GDPR bukanlah masalahnya, Perusahaan Teknologi Besar dan pemerintah adalah masalahnya – The Irish Times

Peraturan Perlindungan Data Umum (GDPR) adalah undang-undang perlindungan data dan privasi data utama di Uni Eropa, namun peraturan ini masih mengalami beberapa masalah signifikan. Mayoritas bukanlah apa yang dipikirkan semua orang.

Masalah yang biasanya muncul adalah usaha kecil dan masyarakat biasa menghadapi segala macam peraturan yang konyol dan birokratis, dan perusahaan teknologi besar terus menerus mengikuti peraturan lama yang sama.

Ada beberapa kebenaran di sana. Namun privasi dan perlindungan data sebagai sebuah konsep, niat, atau hukum dan hak asasi manusia tidak bisa disalahkan. Seringkali hal ini berada di pundak pemerintah nasional dan regulator yang menegakkan hukum – atau gagal menegakkannya – dan perusahaan-perusahaan teknologi besar yang menyimpang, mengelak, dan mengerahkan pasukan pengacara dalam setiap tantangan dan keputusan.

Politisi, layanan keamanan, dan perusahaan teknologi besar akan merasa nyaman jika membuat masyarakat khawatir mengenai salah tafsir GDPR pada tingkat yang sangat kecil – misalnya larangan menandatangani buku belasungkawa, atau larangan yang melarang penata rambut membagikan kombinasi warna rambut klien mereka. Dalam sebagian besar kasus ini, GDPR sebenarnya tidak memiliki arti penting. Kekhawatiran sebenarnya adalah permasalahan makro yang ditimbulkan oleh kekuatan negara dan korporasi yang menjadi target sebenarnya GDPR. Ini adalah pelanggaran mereka terhadap hak kita atas kehidupan pribadi yang wajar, dan itulah yang seharusnya ditangani oleh GDPR. Namun mereka merasa nyaman jika GDPR disajikan sebagai masalah, bukan solusi.

Dua peristiwa minggu lalu memberikan contoh dan pengingat yang menyedihkan tentang bagaimana kekuasaan berupaya mempertahankan kekuasaan. Pertama, di Irlandia, Mahkamah Agung menolak gugatan terhadap diterimanya data telepon geng pelaku penembakan dalam kasus yang disidangkan seminggu yang lalu pada hari Senin. Artinya, bukti telepon akan tetap ada, meskipun dikumpulkan bertahun-tahun setelah berlakunya undang-undang penyimpanan data Irlandia. Undang-undang tahun 2011 dibatalkan oleh Pengadilan Eropa pada tahun 2014 ketika pengadilan menyatakan seluruh Petunjuk Retensi Data UE tidak sah – dalam kasus yang didasarkan pada penolakan terhadap undang-undang Irlandia yang sebenarnya.

Sayangnya, hal ini sering kali merupakan kepentingan pemerintah dan perusahaan, dan terkadang, regulator nasional tidak terlalu ingin mengubah status quo.

Enam dari tujuh hakim mengatakan polisi bertindak dengan itikad baik pada tahun 2017 dalam mengumpulkan data menggunakan undang-undang yang tidak sah, karena undang-undang tahun 2011 masih ada dalam buku undang-undang. Namun undang-undang tersebut masih dimasukkan dalam undang-undang karena pemerintah Irlandia memilih untuk mengabaikan keputusan Pengadilan Eropa tahun 2014; Ini adalah masalah yang sangat penting sehingga akan mengubah GDPR secara signifikan. Untuk menunjukkan arogansi pemerintah yang luar biasa, undang-undang Irlandia yang tidak sah akan tetap berlaku hingga tahun 2022, meskipun banyak peringatan dari para ahli bahwa hukuman untuk kejahatan berat mungkin gagal karena ketidakpedulian tersebut.

Anda mungkin ingin mengatakan bahwa jika hukuman pidana tetap berlaku, itu adalah hal yang baik. Namun sistem peradilan demokratis bergantung pada fakta bahwa pengawasan dan pengumpulan data harus proporsional. Pengadilan tertinggi UE menegaskan satu dekade lalu bahwa sistem pengumpulan data di Irlandia tidak demikian. Negara berjudi bahwa mereka bisa lolos dengan berpura-pura tidak perlu mengatasi kesenjangan hak asasi manusia yang semakin besar ini. Padahal, jika lembaga ini menerapkan sistem hukum, lembaga ini bisa mengumpulkan bukti dan tidak mengambil risiko pembatalan hukuman pidana berat.

Kemudian, pada Simposium Perlindungan Data Eropa tahunan yang diadakan minggu lalu, Komisaris UE, yang sebagian besar merupakan arsitek GDPR, Vivien Reding, menyatakan kebenaran yang tidak menyenangkan dalam pidato utamanya. Dia mengatakan GDPR dimaksudkan untuk menjatuhkan perusahaan-perusahaan besar yang mengeksploitasi data, bukan menggunakannya untuk menipu birokrasi yang salah dan terkadang tidak kompeten serta denda yang tidak seberapa terhadap bisnis dan organisasi kecil di Uni Eropa. Dia menambahkan bahwa tujuan awalnya adalah untuk menciptakan satu kantor regulasi Uni Eropa untuk menangani masalah big data, dibandingkan dengan hampir tiga lusin regulator nasional yang bertengkar mengenai cakupan sanksi terhadap pemain besar dan penerapan regulasi yang tidak merata di dalam negeri.

Ketika saya menjadi moderator webinar pada tahun 2021 bersama Reading untuk acara tentang Brexit di Dublin City University, dia memberikan komentar serupa dan mengkritik keras Komisi Perlindungan Data Irlandia (dan lainnya), karena tidak mengeksploitasi kewenangan penuh yang diberikan berdasarkan GDPR untuk menghukum perusahaan teknologi besar . multinasional pada tingkat apa pun yang berarti.

[ EU making ill-judged move towards mass digital surveillance ]

Sayangnya, hal ini sering kali merupakan kepentingan pemerintah dan perusahaan, dan terkadang, regulator nasional tidak cenderung mengubah status quo, untuk melemahkan atau mengurangi penegakan hak privasi dan data kita. Hal ini menguntungkan mereka, karena baik negara maupun dunia usaha memandang data dan pemantauan populasi secara terus-menerus pada tingkat yang berbeda-beda sebagai mekanisme kontrol dan keuntungan yang sangat berharga (bagi mereka).

Jadi negara-negara dan perusahaan-perusahaan bersedia mengambil risiko tamparan apa pun yang mungkin dijatuhkan oleh pengadilan tertinggi UE atau regulator nasional, karena mereka berharap untuk terus memiliki akses terhadap data tersebut dan mengurangi pemantauan yang biasa dilakukan selama bertahun-tahun. Tentu saja, perusahaan-perusahaan besar dan pemerintahlah yang telah melobi untuk melakukan perubahan yang sangat berguna terhadap mekanisme asli GDPR, yang memberikan Irlandia banyak hak untuk menentukan bagaimana perusahaan-perusahaan teknologi besar diatur. Jika GDPR perlu diubah – dan ya, GDPR perlu diubah – hal ini dilakukan untuk menyingkirkan sistem peraturan nasional yang lambat dan lemah saat ini dan menegakkan hak kita atas data dan privasi dengan baik.