Guida al consenso cookie della legge sulla privacy in Israele: conformit? Amendment 13 per i publisher

La Privacy Protection Law di Israele ha una lunga storia. La legge originale risale al 1981, la Privacy Protection Authority — l'autorità di protezione dei dati del paese — è stata istituita nel 2006, e l'UE ha riconosciuto Israele come giurisdizione adeguata per i trasferimenti di dati personali dal 2011, uno dei pochi paesi a detenere tale status. Per la maggior parte di quel periodo gli standard sostanziali erano ampiamente allineati al GDPR ma l'architettura di applicazione era più leggera e le specifiche tecniche erano meno sviluppate. Amendment 13, entrato in vigore nell'agosto 2025, cambia questo. L'emendamento modernizza lo standard del consenso, amplia il quadro dei diritti, affina le regole sui trasferimenti transfrontalieri e rafforza sostanzialmente i poteri di applicazione della Privacy Protection Authority. Per gli editori che operano in Israele o che si rivolgono al traffico israeliano — un mercato con una delle popolazioni digitalmente più coinvolte al mondo — l'effetto pratico è che il consenso ai cookie e la conformità al tracciamento online sono ora significativamente più vicini allo standard europeo. Questa guida illustra cosa è cambiato, qual è lo standard operativo attuale e dove gli editori dovrebbero concentrare il lavoro di adeguamento.

La Privacy Protection Law nel 2026

Il quadro israeliano si basa su tre livelli: la Privacy Protection Law stessa (la legge primaria), le Privacy Protection Regulations (che forniscono dettagli operativi, in particolare le Data Security Regulations del 2017), e le direttive e i documenti di posizione emessi dalla Privacy Protection Authority. Amendment 13 modifica il primo livello e innesca aggiornamenti al secondo; il terzo — le linee guida interpretative dell'Autorità — è stato aggiornato continuamente da quando l'emendamento è entrato in vigore.

I principi fondamentali saranno familiari a chiunque lavori con il GDPR: base giuridica, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione della conservazione, integrità e responsabilità. Le basi giuridiche previste dalla legge israeliana includono consenso, esecuzione del contratto, obbligo legale, interesse pubblico e interesse legittimo, ciascuna con il proprio ambito. Per il tracciamento online le basi rilevanti sono il consenso e, in circostanze limitate, l'interesse legittimo — lo stesso quadro che la maggior parte degli operatori già conosce.

Cosa ha effettivamente cambiato Amendment 13

L'emendamento è più ampio del consenso ai cookie, ma quattro cambiamenti sono i più importanti per gli editori online.

Standard del consenso rafforzato

L'emendamento rafforza la definizione di consenso per richiedere che sia liberamente prestato, specifico, informato e inequivocabile — un linguaggio che segue da vicino l'Article 4(11) del GDPR. Il consenso implicito e il consenso tramite uso continuato, che erano stati ambiguamente accettabili sotto la precedente interpretazione, sono ora inequivocabilmente insufficienti per il tracciamento non essenziale.

Diritti degli interessati ampliati

I diritti di accesso, rettifica, cancellazione e opposizione sono chiariti e ampliati. L'emendamento introduce tempistiche esplicite per le risposte (45 giorni, prorogabili di 30 nei casi complessi) e chiarisce l'obbligo dell'editore di fornire un percorso chiaro per l'esercizio dei diritti.

Quadro più definito per i trasferimenti transfrontalieri

I trasferimenti verso giurisdizioni non adeguate richiedono ora garanzie esplicite — clausole contrattuali tipo, norme vincolanti d'impresa o deroghe specifiche. Il quadro è più vicino al Chapter V del GDPR rispetto al precedente approccio israeliano, e l'Autorità ha iniziato a pubblicare clausole tipo simili agli SCC dell'UE.

Poteri di applicazione più forti

Le sanzioni amministrative sono aumentate sostanzialmente. La sanzione massima è legata a una percentuale del fatturato organizzativo con un tetto assoluto elevato, simile alla struttura a livelli del GDPR. All'Autorità sono stati conferiti poteri investigativi ampliati, inclusa la capacità di ordinare la produzione di documenti e condurre ispezioni in loco.

Consenso ai cookie secondo lo standard emendato

La Privacy Protection Law non contiene una disposizione specifica sui cookie nel modo in cui lo fa la ePrivacy Directive dell'UE. Invece, il requisito del consenso deriva dallo standard generale del consenso e dalle linee guida interpretative dell'Autorità. Le linee guida del 2026 sul tracciamento online, pubblicate poco dopo l'entrata in vigore di Amendment 13, articolano aspettative che si allineano strettamente con i criteri della Cookie Banner Taskforce dell'EDPB.

