Era teknologi masa kini menuntut setiap manusia untuk semakin terbuka terhadap segala akses informasi, termasuk pemanfaatan teknologi kesehatan berbasis kecerdasan buatan (Artificial Intelligence/AI). Pasca pandemi Covid-19, masyarakat lebih menyadari terkait pentingnya kesehatan. Hal tersebut tercermin dari maraknya penggunaan perangkat wearable, seperti smart watch untuk memantau aktivitas olahraga dan kondisi tubuh secara real time.
Perangkat tersebut tidak hanya merekam langkah kaki ataupun jarak tempuh, namun juga mengolah data biometrik sensitif, seperti denyut jantung (heart rate), kadar oksigen dalam darah, pola tidur, bahkan hingga estimasi kondisi kebugaran pengguna. Hal tersebut yang memunculkan persoalan hukum terkait pertanggungjawaban atas pengumpulan, pengolahan, serta potensi penyalahgunaan data biometrik yang dihasilkan dari aktivitas olahraga berbasis teknologi.
Karakteristik Data Biometrik pada Smart Watch berbasis AI
Smart watch berbasis AI merupakan bagian dari perkembangan wearable AI yang dirancang untuk mengumpulkan dan menganalisis data biologis manusia secara berkelanjutan. Adapun cara kerja dari wearable AI adalah menggunakan sensor canggih yang terintegrasi dengan cloud computing untuk mengolah data menjadi informasi kesehatan yang bersifat personal. Kemudian data yang dihasilkan meliputi: detak jantung, tekanan darah, tingkat stres, pola tidur, hingga estimasi pembakaran kalori saat berolahraga.
Berdasarkan sistem hukum Indonesia, data pribadi seseorang telah diatur dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”). Pada Pasal 4 ayat (1) UU PDP mengkategorikan data pribadi seseorang yang terdiri atas 2 jenis, yakni data pribadi bersifat spesifik dan umum. Adapun data pribadi yang bersifat spesifik terdiri atas: data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai ketentuan peraturan perundang-undangan.
Sehubungan dengan penggunaan wearable AI dan ketentuan pada UU PDP, maka dapat diketahui bahwa karakteristik utama dari data biometrik terletak pada sifatnya yang unik, melekat secara permanen pada individu seseorang sehingga harus dijaga dan dirawat, serta sulit diubah apabila terjadi kebocoran data. Dalam hal ini, pengumpulan dan pemrosesan data biometrik melalui smart watch tidak hanya dapat dipandang sebagai aktivitas teknologi yang biasa, melainkan pemrosesan data pribadi seseorang yang harus tunduk dan patuh pada ketentuan UU PDP dan didasari dengan prinsip kehati-hatian yang memiliki tujuan jelas.
Lebih lanjut, dalam Undang-Undang Nomor 17 Tahun 2023 tentang Kesehatan (“UU Kesehatan”) pun menempatkan data pribadi seseorang sebagai bagian integral dari sistem pelayanan kesehatan yang harus dijaga atas kerahasiaan dan hanya dapat digunakan sesuai ketentuan dalam peraturan perundang-undangan. Meskipun penggunaan smart watch pada umumnya digunakan secara mandiri untuk aktivitas olahraga, namun karakter data yang dikumpulkan tetap memenuhi unsur data kesehatan karena mencerminkan kondisi fisiologis seseorang. Oleh karena itu, pengolahan data biometrik pada wearable AI secara hukumnya tetap berada pada irisan antara pelindungan data pribadi dengan hukum kesehatan.
Pihak yang Bertanggung Jawab atas Data Pengguna
Pertanggungjawaban terhadap penggunaan smart watch berbasis AI untuk aktivitas olahraga tidak hanya dititikberatkan pada satu pihak, tetapi melibatkan beberapa subjek hukum. Dalam Pasal 19 UU PDP mengenal istilah pengendali data pribadi dan prosesor data pribadi yang mencakup: setiap orang, badan publik, dan organisasi internasional. Pengendali data pribadi terdiri atas pihak yang bertindak sendiri atau bersama-sama menentukan tujuan dan mengendalikan pemrosesan data pribadi, sementara itu prosesor data pribadi terdiri atas pihak yang bertindak sendiri atau bersama-sama melakukan pemrosesan data pribadi atas nama pengendali data pribadi. Keduanya memiliki kewajiban untuk melakukan pemrosesan data pribadi, namun terdapat perbedaan yang mana pengendali data pribadi memproses data pribadi untuk diri sendiri, sementara itu prosesor data pribadi memproses data pribadi atas nama pengendali data pribadi.
Pada konteks smart watch berbasis AI, baik produsen perangkat, pengembang aplikasi, maupun penyedia layanan cloud computing dapat bertindak sebagai Pengendali maupun Prosesor Data Pribadi. Dengan itu,
Pada saat mengaktifkan perangkat atau aplikasi yang disediakan oleh smart watch, pengguna diminta untuk memberikan persetujuan (consent) terkait pemrosesan data pribadi. Adanya persetujuan tersebut tidak menghapus tanggung jawab hukum dari penyelenggara sistem elektronik. Adapun dasar pemrosesan data pribadi sebagaimana telah diatur dalam Pasal 20 ayat (2) UU PDP terdiri atas:
- Persetujuan yang sah dari subjek data pribadi dengan tujuan tertentu dan disampaikan oleh pengendali data pribadi kepada subjek data pribadi
- Memenuhi kewajiban perjanjian
- Memenuhi kewajiban hukum dari pengendali data pribadi
- Memenuhi pelindungan kepentingan vital subjek data pribadi
- Melaksanakan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi
- Memenuhi kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subjek data pribadi
Pertanggungjawaban atas data pribadi tidak diatur dalam UU PDP, tetapi juga dalam Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE”) sebagaimana yang terakhir diubah ke dalam Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU 1/2024”). Pada Pasal 15 ayat (1) UU ITE menyebutkan bahwa:
“Setiap penyelenggara sistem elektronik harus menyelenggarakan sistem elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya sistem elektronik sebagaimana mestinya.”
