En octubre de 2021, varias bases de datos israelíes fueron hackeadas, la más conocida de las cuales fue la base de datos de la aplicación de citas gay, Atraf (el equivalente israelí de Grindr, que ocupó su lugar cuando colapsó). En un momento, se reveló información personal altamente sensible (incluidos detalles altamente confidenciales, fotos de desnudos y más), y muchos usuarios (incluidos los que aún no han salido del armario) entraron en un estado literal de “Atraf” (la palabra del argot israelí para “frenesí”), por miedo a que se revelara su identidad o sus datos. El asunto finalmente terminó en una investigación de la Autoridad de Privacidad israelí por sospecha de negligencia, cuyo resultado se desconoce.
Dos años y medio después, a principios de 2024, la aplicación Atraf volvió a cobrar vida y, casi al mismo tiempo, se aprobó la Enmienda 13 a la Ley de Protección de la Privacidad de Israel, cuyas disposiciones entrarán en vigor en agosto de 2025 y actualizan y aclaran la legislación en la materia. La enmienda establece disposiciones nuevas y avanzadas y proporciona herramientas de aplicación eficaces en línea con los desafíos de la era digital, con la intención de aumentar la protección del derecho fundamental a la privacidad y fortalecer la lucha contra las amenazas cibernéticas. Impone responsabilidad a las empresas en el ámbito de la protección de la privacidad y aumenta la supervisión de la posesión y el comercio de bases de datos, al tiempo que impone elevadas sanciones financieras en caso de infracción. También crea responsabilidad personal para directores y ejecutivos. Esto significa que si una empresa no se preocupa por proteger la privacidad de sus clientes, sus directores y ejecutivos pueden ser personalmente responsables tanto a nivel civil como penal. La enmienda también corrige una distorsión histórica de la ley, que en la práctica requería que casi cualquier pequeña empresa tuviera una licencia de base de datos (un requisito que en la práctica no se podía hacer cumplir en absoluto). Después de la enmienda, ya no es necesario registrar bases de datos pequeñas, con la excepción de las bases de datos destinadas a intercambiar información. También actualiza y aclara la cuestión de lo que se considera "datos sensibles", para los cuales existe una obligación de informar para cualquier tamaño de base de datos, todo ello cumpliendo con las normas internacionales, incluido el Reglamento de Protección de Datos de la UE (GDPR).
Aunque la ley actualmente no determina explícitamente la identidad de la entidad corporativa que supervisa la implementación de los requisitos, un documento de posición de la Autoridad de Privacidad de Israel con fecha de enero de 2024 establece obligaciones detalladas que son responsabilidad del consejo de administración y requiere que los miembros del consejo de administración no solo participen en la supervisión y el control, sino que también aprueben los procedimientos de seguridad de la información, realicen estudios de riesgos y garanticen la protección de los datos. Esto crea un estándar de cuidado y expone a los directores a una responsabilidad personal de una manera similar a lo que se decidió, por ejemplo, ya en 1996 en la Corte de Delaware, EE. UU.**, donde los accionistas de la empresa Caremark presentaron una demanda derivada contra los directores con el argumento de que no habían establecido controles internos adecuados. En ese caso, la Corte Americana sostuvo que el directorio de la empresa incumplió el deber de implementar sistemas de control y monitorearlo.
A la luz de lo anterior, es extremadamente importante que cualquier empresa que mantenga una base de datos cree procedimientos adecuados y un plan de cumplimiento interno que no solo garantice la protección de los datos, sino que también proteja a los directores y ejecutivos en caso de un riesgo para la información. Es muy importante que dicho procedimiento y el plan de cumplimiento interno se elaboren en colaboración con asesores legales con un profundo conocimiento de la materia, quienes también estarán involucrados en los procedimientos para implementar el plan y hacerlo cumplir.