Israel é amplamente reconhecido como um importante player global e líder em inovação em segurança cibernética, particularmente em áreas como segurança de IA, proteção em nuvem e inteligência contra ameaças. Era apropriado que Israel entrasse em uma nova fase em suas leis de proteção de dados. Israel reformulou a Lei de Proteção da Privacidade, 5741-1981, que representa uma revisão completa da estrutura de privacidade. A reforma reforça o compromisso de Israel em se alinhar às normas globais de privacidade, mantendo, ao mesmo tempo, sua abordagem regulatória distinta, com ênfase redobrada em segurança cibernética.
Em 5 de agosto de 2024, o Knesset aprovou a Emenda nº 13, com a maioria das disposições entrando em vigor em 14 de agosto de 2025. A atualização moderniza as definições principais, adiciona obrigações de governança (como a nomeação de um responsável pela privacidade em casos definidos), fortalece a transparência, introduz requisitos para corretores de dados e expande significativamente os poderes do Autoridade de Proteção à Privacidade (PPA) para investigar, aplicar e multar, o que sinaliza uma mudança em direção à proteção proativa de dados e governança alinhada aos requisitos regulatórios.
A Emenda 13 chega juntamente com uma emenda separada Espaço Econômico Europeu (EEE) regime de transferência de dados que se tornou aplicável em 2025 para bancos de dados israelenses que também incluem dados originários do EEE, impondo direitos e deveres aprimorados sobre esses bancos de dados mistos.
Reforma Histórica da Privacidade
A Lei de Proteção à Privacidade de Israel, promulgada pela primeira vez em 1981, vem sendo alterada gradualmente ao longo de décadas. A Emenda 13 marca a reforma mais abrangente até o momento — trazendo coerência às atualizações anteriores, introduzindo definições jurídicas modernas e criando novos mecanismos para supervisão proativa, fiscalização e investigação administrativa.
A legislação foi elaborada por meio de ampla consulta a acadêmicos do direito, à sociedade civil e a líderes do setor. O resultado é uma estrutura projetada para alcançar um equilíbrio preciso: possibilitar a inovação, salvaguardar os direitos individuais e equipar a Autoridade de Proteção à Privacidade (PPA) com o mandato e as ferramentas para garantir a conformidade com mais eficácia do que nunca.
Novas atualizações da Emenda 13
Definições de dados mais amplas
Dados pessoais agora abrange todos os dados sobre uma pessoa identificada ou identificável (usando “esforço razoável”), e processamento é definida de forma ampla (qualquer operação sobre dados pessoais). Categorias de dados particularmente sensíveis são esclarecidas e ampliadas.
Responsável pela Proteção de Privacidade Obrigatória
Organizações que atendem a certos limites — como processamento em larga escala de dados confidenciais, monitoramento sistemático ou operação como autoridades públicas ou corretoras de dados — agora são obrigadas a nomear um Diretor de Proteção de Privacidade (PPO) qualificado.
Essa função deve operar de forma independente, reportar-se diretamente à liderança sênior e trazer uma combinação única de experiência: conhecimento jurídico, fluência em TI e segurança cibernética e um profundo entendimento das operações da organização.
O PPA esclareceu as principais expectativas: indivíduos com autoridade para tomar decisões não podem atuar como PPO, e a função deve permanecer distinta da de Diretor de Segurança da Informação para evitar conflitos de interesse.
Além da supervisão do processamento de dados, o PPO deve estar ativamente envolvido em todos os assuntos relacionados à privacidade, com acesso garantido aos recursos necessários para cumprir seu mandato de forma eficaz.
Transparência e Avisos Expandidos
As organizações são obrigadas a fornecer informações transparentes e fáceis de entender sobre quais dados são coletados, por que são processados e quem terá acesso a eles. acesso para isso. Ao lidar com categorias sensíveis de dados — especialmente dados biométricos ou informações usadas em sistemas de IA — regras adicionais de divulgação se aplicam para garantir maior responsabilização.
