Namun meskipun UU PDP berlaku bagi korporasi dan pemerintah, beleid tersebut malah mendelegasikan ke presiden dalam pembentukan lembaga pemerintah non-kementerian (LPNK). Artinya, lembaga otoritas tersebut tak ubahnya dengan lembaga pemerintah (eksekutif) lainnya. Padahal, salah satu mandat utamanya memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, serta memberi sanksi bila institusi pemerintah tersebut melakukan pelanggaran.
“Pertanyaan besarnya, apakah mungkin satu institusi pemerintah (pengelola data pribadi) memberi sanksi pada institusi/lembaga pemerintah yang lain? Belum lagi, UU PDP seperti memberi cek kosong pada presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini, sehingga ‘kekuatan’ dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ presiden yang akan merumuskannya,” bebernya.
Ia melihat kondisi tersebut kian menjadi soal dengan ‘ketidaksetaraan’ rumusan sanksi yang dapat diterapkan terhadap sektor publik dan sektor privat ketika melakukan pelanggaran. Sebab, bila melakukan pelanggaran, sektor publik hanya mungkin dikenakan sanksi administrasi sebagaimana tertuang dalam Pasal 57 ayat (2). Sedangkan sektor privat selain dapat dikenakan sanksi administrasi, pun dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan sebagaimana tertuang dalam Pasal 57 ayat (3). Bahkan, dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70.
“Dengan rumusan demikian, meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data, namun dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik,” lanjutnya.
Wahyudi melanjutkan risiko over-criminalization juga menjadi sorotan berlakunya UU PDP. Khususnya akibat kelenturan rumusan Pasal 65 ayat (2) jo Pasal 67 ayat (2) UU PDP. Intinya, pasal tersebut mengancam pidana terhadap seseorang (individu atau korporasi) yang mengungkapkan data pribadi bukan miliknya secara melawan hukum.
Dia menilai dalam hukum PDP pemrosesan data pribadi, termasuk pengungkapan, sepanjang tidak memenuhi dasar hukum pemrosesan (persetujuan/konsen, kewajiban hukum, kewajiban kontrak, kepentingan publik, kepentingan vital, dan kepentingan yang sah), dapat dianggap telah melawan hukum. Ketidakjelasan batasan frasa “melawan hukum” dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya.
“Yang berisiko disalahgunakan untuk tujuan mengkriminalkan orang lain,” ujarnya.
Terpisah, Menteri Komunikasi dan Informatika (Menkominfo) Johnny Gerard Plate mengatakan pengesahan RUU PDP menjadi UU menjadi momentum yang amat ditunggu-tunggu berbagai lembaga negara, penegak hukum, sektor usaha, ekosistem digital, platform dan media sosial, serta segenap elemen massyarakat Indonesia.
Menurutnya, persetujuan dan pengesahan RUU PDP menjadi UU merupakan wujud nyata dari pengejawantahan amanat UUD Tahun 1945. Khususnya Pasal 28 G ayat (1) UUD Tahun 1945 menyebutkan, “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi”.
Sementara itu, Wakil Ketua Komisi I DPR Abdul Kharis Almasyhari mengatakan beleid baru tersebut menjadi payung hukum bagi warga negara dalam perlindungan data pribadi. Menurutnya, RUU PDP bakal menjadi payung hukum yang kuat dan memastikan negara menjamin kepastian perlindungan data pribadi warganya.
Politisi Partai Keadilan Sejahtera itu melanjutkan UU PDP ini diharapkan mampu menjadi awal yang baik dalam menyelesaikan permasalahan kebocoran data pribadi di Indonesia. Selama pembahasan yang dinamis antara Komisi I dengan pemerintah terdapat perubahan. Bila sebelumnya draf RUU yang disampaikan pemerintah terdiri dari 15 bab dan 72 pasal menjadi 16 bab dan 76 pasal. Menurutnya, Komisi I DPR dalam proses pembahasan RUU tentang PDP proaktif dan responsif dengan melibatkan partisipasi masyarakat dan pemangku kepentingan terkait.