Le organizzazioni non profit sono soggette a diverse leggi, alcune delle quali richiedono una politica sulla privacy accurata e aggiornata.
Mentre alcune leggi sulla privacy dei dati si applicano direttamente alle organizzazioni non profit che soddisfano le soglie legali, altre hanno un impatto su di esse se hanno stipulato un contratto con entità terze in qualità di responsabili del trattamento dei dati.
Di seguito, vi illustro le informazioni necessarie per redigere un'informativa sulla privacy per una nonprofit, compresi gli elementi da inserire, le leggi da considerare e altro ancora.
- Creare una politica sulla privacy per le organizzazioni non profit
- Le organizzazioni non profit hanno bisogno di una politica sulla privacy?
- Leggi che influenzano le politiche sulla privacy delle nonprofit
- Informazioni da includere in una politica sulla privacy per le organizzazioni non profit
- Dove esporre l'informativa sulla privacy della vostra nonprofit
- Riassunto
Creare una politica sulla privacy per le organizzazioni non profit
Potete creare un'informativa sulla privacy per la vostra nonprofit utilizzando una soluzione automatica, un modello o scrivendola voi stessi.
Soluzione gestita
Il modo più semplice per creare un'informativa sulla privacy è utilizzare una soluzione gestita, come generatore di informativa sulla privacy di Termly .
l'uso di un generatore elimina le congetture su cosa debba essere inserito nell'informativa sulla privacy, perché include automaticamente tali informazioni in base alle risposte date alle domande di base.
La polizza si aggiorna automaticamente quando si apportano modifiche tramite la dashboard Termly .
Tuttavia, le organizzazioni non profit sono soggette a leggi aggiuntive che potrebbero non avere alcun impatto sulle aziende a scopo di lucro. Possono essere applicati anche statuti e regolamenti specifici del settore.
Le organizzazioni non profit dovrebbero prendere in considerazione la possibilità di consultare un avvocato o un esperto di privacy per avere ulteriori indicazioni sulla conformità legale.
Modello
Le organizzazioni non profit possono anche utilizzare un modello di informativa sulla privacy per avviare rapidamente la creazione della propria politica.
I modelli sono già formattati correttamente per voi e includono le clausole più comuni.
È sufficiente riempire manualmente le sezioni vuote con informazioni sulla propria organizzazione, rimuovere le clausole non necessarie e aggiungere le informazioni necessarie per garantire la conformità.
Guardate come si presenta qui sotto.
Assicuratevi di non tralasciare nulla e ricordatevi di aggiornarlo manualmente ogni volta che le vostre attività di trattamento dei dati cambiano, in modo che rimanga accurato e onesto.
Scrivete voi stessi
È possibile scrivere la propria politica sulla privacy per una nonprofit; ciò richiede una conoscenza legale approfondita.
Se si tralascia qualcosa, le leggi sulla privacy potrebbero ritenervi responsabili, quindi siate prudenti.
Per facilitarvi il processo, ho delineato alcuni suggerimenti e best practice che potete seguire se decidete di scrivere la vostra polizza:
- Suggerimento 1: Assicuratevi di conoscere tutte le leggi applicabili alla vostra nonprofit e di sapere cosa richiedono le vostre norme sulla privacy.
- Suggerimento 2: formattate la vostra polizza utilizzando clausole chiaramente etichettate e un indice, in modo che gli utenti possano trovare le informazioni necessarie a seconda delle necessità.
- Suggerimento 3: Scrivete con un linguaggio semplice ed evitate il legalese o il gergo inutile, in modo che le informazioni siano accessibili a tutti gli utenti.
- Suggerimento 4: Utilizzate elenchi puntati o tabelle per presentare agli utenti informazioni complesse in modo più semplice, come ad esempio un elenco di tutti i dati che raccogliete e lo scopo per cui lo fate.
- Suggerimento 5: pianificate una revisione periodica della vostra politica sulla privacy e aggiornatela, se necessario, ogni volta che le leggi o le vostre attività di trattamento cambiano.
