Etika AI: Panduan Praktis Tata Kelola, Kepatuhan, dan Keunggulan Kompetitif untuk Perusahaan Part 1

2.2. Navigasi Privasi Data di Era AI: Kepatuhan UU PDP dan Standar Global

Di era di mana data adalah bahan bakar untuk AI, perlindungan privasi menjadi pilar utama etika AI. Perusahaan yang menggunakan AI untuk memproses data pribadi pelanggan atau karyawan menghadapi kewajiban hukum yang ketat. Di Indonesia, Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) menjadi payung hukum utama, sementara di tingkat global, peraturan seperti EU AI Act menetapkan standar baru yang memiliki dampak ekstrateritorial.

Kewajiban Inti di Bawah UU PDP Indonesia

Berdasarkan UU PDP, setiap perusahaan yang menggunakan AI untuk memproses data pribadi warga negara Indonesia bertindak sebagai Pengendali Data Pribadi dan terikat pada kewajiban-kewajiban berikut:

• Enam Dasar Hukum Pemrosesan: Setiap aktivitas pemrosesan data oleh sistem AI harus memiliki dasar hukum yang sah. UU PDP mengakui enam dasar hukum: (1) persetujuan eksplisit dari subjek data, (2) pemenuhan kewajiban perjanjian, (3) pemenuhan kewajiban hukum, (4) perlindungan kepentingan vital subjek data, (5) pelaksanaan tugas dalam rangka kepentingan umum, atau (6) pemenuhan kepentingan sah lainnya yang seimbang. Untuk sebagian besar aplikasi AI komersial, seperti personalisasi pemasaran atau analisis perilaku pelanggan,  persetujuan eksplisit adalah dasar hukum yang paling relevan dan aman.
• Standar Persetujuan yang Tinggi: Persetujuan yang diperoleh harus merupakan pilihan yang tulus dan sadar. Ini berarti persetujuan tidak dapat dijadikan prasyarat untuk mendapatkan layanan dan harus dipisahkan dari syarat dan ketentuan lainnya. Subjek data juga harus dapat menarik kembali persetujuan mereka kapan saja dengan mudah.
• Hak Subjek Data yang Krusial: UU PDP memberikan serangkaian hak kepada individu, salah satu yang paling relevan untuk AI adalah hak untuk menolak keputusan yang hanya didasarkan pada pemrosesan data otomatis, termasuk profiling, yang menimbulkan akibat hukum atau berdampak signifikan pada mereka. Perusahaan wajib menyediakan mekanisme bagi pengguna untuk meminta intervensi manusia dan menantang keputusan otomatis tersebut.
• Notifikasi Pelanggaran Data: Jika terjadi kegagalan pelindungan data pribadi (kebocoran data), perusahaan wajib memberitahukan secara tertulis kepada subjek data yang terkena dampak dan lembaga pelaksana pelindungan data pribadi (yang akan segera dibentuk) dalam waktu paling lambat 3x24 jam.
• Transfer Data Lintas Batas: Data pribadi dapat ditransfer ke luar wilayah Indonesia hanya jika negara penerima memiliki tingkat pelindungan data yang setara atau lebih tinggi dari yang diatur dalam UU PDP, terdapat instrumen pelindungan yang memadai dan mengikat, atau subjek data telah memberikan persetujuan eksplisit untuk transfer tersebut.

Implikasi EU AI Act untuk Perusahaan Indonesia

EU AI Act adalah kerangka hukum komprehensif pertama di dunia yang secara khusus mengatur AI. Seperti GDPR, regulasi ini memiliki jangkauan ekstrateritorial, yang berarti berlaku untuk perusahaan non-UE, termasuk dari Indonesia, jika sistem AI mereka digunakan atau outputnya digunakan di dalam pasar Uni Eropa. Ini sangat relevan bagi startup Software-as-a-Service (SaaS) atau platform e-commerce Indonesia yang memiliki pelanggan di Eropa.

Pendekatan utama EU AI Act adalah berbasis risiko, yang mengkategorikan sistem AI ke dalam empat tingkat:

1. Risiko Tidak Dapat Diterima (Unacceptable Risk): Sistem AI yang dianggap sebagai ancaman bagi hak-hak dasar dilarang sepenuhnya. Contohnya termasuk sistem social scoring oleh pemerintah dan manipulasi perilaku yang berbahaya.
2. Risiko Tinggi (High Risk): Sistem AI yang digunakan dalam area kritis seperti rekrutmen, penilaian kelayakan kredit, perangkat medis, atau infrastruktur penting. Sistem ini tidak dilarang tetapi harus mematuhi kewajiban yang sangat ketat.
3. Risiko Terbatas (Limited Risk): Sistem AI yang memerlukan transparansi, seperti chatbot atau sistem yang menghasilkan deepfake. Pengguna harus diberi tahu bahwa mereka berinteraksi dengan AI.
4. Risiko Minimal (Minimal Risk): Sebagian besar aplikasi AI lainnya, seperti filter spam atau AI dalam video game, yang tidak diatur secara khusus.

Jika sistem AI yang dikembangkan atau digunakan oleh perusahaan Indonesia termasuk dalam kategori risiko tinggi dan digunakan di pasar UE, perusahaan tersebut harus memenuhi serangkaian kewajiban yang ketat, termasuk menerapkan sistem manajemen risiko, memastikan kualitas dan tata kelola data yang tinggi untuk mencegah bias, menyediakan dokumentasi teknis yang terperinci, dan memastikan adanya pengawasan manusia yang efektif.

Lanskap regulasi yang tumpang tindih antara UU PDP dan EU AI Act ini menciptakan tantangan kepatuhan yang kompleks. Pendekatan yang terpisah-pisah—di mana satu tim menangani kepatuhan PDP dan tim lain mencoba memahami AI Act—tidak lagi memadai, terutama bagi UKM dengan sumber daya terbatas. Sebaliknya, perusahaan harus mengadopsi pendekatan "Compliance by Design". Ini berarti persyaratan privasi dan etika dari semua regulasi yang relevan harus diintegrasikan ke dalam seluruh siklus hidup pengembangan AI sejak awal.

Sebagai contoh, selama tahap perancangan produk AI baru, tim pengembangan harus secara simultan melakukan Penilaian Dampak Pelindungan Data (DPIA) sebagaimana diwajibkan oleh UU PDP untuk pemrosesan berisiko tinggi , sekaligus melakukan penilaian risiko sesuai kerangka EU AI Act jika produk tersebut menargetkan pasar Eropa. Mekanisme untuk memenuhi hak subjek data, seperti hak untuk menolak keputusan otomatis, harus dibangun ke dalam arsitektur sistem, bukan ditambahkan sebagai fitur tambahan di kemudian hari. Pendekatan proaktif ini tidak hanya lebih efektif dalam memitigasi risiko hukum tetapi juga jauh lebih efisien dari segi biaya dibandingkan dengan upaya "menambal" kepatuhan setelah produk diluncurkan.

Untuk membantu navigasi lanskap yang kompleks ini, tabel berikut menyajikan perbandingan kewajiban kunci di bawah UU PDP, GDPR, dan EU AI Act.