JAKARTA - Celio Vikas, seorang pensiunan pegawai negeri dari São Paulo, mengenang sebuah insiden yang sangat mengerikan pada bulan Januari ketika seorang penipu, yang menyamar sebagai pegawai bank melalui telepon, hampir menipu dia untuk mengetahui kata sandinya.
Vikas berlari keluar rumahnya untuk mengubah kredensialnya di ATM sesuai petunjuk, namun panggilan terputus sebelum dia mengungkapkan PIN barunya kepada penipu.
Meskipun Vikas beruntung, serangkaian kebocoran informasi pribadi telah mengguncang Brasil dalam beberapa tahun terakhir, menjadikan perlindungan data sebagai masalah yang semakin kompleks bagi warga negara.
“Saya tahu penjahat memiliki data pribadi saya dan itu membuat saya merasa sangat rentan – seolah-olah identitas saya telah dilucuti,” kata Vikas, yang karena takut akan pengungkapan lebih lanjut, menghindari transaksi online sama sekali.
Dia tidak sendirian: sebuah penelitian yang diterbitkan pada tahun 2022 oleh Pusat Studi Regional untuk Pengembangan Masyarakat Informasi menemukan bahwa 42 persen orang Brasil “sangat memperhatikan” data mereka saat berbelanja online.
Saat Brasil menginjak ulang tahun kelima peraturan perlindungan data pribadinya, pihak berwenang yang dipercaya untuk menegakkan peraturan tersebut telah meminta sumber daya tambahan dan lebih banyak kerja sama untuk mengatasi tantangan data yang semakin meningkat yang dihadapi oleh individu dan bisnis, termasuk mengembangkan budaya privasi data di Brasil dan mengatasi ancaman terhadap privasi yang ditimbulkan oleh risiko keamanan siber dan kecerdasan buatan.
Diluncurkan pada tahun 2020, dua tahun setelah berlakunya Undang-Undang Perlindungan Data Umum (LGPD), Otoritas Perlindungan Data Nasional (ANPD) Brasil, hingga saat ini, telah bertindak dalam 29 proses pengawasan formal untuk memastikan kepatuhan terhadap undang-undang tersebut, dan baru-baru ini mengeluarkan sanksi pertamanya: denda sebesar 14.400 reais ($2.870) dan peringatan terhadap Telekall Infoservice karena menawarkan daftar kontak WhatsApp untuk kampanye pemilu guna mendistribusikan materi kandidat.
Sejak awal operasinya, pihak berwenang telah menerima lebih dari 630 laporan insiden keamanan termasuk pelanggaran dan kebocoran data untuk dianalisis, dan lebih dari 2.300 permintaan dari pelapor dan petisi.
“Jumlah ini signifikan, mengingat kami memiliki tim yang sangat kecil”, kata Waldemar Gonçalves, direktur-presiden ANPD, dalam pidato pembukaannya di sebuah acara untuk memperingati lima tahun undang-undang tersebut.
Dengan sumber daya yang terbatas – anggaran pemerintah sebesar 36 juta reais ($7,4 juta) untuk tahun 2023 dan akan berkurang sebesar 36 persen pada tahun depan – ANPD telah berfokus pada bidang-bidang seperti memproduksi materi pendidikan untuk meningkatkan kesadaran perlindungan data, mendorong penerapan standar untuk layanan dan produk guna meningkatkan kontrol individu atas data pribadi mereka, dan keterlibatan dengan badan sektor publik lainnya.
Menurut Gonçalves, menangani masalah perlindungan data untuk populasi lebih dari 200 juta jiwa dengan jumlah staf ANPD saat ini sebanyak 150 orang adalah hal yang sulit.
“Inggris memiliki populasi 70 juta dan otoritas perlindungan datanya memiliki [1044] karyawan”, ia menunjukkan perbandingan.
Terlepas dari kendala tersebut, langkah berikutnya yang harus dilakukan otoritas perlindungan data Brasil adalah konsultasi publik mengenai standar transfer data internasional, yang bertujuan untuk memastikan perlindungan data lintas batas, memfasilitasi bisnis global sekaligus menjaga privasi.
Kebocoran data dan penalti
Dikutip dari Al Jazeera, peraturan perlindungan data di Brasil telah berlaku selama lima tahun, namun baru berlaku kurang dari tiga tahun lalu. Namun, ada perubahan penting dalam cara masyarakat dan dunia usaha memandang peraturan ini, kata Nairane Farias Rabelo, Direktur ANPD.
“Masyarakat kini semakin sadar akan hak-hak mereka, sementara perusahaan dan entitas publik secara bertahap semakin banyak berinvestasi dalam privasi, dipengaruhi oleh persaingan, reputasi, atau konsekuensi buruk dari pengabaian privasi,” katanya.
Kebocoran terbesar dalam sejarah negara ini diketahui publik pada tahun 2020 dan melibatkan pengungkapan data pribadi 243 juta warga Brasil termasuk nama lengkap, alamat, dan nomor telepon, karena kredensial yang dikodekan dengan lemah disimpan dalam kode sumber situs web Kementerian Kesehatan.
