Usulan ini juga disampaikan karena mengacu pada GDPR. Di sana, kata Marwan, sanksi pidana juga belum diberlakukan. "Jadi agak dilematis," kata dia.
Selanjutnya mengenai persetujuan tertulis. Dalam Pasal 19 ayat 1 dan ayat 2 RUU ini, persetujuan pemrosesan data pribadi dilakukan melalui persetujuan tertulis atau lisan terekam. Persetujuan pun dapat disampaikan secara elektronik atau non-elektronik.
Namun, ATSI meminta agar persetujuan tertulis ini dapat berupa tindakan aktif dari pemilik data saat yang bersangkutan melakukan aktivasi layanan. Sementara, layanan kemudian mempublikasikan kebijakan privasinya secara terbuka dan transparan di situs layanan. Ini sebenarnya adalah hal yang saat ini sudah berlaku.
Kemudian soal pengawasan. ATSI menilai perlunya komisi independen yang dapat mengawasi perlindungan data pribadi. "Agar dapat berjalan dengan efektif di berbagai sektor sebagaimana yang diterapkan di negara lain," kata dia.