Israel é amplamente reconhecido como um importante ator global e líder em inovação em cibersegurança, particularmente em áreas como segurança de IA, proteção na nuvem e inteligência de ameaças. Era natural, portanto, que Israel entrasse em uma nova fase em suas leis de proteção de dados. Israel reformulou a Lei de Proteção da Privacidade, 5741-1981, que representa uma revisão completa da estrutura de privacidade. A reforma reforça o compromisso de Israel em se alinhar às normas globais de privacidade, mantendo sua abordagem regulatória distinta, com maior ênfase em segurança cibernética.
Em 5 de agosto de 2024, o Knesset aprovou a Emenda nº 13, com a maioria das disposições entrando em vigor em 14 de agosto de 2025. A atualização moderniza definições essenciais, adiciona obrigações de governança (como a nomeação de um responsável pela privacidade em casos específicos), fortalece a transparência, introduz requisitos para corretores de dados e expande significativamente os poderes do Autoridade de Proteção da Privacidade (PPA) Investigar, aplicar e multar, o que sinaliza uma mudança em direção à proteção e governança proativas de dados, alinhando-se aos requisitos regulamentares.
A 13ª Emenda chega juntamente com uma emenda separada. Espaço Econômico Europeu (EEE) Regime de transferência de dados que se tornou aplicável em 2025 para bases de dados israelenses que também incluem dados originários do EEE, impondo direitos e deveres reforçados a essas bases de dados mistas.
Reforma histórica da privacidade
A Lei de Proteção da Privacidade de Israel, promulgada pela primeira vez em 1981, vem sendo alterada gradualmente há décadas. A 13ª Emenda representa a reforma mais abrangente até o momento, trazendo coerência às atualizações anteriores, introduzindo definições legais modernas e criando novos mecanismos para supervisão proativa, fiscalização e investigação administrativa.
A legislação foi elaborada por meio de ampla consulta a juristas, à sociedade civil e a líderes do setor. O resultado é uma estrutura concebida para alcançar um equilíbrio cuidadoso: viabilizar a inovação, ao mesmo tempo que salvaguarda os direitos individuais, e dotar a Autoridade de Proteção da Privacidade (PPA) do mandato e das ferramentas necessárias para garantir o cumprimento da lei de forma mais eficaz do que nunca.
Novas atualizações da Emenda 13
Definições de dados mais abrangentes
Dados pessoais agora abrange quaisquer dados sobre uma pessoa identificada ou identificável (utilizando "esforço razoável"), e processamento é definida de forma ampla (qualquer operação sobre dados pessoais). Categorias de dados particularmente sensíveis são esclarecidas e ampliadas.
Oficial de Proteção de Privacidade Obrigatório
Organizações que atingem determinados limites — como o processamento em larga escala de dados sensíveis, o monitoramento sistemático ou a atuação como autoridades públicas ou corretoras de dados — agora são obrigadas a nomear um Encarregado de Proteção de Dados (PPO, na sigla em inglês) qualificado.
Este cargo exige autonomia, reporte direto à alta direção e uma combinação única de conhecimentos: domínio jurídico, fluência em TI e cibersegurança, além de uma profunda compreensão das operações da organização.
A PPA esclareceu expectativas importantes: indivíduos com poder de decisão não podem atuar como PPO, e a função deve permanecer distinta da de Diretor de Segurança da Informação (CISO) para evitar conflitos de interesse.
Além da supervisão do processamento de dados, o PPO deve estar ativamente envolvido em todos os assuntos relacionados à privacidade, com acesso garantido aos recursos necessários para cumprir seu mandato de forma eficaz.
Transparência e Avisos Ampliados
As organizações são obrigadas a fornecer informações transparentes e fáceis de entender sobre quais dados são coletados, por que são processados e quem terá acesso a eles. acesso Ao lidar com categorias sensíveis de dados — especialmente dados biométricos ou informações usadas em sistemas de IA — aplicam-se regras adicionais de divulgação para garantir maior responsabilidade.