ANPD seharusnya mendapatkan kesimpulan awal tahun ini dari penyelidikan kasus tersebut dengan rincian lebih lanjut mengenai insiden tersebut dan dampak kebocoran tersebut, kata Rabelo.
Keamanan siber dan privasi data adalah dua sisi dari mata uang yang sama, kata Rabelo.
“Database berukuran besar, yang sering digunakan bersama dengan berbagai perusahaan, memerlukan perlindungan yang memadai. Kegagalan untuk memastikan hal ini secara langsung mengarah pada terganggunya keamanan dan pelanggaran terhadap hak-hak individu. Intinya, data tidak bisa benar-benar terlindungi tanpa penerapan keamanan informasi”, ujarnya.
Mengingat data warga Brasil yang sudah tak terhitung jumlahnya telah bocor, pertanyaannya adalah apakah ANPD hanya mengejar bayangan.
Banyaknya pelanggaran data tidak meniadakan pentingnya upaya perlindungan yang berkelanjutan, kata Renato Opice Blum, seorang pengacara yang fokus pada perlindungan data dan hukum digital.
“[Situasi keamanan siber di Brasil] masih jauh dari ideal, namun keadaan akan menjadi lebih buruk jika kita tidak memiliki peraturan perlindungan data”, katanya.
Secara keseluruhan, perpaduan antara faktor hukum, teknologi, budaya, dan ekonomi mendorong perubahan dalam titik temu antara keamanan siber dan perlindungan data di Brasil, kata Marcos Oliveira, country manager Brasil di perusahaan keamanan siber Palo Alto Networks.
“Penegakan ketat terhadap undang-undang perlindungan data yang kuat seperti LGPD, dengan hukuman yang signifikan bagi pelanggaran, mendorong perusahaan untuk berinvestasi lebih banyak dalam keamanan siber untuk menghindari denda dan kerusakan reputasi”, tambahnya.
Proyeksi investasi keamanan siber Brasil ditetapkan sebesar 8,3 miliar reais ($1,7 miliar) pada tahun 2023 dan dapat mencapai 10,8 miliar reais ($2,2 miliar) pada tahun 2026, menurut perusahaan konsultan PwC. Prediksi tersebut menggambarkan relevansi kepatuhan karena hukuman pelanggaran LGPD dapat mencapai hingga dua persen dari pendapatan perusahaan, dengan batas maksimal 50 juta reais ($10 juta).
Kemampuan untuk memberikan sanksi kepada perusahaan yang gagal mematuhinya akan sangat penting untuk mengambil tindakan dalam bidang perlindungan data di Brasil, kata pengacara Opice Blum.
“Ketika ANPD mulai memberikan sanksi yang lebih besar, akan ada lebih banyak perlindungan terhadap masyarakat dan lebih banyak kepatuhan dari sisi bisnis”, prediksinya.
Hal ini lebih mudah diucapkan daripada dilakukan karena terdapat “tantangan dalam mengidentifikasi sumber” kebocoran data, terutama di perusahaan swasta, kata Rabelo. Kekurangan staf di ANPD tidak membantu.
`Menjual data saya`
Tantangan lain bagi ANPD adalah industri penjualan data, di mana individu yang bekerja di bisnis Brasil mendapatkan keuntungan dari berbagi informasi pribadi tanpa persetujuan individu tersebut.
Beberapa warga Brasil telah mengembangkan metode mereka sendiri untuk melindungi diri dari praktik yang meluas ini.
“Saya tidak tahu [bisnis mana] yang telah menjual data saya, tapi saya yakin itu terjadi karena saya telah memberikan nama palsu dan alamat email tertentu ke situs web tertentu. Saya kemudian mulai menerima pendekatan dari bisnis yang belum pernah saya dengar menggunakan nama palsu,” kata Bruno Magri, seorang analis sistem.
Mengatasi pasar data ilegal memerlukan jaminan bahwa pembagian data hanya terjadi jika dibenarkan secara hukum, kata Rabelo dari ANPD.
Permasalahan ini akan diatasi dengan lebih efektif ketika perlindungan data dipandang sebagai bagian dari strategi nasional: “Kolaborasi antara berbagai badan pemerintah, baik federal maupun negara bagian, sangatlah penting,” katanya.
Salah satu pencapaian utama Brasil dalam bidang perlindungan data adalah mengakui perlindungan data sebagai hak fundamental, sehingga menjadikannya sebagai jaminan konstitusi.
Selain itu, transformasi ANPD menjadi badan otonomi khusus – yang berarti badan tersebut memiliki otonomi teknis, pengambilan keputusan, administratif, dan keuangan – merupakan langkah penting lainnya.
Namun, perkembangan tambahan, seperti keputusan presiden, masih diperlukan agar otoritas dapat mewujudkan potensi maksimalnya termasuk mengubah persepsi bahwa ANPD agak terpisah dari masyarakat pada umumnya.
“Saya memiliki tingkat kesadaran yang lebih tinggi [tentang hak-hak digital] karena profesi saya,” kata Magri, analis sistem.
“Namun, saya tidak tahu persis apa yang harus dilakukan jika privasi data saya dikompromikan, apalagi orang-orang yang rentan dan memiliki pengetahuan terbatas tentang hal-hal ini.” (*)