Guía de consentimiento de cookies según la Ley de Protección de la Privacidad de Israel: cumplimiento del Amendment 13 para editores

La Ley de Protección de la Privacidad de Israel tiene una larga trayectoria. El estatuto original data de 1981, la Privacy Protection Authority —el regulador de protección de datos del país— se estableció en 2006, y la EU reconoció a Israel como jurisdicción adecuada para transferencias de datos personales desde 2011, siendo uno de los pocos países que ostentan ese estatus. Durante la mayor parte de ese período, los estándares sustantivos estaban ampliamente alineados con el GDPR, pero la arquitectura de aplicación era más ligera y los aspectos técnicos estaban menos desarrollados. El Amendment 13, que entró en vigor en agosto de 2025, cambia eso. La enmienda moderniza el estándar de consentimiento, amplía el marco de derechos, refuerza las normas de transferencia transfronteriza y fortalece sustancialmente los poderes de aplicación de la Privacy Protection Authority. Para los editores que operan en Israel o que se dirigen al tráfico israelí —un mercado con una de las poblaciones más activas digitalmente del mundo— el efecto práctico es que el cumplimiento en materia de consentimiento de cookies y seguimiento en línea está ahora significativamente más cerca del estándar europeo. Esta guía repasa qué cambió, cuál es el estándar operativo actual y dónde deberían centrar los editores el trabajo de adecuación.

La Ley de Protección de la Privacidad en 2026

El marco israelí se asienta sobre tres capas: la propia Ley de Protección de la Privacidad (el estatuto principal), los Privacy Protection Regulations (que completan el detalle operativo, especialmente los Data Security Regulations de 2017) y las directivas y documentos de posición emitidos por la Privacy Protection Authority. El Amendment 13 modifica la primera capa y desencadena actualizaciones en la segunda; la tercera —la guía interpretativa de la Autoridad— se ha actualizado continuamente desde que la enmienda entró en vigor.

Los principios fundamentales resultarán familiares para cualquiera que trabaje con el GDPR: base jurídica, limitación de la finalidad, minimización de datos, exactitud, limitación del almacenamiento, integridad y responsabilidad. Las bases jurídicas bajo la ley israelí incluyen consentimiento, ejecución contractual, obligación legal, interés público e interés legítimo, cada una con su propio alcance. Para el seguimiento en línea, las bases relevantes son el consentimiento y, en circunstancias limitadas, el interés legítimo —el mismo marco que la mayoría de los operadores ya conocen.

Qué cambió realmente el Amendment 13

La enmienda es más amplia que el consentimiento de cookies, pero cuatro cambios son los más relevantes para los editores en línea.

Estándar de consentimiento reforzado

La enmienda refuerza la definición de consentimiento exigiendo que sea otorgado libremente, específico, informado e inequívoco —un lenguaje que sigue de cerca el Article 4(11) del GDPR. El consentimiento implícito y el uso continuado como consentimiento, que habían sido ambiguamente aceptables bajo la interpretación anterior, son ahora inequívocamente insuficientes para el seguimiento no esencial.

Derechos ampliados del titular de los datos

Los derechos de acceso, rectificación, supresión y oposición se aclaran y amplían. La enmienda introduce plazos explícitos de respuesta (45 días, prorrogables 30 más en casos complejos) y aclara la obligación del editor de proporcionar una vía clara para ejercer los derechos.

Marco de transferencia transfronteriza más estricto

Las transferencias a jurisdicciones no adecuadas ahora requieren salvaguardas explícitas —cláusulas contractuales tipo, normas corporativas vinculantes o excepciones específicas. El marco se acerca más al Chapter V del GDPR que al enfoque israelí anterior, y la Autoridad ha comenzado a publicar cláusulas tipo similares a los SCC de la EU.

Poderes de aplicación más sólidos

Las multas administrativas se incrementan sustancialmente. La sanción máxima se vincula a un porcentaje de los ingresos de la organización con un techo absoluto elevado, similar a la estructura escalonada del GDPR. La Autoridad ha recibido poderes de investigación ampliados, incluyendo la capacidad de exigir la presentación de documentos y realizar inspecciones in situ.

Consentimiento de cookies bajo el estándar enmendado

La Ley de Protección de la Privacidad no contiene una disposición específica sobre cookies como la Directiva ePrivacy de la EU. En su lugar, el requisito de consentimiento se deriva del estándar general de consentimiento y de la guía interpretativa de la Autoridad. La guía de 2026 sobre seguimiento en línea, publicada poco después de la entrada en vigor del Amendment 13, articula expectativas que se alinean estrechamente con los criterios del grupo de trabajo sobre banners de cookies del EDPB.

