Enmienda 13 de Israel: lo que la nueva ley de protección de datos significa para su empresa

17.09.2025 twitter X safetica

Israel ha implementado su mayor reforma de privacidad en 40 años. La Enmienda 13 a la Ley de Protección de la Privacidad, que entró en vigor el 14 de agosto de 2025, establece ahora normas más estrictas sobre cómo las organizaciones recopilan, almacenan y utilizan los datos personales.

Las nuevas normas amplían lo que se considera datos sensibles, introducen la obligatoriedad de los Delegados de Protección de Datos (DPO), endurecen los requisitos de consentimiento y otorgan a los reguladores mayores facultades de aplicación, incluida la posibilidad de que los individuos demanden sin necesidad de probar un daño. La enmienda también aborda brevemente el uso de la IA, lo que convierte a Israel en uno de los primeros países en incorporar decisiones impulsadas por IA en su marco legal.

El alcance no se limita a Israel. Si su empresa procesa datos de residentes israelíes —incluso sin una oficina local— debe cumplir la ley.

A continuación, qué está cambiando, cómo se compara con los estándares globales y qué pasos debe tomar su organización ahora.

Línea de tiempo: ¿Cuándo aplica la Enmienda 13 de Israel?

  • Marzo de 2024: La Enmienda 13 fue aprobada por la Knéset.
  • 14 de agosto de 2025: La ley entró en vigor.

Cambios clave en la nueva ley de protección de datos de Israel

La Enmienda 13 actualiza el marco de privacidad de Israel a los estándares modernos, pero también introduce varias obligaciones que van más allá de lo que la mayoría de las empresas esperan. Los cambios más importantes incluyen:

Ampliación del alcance de los datos personales y sensibles

  • Los datos personales incluyen ahora de forma explícita las direcciones IP, los identificadores en línea y los datos de geolocalización, incorporando así identificadores digitales comunes.
  • Los “datos sensibles” se redefinen como “especialmente sensibles”, incluyendo biometría, datos genéticos, antecedentes penales, orientación sexual y datos financieros.
  • Las empresas deben mapear dónde aparecen estas categorías en sus sistemas—por ejemplo, direcciones IP en registros de servidores o datos biométricos de acceso en sistemas de RR. HH.

Lectura adicional: Qué son los datos confidenciales y cómo las empresas pueden protegerlos

DPO obligatorios y mayor responsabilidad

  • Los organismos públicos, corredores de datos, organizaciones cuya actividad principal sea el tratamiento de datos especialmente sensibles, o aquellas que realicen un monitoreo sistemático, deben nombrar un Delegado de Protección de Datos (DPO).
  • El DPO debe ser independiente y tener acceso directo a la alta dirección.
  • En la práctica, esto significa no solo designar a alguien en el papel, sino darle autoridad y recursos para supervisar el cumplimiento en todos los departamentos.

Registro de bases de datos y notificaciones

  • A diferencia del GDPR, Israel sigue exigiendo el registro de ciertas bases de datos.
  • Los organismos públicos y las bases de datos de marketing directo de más de 10,000 personas deben registrarse ante el regulador.
  • Las bases de datos que contengan datos especialmente sensibles de más de 100,000 personas deben presentar una notificación.

Requisitos de consentimiento y transparencia

  • El consentimiento debe ser explícito, documentado y granular. El consentimiento genérico ya no es aceptable.
  • Los avisos de privacidad deben explicar qué se recopila, por qué, los riesgos y con quién se comparte.
  • Esto requiere que las organizaciones revisen los formularios de consentimiento existentes y los reescriban para cumplir con estándares más altos de divulgación.

IA y toma de decisiones automatizada

  • La Enmienda 13 es una de las primeras leyes de protección de datos que cubre explícitamente la IA, exigiendo el mismo rigor que otros usos de datos: consentimiento informado, divulgaciones claras y responsabilidad.
  • Los derechos de los titulares de los datos—acceso, corrección y eliminación—se harán cumplir estrictamente para sistemas de IA.
  • Las organizaciones deben realizar Evaluaciones de Impacto en la Protección de Datos (DPIA) para identificar riesgos y documentar salvaguardas antes de desplegar IA.

