Las organizaciones sin ánimo de lucro se ven afectadas por diversas leyes, algunas de las cuales exigen una política de privacidad precisa y actualizada.
Mientras que algunas leyes de privacidad de datos se aplican directamente a las organizaciones sin ánimo de lucro que cumplen los umbrales legales, otras les afectan si están bajo contrato con terceras entidades como procesadores de datos.
A continuación, le explicaré todo lo que necesita saber sobre la elaboración de una política de privacidad para una organización sin ánimo de lucro, incluidos los elementos que debe incluir, las leyes que debe tener en cuenta, etc.
- Creación de una política de privacidad para organizaciones sin ánimo de lucro
- ¿Necesitan las organizaciones sin ánimo de lucro una política de privacidad?
- Leyes que afectan a las políticas de privacidad de las organizaciones sin ánimo de lucro
- Información que debe incluir una política de privacidad sin ánimo de lucro
- Dónde mostrar la política de privacidad de su organización sin ánimo de lucro
- Resumen
Creación de una política de privacidad para organizaciones sin ánimo de lucro
Puede elaborar una política de privacidad para su organización sin ánimo de lucro utilizando una solución automatizada, una plantilla o escribiéndola usted mismo.
Solución Gestionada
La forma más sencilla de crear una política de privacidad es utilizar una solución administrada, como Generador de Política de Privacidad de Termly .
El uso de un generador elimina las conjeturas a la hora de saber qué debe incluir su política de privacidad, ya que incluye automáticamente esa información basándose en sus respuestas a preguntas básicas.
La política se actualiza automáticamente cuando se realizan cambios a través del panel Termly .
Sin embargo, las organizaciones sin ánimo de lucro están sujetas a leyes adicionales que podrían no afectar a las empresas con ánimo de lucro. También pueden aplicarse leyes y reglamentos específicos del sector.
Las organizaciones sin ánimo de lucro deberían considerar la posibilidad de consultar a un abogado o experto en privacidad para obtener orientación adicional sobre el cumplimiento legal.
Plantilla
Las organizaciones sin fines de lucro también pueden utilizar una plantilla de política de privacidad para ayudar a impulsar la creación de su política.
Las plantillas ya tienen el formato adecuado e incluyen las cláusulas habituales.
Sólo tiene que rellenar manualmente las secciones en blanco con información sobre su organización, eliminar las cláusulas que no sean necesarias y añadir la información necesaria para garantizar el cumplimiento.
Vea su aspecto a continuación.
Asegúrese de no omitir nada y recuerde actualizarlo manualmente siempre que cambien sus actividades de tratamiento de datos, para que siga siendo preciso y honesto.
Escríbalo usted mismo
Usted puede redactar su propia política de privacidad para una organización sin ánimo de lucro; esto requiere amplios conocimientos jurídicos.
Si omite algo, las leyes de protección de la intimidad podrían exigirle responsabilidades, así que sea prudente.
Para facilitarle el proceso, he resumido algunos consejos y buenas prácticas que puede seguir si decide redactar su póliza:
- Consejo 1: Asegúrese de conocer todas las leyes aplicables a su organización sin ánimo de lucro y lo que exigen de su política de privacidad.
- Consejo 2: formatee su política utilizando cláusulas claramente etiquetadas y un índice para que los usuarios puedan encontrar la información necesaria cuando la necesiten.
- Consejo 3: Escriba utilizando un lenguaje sencillo y evite la jerga jurídica o innecesaria para que la información sea accesible a todos los usuarios.
- Consejo 4: Utilice listas de viñetas o tablas para presentar información compleja a sus usuarios de forma más sencilla, como una lista de todos los datos que recopila y su propósito al hacerlo.
- Consejo 5: Planifique una revisión periódica de su política de privacidad y actualícela cuando sea necesario, siempre que cambien las leyes o sus actividades de tratamiento.
- Consejo 6: Pida a un abogado o experto en privacidad que revise su política de privacidad para asegurarse de que cumple todas las leyes aplicables.
¿Necesitan las organizaciones sin ánimo de lucro una política de privacidad?
Algunas organizaciones sin ánimo de lucro necesitan políticas de privacidad, pero no todas están obligadas a tener una.
