El CEO de una empresa se sorprendió al recibir una demanda formal de diagnóstico por parte de la Autoridad de Protección de la Privacidad de Israel (PPA, por sus siglas en inglés). El problema no era el cuestionario en sí, sino el hecho alarmante de que la organización nunca había realizado una evaluación preliminar de necesidades y riesgos, nunca se habían mapeado las brechas y no se habían implementado a tiempo las rectificaciones tecnológicas y legales requeridas por la ley. ¿Es posible siquiera cerrar años de brechas y transformar un sistema de datos vulnerado en una fortaleza de cumplimiento y privacidad cuando el reloj de arena de la Autoridad ya se ha dado la vuelta?
La Enmienda 13 a la Ley de Protección de la Privacidad de Israel sirve actualmente como pilar central en el fortalecimiento de las capacidades de disuasión y aplicación de la PPA. Esto representa un cambio de paradigma: una transición de un modelo "basado en recomendaciones" a un modelo de aplicación administrativa firme, que incluye severas sanciones financieras y la emisión de directrices profesionales vinculantes para los responsables de las bases de datos. En esta era, la PPA no se conforma simplemente con investigar brechas de seguridad; actúa de manera proactiva para garantizar que tanto las organizaciones privadas como las gubernamentales cumplan con los rigurosos estándares de la Ley de Protección de la Privacidad, teniendo la PPA la facultad de imponer multas personales a los ejecutivos de la empresa de hasta ILS 150.000.
Uno de los cambios más significativos introducidos por la Enmienda 13 es el nombramiento obligatorio de un Delegado de Protección de Datos (DPO, por sus siglas en inglés). Este requisito ya no se limita a organismos públicos; ahora se aplica a contratistas que trabajan en su nombre, entidades cuyo negocio principal es el comercio de datos personales, organizaciones dedicadas al monitoreo sistemático del comportamiento humano y entidades que procesan volúmenes significativos de datos sensibles (como datos médicos, biométricos, penales, crediticios o información sobre orientación sexual). El DPO actúa como una función profesional independiente, reportando directamente al CEO y a la Junta Directiva, y está encargado de supervisar la seguridad de los datos de la organización.
Sin embargo, incluso cuando el nombramiento de un DPO no es obligatorio, la Junta Directiva tiene el deber activo de garantizar la seguridad de los datos. Deben aprobar definiciones y procedimientos, evaluar riesgos y verificar la implementación de una política de cumplimiento que incluya mecanismos de control y la notificación inmediata de incidentes de seguridad. Por lo tanto, incluso en ausencia de una obligación legal, se recomienda encarecidamente nombrar un DPO para asegurar el cumplimiento continuo y mitigar la exposición de los directores y funcionarios en caso de una filtración de datos. Ignorar las recomendaciones del DPO o fallar en la supervisión continua (incluyendo la falta de asignación de recursos adecuados) puede percibirse como un incumplimiento del deber de diligencia (duty of care). Ya sea durante una auditoría regulatoria o tras una filtración, tales fallos pueden derivar en responsabilidad personal para los directores y funcionarios, independientemente de la responsabilidad corporativa de la empresa.
Un error común de los ejecutivos es ver la privacidad como un "proyecto" temporal en preparación para una auditoría. La Enmienda 13 aclara que la responsabilidad final recae en la Junta Directiva, exponiendo a los funcionarios a fuertes sanciones financieras personales y posibles investigaciones penales. En consecuencia, se aconseja a los funcionarios actuar sin demora para garantizar el pleno cumplimiento y formular procedimientos de seguridad por escrito. Dados los riesgos legales y personales involucrados, es aconsejable no conformarse con un proveedor de DPO externo estándar (especialmente dada la reciente afluencia de proveedores inexpertos que "surgen como hongos" tras la Enmienda 13). En su lugar, las organizaciones deben contratar un despacho de abogados con experiencia específica en protección de la privacidad para proporcionar orientación profesional continua y servicios de DPO externo.