Kegagalan Negara Melindungi Data Warga dalam Pemilu

Kegagalan Negara Melindungi Data Warga dalam Pemilu

Dian Amalia Ariani

TL;DR

  • Perhimpunan Bantuan Hukum dan Hak Asasi Manusia Indonesia (PBHI) menyebut ada lebih dari 400 laporan dugaan pencatutan data dalam sistem kepemiluan (Juni 2024).
  • Migrasi data diduga berlangsung otomatis dari basis data pemerintah ke aplikasi politik.
  • Proses pencatutan data pribadi ini berlangsung serentak, identik, dan dalam hitungan detik di banyak wilayah.

“Lu dukung calon independen itu ya? Kok nama lu muncul di KPU?”

Juan Robin hanya tertawa kecut ketika lelucon itu datang dari temannya. Ia tidak pernah memberikan Nomor Induk Kependudukan (NIK) kepada tim sukses siapa pun. Tapi situs resmi KPU menampilkan namanya sebagai pendukung pasangan calon (paslon) independen Dharma Pongrekun-Kun Wardana pada Pilkada 2024 lalu.

“Aku awalnya cuma iseng ikut ngecek waktu itu,” kata Juan. Ia membuka situs resmi KPU, mengetik NIK, memilih Pilkada Jakarta, lalu menunggu. “Tiba-tiba muncul namaku tercatat sebagai pendukung paslon independen Dharma-Kun. Padahal aku bahkan belum pernah dengar namanya.”

Kecurigaan itu membesar ketika ia menghubungi lima orang anggota keluarga.Hasilnya, empat dari lima nama dalam satu kartu keluarga tercatat sebagai pendukung kandidat yang sama.

“Jadi bukan cuma aku sendiri. Ternyata satu keluarga,” katanya. 

Pengalaman serupa menimpa Zeze (bukan nama sebenarnya), mahasiswa semester akhir Universitas Indonesia. Ia awalnya menganggap isu pencatutan data hanyalah noise di media sosial, sampai ia mengecek NIK-nya sendiri.

“Gue kira cuma rumor,” katanya. “Sampai gue lihat sendiri nama gue dipakai tanpa izin.”

Tak hanya Juan dan Zeze, di X (dulu Twitter), pengakuan serupa datang beruntun. Ratusan, lalu ribuan orang mengaku mengalami hal yang sama. Banyak yang mendapati seluruh anggota keluarganya tercantum sebagai pendukung paslon independen, padahal dukungan itu menjadi syarat administratif agar calon bisa mendaftar ke KPU.

Juan bekerja di bidang yang menuntut posisi netral publik. Ia tidak pernah menyerahkan KTP untuk kepentingan kampanye, tidak pernah menyatakan dukungan politik secara terbuka, apalagi terlibat dalam tim sukses. 

Ia menduga pencantuman tersebut bukan kesalahan acak, melainkan akibat akses terhadap basis data besar yang bocor. Kecurigaan itu diperkuat oleh pengalaman Zeze, yang menemukan bukan hanya data dirinya, tetapi satu kartu keluarga lengkap, termasuk anggota keluarga yang tinggal di luar negeri, tercantum di sistem KPU.

Keduanya kemudian mengumpulkan bukti dan melakukan pelaporan sebagai bentuk keberatan serta upaya perlindungan data pribadi. 

Awalnya, Baik Juan atau Zeze pun tak tahu harus apa, mereka tidak melapor ke RT atau RW. Bingung. Sampai akhirnya, ia mengetahui Bawaslu dan Perhimpunan Bantuan Hukum dan Hak Asasi Manusia Indonesia (PBHI) membuka posko pengaduan. Akhirnya, mereka melapor.

Sayangnya, hingga Pilkada berjalan, tidak ada klarifikasi resmi dari pemerintah. Nama-nama yang dipermasalahkan tetap berada dalam daftar dukungan. Pasangan calon nonpartai itu pun lolos sebagai peserta Pilkada. Tak ada penjelasan lanjutan dan pemulihan data bagi warga yang menjadi korban pencatutan nama.

“Jadi lucu saja,” kata Juan. “Ada pelanggaran data pribadi, tapi respons institusinya dingin. Tidak ada kejelasan. Tidak ada tindakan.”

Bagi Juan dan Zeze, kasus ini bukan soal satu nama yang disalahgunakan, melainkan risiko jangka panjang, seperti penyalahgunaan NIK untuk pinjaman ilegal, kriminal digital, atau manipulasi politik di masa depan. “Ada rasa takut,” tambah Juan. “Karena datanya bisa dipakai lagi untuk sesuatu yang aku tidak pernah setujui.”

Zeze mengangguk pada kegelisahan yang sama. “Yang bikin marah tuh bukan soal siapa calonnya,” katanya. “Tapi gue nggak pernah kasih consent. Gue nggak dukung, nggak tanda tangan, nggak tahu apa-apa.”

Dan yang paling menakutkan, menurut mereka, hingga hari ini tidak ada investigasi yang jelas, tidak ada pihak yang benar-benar bertanggung jawab. 

Menurut Perhimpunan Bantuan Hukum dan Hak Asasi Manusia Indonesia (PBHI), hingga pertengahan 2024 terdapat lebih dari 400 laporan dugaan pencatutan data dalam sistem kepemiluan. Sekitar 200 laporan telah terverifikasi, dan 60 orang menyatakan bersedia membawa kasus ini ke jalur hukum.