Por ejemplo, las organizaciones sin ánimo de lucro que recopilan información personal y entran en el ámbito de aplicación de leyes específicas necesitan políticas de privacidad conformes.
De lo contrario, podrían multarte por infringir la ley.
Publicar una política de privacidad también ayuda a su organización a generar confianza entre los usuarios al presentarles de forma transparente sus actividades de tratamiento de datos.
Esto da a los usuarios la oportunidad de leer sobre sus protocolos y tomar una decisión informada sobre si están de acuerdo con que usted recopile y utilice su información personal.
Pero si su organización sin ánimo de lucro no recopila, procesa ni utiliza información personal, contar con una política de privacidad puede mostrar su compromiso con la transparencia y la honestidad en las prácticas de privacidad.Políticas de privacidad de Impact Nonprofit
Leyes que afectan a las políticas de privacidad de las organizaciones sin ánimo de lucro
Las organizaciones sin ánimo de lucro están sujetas a leyes específicas que afectan a las políticas de privacidad y están exentas de otras.
Sin embargo, las leyes de las que están exentas pueden seguir afectando a las organizaciones sin ánimo de lucro si tienen un contrato con un responsable del tratamiento que actúa en su nombre como encargado del tratamiento.
En estos casos, la organización sin ánimo de lucro debe tratar los datos con arreglo a la legislación sobre privacidad aplicable al responsable del tratamiento.
En la siguiente tabla he recopilado una lista de leyes sobre privacidad del consumidor y cómo se aplican directa o indirectamente a las organizaciones sin ánimo de lucro.
| Ley de protección de los consumidores | Impacto en las organizaciones sin ánimo de lucro |
| Ley de Privacidad de Colorado (CPA) | La CPA se aplica a las organizaciones sin ánimo de lucro que cumplen uno de los siguientes umbrales:
|
| Ley de Privacidad del Consumidor de California (CCPA) | En general, la CCPA no se aplica a las organizaciones sin ánimo de lucro.
Sin embargo, las organizaciones sin ánimo de lucro pueden verse afectadas indirectamente si tienen un contrato como procesadores de datos en nombre de un controlador de datos. |
| Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) | La VCDPA exime a las organizaciones sin ánimo de lucro.
Sin embargo, las organizaciones sin ánimo de lucro que trabajan con empresas sujetas a la VCDPA podrían verse afectadas, especialmente si tienen un contrato como procesadores de datos en nombre de un controlador de datos. |
| Ley de Privacidad de Datos de Connecticut (CTDPA) | En general, la CTDPA no se aplica a las organizaciones sin ánimo de lucro.
Sin embargo, puede haber excepciones para tipos específicos de tratamiento de datos o asociaciones con entidades con ánimo de lucro. |
| Ley de Privacidad del Consumidor de Oregón (OCPA) | El texto final de la ley y su aplicabilidad a las organizaciones sin ánimo de lucro pueden variar, por lo que conviene revisar las excepciones o umbrales que puedan afectar a las organizaciones sin ánimo de lucro. |
| Ley de Privacidad del Consumidor de Utah (UCPA) | Las organizaciones sin ánimo de lucro están exentas de la UCPA.
Pero, al igual que otras exenciones, las organizaciones sin ánimo de lucro pueden seguir teniendo obligaciones en materia de privacidad si contratan con empresas con ánimo de lucro. |
La siguiente tabla enumera las leyes que no son leyes integrales de privacidad del consumidor que aún se aplican a menudo a las organizaciones sin fines de lucro y pueden afectar sus políticas de privacidad o actividades de procesamiento de datos.
| Ley | Impacto en las organizaciones sin ánimo de lucro |
| Ley de Protección de los Consumidores de Asistencia Benéfica de Colorado | Aunque no se trata de una ley de privacidad exhaustiva, este estatuto de Colorado es relevante para las organizaciones sin ánimo de lucro del sector sanitario. Regula el modo en que los hospitales (incluidos los hospitales sin ánimo de lucro) gestionan los datos de los consumidores y la asistencia benéfica. |
| Ley de privacidad de Nevada | La ley de privacidad de Nevada tiene un alcance más limitado y, por lo general, no se aplica a las organizaciones sin ánimo de lucro.