O consentimento deve ser significativo: informado, voluntário e, na maioria dos casos, explícito. Isso é particularmente importante para o processamento de dados sensíveis e marketing direto. As diretrizes da PPA deixam claro que as organizações devem oferecer opções de consentimento detalhadas, evitar consentimentos vagos ou agrupados e garantir que os indivíduos possam fazer escolhas verdadeiramente livres.
A PPA enfatizou que esses requisitos de consentimento são obrigações vinculativas, não sugestões. Isso significa que as organizações devem implementar mecanismos claros de adesão, manter total transparência sobre como os dados serão usados e manter registros auditáveis da coleta e gerenciamento do consentimento.
Corretores de dados sob a lupa
Organizações que atuam na intermediação de dados ou no envio de mala direta são obrigadas a registrar formalmente seus bancos de dados e manter registros detalhados das fontes e transferências de dados. Devem também respeitar as solicitações de exclusão, garantindo que todas as comunicações incluam o número de registro do banco de dados, juntamente com instruções claras para a exclusão dos dados.
O não cumprimento desses requisitos pode resultar em medidas administrativas coercitivas, incluindo advertências ou multas.
Supervisão de IA e privacidade de dados
A Lei de Proteção de Dados Pessoais (PPA) deixou claro que os sistemas de inteligência artificial que processam dados pessoais não ficarão sem regulamentação. Espera-se que as organizações avaliem os riscos da tomada de decisões automatizada, mantenham a transparência e criem salvaguardas para reduzir o viés e a discriminação. Essas medidas estão alinhadas com as tendências internacionais e destacam a abordagem deliberada, porém progressista, de Israel em relação à proteção de dados. Governança de IA.
Em suas diretrizes, o órgão regulador enfatiza os princípios de explicabilidade, imparcialidade e responsabilidade nas operações algorítmicas. Para estar em conformidade, as entidades devem manter a documentação de seus sistemas de IA. realizar avaliações de impactoe demonstrar governança proativa. Juntos, esses requisitos representam um passo decisivo para consolidar a confiança e responsabilidade no processamento orientado por IA.
Gerenciando o risco do fornecedor
Antes de contratar processadores terceirizados, os controladores devem avaliar suas práticas de privacidade e segurança cibernética, estabelecer contratos robustos de processamento de dados com obrigações de segurança claras e monitorá-las continuamente. conformidade do fornecedorOs processadores devem ser obrigados a fornecer relatórios anuais sobre suas medidas e implementação de cibersegurança, garantindo a responsabilização contínua e a mitigação de riscos.
Transferências de dados e EEE
Em conformidade com os regulamentos promulgados em 2023 para preservar o estatuto de adequação da Comissão Europeia às leis de privacidade israelenses, os dados pessoais transferidos do Espaço Econômico Europeu (EEE) para Israel estão sujeitos a obrigações adicionais de conformidade. Os controladores devem garantir a exatidão dos dados, impor limites de retenção rigorosose fornecer mecanismos claros para solicitações de exclusãoO não cumprimento pode acarretar multas calculadas individualmente, aumentando significativamente os riscos para as organizações que processam dados originários do Espaço Econômico Europeu (EEE).
Requisitos de segurança e conformidade reforçados
Organizações que gerenciam grandes bancos de dados sensíveis são obrigadas a realizar avaliações de risco formais e testes de penetração pelo menos a cada 18 meses. Os resultados devem ser documentados, os procedimentos de segurança atualizados e quaisquer incidentes graves relatados imediatamente à Autoridade de Proteção de Dados (PPA). O não cumprimento pode resultar em multas de até ILS 320.000 por violação.
O existente Regulamentos de Segurança de Dados (5777–2017) permanecem totalmente aplicáveis e serão em breve reforçadas pelos poderes de fiscalização ampliados da PPA, conforme a Emenda 13. Isso significa que as organizações devem manter salvaguardas abrangentes, incluindo documentação atualizada da estrutura do banco de dados, registros detalhados de controle de acesso, manuais de resposta a incidentes, práticas de codificação segura e criptografia forte para armazenamento e transmissão de dados.