Hasil penelusuran analis keamanan siber independen bersama PBHI menemukan dugaan migrasi data otomatis dari basis data pemerintah ke aplikasi politik. “Datanya bukan dimasukkan. Dipindahkan,” kata Julius.

Prosesnya berlangsung serentak, identik, dan dalam hitungan detik di banyak wilayah. Polanya sederhana: warga yang berada dalam rentang usia pemilih otomatis masuk ke sistem. Seleksi kasar ini bahkan membuat sejumlah nama yang sudah meninggal tetap tercatat.

“Ini bukan pekerjaan swasta,” lanjut Julius. Menurutnya, migrasi semacam ini hanya bisa dilakukan dengan alat dan akses yang dimiliki negara. Pihak lain bisa terlibat sebagai pelaksana, tetapi kendali utama tetap berada pada instansi pemilik data.

PBHI kemudian melaporkan dugaan pencatutan data ini ke KPU DKI Jakarta, Bawaslu DKI Jakarta, dan Dewan Kehormatan Penyelenggara Pemilu (DKPP) RI, tanpa tindak lanjut yang berarti.

“Rencananya kami melaporkan secara administratif terlebih dahulu, baru pidananya dan etiknya,” ujar Aldeta Oktaviyani, Staf Publikasi dan Kampanye PBHI. Dari seluruh aduan yang diajukan, hanya KPU DKI Jakarta yang merespons dengan mengundang PBHI untuk audiensi, sebelum membawa perkara ini ke persidangan internal.

Kendati demikian, hasilnya pasangan calon tersebut tetap dinyatakan memenuhi syarat. Keputusan itu muncul karena dua dari tiga unsur di Sentra Gakkumdu (Penegakan Hukum Terpadu) menilai tidak ada bukti yang cukup kuat untuk memberikan sanksi kepada pasangan calon independen tersebut.

Tak hanya itu, PBHI juga melaporkan ada pola mencurigakan muncul setelah laporan diajukan ke KPU. Deta menemukan banyak nama pendukung calon tertentu tiba-tiba hilang dari sistem.

“Itu terjadi sehari setelah kami melapor,” kata Deta. Dari sekitar 400 pelapor, setidaknya setengahnya mendapati namanya sudah tak muncul lagi di laman resmi.

Terkait pola, PBHI menemukan pencatutan kerap terjadi dalam satu keluarga. Ayah, ibu, dan anak yang telah memenuhi usia pemilih didaftarkan serentak sebagai pendukung. Verifikasi menunjukkan pola serupa: nama dan alamat cocok, tetapi NIK yang tercatat berbeda. “Ini menunjukkan data tidak diambil dari persetujuan warga, tetapi dari sistem,” ujar Deta.

Bagi PBHI, hanya lembaga penyelenggara pemilu atau institusi negara pemegang data kependudukan yang memiliki kewenangan dan akses untuk melakukan manipulasi semacam ini. Karena itu, mereka mendorong audit sistem dan menempatkan penyalahgunaan data pemilu sebagai prioritas dalam pembahasan lanjutan UU PDP.

Julius menutup dengan nada peringatan. Regulasi ada, pelanggaran terlihat, korban banyak, tetapi lembaga penyelenggara pemilu tidak bergerak. “Kalau KPU hari ini bisa melakukan ini tanpa konsekuensi hukum,” katanya, “tidak ada jaminan 2029, atau pemilu setelahnya, akan lebih baik.”

Apa yang Dilanggar?

Pencatutan data pribadi dalam proses politik bukan sekadar persoalan etika, melainkan menyentuh langsung inti perlindungan hukum warga negara. 

Di Indonesia, perlindungan data pribadi diatur dalam sejumlah regulasi, mulai dari UU Perlindungan Data Pribadi, UU Administrasi Kependudukan, UU Pemilu, hingga aturan khusus pilkada dalam UU Nomor 8 Tahun 2015 dan UU Nomor 10 Tahun 2016.

Usep Hasan, peneliti Perkumpulan untuk Pemilu dan Demokrasi (Perludem), menegaskan bahwa praktik pencatutan identitas dalam Pilkada 2024 merupakan bentuk penyalahgunaan data pribadi yang termasuk tindak pidana pilkada.

“Terutama yang menggunakan data kependudukan untuk memenuhi syarat pencalonan atau meraih keuntungan elektoral, seperti kasus Dharma-Kun pada Pilkada DKI Jakarta 2024. Perbuatan ini jelas melanggar Pasal 177 dan Pasal 181 UU 10/2016 dan diproses sebagai tindak pidana berdasarkan Pasal 65, 66, dan 67 UU 27/2022 tentang Perlindungan Data Pribadi,” kata Usep.

Dengan lebih dari 204 juta pemilih dalam Daftar Pemilih Tetap, pemilu merupakan operasi data raksasa yang menghubungkan berbagai sistem, mulai dari SIDALIH hingga basis data kependudukan Kemendagri. Skala ini menjadikan pemilu sasaran empuk. Dalam dua dekade terakhir, KPU menghadapi sedikitnya delapan insiden siber dan dugaan kebocoran data, termasuk kebocoran DPT pada 2014 dan 2024. Bahkan pada 2023, sebanyak 337 juta data penduduk diduga diperjualbelikan di forum gelap.

Padahal, menurut peneliti ELSAM, Nurul Izmi, UU PDP telah mewajibkan pengendali data menjaga keamanan, melakukan penilaian dampak, menerapkan standar perlindungan, serta mengumumkan kebocoran data maksimal 3×24 jam. “Termasuk apakah ada penghapusan data, ganti rugi, atau sanksi terhadap pihak yang mencatut data tanpa izin,” kata Izmi.