Pero se centra en la venta de datos en línea, por lo que las organizaciones sin ánimo de lucro pueden participar en actividades contempladas por la ley si venden datos personales en línea. |
| Ley de notificación de violaciones de datos de Massachusetts | Massachusetts exige a todas las organizaciones, incluidas las sin ánimo de lucro, que notifiquen a las personas afectadas y al fiscal general del estado si se produce una violación de datos.
Aunque no se trata de una ley de privacidad exhaustiva, se aplica a cualquier organización que maneje información personal. |
| Ley SHIELD de Nueva York | La Ley SHIELD se aplica a cualquier entidad que maneje información privada de residentes en Nueva York, incluidas las organizaciones sin ánimo de lucro.
Impone requisitos de seguridad de los datos más que derechos específicos de privacidad de los consumidores, pero las organizaciones sin ánimo de lucro deben cumplir con la salvaguarda de los datos en virtud de esta ley. |
| Ley de Privacidad de la Información Biométrica de Illinois (BIPA) | Aunque la BIPA se centra en los datos biométricos, se aplica a cualquier entidad privada, lo que podría incluir a determinadas organizaciones sin ánimo de lucro, especialmente las que recopilan datos biométricos como huellas dactilares o datos de reconocimiento facial.
Exige el consentimiento informado antes de recoger datos biométricos y restringe su uso e intercambio. |
Aunque muchas leyes de privacidad estatales de Estados Unidos eximen explícitamente a las organizaciones sin ánimo de lucro, éstas deben actuar con cautela.
Las organizaciones sin ánimo de lucro pueden verse afectadas indirectamente por estas leyes si firman contratos con empresas que están sujetas a su cumplimiento.
También es esencial que las organizaciones sin ánimo de lucro revisen la normativa específica del sector, por ejemplo:
- Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA ) para la asistencia sanitaria.
- Ley de Protección de la Privacidad Infantil en Internet (COPPA) para organizaciones que interactúan con menores de 13 años.
- Ley de Privacidad y Derechos Educativos de la Familia (FERPA ) para la educación.
Debido a la complejidad añadida, recomiendo a las organizaciones sin ánimo de lucro que consulten a un abogado o a un experto en privacidad de datos para asegurarse de que sus actividades de tratamiento cumplen la legislación.
Información que debe incluir una política de privacidad sin ánimo de lucro
Aunque los detalles exactos de tu política de privacidad dependen de tu organización sin ánimo de lucro y de la legislación aplicable, he recopilado una lista de las cláusulas más comunes para que las tengas en cuenta.
Qué datos personales recopila
Debe enumerar qué datos personales recopila en una cláusula de la política de privacidad de su organización sin ánimo de lucro. Utiliza una lista de viñetas o una tabla para que los usuarios puedan leerla y comprenderla con facilidad.
Cómo se recogen los datos
Las leyes de privacidad, como la Ley de Privacidad de Colorado, le obligan a explicar cómo recopila datos personales en su política de privacidad.
Por ejemplo, puede recopilar datos a través de formularios en línea, instalando cookies de Internet en los navegadores o cuando los usuarios rellenan formularios de donación.
Por qué se recopilan los datos
Debe explicar la finalidad de la recogida de datos personales en su política de privacidad.
Por ejemplo, puede recopilar datos con fines de marketing e investigación, para mejorar la experiencia del usuario o para cumplir obligaciones contractuales con los consumidores.
Según la mayoría de las leyes, no puede tratar datos por motivos ajenos a estos fines sin informar al consumidor y obtener su consentimiento expreso.
Si vende o comparte datos personales
Debe indicar si vende o comparte datos personales con terceras entidades directamente en su política de privacidad.
Debe incluir una lista de las categorías de datos que comparte con los terceros y las categorías de los propios terceros.
No debería tener que hacerlo solo; las organizaciones sin fines de lucro pueden y deben esperar que sus plataformas digitales de recaudación de fondos implementen sólidas medidas de seguridad para la protección de los donantes, como las diseñadas para prevenir las donaciones de spam y los ataques de carding , para garantizar la seguridad de los datos de los donantes. Durante el proceso de verificación, las organizaciones sin fines de lucro deben consultar sobre
- Certificaciones de conformidad, como PCI DSS Nivel 1, que demuestra el cumplimiento de estrictas normas de seguridad para el tratamiento de datos de tarjetas de crédito.
