Che cos'è il GDPR e come può influire sulle organizzazioni non profit?

Pubblicato: 2018-05-03

Questo post del blog è solo a scopo informativo e non ha lo scopo di fungere da consulenza legale. Consulta il consulente legale per determinare in che modo il GDPR può influire sulla tua attività.

A questo punto, probabilmente hai sentito parlare del nuovo insieme di leggi sulla privacy dell'Unione Europea chiamato Regolamento generale sulla protezione dei dati (GDPR). Con l'avvicinarsi della scadenza per la conformità, potrebbero esserci delle azioni che la tua organizzazione potrebbe dover intraprendere. Continua a leggere per scoprire come il GDPR può influenzare le organizzazioni non profit.

Che cos'è il GDPR?

Il GDPR è un regolamento sulla privacy dell'Unione Europea (UE) che entrerà in vigore il 25 maggio 2018. La normativa è stata creata per rafforzare le protezioni dei dati personali dei cittadini dell'UE e per richiedere che tutte le aziende che controllano o trattano dati personali i dati dei cittadini dell'UE lo fanno in modo sicuro e trasparente.

Probabilmente, il fatto più importante da ricordare è che i regolamenti si applicano allo stesso modo alle imprese non UE e alle organizzazioni non profit. Tutte le organizzazioni che hanno raccolto dati personali di cittadini dell'UE (come definiti nel GDPR), siano essi dipendenti, donatori, volontari o beneficiari, sono interessate e saranno responsabili della conformità al GDPR.

Sono previste sanzioni significative per la non conformità, inclusa, a titolo esemplificativo, una multa fino al quattro percento delle entrate globali di un'organizzazione. Inoltre, poiché la protezione dei dati continua a essere una delle principali preoccupazioni per il settore non profit, la tua organizzazione potrebbe dover affrontare una reazione pubblica per non conformità con conseguente perdita di supporto da parte di partner, donatori e membri.

Conformità al GDPR per le organizzazioni non profit

Secondo l'Information Commissioner's Office (ICO), le organizzazioni non profit possono essere "titolari del trattamento" e "incaricati del trattamento" (a seconda della situazione) e quindi soggette alla conformità al GDPR in diversi modi, che possono includere:

  1. In qualità di datore di lavoro che elabora i dati di volontari, amministratori fiduciari e dipendenti
  2. Come fornitore di servizi ai beneficiari
  3. Come organizzazione di raccolta fondi o di campagna

Allo stesso modo, anche le singole raccolte fondi devono essere istruite sul GDPR poiché potrebbero fungere da responsabili del trattamento dei dati se raccolgono dati sui sostenitori durante la raccolta fondi per conto di un'organizzazione no profit. Se hai una campagna peer-to-peer attuale o imminente, è tua responsabilità informare le raccolte fondi e assicurarti che anche i loro processi siano conformi.

In che modo questo influisce sulla mia organizzazione non profit?

Affinché la tua organizzazione non profit sia conforme, devi essere trasparente e meticoloso quando si tratta di raccolta e trattamento dei dati personali. Questo vale per i dati di dipendenti, volontari, donatori, sostenitori, chiunque da cui la tua organizzazione non profit raccolga dati personali. Le organizzazioni devono avere una politica e una procedura scritte su come gestiscono i dati personali e rispettare i principi sulla privacy.

La normativa richiede anche il rispetto degli otto principi in materia di protezione dei dati di seguito elencati.

Il GDPR prevede i seguenti diritti per le persone fisiche:

  1. Il diritto di essere informato sulla raccolta e l'utilizzo dei dati personali
  2. Il diritto di accesso ai propri dati personali e alle informazioni integrative
  3. Il diritto alla rettifica dei dati personali inesatti o al completamento dei dati incompleti
  4. Il diritto alla cancellazione dei dati personali
  5. Il diritto di limitare l'elaborazione che consente a un'organizzazione di archiviare i dati ma non di utilizzarli
  6. Il diritto alla portabilità dei dati che consente alle persone di ottenere e riutilizzare in modo sicuro e protetto i propri dati per i propri scopi
  7. Il diritto di opporsi al trattamento basato su interessi legittimi, di marketing diretto e per finalità di ricerca
  8. Diritti in relazione al processo decisionale automatizzato e alla profilazione

In che modo la mia organizzazione no profit diventa conforme?

Le organizzazioni non profit possono ancora utilizzare tattiche di marketing per promuovere, raccogliere fondi e interagire con i donatori, ma il trattamento dei dati deve essere effettuato secondo le sei basi legali delineate dalla legislazione GDPR.

Il seguente elenco è tratto dalla guida introduttiva al GDPR e alla raccolta fondi di beneficenza e, come è stato scritto, le sei basi legittime sono:

  1. Consenso: puoi dimostrare che un individuo ha eseguito una chiara azione affermativa (come dire "sì" a una domanda o spuntare una casella di attivazione) per consentirti di elaborare i suoi dati personali per uno scopo specifico. Le caselle preselezionate non costituiscono consenso.
  2. Contratto : l'elaborazione è necessaria per un contratto che hai con l'individuo o perché ti hanno chiesto di adottare misure specifiche prima di stipulare un contratto.
  3. Obbligo legale : Il trattamento è necessario per adempiere alla legge (esclusi gli obblighi contrattuali).
  4. Interessi vitali: il trattamento è necessario per proteggere la vita di qualcuno.
  5. Compito pubblico : il trattamento è necessario per svolgere un compito di interesse pubblico o per le tue funzioni ufficiali e il compito o la funzione ha una chiara base giuridica.
  6. Interessi legittimi: il trattamento è necessario per i tuoi interessi legittimi o per i legittimi interessi di terzi, a meno che gli interessi o i diritti e le libertà dell'individuo non prevalgano su tali interessi (questo non può applicarsi se sei un'autorità pubblica che elabora dati per svolgere i tuoi compiti ufficiali) .

L'ICO elenca i seguenti suggerimenti sulla protezione dei dati per le organizzazioni non profit di piccole e medie dimensioni:

  1. Dì alle persone cosa stai facendo con i loro dati. Uno dei principi più importanti del GDPR è che le organizzazioni sono aperte e oneste su come verranno utilizzati i dati.
  2. Formare tutto il personale, i membri e i volontari sulla protezione dei dati e su come archiviare e gestire tutti i dati personali.
  3. Usa password complesse per proteggere le informazioni.
  4. Crittografa tutti i dispositivi portatili che contengono informazioni personali.
  5. Stabilisci periodi di conservazione e conserva le informazioni personali solo per il tempo necessario.

Ricorda che questi suggerimenti sono semplicemente un punto di partenza per preparare il tuo team ai processi e alle normative che verranno aggiunti all'elaborazione dei dati della tua organizzazione. Per ulteriori informazioni, leggi queste risorse aggiuntive su come questa modifica influirà sulla tua organizzazione e quali dovrebbero essere i tuoi prossimi passi.

  • GDPR: una guida per gli enti di beneficenza
    • Creato da: Charity Finance Group
  • Introduzione al GDPR e alla raccolta fondi di beneficenza
    • Creato da: Institute of Fundraising, Fundraising Regulator e recensito da ICO
  • Prepararsi per il GDPR, 12 passaggi da fare ora
    • Creato da: ICO
  • Lista di controllo di autovalutazione
    • Creato da: ICO

Classy e il GDPR

Qui a Classy, ​​siamo implacabili nella nostra dedizione alla privacy e alla sicurezza dei dati dei nostri clienti e il nostro team è pienamente impegnato nella conformità al GDPR.

Quando è stata l'ultima volta che hai aggiornato la tua sicurezza informatica non profit?