Israel es ampliamente reconocido como un actor global clave y líder en innovación en ciberseguridad, particularmente en áreas como la seguridad de la IA, la protección en la nube y la inteligencia de amenazas. Era lógico que Israel iniciara una nueva fase en sus leyes de protección de datos. Israel ha modernizado la Ley de Protección de la Privacidad, 5741-1981, que supone una reforma completa del marco de privacidad. La reforma subraya el compromiso de Israel de alinearse con las normas globales de privacidad, manteniendo al mismo tiempo su enfoque regulatorio distintivo con un mayor énfasis en la ciberseguridad.
El 5 de agosto de 2024, la Knesset aprobó la Enmienda No. 13, y la mayoría de las disposiciones entraron en vigor el 14 de agosto de 2025. La actualización moderniza las definiciones básicas, agrega obligaciones de gobernanza (como nombrar a un oficial de privacidad en casos definidos), fortalece la transparencia, introduce requisitos para los corredores de datos y amplía significativamente los poderes de la Autoridad de Protección de la Privacidad (PPA) investigar, hacer cumplir y multar, lo que señala un cambio hacia una protección y gobernanza de datos proactiva en línea con los requisitos regulatorios.
La enmienda 13 llega junto con otra enmienda separada Espacio Económico Europeo (EEE) régimen de transferencia de datos que comenzó a aplicarse en 2025 para las bases de datos israelíes que también incluyan datos originarios del EEE, imponiendo derechos y obligaciones mejorados a esas bases de datos mixtas.
Reforma histórica de la privacidad
La Ley de Protección de la Privacidad de Israel, promulgada por primera vez en 1981, ha sido objeto de modificaciones graduales durante décadas. La Enmienda 13 constituye la reforma más radical hasta la fecha: aporta coherencia a las actualizaciones anteriores, introduce definiciones legales modernas y crea nuevos mecanismos de supervisión proactiva, control e investigación administrativa.
La legislación se elaboró mediante una amplia consulta con juristas, la sociedad civil y líderes del sector. El resultado es un marco diseñado para lograr un equilibrio delicado: facilitar la innovación, proteger los derechos individuales y dotar a la Autoridad de Protección de la Privacidad (PPA) del mandato y las herramientas necesarias para garantizar el cumplimiento normativo con mayor eficacia que nunca.
Nuevas actualizaciones de la Enmienda 13
Definiciones de datos más amplias
Datos personales ahora cubre cualquier dato sobre una persona identificada o identificable (utilizando un “esfuerzo razonable”), y tratamiento se define de forma amplia (cualquier operación sobre datos personales). Categorías de datos particularmente sensibles Se aclaran y amplían.
Responsable de protección de la privacidad obligatorio
Las organizaciones que cumplen con ciertos umbrales (como el procesamiento a gran escala de datos confidenciales, el monitoreo sistemático o el funcionamiento como autoridades públicas o corredores de datos) ahora deben designar un Oficial de Protección de Privacidad (PPO) calificado.
Este rol debe operar de forma independiente, reportar directamente a la alta dirección y aportar una combinación única de experiencia: conocimiento legal, fluidez en TI y ciberseguridad y un profundo conocimiento de las operaciones de la organización.
La PPA ha aclarado expectativas clave: las personas con autoridad para tomar decisiones no pueden desempeñarse como PPO, y el rol debe seguir siendo distinto al del Director de Seguridad de la Información para evitar conflictos de intereses.
Más allá de la supervisión del procesamiento de datos, la PPO debe participar activamente en todos los asuntos relacionados con la privacidad, con acceso garantizado a los recursos necesarios para cumplir su mandato de manera efectiva.
Transparencia ampliada y avisos
Las organizaciones deben proporcionar información transparente y fácil de entender sobre qué datos se recopilan, por qué se procesan y quién los tendrá. acceso Al manejar categorías sensibles de datos, especialmente datos biométricos o información utilizada en sistemas de IA, se aplican normas de divulgación adicionales para garantizar una mayor rendición de cuentas.