Masalahnya sederhana, aturan itu belum benar-benar bekerja.

Bermasalah Sedari Hulu

Usep menggarisbawahi celah UU PDP dalam melindungi data pribadi di ranah pemilu. Otoritas Perlindungan Data Pribadi (OPDP) belum terbentuk. Padahal sejak awal pembahasan UU PDP, Usep mengingatkan bahwa koalisi masyarakat sipil telah mendorong satu prasyarat utama pembentukan Komisi Independen Perlindungan Data Pribadi. 

Lembaga ini, menurutnya, harus berdiri di luar eksekutif dan memiliki kewenangan penuh sebagai pengawas, pengendali, sekaligus penegak pelanggaran data pribadi—sebagaimana diterapkan dalam General Data Protection Regulation (GDPR) Uni Eropa.

“Kalau UU PDP mau direvisi atau diuji lewat Mahkamah Konstitusi, yang paling penting itu komisi independen,” kata Usep. Ia merujuk praktik di negara-negara seperti Inggris, Prancis, dan Singapura yang telah menempatkan lembaga perlindungan data sebagai otoritas mandiri. “Gampangnya, tinggal belajar dari GDPR.”

Namun nyaris tiga tahun setelah pengesahan, UU PDP belum melahirkan otoritas semacam itu. Sementara mekanisme penegakan hukum atas pelanggaran masih kabur. Situasi ini, kata Usep, menjadi krusial ketika UU PDP bersinggungan dengan pemilu, sektor yang paling masif mengelola data pribadi warga.

Dalam tahapan pemilu, data pribadi digunakan sejak penyusunan daftar pemilih, pendaftaran partai politik, hingga pencalonan perseorangan. Data itu mengalir lintas lembaga, mulai dari Dukcapil ke KPU, lalu ke Bawaslu dan partai politik. “Di titik ini seharusnya ada hubungan yang jelas antara Komisi Perlindungan Data Pribadi dengan KPU dan lembaga terkait,” ujarnya.

Akibatnya, ketika terjadi pencatutan data, baik dalam SIPOL (Sistem Informasi Partai Politik) maupun dukungan calon perseorangan, kasus justru ditarik ke ranah pemilu, bukan pelanggaran data pribadi. “Itu salah satu titik paling rentan,” kata Izmi.

Usep menilai keterhubungan itu tidak perlu dirinci secara teknis di UU PDP. Cukup disebutkan secara umum bahwa komisi independen berwenang berkoordinasi dengan kementerian dan lembaga negara yang memerlukan data pribadi untuk penyelenggaraan negara. Rincian soal jenis data dan batas penggunaannya, menurutnya, justru harus diatur secara tegas dalam Undang-Undang Pemilu.

Ia menyoroti lemahnya pengaturan sanksi dalam UU PDP. Meski undang-undang itu memuat sanksi administratif dan pidana, kategorisasi pelanggarannya belum rinci. Tidak ada pembeda yang tegas antara pelanggaran ringan, kelalaian pengelola data, dan tindakan yang bersifat sengaja atau manipulatif.

“Kalau KPU lalai, itu kelalaian administrasi atau pidana? Kalau ada pencatutan yang disengaja, itu masuk pidana berat atau tidak? Ini belum jelas,” ujarnya. Akibatnya, penegakan hukum menjadi serampangan dan berisiko kriminalisasi berlebihan di satu sisi, atau impunitas di sisi lain.

Dalam konteks pemilu, ketidakjelasan itu makin rumit karena adanya Sentra Penegakan Hukum Terpadu (Gakkumdu). Dalam kasus Dharma-Kun misalnya, Bawaslu menyebut kalah dalam forum, Polri melempar ke Bawaslu, Kejaksaan bungkam. Hasilnya sama: tidak ada penyidikan, tidak ada penuntutan, tidak ada putusan pidana. “Kalau mekanismenya masih seperti sekarang dan kasus serupa terulang, ya hasilnya sama saja,” kata Usep.

Ia bahkan mempertanyakan relevansi Gakkumdu jika tidak ada reformasi menyeluruh. Tanpa itu, pelanggaran data pribadi dalam pemilu berpotensi berhenti di tengah jalan, terombang-ambing antara ranah pidana umum dan pidana pemilu.

Usep juga menyinggung soal sumber data pemilih. Selama ini, daftar pemilih kerap bergantung pada Data Penduduk Potensial Pemilih Pemilu (DP4) dari Kementerian Dalam Negeri. Menurutnya, praktik ini harus diakhiri. “Basis data pemilu seharusnya berasal dari daftar pemilih pemilu sebelumnya, yang diperbarui oleh KPU, bukan terus-menerus menarik data mentah dari Kemendagri,” ujarnya.

Ketergantungan pada banyak sumber data justru memperbesar risiko kebocoran dan penyalahgunaan. Apalagi, pengalaman pemilu sebelumnya menunjukkan KPU belum mampu menjamin perlindungan data pribadi secara optimal.

Karena itu, Usep menegaskan, revisi UU PDP saja tidak cukup. Reformasi harus menyentuh UU Pemilu, terutama soal tata kelola data pemilih, batas publikasi data, mekanisme pengawasan, serta sanksi bagi lembaga yang lalai atau menyalahgunakan data.

“Kalau tidak dibenahi dari hulunya, kasus pencatutan akan terus berulang,” katanya. Dalam situasi seperti itu, warga bukan hanya kehilangan data, tetapi juga kehilangan kepercayaan pada pemilu sebagai sarana kedaulatan rakyat.

