Enmienda 13 de Israel: qué significa la nueva ley de protección de datos para tu empresa

Israel ha implementado su mayor reforma de privacidad en 40 años. La Enmienda 13 a la Ley de Protección de la Privacidad, que entró en vigor el 14 de agosto de 2025, ahora establece reglas más estrictas sobre cómo las organizaciones recopilan, almacenan y utilizan los datos personales.

Las nuevas reglas amplían lo que se considera datos sensibles, introducen Data Protection Officers (DPOs) obligatorios, refuerzan los requisitos de consentimiento y otorgan a los reguladores poderes de aplicación más sólidos, incluida la posibilidad de que las personas presenten demandas sin probar daño. La enmienda también aborda brevemente el uso de IA, convirtiendo a Israel en uno de los primeros países en incorporar las decisiones impulsadas por IA en su marco normativo.

El alcance no se limita a Israel. Si tu empresa procesa datos de residentes israelíes —incluso sin una oficina local—, debe cumplir.

Aquí está lo que cambia, cómo se compara con los estándares globales y los pasos que tu organización debe dar ahora.

Cronograma: ¿cuándo se aplica la Enmienda 13 de Israel?

• Marzo de 2024: la Enmienda 13 fue aprobada por el Knesset.
• 14 de agosto de 2025: la ley entró en vigor.

Cambios clave en la nueva ley de protección de datos de Israel

La Enmienda 13 actualiza el marco de privacidad de Israel a los estándares modernos, pero también introduce varias obligaciones que van más allá de lo que la mayoría de las empresas espera. Los cambios más importantes incluyen:

Alcance ampliado de datos personales y sensibles

• Los datos personales ahora incluyen explícitamente direcciones IP, identificadores en línea y datos de geolocalización, incorporando identificadores digitales comunes al alcance.
• Los "datos sensibles" se redefinen como "especialmente sensibles" y abarcan datos biométricos, datos genéticos, antecedentes penales, orientación sexual y detalles financieros.
• Las empresas deben mapear dónde aparecen estas categorías en sus sistemas, por ejemplo, IPs en logs de servidores o datos de acceso biométrico en sistemas de RRHH.

Lecturas adicionales: Qué son los datos sensibles y cómo pueden protegerlos las empresas

DPOs obligatorios y mayor responsabilidad

• Los organismos públicos, los corredores de datos, las organizaciones cuya actividad principal sea procesar datos especialmente sensibles o aquellas que realicen monitoreo sistemático deben designar un Data Protection Officer (DPO).
• El DPO debe ser independiente, con acceso directo a la alta dirección.
• En la práctica, esto significa no solo nombrar a alguien sobre el papel, sino darle autoridad y recursos para monitorear el cumplimiento en todos los departamentos.

Registro de bases de datos y notificaciones

• A diferencia de GDPR, Israel sigue exigiendo el registro de ciertas bases de datos.
• Los organismos públicos y las bases de datos de marketing directo con más de 10.000 personas deben registrarse ante el regulador.
• Las bases de datos que contengan datos especialmente sensibles sobre más de 100.000 personas deben enviar una notificación.

Requisitos de consentimiento y transparencia

• El consentimiento debe ser explícito, documentado y granular. Ya no es aceptable un consentimiento general.
• Los avisos de privacidad ahora deben explicar qué se recopila, por qué se recopila, los riesgos y con quién se comparte.
• Esto requiere que las organizaciones revisen los formularios de consentimiento existentes y los reescriban para cumplir con estándares más altos de divulgación.

IA y toma de decisiones automatizada

• La Enmienda 13 es una de las primeras leyes de protección de datos en cubrir explícitamente la IA, exigiendo el mismo rigor que cualquier otro uso de datos: consentimiento informado, divulgaciones claras y responsabilidad.
• Los derechos de los titulares de los datos —acceso, corrección y eliminación— se aplicarán estrictamente a los sistemas de IA.
• Las organizaciones deben realizar Evaluaciones de Impacto en la Protección de Datos (DPIAs) para identificar riesgos y documentar las salvaguardas antes de implementar IA.

Lecturas adicionales: Estrategias para equilibrar IA y seguridad de datos

Pruebas de seguridad continuas

• Las grandes bases de datos sensibles deben someterse a evaluaciones de riesgos y pruebas de penetración cada 18 meses.
• Las organizaciones deben tratar las pruebas de penetración como parte de su calendario de cumplimiento, no solo como una iniciativa opcional de TI.

Aplicación de la ley y reclamaciones civiles

• La Privacy Protection Authority (PPA) puede suspender bases de datos, emitir órdenes vinculantes y publicar los nombres de los infractores hasta por 4 años.
• Las multas administrativas pueden alcanzar millones de shekels (más de USD 500.000 / más de EUR 460.000), con multiplicadores para procesamientos de gran escala o de datos sensibles.
• Las personas pueden presentar reclamaciones civiles sin necesidad de probar daño, con daños estatutarios de hasta NIS 100.000 (USD 27.000 / EUR 25.000) por persona.
• Las organizaciones también pueden enfrentar acciones colectivas y, en casos graves, responsabilidad penal por delitos como violaciones de confidencialidad o engañar al regulador.