O consentimento deve ser significativo: informado, voluntário e, na maioria dos casos, explícito. Isso é particularmente verdadeiro para o processamento de dados sensíveis e marketing direto. As diretrizes da PPA deixam claro que as organizações devem oferecer opções de consentimento granulares, evitar consentimentos vagos ou agrupados e garantir que os indivíduos possam fazer escolhas verdadeiramente livres.
O PPA enfatizou que esses requisitos de consentimento são obrigações vinculativas, não sugestões. Isso significa que as organizações devem implementar mecanismos claros de opt-in, manter total transparência sobre como os dados serão usados e manter registros auditáveis da coleta e gestão de consentimento.
Corretores de dados sob o microscópio
Organizações que atuam na corretagem de dados ou mala direta são obrigadas a registrar formalmente seus bancos de dados e manter registros detalhados das fontes e transferências de dados. Elas também devem respeitar as solicitações de cancelamento, garantindo que todas as comunicações incluam o número de registro do banco de dados, juntamente com instruções claras para exclusão.
O não cumprimento desses requisitos pode resultar em ações administrativas de execução, incluindo advertências ou penalidades monetárias.
Supervisão de IA e Privacidade de Dados
O PPA deixou claro que os sistemas de inteligência artificial que processam dados pessoais não ficarão sem regulamentação. Espera-se que as organizações avaliem os riscos da tomada de decisões automatizada, mantenham a transparência e criem salvaguardas para reduzir o preconceito e a discriminação. Essas medidas estão alinhadas com as tendências internacionais e destacam a abordagem deliberada, porém progressista, de Israel para Governança de IA.
Em sua orientação, o regulador destaca os princípios de explicabilidade, justiça e responsabilização em operações algorítmicas. Para cumprir, as entidades devem manter a documentação de seus sistemas de IA. realizar avaliações de impactoe demonstrar governança proativa. Juntos, esses requisitos marcam um passo decisivo para a consolidação da confiança e responsabilidade no processamento orientado por IA.
Gerenciando o risco do fornecedor
Antes de contratar processadores terceirizados, os controladores devem avaliar suas práticas de privacidade e segurança cibernética, estabelecer acordos robustos de processamento de dados com obrigações de segurança claras e monitorar continuamente conformidade do fornecedor. Os processadores devem ser obrigados a fornecer relatórios anuais sobre suas medidas de segurança cibernética e implementação, garantindo responsabilização contínua e mitigação de riscos.
Transferências de dados e EEE
Em conformidade com as regulamentações promulgadas em 2023 para preservar o status de adequação da Comissão Europeia às leis de privacidade israelenses, os dados pessoais transferidos do Espaço Econômico Europeu (EEE) para Israel acarretam obrigações adicionais de conformidade. Os controladores devem garantir a precisão dos dados. impor limites de retenção rigorosos, e fornecer mecanismos claros para solicitações de exclusão. O não cumprimento pode gerar multas calculadas por indivíduo, aumentando significativamente os riscos para organizações que processam dados originários do EEE.
Requisitos de segurança e conformidade reforçados
Organizações que gerenciam bancos de dados grandes e sensíveis são obrigadas a realizar avaliações formais de risco e testes de penetração pelo menos a cada 18 meses. As descobertas devem ser documentadas, os procedimentos de segurança atualizados e quaisquer incidentes graves devem ser prontamente reportados à PPA. O não cumprimento pode resultar em multas de até ILS 320.000 por violação.
O existente Regulamento de Segurança de Dados (5777–2017) permanecem totalmente aplicáveis e em breve serão reforçadas pelos poderes de execução expandidos do PPA sob a Emenda 13. Isso significa que as organizações devem manter salvaguardas abrangentes, incluindo documentação atualizada da estrutura do banco de dados, registros detalhados de controle de acesso, manuais de resposta a incidentes, práticas de codificação seguras e criptografia forte para armazenamento e transmissão de dados.