Ombudsman Soroti Celah Sistemik

Dody Wijaya, Ketua Divisi Teknis Penyelenggaraan Pemilu, KPU DKI Jakarta, menegaskan bahwa lembaganya tidak berkoordinasi langsung dengan Sentra Gakkumdu terkait laporan pencatutan dukungan dalam Pilkada 2024. “Gakkumdu itu ranahnya Bawaslu, Kejaksaan, dan Kepolisian. KPU hanya memberikan keterangan jika diminta,” katanya melalui keterangan tertulis (19/12/2025).

Penetapan kelolosan calon perseorangan, termasuk pasangan Dharma–Kun Wardhana, disebut telah dilakukan sesuai regulasi dan melalui rangkaian verifikasi administrasi, verifikasi faktual, hingga tindak lanjut atas putusan sengketa di Bawaslu.

Terkait warga yang merasa dicatut identitasnya, Dody menyebut seluruh laporan, baik yang masuk melalui Bawaslu maupun langsung ke KPU, telah ditindaklanjuti lewat verifikasi ulang. 

Ratusan data dukungan kemudian dikoreksi, termasuk mengubah status banyak data dari Memenuhi Syarat menjadi Tidak Memenuhi Syarat. Ia menambahkan bahwa KPU terus melakukan evaluasi atas sistem dan SOP verifikasi, baik pada regulasi teknis, infrastruktur sistem informasi, maupun tata kerja verifikasi di lapangan. “Ini bagian dari upaya memastikan setiap tahap berjalan sesuai ketentuan dan menjaga integritas proses,” ujarnya, tanpa merinci jumlah total aduan yang diterima.

Di sisi lain, anggota Ombudsman RI, Jemsly Hutabarat, menyampaikan bahwa hingga saat ini lembaganya belum menerima satu pun laporan resmi terkait pencatutan data pribadi dalam Pilkada 2024. Ia menjelaskan bahwa pemeriksaan Ombudsman sejauh ini lebih banyak menyasar dugaan maladministrasi dalam proses KPU dan Bawaslu, bukan kasus penyalahgunaan data pribadi. “Saya sudah cek kembali, dan memang tidak ada laporan pencatutan yang masuk ke kami,” ujarnya melalui sambungan telepon (21/12/2025).

Meski begitu, Jemsly menilai praktik pencatutan data berpotensi kuat menjadi maladministrasi, terutama jika terjadi kelalaian dalam pengawasan akses data kependudukan atau proses unggah dukungan calon perseorangan. Ia melihat adanya celah sistemik dalam tata kelola data antara Dukcapil, KPU, dan Bawaslu, mulai dari minimnya audit jejak akses, lemahnya kontrol operator, hingga ketiadaan mekanisme pemberitahuan kepada warga ketika NIK mereka digunakan. “Kalau akses data diberikan tanpa kontrol yang memadai, itu sudah masuk ranah maladministrasi,” katanya.

Ia menambahkan, lemahnya integrasi sistem dan ketidaksinkronan penanganan antar lembaga membuat korban pencatutan identitas kerap tidak mendapat pemulihan yang jelas, sehingga perbaikan menyeluruh perlu dilakukan agar kasus serupa tidak berulang.

Sementara itu, hingga laporan ini ditulis, Bawaslu DKI Jakarta belum memberikan jawaban atas permintaan konfirmasi yang disampaikan.

Apa Solusi Kebocoran Data?

Ada momentum baru. Pada September lalu, Badan Legislasi DPR menerima sepuluh RUU untuk Prolegnas Jangka Menengah 2025–2029, termasuk RUU Perubahan UU PDP. Masuknya RUU ini terjadi di tengah rangkaian pelanggaran data Pemilu dan Pilkada 2024 yang tak kunjung tuntas.

Sengkarut ini menunjukkan bahwa yang gagal bukan hukum, melainkan mekanisme penegakan yang tak mampu mengambil keputusan. Karena itu, pembahasan ulang UU PDP di Komisi I DPR menjadi peluang untuk menutup celah yang selama ini membiarkan pelanggaran data berlalu tanpa jawaban. “Karena lembaga PDP ini nantinya akan mengikat sektor publik dan sektor privat sebagai pengendali data,” kata Izmi.

RUU Perubahan atas UU PDP yang masuk Prolegnas membawa peluang untuk menutup celah yang selama ini dibiarkan terbuka. Revisi ini dapat memperjelas kewenangan OPDP, mengatur standar penggunaan data kependudukan untuk pemilu, mengatur audit jejak digital dalam verifikasi dukungan, memasukkan data politik sebagai data sensitif, serta memastikan korban pencatutan mendapat pemulihan.

“Namun penguatan regulasi saja tidak cukup. Tanpa audit, verifikasi ketat, dan kewajiban pemberitahuan publik, penyalahgunaan data akan terus berulang,” tutup Izmi.

Hingga artikel ini diterbitkan, Deduktif telah mencoba mengonfirmasi Badan Legislasi DPR, namun belum memperoleh tanggapan. Sementara itu, Kementerian Komunikasi dan Digital (Komdigi) sebagai OPDP sementara menyatakan belum menerima draf perubahan UU PDP. “Silakan menghubungi DPR, karena itu usulan DPR. Draft usulannya belum ada di kami,” ujar Alex Sabar, Dirjen Pengawasan Ruang Digital Komdigi.