Resoluciones anticipadas del regulador

• Las empresas pueden solicitar una opinión vinculante de la PPA antes de iniciar nuevas actividades de procesamiento de datos.
• Este mecanismo reduce la incertidumbre y permite a las empresas validar las estrategias de cumplimiento antes de invertir fuertemente en nuevos sistemas.

Quién debe cumplir con la ley de privacidad de Israel

La nueva ley de protección de datos israelí se aplica de forma amplia a:

• Empresas israelíes de cualquier tamaño que manejen datos personales.
• Empresas extranjeras que procesen datos sobre residentes israelíes.
• Organismos públicos y corredores de datos que gestionen datos a gran escala.

Hay desencadenantes específicos que hacen obligatorio el cumplimiento incluso para organizaciones más pequeñas:

• Mantener una base de datos de marketing directo de más de 10.000 personas.
• Realizar monitoreo sistemático de personas.
• Procesar grandes volúmenes de datos especialmente sensibles.

Para los gerentes de TI y los dueños de negocios, esto impacta cómo se manejan los datos diariamente: quién puede acceder a ellos, cómo se aseguran y cómo se reportan los incidentes. Los líderes deben asignar recursos para DPOs, auditorías y capacitación para cumplir con estas nuevas expectativas.

Cómo se compara la Enmienda 13 con GDPR y otras leyes

Si tu empresa ya cumple con GDPR, tienes una base sólida y la brecha de cumplimiento no será enorme. Pero las reglas de Israel agregan obligaciones adicionales que no están cubiertas por los estándares de la UE.    

Lo que es igual:

• Requisito de DPO.
• Reglas sólidas de consentimiento y avisos de privacidad.
• Registros de procesamiento y controles de seguridad.
• Obligaciones de proteger datos sensibles.

En qué se diferencian:

• Reclamaciones civiles sin prueba de daño: en Israel, simplemente violar derechos de privacidad puede ser suficiente para iniciar una demanda. GDPR generalmente exige a las personas demostrar daño real.
• Registro de bases de datos y notificaciones: aún se requiere para conjuntos de datos de alto riesgo como datos sensibles o grandes bases de datos de marketing (más de 10.000 registros). La UE eliminó esto hace años.
• Pruebas de seguridad obligatorias: las grandes bases de datos sensibles deben someterse a pruebas de penetración y evaluaciones de riesgo, algo que ni GDPR (ni CCPA) requieren.
• Supervisión de IA: el regulador vincula explícitamente la IA con los deberes de privacidad. Eso significa DPIAs antes del despliegue, divulgaciones detalladas y reglas internas para herramientas de IA generativa.

Comparando la Enmienda 13 con otros marcos:

• CCPA (California): sólida en derechos del consumidor (acceso, eliminación, opt-out), pero mucho más ligera en seguridad, umbrales y sanciones que Israel.
• nFADP de Suiza: alineada con GDPR pero más ligera en cuanto a aplicación. Israel es más estricta debido a las reclamaciones civiles y la supervisión de IA.
• APPI de Japón: sólida en reglas de transferencia transfronteriza, pero menos prescriptiva en pruebas de seguridad. Israel exige más a las organizaciones en cuanto a salvaguardas técnicas y notificaciones.

Qué significa la Enmienda 13 en la práctica

La Enmienda 13 no afecta a todos los sectores de la misma manera. Sus requisitos impactan a cada industria de manera diferente; aquí cómo podría verse en la práctica:

Fintech

Las startups que utilizan IA para puntuación crediticia, detección de fraudes o herramientas de inversión deben explicar cómo se toman las decisiones y documentar los riesgos de privacidad mediante DPIAs. Los datos de entrenamiento no se pueden recopilar sin consentimiento y los clientes deben recibir divulgaciones claras antes de que los modelos de IA procesen su información. Lee más sobre DLP en fintech.

Qué hacer ahora: realiza una DPIA antes de lanzar o actualizar herramientas impulsadas por IA.

Salud

Los hospitales y clínicas manejan las categorías más sensibles de datos: registros médicos, información genética y datos biométricos. La Enmienda 13 exige cifrado, registros de acceso y pruebas de penetración en grandes bases de datos. El manejo de datos de pacientes ahora debe ser auditable y demostrablemente seguro. Lee más sobre DLP en el sector salud.

Qué hacer ahora: audita el acceso a los datos de pacientes y asegúrate de que el cifrado esté implementado en todos los sistemas.

Finanzas

Los bancos y las aseguradoras procesan detalles financieros clasificados como "especialmente sensibles". Compartir estados de cuenta, informes de crédito o perfiles de riesgo ahora requiere controles más estrictos y consentimiento explícito. El cifrado y las verificaciones de proveedores ahora son obligatorios bajo la ley. Lee más sobre DLP en finanzas.