Fiscalização mais rigorosa, riscos e penalidades.
A Emenda 13 introduz um regime de conformidade muito mais rigoroso, com consequências que vão muito além dos danos à reputação. A Autoridade Israelense de Proteção da Privacidade (PPA) obterá poderes de fiscalização ampliados, incluindo a capacidade de emitir ordens administrativas, aplicar multas significativas e emitir ordens de cessação e desistência. As multas podem chegar a milhões de shekels, com multiplicadores ainda maiores para grandes bancos de dados ou para o tratamento de informações sensíveis.
Organizações que não cumprirem as normas podem enfrentar problemas legais em múltiplas frentes: ações cíveis, ações coletivas e até mesmo acusações criminais por violações como quebra de confidencialidade, processamento não autorizado ou informações enganosas a órgãos reguladores. Indenizações estatutárias de até £ 100.000 podem ser concedidas sem a necessidade de comprovação de dano, e os tribunais podem ordenar a exclusão de dados obtidos ilegalmente ou restringir o processamento posterior — tornando a conformidade não apenas uma obrigação legal, mas um imperativo comercial.
Notificar a PPA
Os controladores de dados são obrigados a notificar a PPA sobre qualquer banco de dados que contenha informações sensíveis de mais de 100.000 indivíduos. Devem também apresentar um documento formal de definição do banco de dados — o equivalente legal israelense aos registros de atividades de processamento do GDPR da UE — juntamente com os dados do seu Encarregado de Proteção de Dados (PPO) nomeado.
Impactos práticos do dia a dia
Governança
As organizações sujeitas à Emenda 13 precisarão fortalecer suas estruturas de governança interna. Isso inclui a nomeação de um responsável pela privacidade (PPO, na sigla em inglês) que opere com independência, orçamento suficiente e autoridade executiva para supervisionar a conformidade. Além da contratação de pessoal, as empresas terão que incorporar práticas de privacidade desde a concepção em todas as operações, com políticas de rotina, treinamento da força de trabalho e revisões no estilo da Avaliação de Impacto sobre a Proteção de Dados (AIPD) tornando-se obrigatórias para avaliar novas iniciativas e implantações de tecnologia.
Transparência
As obrigações de transparência irão muito além das políticas de privacidade padronizadas. Universidades, empresas e startups precisarão aprimorar seus pontos de coleta, aplicativos e formulários de consentimento, com divulgações claras sobre as finalidades do processamento de dados, os direitos dos indivíduos, os destinatários dos dados e os períodos de retenção. Para dados sensíveis, incluindo dados biométricos ou perfis criados por inteligência artificial, aplicam-se padrões de divulgação mais rigorosos. Isso exigirá que as organizações repensem o design da experiência do usuário e a comunicação com o cliente, garantindo que as informações sobre privacidade sejam acessíveis e acionáveis.
Conformidade do Corretor de Dados
Entidades envolvidas em corretagem de dados, enriquecimento de perfis ou mala direta enfrentarão maior escrutínio. Elas poderão precisar registrar bancos de dados, manter registros detalhados de origem e transferência, e fornecer mecanismos claros de cancelamento e exclusão. Espera-se que os órgãos reguladores realizem auditorias ou inspeções para garantir a transparência na cadeia de fornecimento de dados. Isso significa que equipes de marketing, fornecedores de listas e agregadores terceirizados devem se preparar para um regime de conformidade muito mais semelhante à regulamentação financeira ou de valores mobiliários, onde a documentação completa não é opcional.
Exposição regulatória
A Autoridade de Proteção de Dados (PPA) está adquirindo poderes de fiscalização comparáveis aos dos principais órgãos reguladores europeus. Ela pode impor multas administrativas, suspender atividades de processamento ou emitir ordens de cessação e desistência. A fragilidade dos registros internos, a falta de visibilidade em bancos de dados sensíveis ou a falha em manter a documentação dos bancos de dados atualizada agora representam sérios riscos financeiros. Organizações que antes tratavam a privacidade como uma mera formalidade legal precisarão implementar um monitoramento operacional contínuo para evitar interrupções inesperadas.
