El propietario de una base de datos en Israel decide aprovechar el alto el fuego entre Israel e Irán y transferir información de la base de datos en Israel a servidores ubicados en una zona (en su opinión) un poco menos peligrosa. Posiblemente con los nuevos amigos en Beirut o Hungría, o tal vez esté pensando fuera de la caja (y fuera del alcance de los misiles) y comparando presupuestos en Micronesia. ¡Pero espere! ¿Es legal la transferencia prevista?
El Reglamento de Protección de la Privacidad de Israel (Transferencia de Datos a Bases de Datos Fuera de las Fronteras del Estado), 2001 establece una prohibición general de la transferencia de información fuera de Israel. Se excluyen de esta regla las transferencias a jurisdicciones que garanticen un nivel de protección no inferior al de Israel. Tenga en cuenta que esto se aplica tanto a la información de bases de datos registradas como a las no registradas. Por lo tanto, las flexibilidades relativas al registro de bases de datos implementadas en la Enmienda 13 de la Ley de Protección de la Privacidad de Israel, 1981 no disminuyen esta prohibición. Al igual que el GDPR europeo, esta también es una legislación europea absorbida por la ley israelí. Por lo tanto, la opción húngara funcionará, pero ¿es esa una razón para dejar pasar las lucrativas ofertas recibidas de Micronesia?
En pocas palabras (o tal vez en la cáscara de un coco micronesio), la respuesta es: no necesariamente. El reglamento enumera una serie de excepciones relativas a la transferencia de datos a jurisdicciones que no cumplen los requisitos de la excepción antes mencionada. La única excepción que no depende del tipo de información o de los sujetos de los datos se estipula en el Artículo 2(4) y permite la transferencia de información sujeta al compromiso contractual del receptor de cumplir con las condiciones para la tenencia y el uso de la información que se aplican a una base de datos en Israel, mutatis mutandis (con los cambios necesarios). Dado que las leyes idénticas no son un requisito realista, y con el fin de mantener la regla de que la frase "mutatis mutandis" no es un hechizo mágico que otorga una desviación ilimitada del marco original, la Autoridad de Protección de la Privacidad de Israel trató de aclarar los límites de esos cambios, y lo hizo en una opinión publicada en marzo de 2026. Así, por ejemplo, el incumplimiento por parte del receptor de las obligaciones de registrar una base de datos o notificar a la Autoridad su existencia se considerará un "mutatis mutandis" si no existe una obligación similar en el país de destino.
La Autoridad aclara que el "mutatis mutandis" permitido se refiere a las obligaciones del titular en el extranjero y no exime al propietario de la base de datos en Israel de sus propios deberes como tal. Además, no se trata de cambios requeridos por las circunstancias subjetivas del receptor, sino por las diferencias entre la ley israelí y la ley local. Adicionalmente, de acuerdo con el principio de no desviación del marco original, la Autoridad enumera las obligaciones que deben incluirse en el acuerdo con el receptor, incluyendo: (a) la prohibición de utilizar la información personal para cualquier fin distinto de aquel para el que fue proporcionada al controlador de la base de datos en Israel; (b) el compromiso de conceder el derecho de revisión al sujeto de los datos; (c) el derecho del sujeto de los datos a solicitar la corrección o eliminación de su información personal; (d) mantener la confidencialidad de la información personal; (e) asegurar la información personal de acuerdo con el Reglamento de Seguridad de la Información de Israel o de acuerdo con la norma ISO/IEC 27001 y las directrices de la Autoridad, y en el futuro de acuerdo con las disposiciones de la Ley de Defensa Cibernética. Sin embargo, cabe señalar que, aunque la transferencia de información de ese receptor a un receptor adicional en el extranjero está condicionada al consentimiento del propietario de la base de datos en Israel, las obligaciones del Artículo 2(4) no se aplican a este consentimiento.
¿Qué debe hacer, entonces, el propietario de una base de datos en Israel cuando busca transferir información al extranjero? En primer lugar, se recomienda consultar previamente con un abogado experto en la materia, y específicamente con un abogado que sea miembro de una red internacional de bufetes de abogados. Esto permite recibir la perspectiva y los conocimientos complejos y exhaustivos necesarios para comprender las excepciones aplicables y las leyes pertinentes en la jurisdicción del receptor, y determinar la necesidad de un acuerdo y el contenido exacto del mismo con cada receptor, teniendo en cuenta las disposiciones de la Ley de Protección de la Privacidad de Israel, los reglamentos y su interpretación actualizada por parte de la Autoridad por un lado, pero también la ley extranjera pertinente por el otro.