Praktik meninggalkan kartu tanda penduduk (KTP) atau meminta swafoto untuk akses ke gedung perkantoran dianggap melanggar Undang-Undang Pelindungan Data Pribadi (UU PDP) oleh sejumlah pakar. Menurut Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM) Parasurama Pamungkas, pengumpulan data pribadi seperti KTP atau foto wajah untuk tujuan akses gedung tidak relevan dan tidak patuh terhadap prinsip dasar pelindungan data. Parasurama juga menegaskan bahwa pengendali data kehilangan dasar hukumnya jika data yang dikumpulkan tidak relevan dan digunakan untuk tujuan lain.
Meskipun Indonesia telah memiliki UU Pelindungan Data Pribadi sejak 2022, implementasinya dinilai lemah karena pemerintah belum membentuk badan pengawas pelindungan data pribadi sesuai dengan ketentuan UU. Pengelola gedung disarankan untuk mencari mekanisme alternatif yang tidak membahayakan privasi masyarakat, selain hanya mengumpulkan KTP atau memindai wajah. Privasi harus diberikan secara default dan by design, oleh karena itu pelindungan data menjadi tanggung jawab pengelola gedung.
Pakar Keamanan Siber dari Vaksincom Alfons Tanujaya juga menegaskan bahwa foto swafoto atau KTP bukanlah alat identifikasi resmi yang diakui oleh Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil). Risiko kebocoran data sangat besar jika pengelola tidak memiliki sistem keamanan yang memadai. Dengan kemajuan teknologi, data yang bocor dapat disalahgunakan dan dimanipulasi, menjadikan perlindungan data semakin penting.
