Permintaan KTP, foto wajah, hingga selfie saat pengunjung masuk gedung tidak otomatis aman hanya karena dibungkus alasan keamanan. Praktik semacam itu bisa menjadi persoalan hukum bila data yang dikumpulkan tidak relevan dengan kebutuhan akses.
Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, menilai pengambilan data pribadi untuk sekadar masuk tower menunjukkan risiko ketidakpatuhan terhadap prinsip pelindungan data pribadi. Ia menekankan bahwa pengumpulan data harus punya tujuan yang terbatas, relevan, dan sah.
Data yang berlebihan memunculkan risiko baru
Parasurama menjelaskan, masalah muncul ketika data pribadi dikumpulkan untuk tujuan yang tidak sesuai dengan kebutuhan akses. Jika data itu kemudian dipakai untuk kepentingan lain, pengendali data juga kehilangan dasar hukum untuk memprosesnya lebih lanjut.
Ia menambahkan bahwa pengelola gedung semestinya mencari cara lain yang tidak berisiko bagi masyarakat. Opsi akses yang tidak membatasi aktivitas warga penting agar perlindungan privasi tetap berjalan tanpa mengganggu kepentingan umum.
Parasurama juga menilai privasi seharusnya tersedia secara default dan by design. Artinya, perlindungan data perlu menjadi bagian dari sistem sejak awal, bukan hanya tambahan setelah data terkumpul.
Aturan sudah ada, pengawasan belum lengkap
Indonesia sebenarnya telah memiliki Undang-Undang Pelindungan Data Pribadi sejak 2022. Aturan itu mengatur hak warga sebagai pemilik data pribadi sekaligus memuat ancaman sanksi bagi perusahaan maupun institusi pemerintah yang lalai melindungi data.
Namun, pelaksanaannya belum berjalan mulus. Pemerintah belum membentuk badan pengawas pelindungan data pribadi yang seharusnya berdiri satu tahun sejak UU diterbitkan, yakni pada 17 Oktober 2024.
Kondisi ini membuat praktik pengumpulan KTP dan foto di gedung menjadi semakin penting untuk disorot. Aturan sudah tersedia, tetapi mekanisme pengawasan yang dijanjikan belum sepenuhnya terbentuk.
Keamanan data ditentukan cara penyimpanan
Dari sisi teknis, Pakar Keamanan Siber Vaksincom, Alfons Tanujaya, mengingatkan bahwa foto selfie dan KTP bukan alat identifikasi yang diakui menurut Dukcapil. Ia menilai persoalan utamanya tetap ada pada cara pengelola menyimpan data tersebut.
Alfons mengatakan keamanan data sangat bergantung pada pengelolaan. Jika penyimpanan tidak aman, kebocoran data bisa berdampak luas karena bukan hanya nomor identitas yang tersimpan, tetapi juga foto wajah dan selfie pengunjung.
Ia juga mengingatkan bahwa data yang bocor dapat dimanfaatkan lebih jauh dengan teknologi AI. Wajah, foto, dan data pendukung lain bisa diproses ulang untuk kepentingan yang merugikan pemilik data.
Pengunjung perlu lebih kritis
Kebiasaan menyerahkan KTP dan difoto saat masuk gedung tidak selalu aman hanya karena terlihat sebagai prosedur standar. Saat pengelola tidak bisa menjelaskan relevansi data yang diminta, risiko pelanggaran pelindungan data pribadi ikut meningkat.
Karena itu, publik perlu lebih waspada saat diminta menyerahkan identitas dan wajah untuk akses yang sebenarnya tidak memerlukan data sedetail itu. Di sisi lain, pengelola gedung juga dituntut menyesuaikan prosedur keamanan agar tetap melindungi privasi tanpa mengumpulkan data berlebihan.