Elementi richiesti del banner

L'Autorità si aspetta che i banner includano un'opzione esplicita di rifiuto al primo livello, controlli granulari per categoria che separano i cookie strettamente necessari da quelli di analisi e da quelli di marketing, e un meccanismo chiaro di revoca. Le caselle pre-selezionate e il design ingannevole dei link sono difetti espliciti. L'aspettativa è la convergenza con le norme europee e qualsiasi banner che superi il controllo dell'UE soddisferà l'Autorità.

Requisito della lingua ebraica

I banner che servono traffico israeliano dovrebbero essere disponibili in ebraico. L'Autorità non ha formalizzato questo come un requisito rigoroso ma ha notato nelle linee guida che la disponibilità dell'ebraico fa parte della componente «informata» dello standard del consenso per i pubblici di lingua ebraica.

Documentazione e responsabilità

Il principio di responsabilità nella legge israeliana segue quello del GDPR. Gli editori devono essere in grado di dimostrare le decisioni di consenso su richiesta. La registrazione di livello audit — timestamp, versione del banner, scelta, giurisdizione del visitatore — è il requisito pratico.

La questione dell'adeguatezza UE

La decisione di adeguatezza UE di Israele è una delle caratteristiche strategicamente più importanti del suo regime di privacy. La decisione del 2011 consente ai dati personali di fluire dall'UE a Israele senza garanzie aggiuntive, rendendo gli operatori israeliani partner significativamente più attraenti per le imprese europee rispetto agli operatori in giurisdizioni non adeguate. Il processo periodico di revisione dell'adeguatezza della Commissione richiede che il quadro israeliano tenga il passo con gli standard europei. Amendment 13 è stato, in parte significativa, motivato dal mantenimento dell'adeguatezza attraverso il prossimo ciclo di revisione.

Per gli editori, l'implicazione pratica è che la conformità con il quadro israeliano emendato non riguarda solo l'evitare l'applicazione interna; riguarda il preservare lo status di adeguatezza del paese e l'accesso privilegiato ai flussi di dati europei che tale status fornisce. Le priorità di applicazione dell'Autorità riflettono questo — i difetti di progettazione dei banner sui siti israeliani sono presi più seriamente dall'Autorità rispetto agli stessi difetti in giurisdizioni non adeguate a causa delle implicazioni sistemiche sull'adeguatezza.

La posizione di applicazione della Privacy Protection Authority

L'Autorità opera all'interno del Ministero della Giustizia ma con sostanziale indipendenza operativa. La sua posizione di applicazione è stata storicamente misurata — sviluppo delle capacità, consultazione settoriale e casi ad alto profilo mirati piuttosto che multe ad alto volume — ma il toolkit ampliato di Amendment 13 ha modificato notevolmente il modello.

Fattori scatenanti delle indagini

L'Autorità apre indagini principalmente attraverso tre canali: reclami degli interessati, notifiche di violazione e revisioni settoriali. Gli editori online tendono a emergere attraverso il primo canale — un reclamo sul design del banner o sul comportamento di tracciamento diventa spesso il punto di ingresso.

Pratica sanzionatoria

Le multe post-Amendment 13 dell'Autorità hanno seguito un modello: un periodo di adeguamento offerto per primo, con sanzioni pecuniarie imposte solo quando l'adeguamento è incompleto o rifiutato. Il segnale è che la postura di conformità in buona fede conta anche quando sono presenti difetti.

Coordinamento con le autorità di regolamentazione dell'UE

L'Autorità partecipa attivamente ai meccanismi di coordinamento in stile Article 29 che coinvolgono le giurisdizioni adeguate. Le posizioni di applicazione tendono a seguire le linee guida dell'EDPB, e i reclami transfrontalieri che coinvolgono traffico UE e israeliano sono sempre più gestiti attraverso procedure coordinate.

Una checklist pratica di conformità

Sei domande concrete a cui rispondere per qualsiasi banner di cookie che serve traffico israeliano.

Dove si colloca Israele nel quadro globale

L'Amendment 13 di Israele riflette un modello più ampio: le giurisdizioni che precedono il GDPR stanno modernizzando i loro quadri per mantenere l'allineamento con gli standard europei. Giappone, Regno Unito, Corea del Sud e Brasile hanno tutti seguito traiettorie simili. Per gli editori che operano in questi mercati, l'implicazione pratica è che una singola infrastruttura CMP costruita secondo gli standard europei gestisce la maggior parte del panorama normativo — il quadro israeliano, post-emendamento, è saldamente all'interno di quella cornice. Il valore strategico è duplice: conformità interna più partecipazione continua nella relazione privilegiata di flusso di dati con l'UE che lo status di adeguatezza fornisce. L'investimento in un'architettura di banner adeguata e nella registrazione del consenso che la conformità europea già giustifica è, in Israele, un investimento più direttamente difendibile rispetto alla maggior parte delle giurisdizioni non adeguate.

← Blog Leggi tutto →