GTM dan Privasi Data: Risiko Pelacakan di Balik Tag Manager
ORBITINDONESIA.COM – GTM (Google Tag Manager) kerap dipasang diam-diam lewat potongan kode seperti iframe “ns.html”, dan publik jarang menyadari bahwa itu bisa menjadi pintu masuk pelacakan. Di banyak situs, jejak kecil ini bekerja senyap, tetapi dampaknya menyentuh isu besar: privasi data, persetujuan pengguna, dan akuntabilitas pengelola situs.
Cuplikan yang muncul hanya menunjukkan sebuah iframe untuk Google Tag Manager dengan ID tertentu, tanpa konteks editorial, tanpa penjelasan tujuan, dan tanpa informasi persetujuan. Ini penting karena GTM bukan sekadar “alat teknis”, melainkan infrastruktur yang memungkinkan banyak skrip pihak ketiga berjalan sekaligus.
Dalam praktik industri, GTM sering dipakai untuk analitik, iklan, pengukuran konversi, dan remarketing. Artinya, satu pemasangan GTM bisa membuka jalan bagi puluhan tag yang mengirim data perilaku pengguna ke berbagai vendor.
Secara teknis, iframe “ns.html” adalah bagian dari pola pemasangan GTM yang kerap dipakai sebagai fallback ketika JavaScript dibatasi. Namun bagi pengguna awam, keberadaannya tidak memberi sinyal apa pun tentang jenis data yang dikumpulkan dan untuk tujuan apa.
Di Eropa, putusan CJEU dalam perkara C‑311/18 (Schrems II) memperketat standar transfer data lintas negara, dan ini relevan ketika data analitik atau iklan mengalir ke infrastruktur global. Sementara itu, otoritas perlindungan data di sejumlah negara Eropa juga berulang kali menyorot implementasi analitik dan iklan yang tidak berbasis persetujuan yang sah.
Di Indonesia, UU Perlindungan Data Pribadi (UU No. 27 Tahun 2022) menekankan prinsip persetujuan, tujuan pemrosesan, dan transparansi. Jika GTM dipakai untuk pelacakan yang melampaui kebutuhan layanan, pengelola situs berisiko melanggar prinsip minimalisasi data dan pemberitahuan yang memadai.
Masalah lain adalah “opacity by design”, karena GTM memusatkan kontrol tag di panel pengelola dan membuat audit publik menjadi sulit. Pengguna hanya melihat halaman yang berjalan normal, sementara di belakang layar ada orkestrasi skrip yang dapat berubah kapan saja tanpa perubahan tampilan.
Dari sisi keamanan, setiap tag pihak ketiga memperluas permukaan serangan, terutama jika ada vendor yang disusupi atau konfigurasi yang longgar. Insiden malvertising dan penyalahgunaan skrip pihak ketiga di ekosistem web pernah terjadi, dan GTM dapat menjadi jalur distribusi yang efisien bila tata kelola lemah.
Potongan iframe GTM yang berdiri sendiri seperti ini memotret problem klasik internet modern: ketergantungan pada pengukuran yang berlebihan. Kita ingin memahami audiens, tetapi sering lupa bahwa “mengukur” berarti “mengumpulkan”, dan mengumpulkan berarti memikul tanggung jawab hukum dan etika.
Transparansi tidak cukup hanya lewat kebijakan privasi yang panjang dan sulit dipahami. Transparansi harus hadir sebagai pilihan yang nyata, yakni banner persetujuan yang tidak manipulatif, preferensi yang mudah diubah, dan pembatasan tag sebelum pengguna menyetujui.
Jika pengelola situs menganggap GTM sekadar alat pemasaran, maka yang terjadi adalah normalisasi pelacakan sebagai standar. Padahal, kepercayaan pengguna adalah aset yang lebih mahal daripada kenaikan CTR sesaat, dan sekali hilang sulit dipulihkan.
GTM dapat berguna untuk efisiensi pengelolaan situs, tetapi ia juga bisa menjadi simpul pelacakan yang tak terlihat bila dibiarkan tanpa tata kelola. Kuncinya ada pada audit tag, pembatasan vendor, dan persetujuan yang benar-benar bermakna, bukan sekadar formalitas klik.
Pada akhirnya, pertanyaan yang perlu dijawab setiap pengelola situs sederhana saja: apakah kita membangun web yang membantu pengguna, atau web yang diam-diam memanen mereka. Di era UU PDP dan meningkatnya kesadaran privasi, pilihan itu akan menentukan siapa yang dipercaya dan siapa yang ditinggalkan.
(Orbit dari berbagai sumber, 25 Mei 2026)