Lectura adicional: Estrategias para equilibrar la IA y la seguridad de los datos

Pruebas de seguridad continuas

  • Las grandes bases de datos sensibles deben someterse a evaluaciones de riesgos y pruebas de penetración cada 18 meses.
  • Las organizaciones deben tratar las pruebas de penetración como parte de su calendario de cumplimiento, no solo como una iniciativa opcional de TI.

Aplicación de la ley y demandas privadas

  • La Autoridad de Protección de la Privacidad (PPA) puede suspender bases de datos, emitir órdenes vinculantes y publicar los nombres de los infractores hasta por 4 años.
  • Las multas administrativas pueden alcanzar millones de shékels (USD 500,000+ / EUR 460,000+), con multiplicadores para el tratamiento a gran escala o de datos sensibles.
  • Los individuos pueden presentar demandas civiles sin necesidad de probar un daño, con indemnizaciones legales de hasta 100,000 NIS (USD 27,000 / EUR 25,000) por persona.
  • Las organizaciones también pueden enfrentar demandas colectivas y, en casos graves, responsabilidad penal por delitos como violaciones de confidencialidad o engañar al regulador.

Resoluciones anticipadas del regulador

  • Las empresas pueden solicitar una opinión vinculante de la PPA antes de iniciar nuevas actividades de tratamiento de datos.
  • Este mecanismo reduce la incertidumbre y permite validar estrategias de cumplimiento antes de invertir fuertemente en nuevos sistemas.

Quién debe cumplir con la ley de privacidad de Israel

La nueva ley de protección de datos israelí se aplica de forma amplia a:

  • Empresas israelíes de cualquier tamaño que manejen datos personales.
  • Empresas extranjeras que procesen datos de residentes israelíes.
  • Organismos públicos y corredores de datos que gestionen datos a gran escala.

Existen disparadores específicos que hacen obligatorio el cumplimiento incluso para organizaciones más pequeñas:

  • Poseer una base de datos de marketing directo de 10,000+ personas.
  • Realizar monitoreo sistemático de individuos.
  • Procesar grandes volúmenes de datos especialmente sensibles.

Para gerentes de TI y dueños de negocios, esto impacta en cómo se manejan los datos a diario—quién puede acceder, cómo se protegen y cómo se informan los incidentes. Los líderes deben asignar recursos para DPOs, auditorías y capacitación para cumplir con estas nuevas expectativas.

 

Cómo se compara la Enmienda 13 con el GDPR y otras leyes

Si su empresa ya cumple con el GDPR, cuenta con una base sólida y la brecha de cumplimiento no será enorme. Pero las normas de Israel añaden obligaciones adicionales que no están cubiertas por los estándares de la UE.

Qué es igual:

  • Requisito de DPO.
  • Reglas estrictas de consentimiento y avisos de privacidad.
  • Registros de procesamiento y controles de seguridad.
  • Obligaciones de proteger datos sensibles.

En qué difieren:

  • Demandas civiles sin prueba de daño: En Israel, simplemente violar derechos de privacidad puede ser suficiente para iniciar una demanda. El GDPR usualmente requiere que las personas demuestren un daño real.
  • Registro de bases de datos y notificaciones: Aún requerido para conjuntos de datos de alto riesgo como datos sensibles o grandes bases de marketing (10,000+ registros). La UE eliminó esto hace años.
  • Pruebas de seguridad obligatorias: Las grandes bases de datos sensibles deben someterse a pruebas de penetración y evaluaciones de riesgo—algo que ni el GDPR (ni la CCPA) exige.
  • Supervisión de IA: El regulador vincula explícitamente la IA con los deberes de privacidad. Eso significa DPIAs antes de su despliegue, divulgaciones detalladas y reglas internas para herramientas de IA generativa.