El consentimiento debe ser significativo: informado, voluntario y, en la mayoría de los casos, explícito. Esto es especialmente cierto en el caso del procesamiento de datos sensibles y el marketing directo. La guía de la PPA deja claro que las organizaciones deben ofrecer opciones de consentimiento granular, evitar el consentimiento vago o agrupado, y garantizar que las personas puedan tomar decisiones verdaderamente libres.
La PPA ha subrayado que estos requisitos de consentimiento son obligaciones vinculantes, no sugerencias. Esto significa que las organizaciones deben implementar mecanismos claros de aceptación, mantener una transparencia total sobre el uso de los datos y mantener registros auditables de la recopilación y gestión del consentimiento.
Los corredores de datos bajo la lupa
Las organizaciones dedicadas a la intermediación de datos o al correo directo deben registrar formalmente sus bases de datos y mantener registros detallados de las fuentes y transferencias de datos. También deben respetar las solicitudes de exclusión voluntaria, asegurándose de que todas las comunicaciones incluyan el número de registro de la base de datos, junto con instrucciones claras para su eliminación.
El incumplimiento de estos requisitos puede dar lugar a medidas de cumplimiento administrativo, incluidas advertencias o sanciones monetarias.
Supervisión de la IA y la privacidad de los datos
La PPA ha dejado claro que los sistemas de inteligencia artificial que procesan datos personales no quedarán sin regular. Se espera que las organizaciones evalúen los riesgos de la toma de decisiones automatizada, mantengan la transparencia y establezcan salvaguardias para reducir el sesgo y la discriminación. Estas medidas se alinean con las tendencias internacionales y destacan el enfoque deliberado pero progresista de Israel. Gobernanza de la IA.
En su guía, el regulador subraya los principios de explicabilidad, equidad y rendición de cuentas en las operaciones algorítmicas. Para cumplir, las entidades deben mantener la documentación de sus sistemas de IA. realizar evaluaciones de impactoy demostrar una gobernanza proactiva. En conjunto, estos requisitos marcan un paso decisivo hacia la consolidación de la confianza y responsabilidad en el procesamiento impulsado por IA.
Gestión del riesgo de los proveedores
Antes de contratar a procesadores externos, los controladores deben evaluar sus prácticas de privacidad y ciberseguridad, establecer acuerdos de procesamiento de datos sólidos con obligaciones de seguridad claras y monitorear continuamente cumplimiento del proveedorSe debe exigir a los procesadores que presenten informes anuales sobre sus medidas de ciberseguridad y su implementación, garantizando la rendición de cuentas continua y la mitigación de riesgos.
Transferencias de datos y EEE
De acuerdo con la normativa promulgada en 2023 para preservar la adecuación de la Comisión Europea a las leyes de privacidad israelíes, la transferencia de datos personales desde el Espacio Económico Europeo (EEE) a Israel conlleva obligaciones de cumplimiento adicionales. Los responsables del tratamiento deben garantizar la exactitud de los datos. aplicar límites de retención estrictos, y establecer mecanismos claros para solicitudes de eliminaciónEl incumplimiento puede dar lugar a multas calculadas individualmente, lo que aumenta significativamente los riesgos para las organizaciones que procesan datos de origen del EEE.
Requisitos de seguridad y cumplimiento reforzados
Las organizaciones que gestionan bases de datos grandes y sensibles deben realizar evaluaciones de riesgos formales y pruebas de penetración al menos cada 18 meses. Los hallazgos deben documentarse, los procedimientos de seguridad deben actualizarse y cualquier incidente grave debe notificarse de inmediato a la PPA. El incumplimiento puede resultar en multas de hasta 320.000 ILS por infracción.
El existente Reglamento de Seguridad de Datos (5777–2017) siguen siendo totalmente aplicables y pronto se reforzarán con los poderes de aplicación ampliados de la PPA según la Enmienda 13. Esto significa que las organizaciones deben mantener salvaguardas integrales, incluida documentación actualizada de la estructura de la base de datos, registros detallados de control de acceso, manuales de respuesta a incidentes, prácticas de codificación segura y cifrado fuerte tanto para el almacenamiento como para la transmisión de datos.