Litígio
Além da aplicação das normas regulatórias, as organizações enfrentam um risco crescente de litígios privados. A legislação facilita a obtenção de indenizações para os titulares dos dados, incluindo danos estatutários sem a necessidade de comprovação de dano e amplia os fundamentos para ações coletivas. Processos cíveis, combinados com danos à reputação e custos crescentes de conformidade, fazem com que o descumprimento se torne um risco multiplicador, em vez de uma simples multa. As empresas devem se preparar para o risco de litígios como parte essencial de sua estratégia de privacidade, assim como fazem com a responsabilidade por produtos em outros setores.
Como a BigID ajuda com as novas atualizações de privacidade de Israel
A Emenda 13 à Lei de Proteção de Privacidade de Israel introduz reformas abrangentes em governança, responsabilidade, segurança e aplicação da lei. As organizações precisarão adotar controles mais rigorosos para visibilidade de dados, privacidade desde a concepção e gestão de riscos. A BigID fornece a base de inteligência de dados para enfrentar esses desafios em grande escala.
Descoberta e classificação de dados
A lei exige que as organizações mantenham documentação clara de seus bancos de dados, incluindo fontes de dados sensíveis, finalidades de processamento e retenção. O BigID automaticamente Analisa, descobre e classifica. Dados pessoais e sensíveis em ambientes estruturados, não estruturados e em nuvem. Cria inventários de dados precisos para atender aos requisitos de relatórios de PPA (Acordo de Preços de Produtos), registro de banco de dados e registros de atividades de processamento.
Diretores de Governança e Privacidade
A Emenda 13 exige a nomeação de um Encarregado de Proteção de Dados (PPO) independente, com responsabilidades de supervisão e visibilidade de todas as atividades de processamento. A BigID fornece um glossário de negócios e painel de visão geral de dados que fornece às PPOs um centro para monitorar a conformidade, aplicar políticas e garantir a responsabilização perante a alta administração.
Consentimento e Transparência
A reforma enfatiza explícitoConsentimento informado, transparência dos avisos e controle granular sobre o uso de dados sensíveis. O BigID rastreia titulares dos dados, registros de consentimento, preferênciase uso em diversas aplicações. As organizações podem demonstrar uma base legal para o processamento, honrar solicitações de cancelamentoe gerar relatórios prontos para divulgação, a fim de atender aos requisitos de transparência.
Segurança de dados e gestão de riscos
A Emenda 13 exige avaliações de risco, testes de penetração, relatórios de incidentes e salvaguardas mais robustas para dados sensíveis. A BigID oferece soluções para isso. pontuação de risco e monitoramento de políticas que sinalizam acessos anormais, exposição de dados sensíveis ou violações das políticas de retenção. A integração com sistemas SIEM/SOAR aprimora a resposta a incidentes e prontidão para notificação de violação.
Supervisão de Fornecedores e Corretores de Dados
A lei impõe aos controladores a obrigação de revisar os processadores, monitorar a conformidade e garantir que os corretores de dados mantenham registros precisos e respeitem as opções de exclusão. A BigID fornece insights sobre o compartilhamento de dados com terceiros, ajudando as organizações. Monitorar quem tem acesso a quais dados., impor a minimização de dados e fornecer registros auditáveis para os órgãos reguladores.
Preparação para regulamentação e defesa em litígios
Com novos poderes administrativos, a PPA pode impor multas, suspender o processamento e viabilizar ações coletivas. A BigID oferece soluções prontas para uso. relatórios de conformidade e trilhas de auditoria, reduzindo a incerteza regulatória e fornecendo evidências em caso de litígio. As organizações podem gerar rapidamente a documentação de conformidade necessária para atender às exigências de órgãos reguladores ou tribunais.
A BigID ajuda a cumprir as obrigações legais com inteligência de dados e automação, transformando-as em operações repetíveis. Agende uma demonstração hoje mesmo!
Autor