Berdasarkan ketentuan pada Pasal 15 ayat (1) UU ITE di atas, maka apabila terjadi kebocoran data ataupun penyalahgunaan data biometrik akibat kelalaian sistem, maka penyelenggara dapat dimintai pertanggungjawaban hukum, baik secara perdata ataupun administratif.
Di sisi lain, pengguna juga memiliki peran dalam menjaga keamanan data pribadinya. UU PDP mengakui hak subjek data untuk memperoleh informasi, menarik persetujuan, serta meminta penghapusan data pribadi. Akan tetapi, mengenai tanggung jawab utama tetap berada pada pihak yang memiliki kendali atas sistem dan pemrosesan data karena merekalah yang menentukan tujuan, cara, serta standar keamanan pengelolaan data biometrik pengguna.
Baca juga: Antara Inovasi dan Ancaman Privasi, Ini Urgensi Perlindungan Data Biometrik di Era AI
Risiko Penyalahgunaan Data Biometrik terhadap Fenomena Joki Aplikasi Pelacak Aktivitas Olahraga
Salah satu risiko utama dari pemanfaatan data biometrik, khususnya pada aktivitas olahraga adalah penyalahgunaan data untuk tujuan non kesehatan, termasuk melakukan manipulasi terhadap aktivitas olahraga digital. Fenomena joki aplikasi yang menyediakan pelacakan aktivitas olahraga kian marak pada akhir-akhir ini. Hal tersebut menjadi contoh konkret bagaimana data aktivitas olahraga dapat dipalsukan dan dimanipulasi demi suatu kepentingan, seperti kompetisi virtual, validasi status sosial, ataupun mendapatkan insentif berbasis performa. Praktik tersebut tidak hanya menurunkan nilai-nilai sportivitas, melainkan juga membuka ruang bagi penggunaan data biometrik secara tidak sah.
Jika ditinjau dari perspektif hukum, tindakan penyalahgunaan data untuk tujuan non kesehatan tersebut berisiko melahirkan konsekuensi pidana ataupun perdata sebagaimana telah diatur dalam Pasal 65 ayat (1) UU PDP yang berbunyi:
“Setiap orang dilarang secara melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi.”
Berdasarkan ketentuan pada pasal di atas, apabila praktik joki aplikasi yang menyediakan pelacakan aktivitas olahraga melibatkan akses ilegal terhadap akun atau data biometrik pengguna lain, maka berpotensi memenuhi unsur tindak pidana pelanggaran data pribadi, sehingga berisiko diancam pidana penjara maksimal 5 (lima) tahun dan/atau denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah), ataupun digugat secara perdata yang disebabkan oleh timbulnya kerugian bagi seseorang.
Selain itu, risiko komersialisasi data tanpa persetujuan juga patut menjadi perhatian. Data biometrik yang dihasilkan dari aktivitas olahraga memiliki nilai ekonomi tinggi, terutama bagi industri asuransi, periklanan, dan teknologi kesehatan. Tanpa adanya regulasi yang ketat, data tersebut dapat disalahgunakan untuk profiling pengguna, penentuan premi asuransi, ataupun strategi pemasaran yang invasif. Dalam hal ini, prinsip pembatasan tujuan (purpose limitation) dan minimalisasi data menjadi sangat relevan demi mencegah eksploitasi data biometrik secara berlebihan.
Penggunaan smart watch berbasis AI pada aktivitas olahraga merupakan bentuk cerminan dari kemajuan teknologi yang memberikan berbagai manfaat signifikan untuk meningkatkan kesadaran dan kualitas kesehatan masyarakat. Akan tetapi, di balik manfaat tersebut terdapat tantangan hukum yang serius, khususnya terhadap pertanggungjawaban atas data biometrik yang bersifat sensitif dan personal. Melalui UU Kesehatan, UU PDP, dan UU ITE, Indonesia telah menyediakan kerangka hukum yang cukup komprehensif untuk melindungi data biometrik pengguna, meskipun pada implementasi dan pengawasannya masih memerlukan penguatan. Oleh karena itu, adanya sinergi antara penyelenggara sistem elektronik, regulator, dan masyarakat menjadi kunci untuk memastikan bahwa pemanfaatan teknologi olahraga berbasis AI dapat berjalan sejalan dengan prinsip perlindungan data dan hak asasi manusia.***
Baca juga: Peran Big Data dalam Peningkatan Sistem Kesehatan Nasional
Daftar Hukum:
- Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU 1/2024”)
- Undang-Undang Nomor 17 Tahun 2023 tentang Kesehatan (“UU Kesehatan”)
- Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”)
- Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE”)
Referensi:
- Mengenal Wearable AI: Revolusi Teknologi untuk Gaya Hidup Cerdas. Cloud Computing Indonesia. (Diakses pada 16 Desember 2025 Pukul 09.10 WIB).
- Perbedaan Pengendali dan Prosesor Data Pribadi Menurut UU PDP. HukumOnline. (Diakses pada 16 Desember 2025 Pukul 09.26 WIB).
- Demi Gengsi, Fenomena Joki Strava di Olahraga Lari Semakin Marak. Mojokerto Times Network. (Diakses pada 16 Desember 2025 Pukul 11.05 WIB).