Penulis: Dian Amalia Ariani

Editor: Aditya Widya Putri

Ilustrator: Aan K. Riyadi
 

Kegagalan Negara Melindungi Data Warga dalam Pemilu

TL;DR

  • Perhimpunan Bantuan Hukum dan Hak Asasi Manusia Indonesia (PBHI) menyebut ada lebih dari 400 laporan dugaan pencatutan data dalam sistem kepemiluan (Juni 2024).
  • Migrasi data diduga berlangsung otomatis dari basis data pemerintah ke aplikasi politik.
  • Proses pencatutan data pribadi ini berlangsung serentak, identik, dan dalam hitungan detik di banyak wilayah.

“Lu dukung calon independen itu ya? Kok nama lu muncul di KPU?”

Juan Robin hanya tertawa kecut ketika lelucon itu datang dari temannya. Ia tidak pernah memberikan Nomor Induk Kependudukan (NIK) kepada tim sukses siapa pun. Tapi situs resmi KPU menampilkan namanya sebagai pendukung pasangan calon (paslon) independen Dharma Pongrekun-Kun Wardana pada Pilkada 2024 lalu.

“Aku awalnya cuma iseng ikut ngecek waktu itu,” kata Juan. Ia membuka situs resmi KPU, mengetik NIK, memilih Pilkada Jakarta, lalu menunggu. “Tiba-tiba muncul namaku tercatat sebagai pendukung paslon independen Dharma-Kun. Padahal aku bahkan belum pernah dengar namanya.”

Kecurigaan itu membesar ketika ia menghubungi lima orang anggota keluarga.Hasilnya, empat dari lima nama dalam satu kartu keluarga tercatat sebagai pendukung kandidat yang sama.

“Jadi bukan cuma aku sendiri. Ternyata satu keluarga,” katanya. 

Pengalaman serupa menimpa Zeze (bukan nama sebenarnya), mahasiswa semester akhir Universitas Indonesia. Ia awalnya menganggap isu pencatutan data hanyalah noise di media sosial, sampai ia mengecek NIK-nya sendiri.

“Gue kira cuma rumor,” katanya. “Sampai gue lihat sendiri nama gue dipakai tanpa izin.”

Tak hanya Juan dan Zeze, di X (dulu Twitter), pengakuan serupa datang beruntun. Ratusan, lalu ribuan orang mengaku mengalami hal yang sama. Banyak yang mendapati seluruh anggota keluarganya tercantum sebagai pendukung paslon independen, padahal dukungan itu menjadi syarat administratif agar calon bisa mendaftar ke KPU.

Juan bekerja di bidang yang menuntut posisi netral publik. Ia tidak pernah menyerahkan KTP untuk kepentingan kampanye, tidak pernah menyatakan dukungan politik secara terbuka, apalagi terlibat dalam tim sukses. 

Ia menduga pencantuman tersebut bukan kesalahan acak, melainkan akibat akses terhadap basis data besar yang bocor. Kecurigaan itu diperkuat oleh pengalaman Zeze, yang menemukan bukan hanya data dirinya, tetapi satu kartu keluarga lengkap, termasuk anggota keluarga yang tinggal di luar negeri, tercantum di sistem KPU.

Keduanya kemudian mengumpulkan bukti dan melakukan pelaporan sebagai bentuk keberatan serta upaya perlindungan data pribadi. 

Awalnya, Baik Juan atau Zeze pun tak tahu harus apa, mereka tidak melapor ke RT atau RW. Bingung. Sampai akhirnya, ia mengetahui Bawaslu dan Perhimpunan Bantuan Hukum dan Hak Asasi Manusia Indonesia (PBHI) membuka posko pengaduan. Akhirnya, mereka melapor.

Sayangnya, hingga Pilkada berjalan, tidak ada klarifikasi resmi dari pemerintah. Nama-nama yang dipermasalahkan tetap berada dalam daftar dukungan. Pasangan calon nonpartai itu pun lolos sebagai peserta Pilkada. Tak ada penjelasan lanjutan dan pemulihan data bagi warga yang menjadi korban pencatutan nama.

“Jadi lucu saja,” kata Juan. “Ada pelanggaran data pribadi, tapi respons institusinya dingin. Tidak ada kejelasan. Tidak ada tindakan.”

Bagi Juan dan Zeze, kasus ini bukan soal satu nama yang disalahgunakan, melainkan risiko jangka panjang, seperti penyalahgunaan NIK untuk pinjaman ilegal, kriminal digital, atau manipulasi politik di masa depan. “Ada rasa takut,” tambah Juan. “Karena datanya bisa dipakai lagi untuk sesuatu yang aku tidak pernah setujui.”

Zeze mengangguk pada kegelisahan yang sama. “Yang bikin marah tuh bukan soal siapa calonnya,” katanya. “Tapi gue nggak pernah kasih consent. Gue nggak dukung, nggak tanda tangan, nggak tahu apa-apa.”

Dan yang paling menakutkan, menurut mereka, hingga hari ini tidak ada investigasi yang jelas, tidak ada pihak yang benar-benar bertanggung jawab. 

Menurut Perhimpunan Bantuan Hukum dan Hak Asasi Manusia Indonesia (PBHI), hingga pertengahan 2024 terdapat lebih dari 400 laporan dugaan pencatutan data dalam sistem kepemiluan. Sekitar 200 laporan telah terverifikasi, dan 60 orang menyatakan bersedia membawa kasus ini ke jalur hukum.

Hasil penelusuran analis keamanan siber independen bersama PBHI menemukan dugaan migrasi data otomatis dari basis data pemerintah ke aplikasi politik. “Datanya bukan dimasukkan. Dipindahkan,” kata Julius.

