B. Pengaturan Hukum Perlindungan Data Pribadi di Amerika Serikat

Dalam konstitusi Amerika Serikat meskipun tidak secara spesifik dijelaskan adanya hak atas privasi, namun dalam konstitusi secara implisit dijelaskan pentingnya hak atas privasi. Hak atas privasi ini dapat dilihat pada amandemen ke-9, sebagai berikut. “the enumeration in the constitution of certain rights shall not be construed to deny or disparage others retained by the people.” Amandemen ini berasal dari perkembangan di peradilan serta berdasarkan ajaran doktrin - doktrin seperti ajaran privasi Warren dan Brandeis. Kemudian juga pada amandemen sebelumnya, amandemen keempat menyatakan, “the right of people to be secure in the persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated; and no warrants shall issue, but on probably cause, supported by oath pr affirmation, and particularly describing the place to be searched, and the person or thing to be seized.” Dalam perkembangannya kemudian dikenal ukuran - ukuran dalam privasi yang dinamakan sebagai ekspektasi yang layak atau wajar terhadap privasi (reasonable expectation of privacy). Adapun ukuran yang digunakan untuk menentukan ekspektasi yang layak terhadap privasi adalah⁷⁰

1. Orang tersebut menunjukan ekspektasi terhadap privasi secara actual, misalnya saat kita masuk kedalam kamar tidur kita, kita berekspektasi bahwa kamar tidur kita ini adalah tertutup untuk orang - orang. Atau terhadap komputer atau ponsel genggam, tentunya kita memliki ekspektasi tertentu bahwa barang - barang tersebut hanya boleh diakses oleh kita sendiri

2. Masyarakat mengenali ekspektasi terhadap privasi tersebut, selain ekspektasi kita sendiri terhadap apa yang kita anggap privasi, apabila masyarakat juga memiliki ekspektasi yang demikian, maka sudah memenuhi unsur ekspektasi yang layak atau wajar terhadap privasi.

Berdasarkan ketentuan konstitusi tersebut, maka dalam setiap kegiatan yang akan bersinggungan dengan privasi seseorang akan diatur dalam suatu peraturan perundang - undangan. Dalam konteks perlindungan data pribadi, AS tidak seperti negara - negara dalam European Union (EU), tidak memiliki undang - undang yang mengatur spesfik mengenai data pribadi. Namun AS memiliki pengaturan - pengaturan khusus terhadap data - data pribadi dalam industri tertentu.⁷¹ Meskipun cakupan data yang dilindungi tidak luas, namun cakupan perlindungannya sebenarnya sudah cukup komperhensif. Adapun peraturan perundang - undangan ini misalnya:⁷²

1. Privacy act 197473

Undang - undang ini membatasi pengungkapan dan pemakaian data yang dikelola oleh pemerintah federal. Undang - undang ini memberikan hak kepada warga negara Amerika untuk mengetahui informasi mana yang mengenai mereka yang digali pemerintah, untuk melihat dan mengkopi informasi tersebut, untuk memperbaiki informasi tersebut, dan untuk membatasi kontrol terhadap pengungkapan ke pihak ketiga.

2. Video Privacy Protection Act

Undang - undang ini bertujuan untuk melindungi data - data konsumen yang menggunakan jasa rental video. Undang - undang ini melarang pengelola rental video untuk membuka informasi pelanggannya mengenai video apa yang dipinjam oleh pelanggannya tersebut.

3. Electronic Communications Privacy Act

Undang - undang ini melarang adanya intersepsi dalam komunikasi menggunakan perangkat elektronik dan mengatur mengenai perlindungan terhadap komunikasi tersebut.

4. Fair and Accurate Credit Transaction act of 2003 (FACTA)

Undang - undang ini menngatur setiap penyelenggara kartu kredit untuk menjalankan ukuran - ukuran yang sesuai untuk mencegah adanya pengungkapan informasi yang tidak sesuai.

5. Gramm-Leach-Bliley Act (GLB Act)

GLB Act sebenarnya adalah undang - undang yang mengatur mengenai stakeholder - stakeholder dibidang keuangan. Namun dalam undang - undang ini juga terdapat pengaturan privasi terhadap konsumen dari institusi keuangan ini. Pengaturan tersebut umumnya mengatur mengenai larangan pengungkapan informasi pribadi dan informasi financial konsumennya terhadap pihak ketiga.

6. Health Insurance Portability and Accountability Act (HIPAA Act)

HIPAA sebenarnya merupakan undang - undang yang mengatur mengenai kesehatan, teknologi kesehatan, serta mengenai asuransi kesehatan di AS. Selain itu dalam Undang - undang ini juga diamanatkan adanya suatu perlindungan terhadap informasi dan data kesehatan seseorang. Mengenai HIPAA akan dibahasi lebih lanjut pada bagian selanjutnya.

