Otoritas perlindungan privasi California mengambil langkah tegas terhadap praktik jual beli data sensitif setelah California Privacy Protection Agency menjatuhkan sanksi kepada sebuah perusahaan pemasaran data yang terbukti menjual informasi kesehatan dan data pribadi jutaan orang tanpa registrasi resmi sebagai data broker.
Tindakan ini dilakukan terhadap Rickenbacher Data LLC yang beroperasi dengan nama Datamasters. Perusahaan berbasis Texas tersebut dinyatakan melanggar ketentuan California Delete Act, yang mewajibkan setiap bisnis yang membeli dan menjual data konsumen untuk mendaftarkan aktivitas perantara datanya paling lambat 31 Januari setiap tahun.
Mulai 2026, undang-undang tersebut juga menghadirkan platform terpusat bernama Delete Request and Opt-out Platform (DROP). Melalui platform ini, warga California dapat mengajukan permintaan penghapusan data pribadi secara serentak ke seluruh data broker yang terdaftar.
Dalam putusan akhirnya, CalPrivacy menjatuhkan denda sebesar 45.000 dolar AS kepada Datamasters karena gagal mendaftar tepat waktu. Lebih jauh lagi, karena pelanggaran dinilai serius dan berulang, perusahaan tersebut juga dilarang menjual informasi pribadi milik warga California.
Investigasi regulator menemukan bahwa Datamasters membeli dan menjual kembali data pengguna dalam skala besar, termasuk informasi milik jutaan orang dengan kondisi medis sensitif seperti Alzheimer, kecanduan narkoba, dan inkontinensia kandung kemih. Data tersebut diperdagangkan untuk kepentingan iklan tertarget.
Selain data kesehatan, Datamasters juga diketahui memperjualbelikan daftar berdasarkan usia dan ras yang dipersepsikan, termasuk kategori seperti “Senior Lists” dan “Hispanic Lists”. Daftar lain mencakup segmentasi berdasarkan pandangan politik, kebiasaan belanja bahan makanan, aktivitas perbankan, serta pembelian produk terkait kesehatan.
CalPrivacy mengungkap bahwa kumpulan data yang diperdagangkan terdiri dari ratusan juta catatan yang memuat nama, alamat email, alamat fisik, dan nomor telepon. Faktor yang memberatkan adalah sikap Datamasters yang semula mengklaim tidak berbisnis di California atau mengelola data warga negara bagian tersebut, sebelum akhirnya mengakui sebaliknya setelah regulator menunjukkan bukti yang ada.
Meski telah berulang kali didorong untuk patuh terhadap regulasi, Datamasters disebut terus beroperasi sebagai data broker tanpa registrasi. Berdasarkan keputusan yang ditandatangani pada 12 Desember, perusahaan diperintahkan untuk menghapus seluruh data pribadi warga California yang telah dibelinya paling lambat akhir Desember.
Ke depan, jika Datamasters menerima data warga California sebagai bagian dari kumpulan data yang lebih besar, perusahaan wajib menghapus informasi tersebut dalam waktu 24 jam sejak diterima. Selain itu, Datamasters diwajibkan menjaga kepatuhan terhadap aturan privasi selama lima tahun ke depan dan menyerahkan laporan praktik perlindungan data satu tahun setelah keputusan berlaku.
Dalam kasus terpisah, CalPrivacy juga menjatuhkan denda sebesar 62.600 dolar AS kepada S&P Global Inc. karena terlambat mendaftar sebagai data broker untuk tahun 2024. Keterlambatan tersebut disebabkan kesalahan administratif, namun regulator mencatat bahwa perusahaan tetap tidak terdaftar selama 313 hari sebelum akhirnya memperbaiki statusnya.
Langkah penegakan ini menegaskan komitmen California untuk memperketat pengawasan terhadap industri data broker, khususnya yang memperdagangkan informasi kesehatan dan data sensitif lain, serta memperkuat hak konsumen atas kendali data pribadi mereka.