Em outubro de 2021, vários bancos de dados israelenses foram hackeados, sendo o mais conhecido o do aplicativo de namoro gay, Atraf (o equivalente israelense do Grindr, que ocupou seu lugar quando este colapsou). Num instante, foram reveladas informações pessoais altamente sensíveis (incluindo detalhes muito confidenciais, fotos de nudez e mais), e muitos usuários (incluindo aqueles que ainda não tinham saído do armário) entraram em um estado literal de "Atraf" (a gíria israelense para "frenesi" ou loucura), por medo de que sua identidade ou seus dados fossem revelados. O assunto acabou resultando em uma investigação da Autoridade de Proteção da Privacidade de Israel por suspeita de negligência, cujo desfecho ainda é desconhecido.
Dois anos e meio depois, no início de 2024, o aplicativo Atraf voltou à vida e, quase ao mesmo tempo, foi aprovada a Emenda 13 à Lei de Proteção da Privacidade de Israel. As suas disposições entrarão em vigor em agosto de 2025, atualizando e esclarecendo a legislação sobre o assunto. A emenda estabelece disposições novas e avançadas e fornece ferramentas de aplicação eficazes alinhadas aos desafios da era digital, com a intenção de aumentar a proteção do direito fundamental à privacidade e fortalecer o combate às ameaças cibernéticas.
Ela impõe responsabilidade às empresas no âmbito da proteção da privacidade e aumenta a supervisão sobre a posse e o comércio de bancos de dados, ao mesmo tempo que impõe pesadas sanções financeiras em caso de infração. Também cria responsabilidade pessoal para diretores e executivos. Isso significa que, se uma empresa não se preocupar em proteger a privacidade de seus clientes, seus diretores e executivos podem ser pessoalmente responsabilizados, tanto na esfera civil quanto na criminal.
A emenda também corrige uma distorção histórica da lei, que na prática exigia que quase qualquer pequena empresa tivesse uma licença de banco de dados (uma exigência que, na prática, não podia ser fiscalizada). Após a emenda, já não é necessário registrar pequenos bancos de dados, com exceção daqueles destinados à troca de informações. Também atualiza e esclarece a questão do que é considerado "dados sensíveis", para os quais existe a obrigação de informar independentemente do tamanho do banco de dados, tudo isso em conformidade com as normas internacionais, incluindo o Regulamento Geral sobre a Proteção de Dados (GDPR) da UE.
Embora a lei atualmente não determine explicitamente a identidade da entidade corporativa que supervisiona a implementação dos requisitos, um documento de posicionamento da Autoridade de Privacidade de Israel, datado de janeiro de 2024, estabelece obrigações detalhadas que são de responsabilidade do Conselho de Administração. Exige que os membros do conselho não apenas participem da supervisão e do controle, mas também aprovem os procedimentos de segurança da informação, realizem estudos de riscos e garantam a proteção dos dados.
Isso cria um padrão de cuidado (dever de diligência) e expõe os diretores à responsabilidade pessoal de maneira semelhante ao que foi decidido, por exemplo, já em 1996 no Tribunal de Delaware, EUA, onde os acionistas da empresa Caremark apresentaram uma ação derivada contra os diretores sob o argumento de que não haviam estabelecido controles internos adequados. Nesse caso, a Corte Americana sustentou que a diretoria da empresa descumpriu o dever de implementar sistemas de controle e de monitorá-los.
Diante do exposto, é extremamente importante que qualquer empresa que mantenha um banco de dados crie procedimentos adequados e um plano de conformidade (compliance) interno que não apenas garanta a proteção dos dados, mas também proteja os diretores e executivos em caso de risco para a informação. É fundamental que tal procedimento e o plano de conformidade interno sejam elaborados em colaboração com assessores jurídicos com profundo conhecimento do assunto, que também estarão envolvidos nos procedimentos para implementar o plano e fazê-lo cumprir.