Prosesnya berlangsung serentak, identik, dan dalam hitungan detik di banyak wilayah. Polanya sederhana: warga yang berada dalam rentang usia pemilih otomatis masuk ke sistem. Seleksi kasar ini bahkan membuat sejumlah nama yang sudah meninggal tetap tercatat.

“Ini bukan pekerjaan swasta,” lanjut Julius. Menurutnya, migrasi semacam ini hanya bisa dilakukan dengan alat dan akses yang dimiliki negara. Pihak lain bisa terlibat sebagai pelaksana, tetapi kendali utama tetap berada pada instansi pemilik data.

PBHI kemudian melaporkan dugaan pencatutan data ini ke KPU DKI Jakarta, Bawaslu DKI Jakarta, dan Dewan Kehormatan Penyelenggara Pemilu (DKPP) RI, tanpa tindak lanjut yang berarti.

“Rencananya kami melaporkan secara administratif terlebih dahulu, baru pidananya dan etiknya,” ujar Aldeta Oktaviyani, Staf Publikasi dan Kampanye PBHI. Dari seluruh aduan yang diajukan, hanya KPU DKI Jakarta yang merespons dengan mengundang PBHI untuk audiensi, sebelum membawa perkara ini ke persidangan internal.

Kendati demikian, hasilnya pasangan calon tersebut tetap dinyatakan memenuhi syarat. Keputusan itu muncul karena dua dari tiga unsur di Sentra Gakkumdu (Penegakan Hukum Terpadu) menilai tidak ada bukti yang cukup kuat untuk memberikan sanksi kepada pasangan calon independen tersebut.

Tak hanya itu, PBHI juga melaporkan ada pola mencurigakan muncul setelah laporan diajukan ke KPU. Deta menemukan banyak nama pendukung calon tertentu tiba-tiba hilang dari sistem.

“Itu terjadi sehari setelah kami melapor,” kata Deta. Dari sekitar 400 pelapor, setidaknya setengahnya mendapati namanya sudah tak muncul lagi di laman resmi.

Terkait pola, PBHI menemukan pencatutan kerap terjadi dalam satu keluarga. Ayah, ibu, dan anak yang telah memenuhi usia pemilih didaftarkan serentak sebagai pendukung. Verifikasi menunjukkan pola serupa: nama dan alamat cocok, tetapi NIK yang tercatat berbeda. “Ini menunjukkan data tidak diambil dari persetujuan warga, tetapi dari sistem,” ujar Deta.

Bagi PBHI, hanya lembaga penyelenggara pemilu atau institusi negara pemegang data kependudukan yang memiliki kewenangan dan akses untuk melakukan manipulasi semacam ini. Karena itu, mereka mendorong audit sistem dan menempatkan penyalahgunaan data pemilu sebagai prioritas dalam pembahasan lanjutan UU PDP.

Julius menutup dengan nada peringatan. Regulasi ada, pelanggaran terlihat, korban banyak, tetapi lembaga penyelenggara pemilu tidak bergerak. “Kalau KPU hari ini bisa melakukan ini tanpa konsekuensi hukum,” katanya, “tidak ada jaminan 2029, atau pemilu setelahnya, akan lebih baik.”

Apa yang Dilanggar?

Pencatutan data pribadi dalam proses politik bukan sekadar persoalan etika, melainkan menyentuh langsung inti perlindungan hukum warga negara. 

Di Indonesia, perlindungan data pribadi diatur dalam sejumlah regulasi, mulai dari UU Perlindungan Data Pribadi, UU Administrasi Kependudukan, UU Pemilu, hingga aturan khusus pilkada dalam UU Nomor 8 Tahun 2015 dan UU Nomor 10 Tahun 2016.

Usep Hasan, peneliti Perkumpulan untuk Pemilu dan Demokrasi (Perludem), menegaskan bahwa praktik pencatutan identitas dalam Pilkada 2024 merupakan bentuk penyalahgunaan data pribadi yang termasuk tindak pidana pilkada.

“Terutama yang menggunakan data kependudukan untuk memenuhi syarat pencalonan atau meraih keuntungan elektoral, seperti kasus Dharma-Kun pada Pilkada DKI Jakarta 2024. Perbuatan ini jelas melanggar Pasal 177 dan Pasal 181 UU 10/2016 dan diproses sebagai tindak pidana berdasarkan Pasal 65, 66, dan 67 UU 27/2022 tentang Perlindungan Data Pribadi,” kata Usep.

Dengan lebih dari 204 juta pemilih dalam Daftar Pemilih Tetap, pemilu merupakan operasi data raksasa yang menghubungkan berbagai sistem, mulai dari SIDALIH hingga basis data kependudukan Kemendagri. Skala ini menjadikan pemilu sasaran empuk. Dalam dua dekade terakhir, KPU menghadapi sedikitnya delapan insiden siber dan dugaan kebocoran data, termasuk kebocoran DPT pada 2014 dan 2024. Bahkan pada 2023, sebanyak 337 juta data penduduk diduga diperjualbelikan di forum gelap.

Padahal, menurut peneliti ELSAM, Nurul Izmi, UU PDP telah mewajibkan pengendali data menjaga keamanan, melakukan penilaian dampak, menerapkan standar perlindungan, serta mengumumkan kebocoran data maksimal 3×24 jam. “Termasuk apakah ada penghapusan data, ganti rugi, atau sanksi terhadap pihak yang mencatut data tanpa izin,” kata Izmi.

