Guia de consentiment de galetes de la Privacy Protection Law d'Israel: compliment de l'Amendment 13 per a editors
La Privacy Protection Law d'Israel té un llarg llinatge. L'estatut original data de 1981, la Privacy Protection Authority — el regulador de protecció de dades del país — es va establir el 2006, i la EU ha reconegut Israel com a jurisdicció adequada per a transferències de dades personals des del 2011, un dels pocs països que ostenten aquest estatus. Durant la major part d'aquest període, els estàndards substantius estaven àmpliament alineats amb el GDPR, però l'arquitectura d'aplicació era més lleugera i les especificitats tècniques estaven menys desenvolupades. L'Amendment 13, que va entrar en vigor l'agost de 2025, canvia això. L'esmena modernitza l'estàndard de consentiment, amplia el marc de drets, afina les normes de transferència transfronterera i reforça substancialment els poders d'aplicació de la Privacy Protection Authority. Per als editors que operen a Israel o que s'adrecen al trànsit israelià — un mercat amb una de les poblacions més digitalment compromeses del món — l'efecte pràctic és que el compliment del consentiment de galetes i el seguiment en línia és ara significativament més proper a l'estàndard europeu. Aquesta guia repassa què ha canviat, quin és l'estàndard operatiu ara i on els editors haurien de centrar el treball de correcció.
La Privacy Protection Law el 2026
El marc israelià es fonamenta en tres capes: la Privacy Protection Law mateixa (l'estatut primari), les Privacy Protection Regulations (que completen el detall operatiu, especialment les Data Security Regulations de 2017), i les directives i documents de posició emesos per la Privacy Protection Authority. L'Amendment 13 modifica la primera capa i desencadena actualitzacions a la segona; la tercera — la guia interpretativa de l'Autoritat — s'ha actualitzat contínuament des que l'esmena va entrar en vigor.
Els principis fonamentals seran familiars per a qualsevol persona que treballi amb el GDPR: base jurídica, limitació de la finalitat, minimització de dades, exactitud, limitació de l'emmagatzematge, integritat i responsabilitat proactiva. Les bases jurídiques sota la llei israeliana inclouen el consentiment, l'execució de contractes, l'obligació legal, l'interès públic i l'interès legítim, cadascuna amb el seu propi abast. Per al seguiment en línia, les bases rellevants són el consentiment i, en circumstàncies limitades, l'interès legítim — el mateix marc que la majoria d'operadors ja coneixen.
Què ha canviat realment l'Amendment 13
L'esmena és més àmplia que el consentiment de galetes, però quatre canvis són els més importants per als editors en línia.
Estàndard de consentiment reforçat
L'esmena endureix la definició de consentiment per exigir que sigui lliurement atorgat, específic, informat i inequívoc — un llenguatge que segueix de prop el GDPR Article 4(11). El consentiment implícit i l'ús continuat com a consentiment, que havien estat ambiguament acceptables sota la interpretació anterior, són ara inequívocament insuficients per al seguiment no essencial.
Drets ampliats dels interessats
Els drets d'accés, rectificació, supressió i oposició es clarifiquen i s'amplien. L'esmena introdueix terminis explícits per a les respostes (45 dies, ampliables per 30 en casos complexos) i clarifica l'obligació de l'editor de proporcionar un camí clar per exercir els drets.
Marc de transferència transfronterera més precís
Les transferències a jurisdiccions no adequades ara requereixen salvaguardes explícites — clàusules contractuals model, normes corporatives vinculants (BCR) o derogacions específiques. El marc és més proper al Chapter V del GDPR que l'antic enfocament israelià, i l'Autoritat ha començat a publicar clàusules model similars a les SCC de la EU.
Poders d'aplicació més forts
Les multes administratives s'incrementen substancialment. La penalització màxima està vinculada a un percentatge dels ingressos de l'organització amb un sostre absolut elevat, similar a l'estructura escalonada del GDPR. L'Autoritat ha rebut poders investigadors ampliats, incloent-hi la capacitat de requerir la producció de documents i dur a terme inspeccions in situ.
Consentiment de galetes sota l'estàndard esmenat
La Privacy Protection Law no conté una disposició específica per a galetes de la manera que ho fa la Directiva ePrivacy de la EU. En canvi, el requisit de consentiment emana de l'estàndard general de consentiment i de la guia interpretativa de l'Autoritat. La guia de 2026 sobre seguiment en línia, publicada poc després que l'Amendment 13 entrés en vigor, articula expectatives que s'alineen estretament amb els criteris del grup de treball de bàners de galetes de l'EDPB.
Elements obligatoris del bàner
L'Autoritat espera que els bàners incloguin una opció explícita de rebuig a la primera capa, controls granulars per categories que separin les galetes estrictament necessàries de les d'analítica i de les de màrqueting, i un mecanisme clar de retirada. Les caselles premarcades i el disseny enganyós d'enllaços són defectes explícits. L'expectativa és la convergència amb les normes europees i qualsevol bàner que passi l'escrutini de la EU satisfarà l'Autoritat.
