¿Qué es el RGPD y cómo puede afectar a las organizaciones sin fines de lucro?

Publicado: 2018-05-03

Esta publicación de blog es solo para fines informativos y no pretende actuar como asesoramiento legal. Consulte con un asesor legal para determinar cómo GDPR puede afectar su negocio.

A estas alturas, probablemente haya oído hablar del nuevo conjunto de leyes de privacidad de la Unión Europea llamado Reglamento General de Protección de Datos (GDPR). A medida que se acerca la fecha límite para el cumplimiento, es posible que su organización deba tomar medidas. Siga leyendo para descubrir cómo el RGPD puede afectar a las organizaciones sin fines de lucro.

¿Qué es el RGPD?

El RGPD es una regulación de privacidad de la Unión Europea (UE) que entrará en vigencia el 25 de mayo de 2018. La legislación se creó para brindar protecciones más estrictas a los datos personales de los ciudadanos de la UE y para exigir que todas las empresas que controlan o procesan información personal. los datos de los ciudadanos de la UE lo hacen de forma segura y transparente.

Podría decirse que el hecho más importante a recordar es que las regulaciones se aplican a las empresas y organizaciones sin fines de lucro fuera de la UE de la misma manera. Todas las organizaciones que hayan recopilado datos personales de ciudadanos de la UE (como se define en el RGPD), ya sean empleados, donantes, voluntarios o beneficiarios, se ven afectadas y serán responsables del cumplimiento del RGPD.

Existen sanciones significativas por incumplimiento, que incluyen, entre otras, una multa de hasta el cuatro por ciento de los ingresos globales de una organización. Además, dado que la protección de datos continúa siendo una preocupación importante para la industria sin fines de lucro, su organización podría enfrentar una reacción negativa del público por incumplimiento, lo que resultaría en una pérdida de apoyo de socios, donantes y miembros.

Cumplimiento de GDPR para organizaciones sin fines de lucro

Según la Oficina del Comisionado de Información (ICO), las organizaciones sin fines de lucro pueden ser "controladores de datos" y "procesadores de datos" (según la situación) y, por lo tanto, estar sujetas al cumplimiento de GDPR de varias maneras, que pueden incluir:

  1. Como empleador que procesa datos de voluntarios, fideicomisarios y empleados
  2. Como proveedor de servicios a los beneficiarios
  3. Como organización de recaudación de fondos o de campaña.

Del mismo modo, los recaudadores de fondos individuales también deben recibir educación sobre el RGPD, ya que podrían actuar como controladores de datos si recopilan datos de los partidarios mientras recaudan fondos en nombre de una organización sin fines de lucro. Si tiene una campaña entre pares actual o próxima, es su responsabilidad informar a los recaudadores de fondos y asegurarse de que sus procesos también cumplan con las normas.

¿Cómo afecta esto a mi organización sin fines de lucro?

Para que su organización sin fines de lucro cumpla con los requisitos, debe ser transparente y meticuloso en lo que respecta a la recopilación y el procesamiento de datos personales. Esto se aplica a los datos de empleados, voluntarios, donantes, simpatizantes, cualquier persona de la que su organización sin fines de lucro recopile datos personales. Las organizaciones deben tener una política y un procedimiento por escrito sobre cómo manejan los datos personales y cumplir con los principios de privacidad.

La legislación también exige el cumplimiento de los ocho principios de protección de datos que se enumeran a continuación.

El RGPD establece los siguientes derechos para las personas:

  1. El derecho a ser informado sobre la recopilación y el uso de datos personales
  2. Derecho de acceso a sus datos personales e información complementaria
  3. Derecho a la rectificación de los datos personales inexactos o a la cumplimentación de los datos incompletos
  4. El derecho a la supresión de los datos personales
  5. El derecho a restringir el procesamiento que permite a una organización almacenar datos pero no usarlos
  6. El derecho a la portabilidad de datos que permite a las personas obtener y reutilizar de forma segura sus propios datos para sus propios fines.
  7. El derecho a oponerse al procesamiento basado en intereses legítimos, marketing directo y con fines de investigación.
  8. Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles

¿Cómo cumple mi organización sin fines de lucro?

Las organizaciones sin fines de lucro todavía pueden usar tácticas de marketing para promover, recaudar fondos y comprometerse con los donantes, pero el procesamiento de datos debe realizarse de acuerdo con las seis bases legales descritas por la legislación GDPR.

La siguiente lista se ha extraído de la guía de introducción al RGPD y la recaudación de fondos benéficos y, tal como la han redactado, las seis bases legales son:

  1. Consentimiento: puede demostrar que una persona ha realizado una acción afirmativa clara (como decir "sí" a una pregunta o marcar una casilla de aceptación) para permitirle procesar sus datos personales para un propósito específico. Las casillas marcadas previamente no constituyen consentimiento.
  2. Contrato : el procesamiento es necesario para un contrato que tiene con el individuo, o porque le han pedido que tome medidas específicas antes de celebrar un contrato.
  3. Obligación legal : el procesamiento es necesario para que usted cumpla con la ley (sin incluir las obligaciones contractuales).
  4. Intereses vitales: El tratamiento es necesario para proteger la vida de una persona.
  5. Tarea pública : el procesamiento es necesario para que usted realice una tarea de interés público o para sus funciones oficiales, y la tarea o función tiene una base clara en la ley.
  6. Intereses legítimos: el procesamiento es necesario para sus intereses legítimos o los intereses legítimos de un tercero, a menos que los intereses o derechos y libertades del individuo anulen esos intereses (esto no puede aplicarse si usted es una autoridad pública que procesa datos para realizar sus tareas oficiales) .

El ICO enumera los siguientes consejos de protección de datos para organizaciones sin fines de lucro pequeñas y medianas:

  1. Dígale a la gente lo que está haciendo con sus datos. Uno de los principios más importantes de GDPR es que las organizaciones son abiertas y honestas sobre cómo se utilizarán los datos.
  2. Capacite a todo el personal, miembros y voluntarios sobre la protección de datos y cómo almacenar y manejar todos los datos personales.
  3. Utilice contraseñas seguras para ayudar a mantener la información segura.
  4. Cifre todos los dispositivos portátiles que contienen información personal.
  5. Establezca períodos de retención y solo retenga la información personal durante el tiempo que sea necesario.

Recuerde que estos consejos son simplemente un punto de partida para preparar a su equipo para los procesos y regulaciones que se agregarán al procesamiento de datos de su organización. Para obtener más información, lea estos recursos adicionales sobre cómo este cambio afectará a su organización y cuáles deberían ser sus próximos pasos.

  • GDPR: una guía para organizaciones benéficas
    • Creado por: Charity Finance Group
  • GDPR y recaudación de fondos caritativos Introducción
    • Creado por: Instituto de Recaudación de Fondos, Regulador de Recaudación de Fondos, y revisado por ICO
  • Preparándose para el RGPD, 12 pasos a seguir ahora
    • Creado por: ICO
  • Lista de verificación de autoevaluación
    • Creado por: ICO

Classy y el RGPD

Aquí en Classy, ​​somos incansables en nuestra dedicación a la privacidad y seguridad de los datos de nuestros clientes, y nuestro equipo está totalmente comprometido con el cumplimiento de GDPR.

¿Cuándo fue la última vez que actualizó la ciberseguridad de su organización sin fines de lucro?