Elementos obligatorios del banner

La Autoridad espera que los banners incluyan una opción explícita de rechazo en la primera capa, controles granulares por categoría que separen las cookies estrictamente necesarias de las de análisis y las de marketing, y un mecanismo claro de revocación. Las casillas premarcadas y el diseño engañoso de enlaces son defectos explícitos. La expectativa es la convergencia con las normas europeas, y cualquier banner que supere el escrutinio de la EU satisfará a la Autoridad.

Requisito del idioma hebreo

Los banners dirigidos al tráfico israelí deben estar disponibles en hebreo. La Autoridad no ha formalizado esto como un requisito estricto, pero ha señalado en su guía que la disponibilidad en hebreo forma parte del componente «informado» del estándar de consentimiento para audiencias de habla hebrea.

Documentación y responsabilidad

El principio de responsabilidad en la ley israelí sigue el del GDPR. Los editores deben poder demostrar las decisiones de consentimiento cuando se les requiera. El registro con calidad de auditoría —marca temporal, versión del banner, elección y jurisdicción del visitante— es el requisito práctico.

La cuestión de la adecuación con la EU

La decisión de adecuación de la EU respecto a Israel es una de las características más estratégicamente importantes de su régimen de privacidad. La decisión de 2011 permite que los datos personales fluyan de la EU a Israel sin salvaguardas adicionales, haciendo que los operadores israelíes sean socios significativamente más atractivos para las empresas europeas que los operadores en jurisdicciones no adecuadas. El proceso de revisión periódica de adecuación de la Comisión exige que el marco de Israel se mantenga al ritmo de los estándares europeos. El Amendment 13 fue motivado, en gran medida, por mantener la adecuación durante el próximo ciclo de revisión.

Para los editores, la implicación práctica es que el cumplimiento del marco israelí enmendado no se trata solo de evitar la aplicación doméstica; se trata de preservar el estatus de adecuación del país y el acceso privilegiado a los flujos de datos europeos que dicho estatus proporciona. Las prioridades de aplicación de la Autoridad reflejan esto: los defectos en el diseño de banners en sitios israelíes son tomados más en serio por la Autoridad que los mismos defectos en jurisdicciones no adecuadas, debido a las implicaciones sistémicas para la adecuación.

Postura de aplicación de la Privacy Protection Authority

La Autoridad opera desde el Ministerio de Justicia, pero con una independencia operativa sustancial. Su postura de aplicación ha sido históricamente moderada —desarrollo de capacidades, consulta sectorial y casos selectivos de alto perfil en lugar de multas masivas— pero el conjunto de herramientas ampliado del Amendment 13 ha modificado el patrón de manera notable.

Factores desencadenantes de investigaciones

La Autoridad abre investigaciones principalmente a través de tres canales: quejas de titulares de datos, notificaciones de brechas y revisiones sectoriales. Los editores en línea suelen salir a la luz a través del primer canal: una queja sobre el diseño del banner o el comportamiento de seguimiento a menudo se convierte en el punto de entrada.

Práctica sancionadora

Las multas de la Autoridad posteriores al Amendment 13 han seguido un patrón: primero se ofrece un período de subsanación, y las sanciones monetarias se imponen solo cuando la subsanación es incompleta o se rechaza. La señal es que una postura de cumplimiento de buena fe importa incluso cuando existen defectos.

Coordinación con reguladores de la EU

La Autoridad participa activamente en los mecanismos de coordinación al estilo del Article 29 que involucran a jurisdicciones adecuadas. Las posiciones de aplicación tienden a seguir la guía del EDPB, y las quejas transfronterizas que involucran tráfico de la EU e Israel se gestionan cada vez más mediante procedimientos coordinados.

Lista práctica de verificación de cumplimiento

Seis preguntas concretas que responder para cualquier banner de cookies dirigido al tráfico israelí.

Dónde encaja Israel en el panorama global

El Amendment 13 de Israel refleja un patrón más amplio: las jurisdicciones anteriores al GDPR están modernizando sus marcos para mantener la alineación con los estándares europeos. Japón, el Reino Unido, Corea del Sur y Brasil han seguido trayectorias similares. Para los editores que operan en estos mercados, la implicación práctica es que una única infraestructura CMP construida según los estándares europeos cubre la mayor parte del panorama regulatorio —el marco de Israel, tras la enmienda, está firmemente dentro de ese perímetro. El valor estratégico es doble: cumplimiento doméstico más la participación continuada en la relación privilegiada de flujo de datos con la EU que proporciona el estatus de adecuación. La inversión en una arquitectura de banner adecuada y en el registro de consentimiento que el cumplimiento europeo ya justifica es, en Israel, una inversión más directamente defendible que en la mayoría de las jurisdicciones no adecuadas.

← Blog Leer todo →