Requisit de l'idioma hebreu
Els bàners que serveixen trànsit israelià haurien d'estar disponibles en hebreu. L'Autoritat no ho ha formalitzat com un requisit estricte però ha indicat en la seva guia que la disponibilitat en hebreu forma part del criteri «informat» de l'estàndard de consentiment per a audiències de parla hebrea.
Documentació i responsabilitat proactiva
El principi de responsabilitat proactiva en la llei israeliana segueix el del GDPR. Els editors han de poder demostrar les decisions de consentiment quan se'ls requereixi. El registre de grau d'auditoria — marca de temps, versió del bàner, elecció, jurisdicció del visitant — és el requisit pràctic.
La qüestió de l'adequació de la EU
La decisió d'adequació de la EU per a Israel és una de les característiques estratègicament més importants del seu règim de privacitat. La decisió de 2011 permet que les dades personals flueixin de la EU a Israel sense salvaguardes addicionals, fent que els operadors israelians siguin socis significativament més atractius per a empreses europees que els operadors en jurisdiccions no adequades. El procés de revisió periòdica d'adequació de la Comissió requereix que el marc d'Israel mantingui el ritme amb els estàndards europeus. L'Amendment 13 va ser, en gran part, motivat per mantenir l'adequació durant el pròxim cicle de revisió.
Per als editors, la implicació pràctica és que el compliment del marc israelià esmenat no es tracta només d'evitar l'aplicació domèstica; es tracta de preservar l'estatus d'adequació del país i l'accés privilegiat als fluxos de dades europeus que aquest estatus proporciona. Les prioritats d'aplicació de l'Autoritat reflecteixen això — els defectes de disseny de bàners en llocs israelians són presos més seriosament per l'Autoritat que els mateixos defectes ho serien en jurisdiccions no adequades, a causa de les implicacions sistèmiques per a l'adequació.
La postura d'aplicació de la Privacy Protection Authority
L'Autoritat opera des del Ministeri de Justícia però amb una independència operativa substancial. La seva postura d'aplicació ha estat històricament mesurada — creació de capacitat, consulta sectorial i casos d'alt perfil dirigits en lloc de multes en gran volum — però el conjunt d'eines ampliat de l'Amendment 13 ha desplaçat el patró notablement.
Desencadenants d'investigació
L'Autoritat obre investigacions principalment a través de tres canals: queixes dels interessats, notificacions de violació de seguretat i revisions sectorials. Els editors en línia tendeixen a aparèixer a través del primer canal — una queixa sobre el disseny del bàner o el comportament de seguiment sovint es converteix en el punt d'entrada.
Pràctica sancionadora
Les multes posteriors a l'Amendment 13 de l'Autoritat han seguit un patró: primer s'ofereix un període de correcció, amb penalitzacions monetàries imposades només quan la correcció és incompleta o rebutjada. El senyal és que la postura de compliment de bona fe importa fins i tot quan hi ha defectes presents.
Coordinació amb reguladors de la EU
L'Autoritat participa activament en els mecanismes de coordinació d'estil Article 29 que involucren jurisdiccions adequades. Les posicions d'aplicació tendeixen a seguir la guia de l'EDPB, i les queixes transfrontereres que impliquen trànsit de la EU i israelià es gestionen cada vegada més mitjançant procediments coordinats.
Una llista de verificació pràctica de compliment
Sis preguntes concretes a respondre per a qualsevol bàner de galetes que serveixi trànsit israelià.
- Hi ha un botó explícit de rebuig a la primera capa? El camí de rebuig ha de situar-se a la mateixa superfície que l'acceptació, amb una prominència visual comparable.
- Les categories són granulars? Necessàries, analítica i màrqueting han de ser controlables per separat; acceptar-ho tot en bloc sense granularitat és un defecte.
- L'hebreu està disponible? Per a audiències que inclouen parlants d'hebreu, el bàner i la política haurien de suportar l'hebreu.
- La retirada és tan fàcil com el consentiment? Un control persistent accessible des de qualsevol pàgina és l'expectativa operativa.
- Les transferències transfrontereres estan documentades? Identifiqueu quines destinacions es troben en jurisdiccions no adequades i quina salvaguarda autoritza cada transferència.
- El registre de consentiment és de grau d'auditoria? La marca de temps, la versió del bàner, l'elecció i la jurisdicció en el moment de la decisió han de ser recuperables.
On encaixa Israel en el panorama global
L'Amendment 13 d'Israel reflecteix un patró més ampli: jurisdiccions que precedeixen el GDPR estan modernitzant els seus marcs per mantenir l'alineació amb els estàndards europeus. Japó, el Regne Unit, Corea del Sud i Brasil han seguit trajectòries similars. Per als editors que operen en aquests mercats, la implicació pràctica és que una única infraestructura CMP construïda segons els estàndards europeus cobreix la major part del panorama regulador — el marc d'Israel, després de l'esmena, és fermament dins d'aquest sobre. El valor estratègic és doble: compliment domèstic més participació continuada en la relació privilegiada de flux de dades amb la EU que l'estatus d'adequació proporciona. La inversió en una arquitectura de bàner adequada i registre de consentiment que el compliment europeu ja justifica és, a Israel, una inversió més directament defensable que a la majoria de jurisdiccions no adequades.