Fiscalizações, riscos e penalidades mais rigorosas
A Emenda 13 inaugura um regime de conformidade muito mais rigoroso, com consequências que vão muito além dos danos à reputação. A Autoridade de Proteção à Privacidade de Israel (PPA) ganhará poderes de execução ampliados, incluindo a capacidade de emitir ordens administrativas, aplicar multas monetárias significativas e emitir diretivas de cessação e desistência. As multas podem chegar a milhões de shekels, com multiplicadores mais altos para grandes bancos de dados ou para o manuseio de informações sensíveis.
As organizações que não cumprirem os requisitos também poderão enfrentar exposição legal em diversas frentes: processos civis, ações coletivas e até mesmo acusações criminais por violações como quebra de confidencialidade, processamento não autorizado ou indução a erro por parte de órgãos reguladores. Danos estatutários de até ILS 100.000 podem ser concedidos sem a exigência de prova do dano, e os tribunais podem determinar a exclusão de dados obtidos ilegalmente ou restringir o processamento posterior — tornando a conformidade não apenas uma obrigação legal, mas um imperativo comercial.
Notificando o PPA
Os controladores são obrigados a notificar o PPA sobre qualquer banco de dados que contenha informações sensíveis sobre mais de 100.000 indivíduos. Eles também devem enviar um documento formal de definição de banco de dados — o equivalente legal em Israel aos registros de atividades de processamento do GDPR da UE — juntamente com os dados do Encarregado de Proteção de Privacidade (EPP) designado.
Impactos práticos do dia a dia
Governança
As organizações sujeitas à Emenda 13 precisarão fortalecer suas estruturas de governança interna. Isso inclui a nomeação de um responsável pela privacidade (PPO) que opere com independência, orçamento suficiente e autoridade executiva para supervisionar a conformidade. Além da equipe, as empresas terão que incorporar práticas de privacidade desde a concepção em todas as operações, com políticas de rotina, treinamento da força de trabalho e revisões no estilo da DPIA se tornando obrigatórias para avaliar novas iniciativas e implantações de tecnologia.
Transparência
As obrigações de transparência se estenderão muito além das políticas de privacidade padronizadas. Universidades, empresas e startups precisarão atualizar pontos de coleta, aplicativos e formulários de consentimento com divulgações claras sobre as finalidades do processamento de dados, os direitos dos indivíduos, os destinatários dos dados e os períodos de retenção. Para dados sensíveis, incluindo biometria ou criação de perfil por IA, aplicam-se padrões de divulgação aprimorados. Isso exigirá que as organizações repensem o design do UX e a comunicação com o cliente, garantindo que as informações de privacidade sejam acessíveis e acionáveis.
Conformidade do corretor de dados
Entidades envolvidas em corretagem de dados, enriquecimento de perfis ou mala direta enfrentarão um escrutínio mais rigoroso. Elas podem precisar registrar bancos de dados, manter registros detalhados de origem e transferência e fornecer mecanismos claros de exclusão e exclusão. Espera-se que os reguladores realizem auditorias ou inspeções para garantir a transparência na cadeia de fornecimento de dados. Isso significa que equipes de marketing, fornecedores de listas e agregadores terceirizados devem se preparar para um regime de conformidade que se assemelha muito mais à regulamentação financeira ou de valores mobiliários, onde a documentação completa não é opcional.
Exposição Regulatória
O PPA está adquirindo poderes de execução equivalentes aos dos principais reguladores europeus. Ele pode impor multas administrativas, suspender atividades de processamento ou emitir ordens de cessação e desistência. A manutenção deficiente de registros internos, a falta de visibilidade de bancos de dados sensíveis ou a falha em manter a documentação atualizada dos bancos de dados agora representam sérios riscos financeiros. Organizações que antes tratavam a privacidade como uma formalidade legal precisarão implementar um monitoramento operacional contínuo para evitar interrupções inesperadas.
