O proprietário de um banco de dados em Israel decide aproveitar um cessar-fogo entre Israel e o Irã e transferir informações do banco de dados em Israel para servidores localizados em uma área (em sua opinião) um pouco menos perigosa. Possivelmente com os novos amigos em Beirute ou na Hungria, ou talvez ele esteja pensando fora da caixa (e fora do alcance dos mísseis) e comparando orçamentos na Micronésia. Mas espere! A transferência planejada é legal!?
Os Regulamentos de Proteção à Privacidade de Israel (Transferência de Dados para Bancos de Dados Fora das Fronteiras do Estado), 2001, estabelecem uma proibição abrangente sobre a transferência de informações para fora de Israel. Estão excluídas desta regra as transferências para jurisdições que garantam um nível de proteção não inferior ao de Israel. Observe que isso se aplica a informações de bancos de dados registrados e não registrados. Portanto, as flexibilizações relativas ao registro de bancos de dados implementadas na Emenda 13 à Lei de Proteção à Privacidade de Israel, 1981, não diminuem essa proibição. Semelhante ao GDPR europeu, esta também é uma legislação europeia absorvida pela lei israelense. Assim, a opção húngara de fato funcionará, mas será esse um motivo para deixar passar as ofertas lucrativas recebidas da Micronésia?
Em poucas palavras (ou talvez na casca de um coco micronésio), a resposta é – não necessariamente. Os regulamentos listam uma série de exceções relativas à transferência de dados para jurisdições que não atendem aos requisitos da exceção mencionada acima. A única exceção que não depende do tipo de informação ou dos titulares dos dados está estipulada no Regulamento 2(4) e permite a transferência de informações sujeita ao compromisso contratual do destinatário de cumprir as condições de manutenção e uso de informações que se aplicam a um banco de dados em Israel, mutatis mutandis (com as alterações necessárias). Dado que leis idênticas não são um requisito realista, e a fim de manter a regra de que a frase "mutatis mutandis" não é um feitiço que concede desvio ilimitado da estrutura original, a Autoridade de Proteção à Privacidade de Israel procurou esclarecer os limites dessas mudanças e o fez em um parecer publicado em março de 2026. Assim, por exemplo, o descumprimento pelo destinatário das obrigações de registrar um banco de dados ou notificar a Autoridade de sua existência será considerado um "mutatis mutandis" se não houver obrigação semelhante no país de destino.
A Autoridade esclarece que o "mutatis mutandis" permitido refere-se às obrigações do detentor no exterior e não isenta o proprietário do banco de dados em Israel de seus próprios deveres como tal. Além disso, não se trata de mudanças exigidas devido às circunstâncias subjetivas do destinatário, mas sim devido a diferenças entre a lei israelense e a lei local. Adicionalmente, de acordo com o princípio de não desvio da estrutura original, a Autoridade lista obrigações que devem ser incluídas no acordo com o destinatário, incluindo: (a) a proibição de usar as informações pessoais para qualquer finalidade que não seja aquela para a qual foram fornecidas ao controlador do banco de dados em Israel; (b) o compromisso de conceder o direito de revisão ao titular dos dados; (c) o direito do titular dos dados de solicitar a correção ou exclusão de suas informações pessoais; (d) a manutenção da confidencialidade das informações pessoais; (e) a proteção das informações pessoais de acordo com os Regulamentos de Segurança da Informação de Israel ou de acordo com o padrão ISO/IEC 27001 e as diretrizes da Autoridade, e no futuro de acordo com as disposições da Lei de Defesa Cibernética. No entanto, deve-se notar que, embora a transferência de informações desse destinatário para um destinatário adicional no exterior dependa do consentimento do proprietário do banco de dados em Israel, as obrigações sob o Regulamento 2(4) não se aplicam a este consentimento[.
O que, então, deve fazer o proprietário de um banco de dados em Israel ao procurar transferir informações para o exterior? Primeiro, recomenda-se consultar antecipadamente um advogado com experiência na área, especificamente um advogado que seja membro de uma rede internacional de escritórios de advocacia. Isso permite receber a perspectiva e o conhecimento complexos e abrangentes necessários para entender as exceções aplicáveis e as leis relevantes na jurisdição do destinatário, e determinar a necessidade de um acordo e o conteúdo exato do acordo com cada destinatário, levando em conta as disposições da Lei de Proteção à Privacidade de Israel, os regulamentos e sua interpretação atualizada pela Autoridade, por um lado, mas também a lei estrangeira relevante, por outro.