Comparación de la Enmienda 13 con otros marcos:

  • CCPA (California): Fuerte en derechos del consumidor (acceso, eliminación, opt-out), pero mucho más ligera en seguridad, umbrales y sanciones que Israel.
  • nFADP de Suiza: Alineada con el GDPR pero más ligera en la aplicación. Israel es más estricto debido a las demandas civiles y la supervisión de la IA.
  • APPI de Japón: Fuerte en reglas de transferencias internacionales, pero menos prescriptiva en pruebas de seguridad. Israel exige más a las organizaciones en salvaguardas técnicas y notificaciones.

 

Qué significa en la práctica la Enmienda 13

La Enmienda 13 no afecta a todos los sectores de la misma manera. Sus requisitos impactan de forma diferente en cada industria—esto es lo que podría implicar en la práctica:

Fintech

Las startups que usen IA para evaluación crediticia, detección de fraude o herramientas de inversión deben explicar cómo se toman las decisiones y documentar los riesgos de privacidad mediante DPIAs. Los datos de entrenamiento no pueden recopilarse sin consentimiento, y los clientes deben recibir divulgaciones claras antes de que sus datos sean procesados por modelos de IA. Lea más sobre DLP en fintech.

Qué hacer ahora: Realizar una DPIA antes de lanzar o actualizar herramientas impulsadas por IA.

Sanidad

Hospitales y clínicas manejan las categorías más sensibles de datos: historiales médicos, información genética y biometría. La Enmienda 13 exige cifrado, registros de acceso y pruebas de penetración en grandes bases de datos. El manejo de datos de pacientes debe ser ahora auditable y comprobablemente seguro. Lea más sobre DLP en salud.

Qué hacer ahora: Auditar el acceso a los datos de pacientes y garantizar el cifrado en todos los sistemas.

Finanzas

Los bancos y aseguradoras procesan datos financieros clasificados como “especialmente sensibles”. Compartir estados de cuenta, informes crediticios o perfiles de riesgo ahora requiere controles más estrictos y consentimiento explícito. El cifrado y las verificaciones de proveedores son obligatorios bajo la ley. Lea más sobre DLP en finanzas.

Qué hacer ahora: Revisar contratos con terceros y reforzar el cifrado en transferencias de datos financieros.

Logística

El rastreo de envíos y el monitoreo de conductores implican datos de geolocalización, ahora regulados explícitamente como datos personales. Las empresas deben obtener consentimiento para el rastreo, establecer límites de retención y proteger los registros de ubicación. Los sistemas automatizados de enrutamiento o monitoreo laboral pueden activar la obligación de una DPIA.

Qué hacer ahora: Actualizar los formularios de consentimiento de conductores y clientes para cubrir el rastreo de geolocalización.

Manufactura

Las fábricas suelen usar sistemas de acceso biométrico y grandes bases de empleados—ambos entran dentro de los datos “especialmente sensibles”. Esto implica auditorías de seguridad, restricciones de acceso y, en algunos casos, registro o notificación al regulador como obligatorios.

Qué hacer ahora: Revisar los controles de acceso biométrico y confirmar los requisitos de registro de bases de datos.

 

Lista de verificación de cumplimiento de la Enmienda 13

Desde que la Enmienda 13 entró en vigor en agosto de 2025, las empresas que procesan datos personales en Israel ya deberían estar adaptándose. Los siguientes pasos ayudan a asegurar el cumplimiento:

