Emenda 13 de Israel: o que a nova lei de proteção de dados significa para o seu negócio

Israel lançou a sua maior reforma de privacidade em 40 anos. A Emenda 13 à Lei de Proteção da Privacidade, que entrou em vigor a 14 de agosto de 2025, define agora regras mais rigorosas sobre a forma como as organizações recolhem, armazenam e usam dados pessoais.

As novas regras alargam o que é considerado dados sensíveis, introduzem Encarregados de Proteção de Dados (DPO) obrigatórios, apertam os requisitos de consentimento e dão aos reguladores poderes de aplicação mais fortes, incluindo a possibilidade de os indivíduos processarem judicialmente sem provarem dano. A emenda também aborda brevemente o uso de IA, tornando Israel um dos primeiros países a integrar decisões orientadas por IA no seu enquadramento.

O âmbito não se limita a Israel. Se a sua empresa processa dados sobre residentes israelitas — mesmo sem um escritório local — tem de cumprir.

Eis o que está a mudar, como se compara aos padrões globais e os passos que a sua organização deve dar agora.

Cronologia: quando se aplica a Emenda 13 de Israel?

• Março de 2024: Emenda 13 aprovada pelo Knesset.
• 14 de agosto de 2025: lei entrou em vigor.

Principais alterações na nova lei de proteção de dados de Israel

A Emenda 13 atualiza o enquadramento de privacidade de Israel para os padrões modernos, mas também introduz várias obrigações que vão além daquilo que a maioria das empresas espera. As alterações mais importantes incluem:

Âmbito alargado de dados pessoais e sensíveis

• Os dados pessoais agora incluem explicitamente endereços IP, identificadores online e dados de geolocalização, trazendo identificadores digitais comuns para o âmbito.
• «Dados sensíveis» é redefinido como «especialmente sensíveis», abrangendo biometria, dados genéticos, registos criminais, orientação sexual e detalhes financeiros.
• As empresas devem mapear onde estas categorias aparecem nos seus sistemas — por exemplo, IP em logs de servidor ou dados de acesso biométrico em sistemas de RH.

Leitura adicional: O que são Dados Sensíveis e Como as Empresas os Podem Proteger

DPO obrigatórios e maior responsabilização

• Organismos públicos, intermediários de dados, organizações cuja atividade principal seja processar dados especialmente sensíveis ou que realizem monitorização sistemática devem nomear um Encarregado de Proteção de Dados (DPO).
• O DPO tem de ser independente, com acesso direto à gestão de topo.
• Na prática, isto significa não só nomear alguém no papel, mas dar-lhe autoridade e recursos para monitorizar a conformidade entre departamentos.

Registo de bases de dados e notificações

• Ao contrário do GDPR, Israel continua a exigir registo para certas bases de dados.
• Organismos públicos e bases de dados de marketing direto com mais de 10.000 indivíduos têm de se registar junto do regulador.
• Bases de dados que detenham dados especialmente sensíveis sobre mais de 100.000 indivíduos têm de submeter uma notificação.

Requisitos de consentimento e transparência

• O consentimento tem de ser explícito, documentado e granular. O consentimento global já não é aceitável.
• Os avisos de privacidade têm agora de explicar o que é recolhido, porquê, os riscos e com quem é partilhado.
• Isto exige que as organizações revejam os formulários de consentimento existentes e os reescrevam para cumprir padrões mais elevados de divulgação.

IA e tomada de decisão automatizada

• A Emenda 13 é uma das primeiras leis de proteção de dados a abranger explicitamente a IA, exigindo o mesmo rigor que outros usos de dados: consentimento informado, divulgações claras e responsabilização.
• Os direitos dos titulares dos dados — acesso, retificação e eliminação — serão estritamente aplicados aos sistemas de IA.
• As organizações devem realizar Avaliações de Impacto sobre a Proteção de Dados (DPIA) para identificar riscos e documentar salvaguardas antes de implementar IA.

Leitura adicional: Estratégias para equilibrar a IA e a segurança de dados

Testes de segurança contínuos

• Bases de dados sensíveis de grande dimensão têm de ser submetidas a avaliações de risco e testes de penetração a cada 18 meses.
• As organizações têm de tratar os testes de penetração como parte do seu calendário de conformidade, e não apenas como uma iniciativa opcional de TI.

Aplicação e ações privadas

• A Privacy Protection Authority (PPA) pode suspender bases de dados, emitir ordens vinculativas e publicar os nomes dos infratores até 4 anos.
• As coimas administrativas podem chegar aos milhões de shekels (mais de 500.000 USD / mais de 460.000 EUR), com multiplicadores para tratamento de dados em larga escala ou sensíveis.
• Os indivíduos podem apresentar ações cíveis sem prova de dano, com indemnizações estatutárias até 100.000 NIS (27.000 USD / 25.000 EUR) por pessoa.
• As organizações podem também enfrentar ações coletivas e, em casos graves, responsabilidade criminal por infrações como quebras de confidencialidade ou induzir o regulador em erro.