Selain itu sumber pengaturan privasi lainnya adalah konstitusi - konstitusi pada negara bagian di Amerika. Sebagaimana diketahui bahwa Amerika Serikat (AS) adalah negara federasi yang terdiri dari beberapa negara bagian. Negara - negara bagian (states) ini terkadang memiliki pengaturan hukum tersendiri yang lebih ketat dibandingkan pengaturan federal (pengaturan hukum negara AS). Seperti misalnya dalam hal privasi terhadap data kesehatan perorangan, meskipun sudah diatur dalam undang - undang HIPAA namun negara bagian tetap memiliki kewenangan untuk membuat peraturan tersendiri yang terkadang lebih ketat dari pengaturan HIPAA tersebut. Dalam penelitian ini hanya akan dibahas mengenai pengaturan dalam HIPAA act.

1. Kewajiban Hukum Perlindungan Informasi Kesehatan Individual dalam HIPAA Act

Health Insurance Portability and Accountability Act (Public Law No. 104-191) diundangkan pertama kali pada 21 Agustus 1996. Undang - Undang ini diundangkan dengan tujuan untuk mengatur mengenai asuransi kesehatan dan pelayanan kesehatan, megatur mengenai kecurangan - kecurangan dalam yang terjadi dalam asuransi kesehatan serta pelayanan kesehatan, mempromosikan penggunaan akun simpanan untuk medis, meningkatkan akses dan jangkauan pelayanan dalam jangka panjang, serta untuk mempermudah adminstrasi dari asuransi kesehatan dan serta tujuan - tujuan lainnya, yang termasuk juga adanya pengaturan akan pentingnya privasi terhadap data dan informasi kesehatan individu.Data dan informasi tersebut dalam HIPAA dikenal sebagai Protected Health Information, yaitu “ information, including demographic data, that relates to:

• the individual’s past, present or future physical or mental health or condition,

• the provision of health care to the individual, or

• the past, present, or future payment for the provision of health care to the individual, and that identifies the individual or for which there is a reasonable basis to believe can be used to identify the individual.”⁷⁴ Dalam pengertian tersebut terlihat bahwa yang dimaksud dan termasuk dalam kategori informasi kesehatan individu perorangan adalah informasi mengenai kesehatan(baik fisik maupun mental) seseorang, dari masa lampau, saat ini, dan kemudian; informasi mengenai pelayanan kesehatan yang diberikan kepada seorang individu; informasi mengenai pembiayaan terhadap pelayanan kesehatan yang dilakukan di masa lalu, sekarang dan masa depan oleh individu; serta informasi - informasi yang dapat mengidentifikasi individu atau informasi yang dapat dipercaya dapat mengidentifikasikan individu tertentu. HIPAA tidak berlaku bagi informasi kesehatan yang tidak menerangkan suatu individu tertentu seperti misalnya agregat data. HIPAA juga tidak berlaku bagi informasi kesehatan yang digunakan entitas diluar dari Covered entites dan Business Associatesnya. Covered entity atau pihak - pihak yang harus tunduk kepada ketentuan dalam regulasi - regulasi HIPAA diantaranya

1. Health Care Provider

Orang atau organisasi yang memberikan pelayanan kesehatan, atau yang dibayar untuk memberikan pelayanan kesehatan. Health Care provider ada yang berbentuk organisasi atau institusi, seperti misalnya rumah sakit. Atau yang berbentuk non-institusional atau perorangan seperti dokter, dokter gigi, atau tenaga kesehatan lainnya.⁷⁵

2. Health Plan

Individu atau kelompok yang melayani pembayaran biaya kesehatan seseorang. Yang termasuk dalam Health Plan antara lain, pihak asuransi kesehatan, kesehatan gigi, kesehatan mata, atau pemberi asuransi resep dokter, organisasi - organisasi jaminan kesejahteraan sosial di Amerika seperti Medicaid dan Medicare, Asuransi kesehatan pekerja yang bersifat swasta maupun publik, dan juga pihak asuransi yang sponsori oleh pemerintah dan gereja.⁷⁶

3. Health Care Clearinghouses

Adalah pihak yang memproses informasi - informasi menjadi standar yang telah ditetapkan.⁷⁷

Selain itu juga terdapat pihak ketiga dari covered entity, yang dikenal sebagai Business Associate.⁷⁸ Business Associate yaitu perorangan atau institusi yang bukan merupakan tenaga kerja dari covered entity yang melakukan fungsi - fungsi dan aktivitas atas nama covered entity atau memberikan pelayanan tertentu terhadap covered entity yang terkait dengan penggunaan atau pengungkapan data pasien, misalnya dalam hal pengajuan klaim pasien, analisis data, penagihan(misalnya pihak bank), atau dalam hal pengulasan pemanfaatan. Business Associate ditentukan oleh HIPAA hanya pihak - pihak yang terkait dengan bidang legal, aktuaria, pihak yang melakukan akunting, jasa konsultasi, jasa pengagregasi data, manajemen, adminsitrasi, akreditasi, atau yang melakukan jasa finansial.⁷⁹ Dalam hal ini pembahasan akan memfokuskan pada covered entity health care provider saja.

Seperti pada undang - undang lainnya di AS, ketentuan - ketentuan dalam undang - undang ini secara terpisah kemudian dikodifikasi dalam suatu kodifikasi (United States Codes) 42 mengenai Kesehatan dan Kesejahteraan Publik (Public Health and Welfare).⁸⁰ Mengenai privasi terhadap data dan informasi kesehatan individu, Dalam section 264 HIPAA dijelaskan:⁸¹