelesaian hukum secara langsung.
Singkatnya, ADPPA dapat dianggap sedikit lebih “dilunakkan” daripada GDPR dalam hal ketentuan penegakannya dan risiko yang ditimbulkannya bagi organisasi. ADPPA dapat dilihat lebih sebagai “harmonisasi” hukum negara bagian yang sudah dibahas di atas. Osborne Clarke, firma hukum tersebut, menerbitkan ikhtisar hukum lengkap tentang perbedaan tersebut pada tahun 2022 yang layak dibaca.
Dalam hal kemungkinannya untuk menjadi undang-undang, hampir dapat dipastikan bahwa undang-undang tersebut akan disahkan pada suatu saat, dan bahwa waktunya bergantung pada beberapa faktor. Terutama keseimbangan antara perlindungan konsumen dengan kepentingan bisnis yang mengakar. Fakta bahwa undang-undang tersebut awalnya memperoleh dukungan bipartisan tampaknya menunjukkan bahwa ada keinginan untuk itu, tetapi negosiasi yang berkepanjangan mengenai undang-undang semacam ini di AS tampaknya menunjukkan bahwa undang-undang tersebut masih akan berlaku setidaknya beberapa tahun lagi.
ADPPA, atau yang serupa, mungkin akan menjadi undang-undang di AS dalam empat atau lima tahun ke depan, namun titik kritisnya mungkin adalah titik di mana labirin hukum tingkat negara bagian menjadi lebih sulit dikelola oleh organisasi daripada hukum nasional yang diselaraskan. Ini bisa menjadi hal yang positif bagi kedua belah pihak pada saat itu karena memberi organisasi kerangka kepatuhan yang terpadu sekaligus meningkatkan kepercayaan konsumen. Perlu diingat bahwa “produk akhir” kemungkinan akan melibatkan lebih banyak konsultasi pemangku kepentingan (terutama perusahaan teknologi besar) yang dapat mengarah pada ketentuan yang lebih longgar terkait persetujuan dan penegakan.
Pada akhirnya, apa arti semua ini bagi bisnis Anda dan cara menangani informasi?
Jelaslah bahwa memahami lanskap perlindungan data AS sangat penting bagi bisnis mana pun yang beroperasi di sana atau yang ingin beroperasi di sana, di mana pun kantor pusat Anda berada. Dampaknya akan sangat besar, bersama dengan undang-undang tingkat negara bagian.
ADPPA, atau semacamnya – meskipun tidak seketat GDPR – masih merupakan perubahan substansial dalam lingkungan regulasi dan berarti strategi kepatuhan organisasi Anda harus sekuat mungkin, bahkan sekarang. Jika Anda terlibat dalam segala jenis pemrosesan data di AS, alasan untuk adaptasinya jelas: hukum tingkat negara bagian yang saling terkait dapat menjadi rumit, tetapi membangun kebijakan seputar Tata Kelola Informasi yang tetap memperhatikan prinsip-prinsip yang dirancang dalam ADPPA adalah awal yang baik.
Dengan asumsi Anda adalah bisnis non-Amerika yang beroperasi di AS, pastikan Anda proaktif dalam memenuhi persyaratan ini sebelumnya, karena, menurut pengalaman kami sebagai perusahaan Manajemen Informasi, taktik uji tuntas ini penting sepanjang masa. Bukan hanya setelah kejadian. Tanyakan kepada diri Anda pertanyaan-pertanyaan ini:
- Apakah saya memiliki peta data, audit, dan inventaris yang tepat tentang dari mana saya memperoleh data, dan bagaimana persetujuan untuk memperolehnya?
- Apakah data saya disimpan dengan aman dan, yang terpenting, dibuang saat tidak lagi diperlukan?
- Apakah saya memiliki kebijakan privasi yang mencerminkan lanskap regulasi yang ingin dibuat oleh ADPPA, atau sesuatu yang serupa dengannya?
Crown Records Management telah membantu berbagai organisasi menyimpan, mengaudit, dan mengelola data/catatan selama empat dekade. Jika Anda ingin menghubungi kami untuk konsultasi, jangan ragu untuk menghubungi kami.