Aplicación más estricta de la ley, riesgos y sanciones
La Enmienda 13 introduce un régimen de cumplimiento mucho más estricto, con consecuencias que van mucho más allá del daño a la reputación. La Autoridad de Protección de la Privacidad de Israel (PPA) obtendrá mayores poderes de ejecución, incluyendo la capacidad de emitir órdenes administrativas, imponer importantes sanciones monetarias y emitir órdenes de cese y desistimiento. Las multas pueden alcanzar millones de shekels, con multiplicadores más altos para grandes bases de datos o el manejo de información sensible.
Las organizaciones que incumplan con esta normativa podrían enfrentarse a múltiples riesgos legales: demandas civiles, demandas colectivas e incluso cargos penales por violaciones como la confidencialidad, el procesamiento no autorizado o engaño a los reguladores. Se pueden conceder indemnizaciones por daños y perjuicios de hasta 100.000 ILS sin necesidad de demostrar el daño, y los tribunales pueden ordenar la eliminación de datos obtenidos ilegalmente o restringir su posterior procesamiento, lo que convierte el cumplimiento no solo en una obligación legal, sino en un imperativo empresarial.
Notificación al PPA
Los responsables del tratamiento deben notificar a la PPA cualquier base de datos que contenga información sensible sobre más de 100.000 personas. También deben presentar un documento formal de definición de base de datos (el equivalente legal en Israel a los registros de actividades de tratamiento del RGPD de la UE), junto con los datos de su Delegado de Protección de la Privacidad (DPP) designado.
Impactos prácticos del día a día
Gobernanza
Las organizaciones sujetas a la Enmienda 13 deberán fortalecer sus marcos de gobernanza interna. Esto incluye el nombramiento de un responsable de privacidad (PPO) que opere con independencia, presupuesto suficiente y autoridad ejecutiva para supervisar el cumplimiento. Además de la dotación de personal, las empresas deberán integrar prácticas de privacidad desde el diseño en todas sus operaciones, con políticas rutinarias, capacitación del personal y revisiones similares a las de la DPIA, que serán obligatorias para evaluar nuevas iniciativas e implementaciones tecnológicas.
Transparencia
Las obligaciones de transparencia irán mucho más allá de las políticas de privacidad estándar. Universidades, empresas y startups deberán optimizar los puntos de recolección, las aplicaciones y los formularios de consentimiento con información clara sobre los fines del procesamiento de datos, los derechos de las personas, los destinatarios de los datos y los periodos de retención. Para los datos sensibles, como la biometría o la elaboración de perfiles con IA, se aplican estándares de divulgación mejorados. Esto requerirá que las organizaciones reconsideren el diseño de la experiencia de usuario (UX) y la comunicación con el cliente, garantizando que la información sobre privacidad sea accesible y procesable.
Cumplimiento de los corredores de datos
Las entidades involucradas en la intermediación de datos, el enriquecimiento de perfiles o el correo directo se enfrentarán a un mayor escrutinio. Es posible que deban registrar bases de datos, mantener registros detallados de origen y transferencia, y proporcionar mecanismos claros de exclusión y eliminación. Se espera que los reguladores realicen auditorías o inspecciones para garantizar la transparencia en la cadena de suministro de datos. Esto significa que los equipos de marketing, los proveedores de listas y los agregadores externos deben prepararse para un régimen de cumplimiento normativo muy similar a la regulación financiera o de valores, donde la documentación completa no es opcional.
Exposición regulatoria
La PPA está adquiriendo poderes de ejecución similares a los de los principales reguladores europeos. Puede imponer multas administrativas, suspender actividades de procesamiento o emitir órdenes de cese y desistimiento. La deficiente gestión de registros internos, la falta de visibilidad de bases de datos sensibles o la falta de actualización de la documentación de las bases de datos ahora conllevan un grave riesgo financiero. Las organizaciones que antes consideraban la privacidad una formalidad legal deberán implementar un sistema de monitoreo operativo continuo para evitar interrupciones inesperadas.