Contencioso
Além da aplicação de regulamentações, as organizações enfrentam um risco crescente de litígios privados. A lei facilita a indenização dos titulares de dados, incluindo indenizações por danos legais sem comprovação de dano e amplia os fundamentos para ações coletivas. Ações cíveis, combinadas com danos à reputação e crescentes custos de conformidade, tornam a não conformidade um risco multiplicador, em vez de uma multa por item. As empresas devem se preparar para o risco de litígio como parte essencial de sua estratégia de privacidade, assim como a responsabilidade pelo produto em outros setores.
Como o BigID ajuda com as novas atualizações de privacidade de Israel
A Emenda 13 à Lei de Proteção à Privacidade de Israel introduz reformas abrangentes em governança, responsabilização, segurança e aplicação. As organizações precisarão adotar controles mais rigorosos para visibilidade de dados, privacidade desde a concepção e gestão de riscos. O BigID fornece a base de inteligência de dados para enfrentar esses desafios em escala.
Descoberta e classificação de dados
A lei exige que as organizações mantenham documentação clara de seus bancos de dados, incluindo fontes de dados sensíveis, finalidades de processamento e retenção. O BigID automaticamente verifica, descobre e classifica dados pessoais e sensíveis em ambientes estruturados, não estruturados e em nuvem. Cria inventários de dados precisos para atender aos requisitos de relatórios do PPA, registro em banco de dados e registros de atividades de processamento.
Responsáveis pela Governança e Privacidade
A Emenda 13 determina a nomeação de um Responsável pela Proteção da Privacidade (PPO) independente com responsabilidades de supervisão e visibilidade de todas as atividades de processamento. A BigID fornece um glossário de negócios e painel de visão geral de dados que fornece aos PPOs um centro para monitorar a conformidade, aplicar políticas e garantir a responsabilização com a alta gerência.
Consentimento e Transparência
A reforma enfatiza explícitoconsentimento informado, transparência de notificações e controle granular sobre o uso de dados sensíveis. O BigID rastreia titulares de dados, registros de consentimento, preferênciase uso em todos os aplicativos. As organizações podem demonstrar uma base legal para processamento, honra solicitações de exclusãoe gerar relatórios prontos para divulgação para atender aos requisitos de transparência.
Segurança de Dados e Gestão de Riscos
A Emenda 13 exige avaliações de risco, testes de penetração, relatórios de incidentes e salvaguardas mais fortes para dados sensíveis. O BigID oferece pontuação de risco e monitoramento de políticas que sinalizam acesso anormal, exposição de dados confidenciais ou violações de políticas de retenção. A integração com sistemas SIEM/SOAR aprimora a resposta a incidentes e prontidão para notificação de violação.
Supervisão de fornecedores e corretores de dados
A lei impõe aos controladores a obrigação de revisar os processadores, monitorar a conformidade e garantir que os corretores de dados mantenham registros precisos e respeitem as opções de exclusão. O BigID fornece insights sobre o compartilhamento de dados de terceiros, ajudando organizações monitorar quem tem acesso a quais dados, aplicar a minimização de dados e fornecer registros auditáveis para reguladores.
Preparação Regulatória e Defesa de Litígios
Com novos poderes administrativos, o PPA pode impor multas, suspender o processamento e permitir ações coletivas. O BigID oferece soluções prontas para uso relatórios de conformidade e trilhas de auditoria, reduzindo a incerteza regulatória e fornecendo evidências em caso de litígio. As organizações podem gerar rapidamente documentação de conformidade para atender às exigências de órgãos reguladores ou tribunais.
O BigID ajuda a cumprir com inteligência de dados e automação que transforma obrigações legais em operações repetíveis. Agende uma demonstração hoje mesmo!
Autor