- Auditorías de seguridad periódicas, pruebas de penetración y evaluaciones de vulnerabilidad que son fundamentales para mantener un entorno seguro.
- Acuerdos transparentes de tratamiento de datos que describan claramente cómo se recopilan, utilizan, almacenan y protegen los datos de los donantes.
- Un sólido plan de respuesta a incidentes de la plataforma en caso de violación de datos.
Justin Wheeler, consejero delegado y cofundador de la plataforma digital de captación de fondos Funraise, subraya: "La privacidad de los datos de los donantes es primordial. Nuestros más firmes partidarios nos confían su información más sensible, por lo que tenemos la responsabilidad de ofrecer el máximo nivel de seguridad y transparencia."
Información sobre los derechos de los consumidores
Las leyes de privacidad le obligan a explicar qué derechos tienen sus usuarios sobre sus datos directamente en su política de privacidad.
También debe explicarles cómo pueden hacer valer esos derechos.
Si su organización sin ánimo de lucro está sujeta al cumplimiento de más de una ley, considere la posibilidad de añadir una cláusula para cada una de ellas, de modo que sus consumidores de esas regiones puedan localizar fácilmente los derechos que les son aplicables.
Información de contacto de organizaciones sin ánimo de lucro
Debe incluir la información de contacto de su organización sin ánimo de lucro en su política de privacidad para que los consumidores sepan cómo ponerse en contacto con usted si tienen preguntas, comentarios o dudas.
Dónde mostrar la política de privacidad de su organización sin ánimo de lucro
La política de privacidad de su organización sin ánimo de lucro debe ser siempre fácil de encontrar para los usuarios, así que considere la posibilidad de colocarla en los siguientes lugares accesibles:
- Pie de página: La mayoría de los sitios web enlazan su política de privacidad en el pie de página porque se trata de un lugar estático al que los usuarios pueden acceder desde cualquier página mientras navegan por su sitio.
- Banners emergentes de consentimiento: Un enlace a su política de cookies y de privacidad en un banner de consentimiento garantiza que sus usuarios vean automáticamente el documento al entrar en su sitio web.
- Centro de privacidad: Si tu organización sin ánimo de lucro tiene muchas políticas legales y quieres que tus usuarios las localicen rápidamente, añade un centro de privacidad a tu sitio que albergue todos los documentos aplicables, incluida tu política de privacidad.
- Dondequiera que se recojan datos: Pon un enlace a tu política de privacidad siempre que recojas datos de los usuarios, como formularios de pago, portales de creación de cuentas y suscripciones a boletines.
Resumen
Las organizaciones sin ánimo de lucro que recojan, procesen o utilicen información personal deben tener una política de privacidad exhaustiva.
Es posible que las leyes de privacidad le obliguen directa o indirectamente a tener uno, pero sus usuarios también esperan encontrarlo en su sitio web o en su aplicación.
Cuando se trata de la privacidad de los datos, las organizaciones sin ánimo de lucro tienen leyes y normativas adicionales que deben tener en cuenta más allá de las leyes generales de privacidad de los consumidores.
Recuerda tener esto en cuenta cuando vayas a hacer el tuyo.
Escrito por Natasha Piirainen
Natasha Piirainen es una escritora especializada en privacidad con una licenciatura en Inglés y Filosofía por el Wheaton College y más de 10 años de experiencia profesional en el desarrollo de contenidos basados en la investigación.
Leer todas las publicaciones de Natasha Piirainen
Revisado por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha Komnenic es asesora jurídica y directora de Privacidad Global Termly, y se licenció en Derecho por la Universidad de Belgrado. Está especializada en la implementación, supervisión y auditoría del cumplimiento normativo de las empresas en materia de privacidad (HIPAA, PIPEDA, Directiva sobre privacidad electrónica, rgpd, CCPA, POPIA, LGPD).
Leer todas las publicaciones revisadas por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