Masalahnya sederhana, aturan itu belum benar-benar bekerja.

Bermasalah Sedari Hulu

Usep menggarisbawahi celah UU PDP dalam melindungi data pribadi di ranah pemilu. Otoritas Perlindungan Data Pribadi (OPDP) belum terbentuk. Padahal sejak awal pembahasan UU PDP, Usep mengingatkan bahwa koalisi masyarakat sipil telah mendorong satu prasyarat utama pembentukan Komisi Independen Perlindungan Data Pribadi. 

Lembaga ini, menurutnya, harus berdiri di luar eksekutif dan memiliki kewenangan penuh sebagai pengawas, pengendali, sekaligus penegak pelanggaran data pribadi—sebagaimana diterapkan dalam General Data Protection Regulation (GDPR) Uni Eropa.

“Kalau UU PDP mau direvisi atau diuji lewat Mahkamah Konstitusi, yang paling penting itu komisi independen,” kata Usep. Ia merujuk praktik di negara-negara seperti Inggris, Prancis, dan Singapura yang telah menempatkan lembaga perlindungan data sebagai otoritas mandiri. “Gampangnya, tinggal belajar dari GDPR.”

Namun nyaris tiga tahun setelah pengesahan, UU PDP belum melahirkan otoritas semacam itu. Sementara mekanisme penegakan hukum atas pelanggaran masih kabur. Situasi ini, kata Usep, menjadi krusial ketika UU PDP bersinggungan dengan pemilu, sektor yang paling masif mengelola data pribadi warga.

Dalam tahapan pemilu, data pribadi digunakan sejak penyusunan daftar pemilih, pendaftaran partai politik, hingga pencalonan perseorangan. Data itu mengalir lintas lembaga, mulai dari Dukcapil ke KPU, lalu ke Bawaslu dan partai politik. “Di titik ini seharusnya ada hubungan yang jelas antara Komisi Perlindungan Data Pribadi dengan KPU dan lembaga terkait,” ujarnya.

Akibatnya, ketika terjadi pencatutan data, baik dalam SIPOL (Sistem Informasi Partai Politik) maupun dukungan calon perseorangan, kasus justru ditarik ke ranah pemilu, bukan pelanggaran data pribadi. “Itu salah satu titik paling rentan,” kata Izmi.

Usep menilai keterhubungan itu tidak perlu dirinci secara teknis di UU PDP. Cukup disebutkan secara umum bahwa komisi independen berwenang berkoordinasi dengan kementerian dan lembaga negara yang memerlukan data pribadi untuk penyelenggaraan negara. Rincian soal jenis data dan batas penggunaannya, menurutnya, justru harus diatur secara tegas dalam Undang-Undang Pemilu.

Ia menyoroti lemahnya pengaturan sanksi dalam UU PDP. Meski undang-undang itu memuat sanksi administratif dan pidana, kategorisasi pelanggarannya belum rinci. Tidak ada pembeda yang tegas antara pelanggaran ringan, kelalaian pengelola data, dan tindakan yang bersifat sengaja atau manipulatif.

“Kalau KPU lalai, itu kelalaian administrasi atau pidana? Kalau ada pencatutan yang disengaja, itu masuk pidana berat atau tidak? Ini belum jelas,” ujarnya. Akibatnya, penegakan hukum menjadi serampangan dan berisiko kriminalisasi berlebihan di satu sisi, atau impunitas di sisi lain.

Dalam konteks pemilu, ketidakjelasan itu makin rumit karena adanya Sentra Penegakan Hukum Terpadu (Gakkumdu). Dalam kasus Dharma-Kun misalnya, Bawaslu menyebut kalah dalam forum, Polri melempar ke Bawaslu, Kejaksaan bungkam. Hasilnya sama: tidak ada penyidikan, tidak ada penuntutan, tidak ada putusan pidana. “Kalau mekanismenya masih seperti sekarang dan kasus serupa terulang, ya hasilnya sama saja,” kata Usep.

Ia bahkan mempertanyakan relevansi Gakkumdu jika tidak ada reformasi menyeluruh. Tanpa itu, pelanggaran data pribadi dalam pemilu berpotensi berhenti di tengah jalan, terombang-ambing antara ranah pidana umum dan pidana pemilu.

Usep juga menyinggung soal sumber data pemilih. Selama ini, daftar pemilih kerap bergantung pada Data Penduduk Potensial Pemilih Pemilu (DP4) dari Kementerian Dalam Negeri. Menurutnya, praktik ini harus diakhiri. “Basis data pemilu seharusnya berasal dari daftar pemilih pemilu sebelumnya, yang diperbarui oleh KPU, bukan terus-menerus menarik data mentah dari Kemendagri,” ujarnya.

Ketergantungan pada banyak sumber data justru memperbesar risiko kebocoran dan penyalahgunaan. Apalagi, pengalaman pemilu sebelumnya menunjukkan KPU belum mampu menjamin perlindungan data pribadi secara optimal.

Karena itu, Usep menegaskan, revisi UU PDP saja tidak cukup. Reformasi harus menyentuh UU Pemilu, terutama soal tata kelola data pemilih, batas publikasi data, mekanisme pengawasan, serta sanksi bagi lembaga yang lalai atau menyalahgunakan data.

“Kalau tidak dibenahi dari hulunya, kasus pencatutan akan terus berulang,” katanya. Dalam situasi seperti itu, warga bukan hanya kehilangan data, tetapi juga kehilangan kepercayaan pada pemilu sebagai sarana kedaulatan rakyat.