Qué hacer ahora: revisa los contratos con terceros y refuerza el cifrado en las transferencias de datos financieros.

Logística

El seguimiento de envíos y el monitoreo de conductores involucran datos de geolocalización, ahora regulados explícitamente como datos personales. Las empresas deben obtener consentimiento para el rastreo, establecer límites de retención y asegurar los registros de ubicación. Los sistemas automatizados para el enrutamiento o el monitoreo de la fuerza laboral pueden activar una obligación de DPIA.

Qué hacer ahora: actualiza los formularios de consentimiento de conductores y clientes para cubrir el rastreo de geolocalización.

Manufactura

Las fábricas a menudo utilizan sistemas de acceso biométrico y grandes bases de datos de empleados; ambas caen dentro de los datos "especialmente sensibles". Eso significa que las auditorías de seguridad, las restricciones de acceso y, en algunos casos, el registro o la notificación al regulador son obligatorios.

Qué hacer ahora: revisa los controles de acceso biométrico y confirma los requisitos de registro de bases de datos.

Lista de verificación de cumplimiento para la Enmienda 13

Dado que la Enmienda 13 entró en vigor en agosto de 2025, las empresas que procesan datos personales en Israel ya deberían estar adaptándose. Los siguientes pasos te ayudarán a garantizar el cumplimiento:

1. Mapea tus flujos de datos: identifica qué datos sensibles posees, dónde residen y cómo se mueven entre sistemas. Presta especial atención a los logs, los sistemas de RRHH y las aplicaciones en la nube donde los datos sensibles a menudo se ocultan.
2. Designa un DPO: requerido para organismos públicos, corredores de datos, organizaciones que realizan monitoreo sistemático o bases de datos que principalmente manejan datos sensibles. Incluso si no es obligatorio, un DPO puede reducir el riesgo coordinando las prácticas de privacidad en todos los departamentos.
3. Actualiza los procesos de consentimiento: los avisos deben explicar qué se recopila, por qué, los riesgos, los destinatarios y las fuentes de datos. Asegúrate de que el consentimiento sea explícito, documentado y granular, especialmente para datos sensibles.
4. Refuerza la seguridad: realiza evaluaciones de riesgo y pruebas de penetración (cada 18 meses para bases de datos sensibles grandes), endurece los controles de acceso y registra los incidentes para crear un rastro de auditoría.
5. Implementa políticas de uso de IA: realiza DPIAs antes de implementar IA, actualiza el consentimiento y los avisos para revelar el uso de IA, adopta reglas internas para herramientas de IA generativa (por ejemplo, qué herramientas están permitidas y qué datos se pueden cargar) y bloquea la recopilación ilegal de datos.
6. Capacita a los empleados y construye una cultura de cumplimiento: capacita regularmente al personal que maneja datos sobre consentimiento, seguridad y obligaciones de informe. El cumplimiento depende de las decisiones cotidianas, no solo de las políticas.
7. Implementa DLP: utiliza herramientas de Data Loss Prevention para clasificar y monitorear los datos en tiempo real, evitar transferencias no autorizadas y proporcionar registros listos para auditorías para los reguladores.

Cómo Safetica te ayuda a cumplir con la ley de protección de datos de Israel

La Enmienda 13 de Israel es una señal de que la protección de datos en la región está entrando en una nueva era. La ley eleva el estándar sobre cómo las organizaciones recopilan, aseguran y utilizan los datos personales. Si bien eso significa nuevas obligaciones, también crea oportunidades. Las empresas que se adapten temprano no solo evitarán sanciones, sino que también fortalecerán la confianza con clientes, socios y reguladores.

La solución DLP de Safetica está diseñada para hacer práctico el cumplimiento. Con Safetica, las organizaciones pueden:

• Identificar y clasificar datos sensibles automáticamente, en endpoints, aplicaciones en la nube y almacenamiento.
• Monitorear y controlar el uso de datos para evitar transferencias no autorizadas, sean intencionales o accidentales.
• Crear un rastro listo para auditoría de registros de acceso e incidentes de seguridad para satisfacer a los reguladores.
• Proteger los pipelines de IA asegurando que los datos sensibles no se utilicen indebidamente en el entrenamiento o procesos automatizados.
• Apoyar a tu DPO con visibilidad centralizada, informes y herramientas de aplicación de políticas.
• Fortalecer la confianza del cliente al demostrar que tus prácticas de protección de datos van más allá del cumplimiento mínimo.

Con Safetica puedes convertir el cumplimiento en confianza: cumplir con los requisitos de la nueva ley de protección de datos de Israel mientras proteges tu información empresarial crítica en todo el mundo.

¿Listo para ver cómo Safetica puede ayudar a tu empresa a prepararse para la Enmienda 13?