Selain gugatan keperdataan, menurut hemat Penulis, orang baik perorangan ataupun korporasi wajib diberikan sanksi pidana jika terbukti dalam persidangan bahwa tidak melindungi data pribadi elektronik pengguna, menyebarluaskan dan memperjualbelikan untuk tujuan komersial.Â
Tujuan hukum pidana yang berisikan keadilan bermartabat menurut Teguh Prasetyo (2015:56) ialah untuk mendidik orang yang telah pernah melakukan perbuatan tidak baik menjadi baik dan dapat diterima kembali dalam kehidupan lingkunganya atau nguwongke uwong.Â
Hal tersebut serupa dengan ahli pidana, H.B. Vos sebagaimana dikutip oleh Eddy Hiariej (Prinsip-Prinsip Hukum Pidana, Edisi Revisi, 2016:41), titik berat yang sama pada pidana adalah pembalasan dan perlindungan masyarakat "...dat de straf tegelijk voldoet en aan de eis van vergelding en aan die maatshcappelijke bescherming".Â
Jika mengacu pada Kitab Undang-undang Hukum Pidana (KUHP) sebagai lex generalis, menurut hemat Penulis, delik yang dapat digunakan melalui KUHP dalam penyalahgunaan data pribadi ialah (a). Pasal 362 KUHP tentang pencurian (diefstal) dengan ancaman pidana penjara lima tahun atau denda paling banyak sembilan ratus rupiah; (b). Pasal 372 KUHP tentang penggelapan (verduistering) dengan ancaman pidana penjara paling lama empat tahun atau pidana denda paling banyak sembilan ratus rupiah; (c). Pasal 374 KUHP tentang penggelapan dengan pemberatan karena dilakukan oleh orang yang penguasaannya terhadap barang disebabkan karena ada hubungan kerja atau karena pencarian atau karena mendapat upah untuk itu, diancam dengan pidana penjara paling lama lima tahun; (d). Pasal 378 KUHP tentang penipuan (oplicthing) dengan ancaman pidana penjara paling lama empat tahun dikarenakan PSE atau orang perorangan sengaja membocorkan data pribadi pengguna untuk tujuan komersial yang mendatangkan keuntungan secara materiil baik bagi perusahaan ataupun diri sendiri.
Sedangkan jika terduga pelaku ingin dijerat menggunakan UU ITE (lex specialis), maka Pasal yang tepat ialah Pasal 32 ayat (1) UU ITE yang demikian "Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik." dengan ancaman pidana penjara sebagaimana diatur dalam Pasal 48 ayat (1) yakni pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah)
Selain Pasal 32 ayat (1) UU ITE, Penyidik dapat menggunakan Pasal 32 ayat (2) UU ITE yang demikian "Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak." dengan ancaman pidana penjara sebagaimana diatur dalam Pasal 48 ayat (2) yakni pidana penjara paling lama 9 (sembilan) tahun dan/atau denda paling banyak Rp3.000.000.000,00 (tiga miliar rupiah).Â
Jika tindak pidana tersebut dilakukan oleh Korporasi maka penyidik untuk memudahkan penyidikan maka wajib menggunakan Peraturan Mahkamah Agung No. 13 Tahun 2016 tentang Tata Cara Penanganan Perkara Tindak Pidana oleh Korporasi.
KUHP dan UU ITE memang dapat diterapkan untuk penyalahgunaan data pribadi namun Penulis berharap agar di tahun 2019 RUU Perlindungan Data Pribadi (ius constituendum) segera disahkan sebagai hukum yang khusus dengan tujuan konsumen, Warga Negara Indonesia, Warga Negara Asing yang berdomisili di Indonesia memiliki kepastian hukum, menjamin transfer data pribadi dilakukan secara terbatas, Â memberikan perlindungan hukum, menjamin pelayanan dari orang perorangan, badan publik, pelaku usaha, organisasi kemasyarakatan yang dilakukan berdasarkan perlindungan data pribadi, memberikan peringatan keras (warning) kepada penyelenggara jasa daring (online) atau pelaku usaha yang menghimpun data pribadi karena memiliki berbagai sanksi pidana.
Menurut hemat Penulis, sanksi pidana dalam RUU Perlindungan Data Pribadi harus ditambah lebih berat baik dari sisi lamanya penjara dan besaran jumlah serta pengembalian berupa uang tunai kepada pemilik data pribadi yang datanya dibocorkan berdasarkan perhitungan pembagian dari total pendapatan yang diperoleh dari transaksi bisnis data pribadi bagi setiap orang yang dengan sengaja dan tanpa hak melakukan penjualan untuk kepentingan komersial serta ketentuan perbuatan yang dilarang dalam RUU haruslah diharmonisasikan dengan peraturan perundang-undangan yang berkaitan.Â
Ketentuan Pasal 43 RUU Perlindungan Data Pribadi barulah akan mengatur bahwa "Setiap orang yang melakukan pencurian dan/ atau pemalsuan Data Pribadi dengan tujuan untuk melakukan kejahatan dipidana dengan pidana penjara paling lama 1 (satu) tahun dan/atau denda paling banyak Rp.300.000.000,- (tiga ratus juta rupiah)." Dan Pasal 44 RUU Perlindungan Data Pribadi barulah akan mengatur bahwa "Pidana pokok yang dijatuhkan terhadap pelanggaran oleh badan hukum adalah pidana denda paling banyak Rp. 1.000.000.000,- (satu miliar rupiah)."
RUU Perlindungan Data Pribadi memang tidak mengatur dengan tegas, apakah pembocoran data pribadi atau penyedia sistem elektronik lalai dalam melindungi data konsumenya termasuk dalam delik aduan (klacht delic) atau delik biasa (gewone delic)?Â