Decisões prévias do regulador

• As empresas podem solicitar uma opinião vinculativa à PPA antes de lançarem novas atividades de tratamento de dados.
• Este mecanismo reduz a incerteza e permite às empresas validar estratégias de conformidade antes de investirem fortemente em novos sistemas.

Quem tem de cumprir a lei de privacidade de Israel

A nova lei israelita de proteção de dados aplica-se amplamente a:

• Empresas israelitas de qualquer dimensão que tratem dados pessoais.
• Empresas estrangeiras que processem dados sobre residentes israelitas.
• Organismos públicos e intermediários de dados que gerem dados em larga escala.

Determinados gatilhos tornam a conformidade obrigatória mesmo para organizações mais pequenas:

• Deter uma base de dados de marketing direto com mais de 10.000 indivíduos.
• Realizar monitorização sistemática de indivíduos.
• Processar grandes volumes de dados especialmente sensíveis.

Para gestores de TI e proprietários de empresas, isto afeta a forma como os dados são tratados diariamente — quem lhes pode aceder, como são protegidos e como os incidentes são reportados. Os líderes têm de alocar recursos para DPO, auditorias e formação para cumprir estas novas expectativas.

Como a Emenda 13 se compara ao GDPR e a outras leis

Se a sua empresa já cumpre o GDPR, tem uma base sólida e a lacuna de conformidade não será grande. Mas as regras de Israel acrescentam obrigações adicionais que não estão cobertas pelos padrões da UE.    

O que é igual:

• Exigência de DPO.
• Regras fortes de consentimento e avisos de privacidade.
• Registos de tratamento e controlos de segurança.
• Obrigações de proteger dados sensíveis.

Em que diferem:

• Ações cíveis sem prova de dano: em Israel, simplesmente violar direitos de privacidade pode ser suficiente para desencadear uma ação judicial. O GDPR geralmente exige que os indivíduos demonstrem dano efetivo.
• Registo e notificações de bases de dados: ainda exigidos para conjuntos de dados de alto risco, como dados sensíveis ou grandes bases de marketing (mais de 10.000 registos). A UE eliminou isto há anos.
• Testes de segurança obrigatórios: bases de dados sensíveis de grande dimensão têm de ser submetidas a testes de penetração e avaliações de risco — algo que nem o GDPR (nem a CCPA) exige.
• Supervisão da IA: o regulador associa explicitamente a IA aos deveres de privacidade. Isso significa DPIA antes da implementação, divulgações detalhadas e regras internas para ferramentas de IA generativa.

Comparação da Emenda 13 com outros enquadramentos:

• CCPA (Califórnia): forte nos direitos do consumidor (acesso, eliminação, opt-out), mas muito mais ligeira em segurança, limiares e penalizações do que Israel.
• nFADP da Suíça: alinhada com o GDPR, mas mais ligeira na aplicação. Israel é mais rigorosa devido às ações cíveis e à supervisão da IA.
• APPI do Japão: forte nas regras de transferência transfronteiriça, mas menos prescritiva nos testes de segurança. Israel pressiona mais as organizações em salvaguardas técnicas e notificações.

O que a Emenda 13 significa na prática

A Emenda 13 não afeta todos os setores da mesma forma. Os seus requisitos afetam cada indústria de forma diferente — eis como pode ser na prática:

Fintech

As startups que utilizam IA para classificação de crédito, deteção de fraude ou ferramentas de investimento têm de explicar como as decisões são tomadas e documentar os riscos de privacidade através de DPIA. Os dados de treino não podem ser recolhidos sem consentimento, e os clientes têm de receber divulgações claras antes de os modelos de IA processarem a sua informação. Saiba mais sobre DLP em fintech.

O que fazer agora: realizar uma DPIA antes de lançar ou atualizar ferramentas orientadas por IA.

Cuidados de saúde

Hospitais e clínicas tratam as categorias de dados mais sensíveis: registos médicos, informação genética e biometria. A Emenda 13 exige encriptação, logs de acesso e testes de penetração em bases de dados grandes. O tratamento de dados de pacientes tem agora de ser auditável e comprovadamente seguro. Saiba mais sobre DLP nos cuidados de saúde.

O que fazer agora: auditar o acesso a dados de pacientes e garantir que existe encriptação em todos os sistemas.

Finanças

Bancos e seguradoras processam detalhes financeiros classificados como «especialmente sensíveis». Partilhar extratos, relatórios de crédito ou perfis de risco exige agora controlos mais rigorosos e consentimento explícito. A encriptação e as verificações de fornecedores são agora obrigatórias por lei. Saiba mais sobre DLP em finanças.