Ombudsman Soroti Celah Sistemik

Dody Wijaya, Ketua Divisi Teknis Penyelenggaraan Pemilu, KPU DKI Jakarta, menegaskan bahwa lembaganya tidak berkoordinasi langsung dengan Sentra Gakkumdu terkait laporan pencatutan dukungan dalam Pilkada 2024. “Gakkumdu itu ranahnya Bawaslu, Kejaksaan, dan Kepolisian. KPU hanya memberikan keterangan jika diminta,” katanya melalui keterangan tertulis (19/12/2025).

Penetapan kelolosan calon perseorangan, termasuk pasangan Dharma–Kun Wardhana, disebut telah dilakukan sesuai regulasi dan melalui rangkaian verifikasi administrasi, verifikasi faktual, hingga tindak lanjut atas putusan sengketa di Bawaslu.

Terkait warga yang merasa dicatut identitasnya, Dody menyebut seluruh laporan, baik yang masuk melalui Bawaslu maupun langsung ke KPU, telah ditindaklanjuti lewat verifikasi ulang. 

Ratusan data dukungan kemudian dikoreksi, termasuk mengubah status banyak data dari Memenuhi Syarat menjadi Tidak Memenuhi Syarat. Ia menambahkan bahwa KPU terus melakukan evaluasi atas sistem dan SOP verifikasi, baik pada regulasi teknis, infrastruktur sistem informasi, maupun tata kerja verifikasi di lapangan. “Ini bagian dari upaya memastikan setiap tahap berjalan sesuai ketentuan dan menjaga integritas proses,” ujarnya, tanpa merinci jumlah total aduan yang diterima.

Di sisi lain, anggota Ombudsman RI, Jemsly Hutabarat, menyampaikan bahwa hingga saat ini lembaganya belum menerima satu pun laporan resmi terkait pencatutan data pribadi dalam Pilkada 2024. Ia menjelaskan bahwa pemeriksaan Ombudsman sejauh ini lebih banyak menyasar dugaan maladministrasi dalam proses KPU dan Bawaslu, bukan kasus penyalahgunaan data pribadi. “Saya sudah cek kembali, dan memang tidak ada laporan pencatutan yang masuk ke kami,” ujarnya melalui sambungan telepon (21/12/2025).

Meski begitu, Jemsly menilai praktik pencatutan data berpotensi kuat menjadi maladministrasi, terutama jika terjadi kelalaian dalam pengawasan akses data kependudukan atau proses unggah dukungan calon perseorangan. Ia melihat adanya celah sistemik dalam tata kelola data antara Dukcapil, KPU, dan Bawaslu, mulai dari minimnya audit jejak akses, lemahnya kontrol operator, hingga ketiadaan mekanisme pemberitahuan kepada warga ketika NIK mereka digunakan. “Kalau akses data diberikan tanpa kontrol yang memadai, itu sudah masuk ranah maladministrasi,” katanya.

Ia menambahkan, lemahnya integrasi sistem dan ketidaksinkronan penanganan antar lembaga membuat korban pencatutan identitas kerap tidak mendapat pemulihan yang jelas, sehingga perbaikan menyeluruh perlu dilakukan agar kasus serupa tidak berulang.

Sementara itu, hingga laporan ini ditulis, Bawaslu DKI Jakarta belum memberikan jawaban atas permintaan konfirmasi yang disampaikan.

Apa Solusi Kebocoran Data?

Ada momentum baru. Pada September lalu, Badan Legislasi DPR menerima sepuluh RUU untuk Prolegnas Jangka Menengah 2025–2029, termasuk RUU Perubahan UU PDP. Masuknya RUU ini terjadi di tengah rangkaian pelanggaran data Pemilu dan Pilkada 2024 yang tak kunjung tuntas.

Sengkarut ini menunjukkan bahwa yang gagal bukan hukum, melainkan mekanisme penegakan yang tak mampu mengambil keputusan. Karena itu, pembahasan ulang UU PDP di Komisi I DPR menjadi peluang untuk menutup celah yang selama ini membiarkan pelanggaran data berlalu tanpa jawaban. “Karena lembaga PDP ini nantinya akan mengikat sektor publik dan sektor privat sebagai pengendali data,” kata Izmi.

RUU Perubahan atas UU PDP yang masuk Prolegnas membawa peluang untuk menutup celah yang selama ini dibiarkan terbuka. Revisi ini dapat memperjelas kewenangan OPDP, mengatur standar penggunaan data kependudukan untuk pemilu, mengatur audit jejak digital dalam verifikasi dukungan, memasukkan data politik sebagai data sensitif, serta memastikan korban pencatutan mendapat pemulihan.

“Namun penguatan regulasi saja tidak cukup. Tanpa audit, verifikasi ketat, dan kewajiban pemberitahuan publik, penyalahgunaan data akan terus berulang,” tutup Izmi.

Hingga artikel ini diterbitkan, Deduktif telah mencoba mengonfirmasi Badan Legislasi DPR, namun belum memperoleh tanggapan. Sementara itu, Kementerian Komunikasi dan Digital (Komdigi) sebagai OPDP sementara menyatakan belum menerima draf perubahan UU PDP. “Silakan menghubungi DPR, karena itu usulan DPR. Draft usulannya belum ada di kami,” ujar Alex Sabar, Dirjen Pengawasan Ruang Digital Komdigi.

Penulis: Dian Amalia Ariani

Editor: Aditya Widya Putri

Ilustrator: Aan K. Riyadi