Finalmente estamos en el año de RGPD. Dado que las organizaciones de todos los tamaños pueden sentirse bombardeadas con consejos y alarmismo, piense en las organizaciones benéficas que tienen que entender la actualización de la Ley de Protección de Datos.
Así que supongamos que ya tienes un conocimiento básico de lo que significa Reglamento General de Protección de Datos (GDPR) es. Si no es así, o si desea repasar sus conocimientos, puede echar un vistazo a algunos de los diversos recursos de GDPR que ISMS.online ha reunido.
Aunque actualmente la Oficina del Comisionado de Información no publica ninguna guía específica para organizaciones benéficas, puede utilizar las guías educativas generales que ha elaborado la ICO. El ICO es el organismo encargado de regular la Ley de Protección de Datos y las posteriores actualizaciones del RGPD.
Ahora vamos a echar un vistazo a algunas de las preguntas frecuentes que las organizaciones benéficas le han estado haciendo a la ICO.
Una sesión práctica adaptada a tus necesidades y objetivos.
Como muchos aspectos del RGPD y cualquier regulación al respecto, hay una serie de factores que determinarán si su organización benéfica debe nombrar o no un Delegado de Protección de Datos.
Al igual que cualquier organización, la ley le exigirá tener un DPO si:
Hablamos un poco sobre los datos de categorías especiales en un artículo de blog anterior sobre las actualizaciones de la Oficina del Comisionado de Información. Estas son categorías que se consideran particularmente sensibles, y si la seguridad de esos datos se ve comprometida, podría haber "riesgos más significativos para los derechos y libertades fundamentales de una persona".
Es probable que, como organización benéfica, procese datos de categorías especiales y esto se puede manejar (al momento de escribir este artículo) de manera similar a la Sección 3 de la Ley de Protección de Datos de 1998, Datos personales confidenciales.
Como referencia, esas categorías son Raza, Origen étnico, Política, Religión, Afiliación sindical, Genética, Biometría (donde los datos se utilizan con fines de identificación), Salud, Vida sexual y Orientación sexual.
Pero aunque el RGPD no le exija designar un DPO, aún puede optar por hacerlo. Además, es aceptable emplear un único Delegado de Protección de Datos para supervisar un grupo de empresas, siempre que sea realista que puedan gestionarlas todas.
La ICO lo ha facilitado al dividir en cuatro secciones la información que debe considerar al redactar un aviso de privacidad; Qué, dónde, cuándo y cómo.
Para hacer esto, debe averiguar qué tipo de datos personales posee su organización benéfica. Necesita saber qué se está haciendo con los datos o qué planea hacer con ellos. Entonces debes asegurarte de que solo estás recopilando y almacenando la información que necesitas. La ICO también sugiere que su organización benéfica decida "si está creando nueva información personal y si existen múltiples controladores de datos".
El consentimiento para compartir información personal debe incluir una aceptación positiva; esto significa que la casilla de verificación no debe estar precompletada. Explique cómo utilizará la información, durante cuánto tiempo la conservará y permitirá opciones para “acordar diferentes tipos de procesamiento”.
También puede incluir información sobre cómo los datos se vinculan con otros tipos de datos, para qué no utilizará su información y explicar las consecuencias genuinas de no brindarle su información.
La ICO ha dado ejemplos de ello:
Dar información de privacidad:
Considere un enfoque en capas:
El lenguaje que utilice debe ser claro y directo, y tener el mismo estilo que el de su audiencia.
Si tiene audiencias diferentes, debe proporcionar avisos separados para cada una. También es importante poder actualizar el aviso cuando sea necesario.
Una vez redactado, es útil probar el aviso de privacidad con miembros del personal o usuarios reales de sus servicios. Esto garantiza que comprendan el consentimiento que están dando.
La ICO ha elaborado una lista de verificación para obtener el consentimiento para el procesamiento de datos con GDPR. La lista establece formas de ayudarlo a identificar cualquier brecha que pueda tener en su procesamiento actual. Puede ser que el consentimiento que haya obtenido según la actual Ley de Protección de Datos sea suficiente, pero también puede descubrir circunstancias en las que será necesario volver a solicitar el consentimiento para cumplir con el RGPD.
Además del RGPD, si su organización benéfica comercializa a personas por teléfono, correo electrónico o mensaje de texto, deberá cumplir con el Reglamento de Privacidad y Comunicaciones Electrónicas (PECR).
Hay mucho que asimilar, pero uno de los muchos aspectos positivos del RGPD es que una vez que el trabajo esté realizado y mantenido, estarás promocionando a posibles recaudadores de fondos y donantes que estén genuinamente interesados en el trabajo que está haciendo tu organización benéfica.
Si está buscando una herramienta que le ayude a describir, demostrar y gestionar continuamente sus responsabilidades conforme al RGPD, póngase en contacto con el equipo y reserve su demostración.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez