Isu mengenai potensi merger atau akuisisi GoTo oleh Grab telah memicu perdebatan publik, terutama seputar implikasi terhadap data pribadi jutaan warga Indonesia. Di tengah diskusi mengenai saham, valuasi, efisiensi bisnis, dan potensi monopoli, aspek krusial mengenai perlindungan data pengguna seringkali terabaikan.

Dalam ekosistem digital yang kompleks seperti GoTo, data pengguna bukan sekadar pelengkap bisnis, melainkan aset inti yang memiliki nilai strategis. GoTo, sebagai entitas gabungan dari Gojek dan Tokopedia, mengelola data sensitif dari ratusan juta pengguna di Indonesia, mencakup informasi perjalanan, transaksi, preferensi belanja, dan data keuangan melalui GoPay. Data ini memberikan gambaran komprehensif tentang kehidupan sehari-hari pengguna, termasuk lokasi, minat, dan kebiasaan.

Apabila Grab, sebuah perusahaan yang berbasis di Singapura, mengakuisisi GoTo, pertanyaan mendasar yang muncul adalah mengenai nasib data warga Indonesia. Ke mana data ini akan dialihkan, dan siapa yang akan memiliki kendali penuh atasnya? Persoalan ini menyentuh isu kedaulatan digital, di mana negara memiliki hak untuk melindungi data warganya dari potensi penyalahgunaan oleh pihak asing.

Pemerintah, melalui Kementerian Komunikasi dan Informatika (Kominfo), memiliki peran sentral dalam melindungi hak-hak digital warga negara. Akuisisi ini bukan sekadar transaksi bisnis, tetapi menyangkut kedaulatan data dan hak privasi individu. Undang-Undang Perlindungan Data Pribadi (UU PDP) Nomor 27 Tahun 2022 mengamanatkan bahwa pengalihan dan pemrosesan data pengguna harus mendapatkan persetujuan eksplisit dari pemilik data, terutama jika data tersebut diproses atau disimpan di luar negeri. UU PDP juga menekankan bahwa negara tujuan pengalihan data harus memiliki standar perlindungan data yang setara atau lebih baik daripada yang diatur oleh hukum Indonesia.

Pertanyaan mendasar yang perlu dijawab adalah apakah pengguna GoTo telah memberikan persetujuan agar data mereka dikelola oleh pihak asing? Apakah mitra pengemudi atau pemilik toko online di Tokopedia memiliki hak untuk menolak, atau setidaknya mengetahui risiko bahwa informasi pribadi mereka dapat diproses di luar yurisdiksi hukum Indonesia? Kekhawatiran ini semakin mendalam mengingat kasus-kasus global seperti akuisisi Fitbit oleh Google, di mana regulator Uni Eropa memberlakukan pembatasan ketat terhadap penggunaan data kesehatan pengguna Fitbit untuk tujuan periklanan.

Kasus pemindaian retina mata oleh Worldcoin di Bekasi menjadi contoh nyata betapa rentannya masyarakat Indonesia terhadap praktik pengumpulan data yang berpotensi melanggar privasi. Warga desa menyerahkan data biometrik sensitif mereka hanya dengan imbalan sejumlah uang tunai, tanpa sepenuhnya memahami risiko yang terlibat. Fenomena ini mencerminkan rendahnya literasi data di Indonesia, di mana masyarakat belum sepenuhnya menyadari nilai dan bahaya dari data pribadi mereka. Beberapa negara telah menghentikan atau menyelidiki aktivitas Worldcoin karena dianggap melanggar privasi.

Potensi akuisisi GoTo oleh Grab menimbulkan risiko nyata bahwa data pribadi warga Indonesia dapat diambil alih dan dimonetisasi tanpa kontrol yang memadai dari negara. Merger atau akuisisi seharusnya tidak secara otomatis berarti penggabungan seluruh data pengguna tanpa batasan. Kebijakan privasi yang diperbarui, konsultasi publik, dan kesempatan bagi pengguna untuk menyatakan persetujuan secara sadar dan spesifik adalah langkah-langkah penting yang harus dilakukan.

Pemerintah Indonesia memiliki tanggung jawab untuk melindungi hak-hak digital warganya. Jika tidak, kita akan menyaksikan tragedi di mana data pribadi ratusan juta rakyat berpindah tangan tanpa kendali dan tanpa pengetahuan mereka. Akuisisi seperti ini bukan hanya akuisisi bisnis, tetapi perampasan data yang dapat mengancam masa depan privasi bangsa. Pemerintah harus bertindak tegas untuk memastikan bahwa hak-hak digital warga negara dilindungi dalam setiap transaksi bisnis yang melibatkan data pribadi.