Litigio
Más allá de la aplicación de la normativa, las organizaciones se enfrentan a un riesgo creciente de litigios privados. La ley facilita la compensación de los titulares de datos, incluyendo indemnizaciones por daños y perjuicios sin prueba del perjuicio y la ampliación de las bases para demandas colectivas. Las demandas civiles, junto con el daño reputacional y los crecientes costes de cumplimiento normativo, convierten el incumplimiento en un riesgo multiplicador en lugar de una multa puntual. Las empresas deben prepararse para el riesgo de litigio como parte fundamental de su estrategia de privacidad, al igual que ocurre con la responsabilidad del producto en otros sectores.
Cómo BigID ayuda con las nuevas actualizaciones de privacidad de Israel
La Enmienda 13 a la Ley de Protección de la Privacidad de Israel introduce reformas radicales en materia de gobernanza, rendición de cuentas, seguridad y cumplimiento. Las organizaciones deberán adoptar controles más rigurosos para la visibilidad de los datos, la privacidad desde el diseño y la gestión de riesgos. BigID proporciona la base de inteligencia de datos para abordar estos desafíos a gran escala.
Descubrimiento y clasificación de datos
La ley exige que las organizaciones mantengan una documentación clara de sus bases de datos, incluyendo las fuentes de datos sensibles, los fines de procesamiento y la retención. BigID automáticamente escanea, descubre y clasifica Datos personales y sensibles en entornos estructurados, no estructurados y en la nube. Crea inventarios de datos precisos para cumplir con los requisitos de informes de PPA, el registro de bases de datos y los registros de actividades de procesamiento.
Responsables de gobernanza y privacidad
La Enmienda 13 exige el nombramiento de un Responsable de Protección de la Privacidad (PPO) independiente con responsabilidades de supervisión y visibilidad sobre todas las actividades de procesamiento. BigID ofrece un glosario empresarial y panel de descripción general de datos que proporciona a las PPO un centro para supervisar el cumplimiento, hacer cumplir las políticas y garantizar la rendición de cuentas ante la alta dirección.
Consentimiento y transparencia
La reforma pone énfasis en explícito, consentimiento informado, transparencia en las notificaciones y control granular sobre el uso de datos sensibles. BigID rastrea interesados, registros de consentimiento, preferenciasy su uso en todas las aplicaciones. Las organizaciones pueden demostrar una base legal para el procesamiento, el honor solicitudes de exclusión voluntariay generar informes listos para su divulgación para cumplir con los requisitos de transparencia.
Seguridad de datos y gestión de riesgos
La Enmienda 13 exige evaluaciones de riesgos, pruebas de penetración, informes de incidentes y salvaguardas más sólidas para los datos sensibles. BigID ofrece puntuación de riesgo y monitoreo de políticas que detectan accesos anormales, exposición de datos confidenciales o violaciones de las políticas de retención. La integración con sistemas SIEM/SOAR mejora la respuesta ante incidentes y preparación para la notificación de infracciones.
Supervisión de proveedores y corredores de datos
La ley obliga a los responsables del tratamiento a revisar a los encargados del tratamiento, supervisar el cumplimiento normativo y garantizar que los intermediarios de datos mantengan registros precisos y respeten las exclusiones voluntarias. BigID ofrece información sobre el intercambio de datos con terceros, lo que ayuda a las organizaciones. Monitorear quién tiene acceso a qué datos, hacer cumplir la minimización de datos y proporcionar registros auditables para los reguladores.
Preparación regulatoria y defensa en litigios
Con nuevas facultades administrativas, la PPA puede imponer multas, suspender el procesamiento y habilitar demandas colectivas. BigID ofrece soluciones listas para usar. informes de cumplimiento y registros de auditoría, lo que reduce la incertidumbre regulatoria y proporciona evidencia en caso de litigio. Las organizaciones pueden generar rápidamente documentación de cumplimiento para satisfacer a los reguladores o tribunales.
BigID ayuda a cumplir con la inteligencia de datos y la automatización que convierte las obligaciones legales en operaciones repetibles. ¡Reserve una demostración hoy!
Autor