  1. Mapear los flujos de datos—Identificar qué datos sensibles posee, dónde residen y cómo se mueven entre sistemas. Ponga especial atención a registros, sistemas de RR. HH. y aplicaciones en la nube donde suelen ocultarse datos sensibles.
  2. Nombrar un DPO—Obligatorio para organismos públicos, corredores de datos, organizaciones que realicen monitoreo sistemático o bases de datos que manejen principalmente datos sensibles. Incluso si no es obligatorio, un DPO puede reducir riesgos coordinando las prácticas de privacidad.
  3. Actualizar los procesos de consentimiento—Los avisos deben explicar qué se recopila, por qué, los riesgos, destinatarios y fuentes de datos. Asegúrese de que el consentimiento sea explícito, documentado y granular—especialmente para datos sensibles.
  4. Reforzar la seguridad—Realizar evaluaciones de riesgos y pruebas de penetración (cada 18 meses para grandes bases sensibles), endurecer los controles de acceso y registrar incidentes para crear una trazabilidad de auditoría.
  5. Implementar políticas de uso de IA—Realizar DPIAs antes de desplegar IA, actualizar consentimientos y avisos para divulgar el uso de IA, adoptar reglas internas para herramientas de IA generativa (por ejemplo, qué herramientas están permitidas y qué datos pueden subirse) y bloquear la recopilación ilegal de datos.
  6. Capacitar empleados y construir una cultura de cumplimientoCapacitar regularmente al personal que maneja datos en consentimiento, seguridad y obligaciones de reporte. El cumplimiento depende de decisiones diarias, no solo de políticas.
  7. Desplegar DLP—Usar herramientas de Prevención de Pérdida de Datos para clasificar y monitorear datos en tiempo real, prevenir transferencias no autorizadas y proporcionar registros listos para auditorías.

 

Cómo Safetica le ayuda a cumplir con la ley de protección de datos de Israel

La Enmienda 13 de Israel es una señal de que la protección de datos en la región entra en una nueva era. La ley eleva el nivel de cómo las organizaciones recopilan, protegen y usan los datos personales. Aunque implica nuevas obligaciones, también crea oportunidades. Las empresas que se adapten temprano no solo evitarán sanciones, sino que también fortalecerán la confianza de clientes, socios y reguladores.

La solución DLP de Safetica está diseñada para hacer que el cumplimiento sea práctico. Con Safetica, las organizaciones pueden:

  • Identificar y clasificar datos sensibles automáticamente—en endpoints, aplicaciones en la nube y almacenamiento.
  • Monitorear y controlar el uso de datos para prevenir transferencias no autorizadas, sean intencionales o accidentales.
  • Crear un historial auditable de registros de acceso e incidentes de seguridad para satisfacer a los reguladores.
  • Proteger las canalizaciones de IA asegurando que los datos sensibles no se usen de forma indebida en entrenamientos o procesos automatizados.
  • Apoyar a su DPO con visibilidad centralizada, reportes y herramientas de aplicación de políticas.
  • Fortalecer la confianza del cliente mostrando que sus prácticas de protección de datos van más allá del cumplimiento mínimo.

Con Safetica, puede convertir el cumplimiento en confianza—cumpliendo con los requisitos de la nueva ley de protección de datos de Israel mientras protege su información crítica en todo el mundo.

¿Listo para ver cómo Safetica puede ayudar a su empresa a prepararse para la Enmienda 13?

Próximos artículos

Cumplimiento Normativo Artículos del blog

¿Qué es HIPAA? El Alcance, Propósito y Cómo Cumplir

Las normas HIPAA exigen que los registros estén mejor protegidos y protegidos contra filtraciones. Lea más sobre esta normativa estadounidense y descubra cómo cumplirla.
Leer más
Cumplimiento Normativo

Cómo Safetica ayuda a cumplir con Leyes similares a la GDPR en Latinoamérica

En un mundo cada vez más digitalizado, la protección de datos personales se ha convertido en una prioridad para empresas y gobiernos en todo el mundo. En Latinoamérica, países como Brasil, Colombia, México, Chile y Ecuador han adoptado leyes similares a la GDPR.
Leer más
Cumplimiento Normativo Artículos del blog

Marco HITRUST: alcance, propósito y cómo cumplir con sus requisitos

Este artículo te guía por la evolución de HITRUST, su alcance actual y cómo puede transformar tu estrategia de protección de datos.
Leer más