O que fazer agora: rever contratos com terceiros e reforçar a encriptação nas transferências de dados financeiros.

Logística

O acompanhamento de envios e a monitorização de motoristas envolvem dados de geolocalização, agora explicitamente regulados como dados pessoais. As empresas têm de obter consentimento para o rastreio, definir limites de retenção e proteger os registos de localização. Os sistemas automatizados de definição de rotas ou monitorização da força de trabalho podem desencadear uma obrigação de DPIA.

O que fazer agora: atualizar os formulários de consentimento de motoristas e clientes para abranger o rastreio por geolocalização.

Indústria

As fábricas usam frequentemente sistemas biométricos de acesso e grandes bases de dados de colaboradores — ambos enquadrados em dados «especialmente sensíveis». Isso significa que auditorias de segurança, restrições de acesso e, em alguns casos, registo ou notificação ao regulador são obrigatórios.

O que fazer agora: rever os controlos de acesso biométrico e confirmar os requisitos de registo de bases de dados.

Lista de verificação de conformidade para a Emenda 13

Uma vez que a Emenda 13 entrou em vigor em agosto de 2025, as empresas que processam dados pessoais em Israel já se devem estar a adaptar. Os passos seguintes ajudarão a garantir que está em conformidade:

1. Mapeie os seus fluxos de dados — Identifique que dados sensíveis detém, onde residem e como se movem entre sistemas. Preste especial atenção a logs, sistemas de RH e aplicações na cloud onde os dados sensíveis muitas vezes se escondem.
2. Nomeie um DPO — Obrigatório para organismos públicos, intermediários de dados, organizações que realizem monitorização sistemática ou bases de dados que tratem principalmente dados sensíveis. Mesmo que não seja obrigatório, um DPO pode reduzir o risco ao coordenar as práticas de privacidade entre departamentos.
3. Atualize os processos de consentimento — Os avisos têm de explicar o que é recolhido, porquê, riscos, destinatários e fontes de dados. Garanta que o consentimento é explícito, documentado e granular — especialmente para dados sensíveis.
4. Reforce a segurança — Realize avaliações de risco e testes de penetração (a cada 18 meses para grandes bases de dados sensíveis), aperte os controlos de acesso e registe incidentes para criar uma trilha de auditoria.
5. Implemente políticas de utilização de IA — Realize DPIA antes de implementar IA, atualize consentimentos e avisos para divulgar o uso de IA, adote regras internas para ferramentas de IA generativa (por exemplo, que ferramentas são permitidas e que dados podem ser carregados) e bloqueie a recolha ilícita de dados.
6. Forme os colaboradores e construa uma cultura de conformidade — Forme regularmente o pessoal que trata dados sobre consentimento, segurança e obrigações de comunicação. A conformidade depende das decisões diárias, e não apenas das políticas.
7. Implemente DLP — Use ferramentas de Data Loss Prevention para classificar e monitorizar dados em tempo real, evitar transferências não autorizadas e fornecer logs prontos para auditoria aos reguladores.

Como a Safetica o ajuda a cumprir a lei de proteção de dados de Israel

A Emenda 13 de Israel é um sinal de que a proteção de dados na região está a entrar numa nova era. A lei eleva a fasquia para a forma como as organizações recolhem, protegem e utilizam dados pessoais. Embora isso signifique novas obrigações, também cria oportunidades. As empresas que se adaptarem cedo não só evitarão penalizações, como também reforçarão a confiança junto de clientes, parceiros e reguladores.

A solução DLP da Safetica foi concebida para tornar a conformidade prática. Com a Safetica, as organizações podem:

• Identificar e classificar dados sensíveis automaticamente — em endpoints, aplicações na cloud e armazenamento.
• Monitorizar e controlar a utilização de dados para evitar transferências não autorizadas, intencionais ou acidentais.
• Criar uma trilha pronta para auditoria de logs de acesso e incidentes de segurança para satisfazer os reguladores.
• Proteger pipelines de IA garantindo que dados sensíveis não são utilizados indevidamente em treino ou processos automatizados.
• Apoiar o seu DPO com visibilidade centralizada, relatórios e ferramentas de aplicação de políticas.
• Reforçar a confiança dos clientes ao mostrar que as suas práticas de proteção de dados vão além da conformidade mínima.

Com a Safetica, pode transformar a conformidade em confiança — cumprindo os requisitos da nova lei de proteção de dados de Israel ao mesmo tempo que protege a informação crítica do seu negócio em todo o mundo.

Pronto para ver como a Safetica pode ajudar a sua empresa a preparar-se para a Emenda 13?