- Suggerimento 6: Chiedete a un avvocato o a un esperto di privacy di verificare la vostra politica sulla privacy per assicurarvi che sia pienamente conforme a tutte le leggi applicabili.
Le organizzazioni non profit hanno bisogno di una politica sulla privacy?
Alcune organizzazioni non profit hanno bisogno di informative sulla privacy, ma non tutte sono obbligate ad averne una.
Ad esempio, le organizzazioni non profit che raccolgono informazioni personali e che ricadono sotto la soglia di leggi specifiche hanno bisogno di politiche sulla privacy conformi.
In caso contrario, potreste essere multati per violazione della legge.
La pubblicazione di un'informativa sulla privacy aiuta inoltre la vostra organizzazione a creare un rapporto di fiducia con gli utenti, presentando loro in modo trasparente le vostre attività di trattamento dei dati.
In questo modo gli utenti hanno la possibilità di leggere i vostri protocolli e di scegliere con cognizione di causa se sono d'accordo con la raccolta e l'utilizzo dei loro dati personali da parte vostra.
Ma se la vostra nonprofit non raccoglie, elabora o utilizza informazioni personali, avere una politica sulla privacy può comunque dimostrare il vostro impegno ad essere aperti e onesti sulle pratiche di privacy.alle Politiche sulla privacy delle Nonprofit di Impatto
Leggi che influenzano le politiche sulla privacy delle nonprofit
Le organizzazioni non profit sono soggette a leggi specifiche che hanno un impatto sulle politiche sulla privacy e sono esenti da altre.
Tuttavia, le leggi da cui sono esenti possono ancora avere un impatto sulle organizzazioni non profit se hanno un contratto con un responsabile del trattamento dei dati che agisce per loro conto come incaricato del trattamento.
In questi casi, la nonprofit deve trattare i dati in base alla legge sulla privacy applicabile al titolare del trattamento.
Nella tabella che segue ho stilato un elenco delle leggi sulla privacy dei consumatori e di come si applicano direttamente o indirettamente alle organizzazioni non profit.
| Legge sulla privacy dei consumatori | Impatto sulle organizzazioni non profit |
| Legge sulla privacy del Colorado (CPA) | Il CPA si applica alle organizzazioni non profit che soddisfano una delle seguenti soglie:
|
| Legge sulla privacy dei consumatori della California (CCPA) | In generale, il CCPA non si applica alle organizzazioni non profit.
Tuttavia, le organizzazioni non profit possono essere interessate indirettamente se sono sotto contratto come responsabili del trattamento dei dati per conto di un responsabile del trattamento. |
| Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA) | Il VCDPA esenta le organizzazioni non profit.
Tuttavia, le organizzazioni non profit che lavorano con aziende soggette al VCDPA potrebbero essere interessate, soprattutto se hanno un contratto come responsabili del trattamento dei dati per conto di un responsabile del trattamento. |
| Legge sulla privacy dei dati del Connecticut (CTDPA) | Il CTDPA non si applica generalmente alle organizzazioni non profit.
Tuttavia, possono esserci delle eccezioni per determinati tipi di trattamento dei dati o per le collaborazioni con enti a scopo di lucro. |
| Legge sulla privacy dei consumatori dell'Oregon (OCPA) | Il testo finale della legge e la sua applicabilità alle organizzazioni non profit possono variare, pertanto è necessario verificare eventuali eccezioni o soglie che potrebbero interessare le organizzazioni non profit. |
| Legge sulla privacy dei consumatori dello Utah (UCPA) | Le organizzazioni non profit sono esenti dall'UCPA.
Tuttavia, come per altre esenzioni, le organizzazioni non profit possono ancora essere soggette a obblighi di privacy se stipulano contratti con aziende a scopo di lucro. |
La seguente tabella elenca le leggi che non sono leggi complete sulla privacy dei consumatori, ma che spesso si applicano alle organizzazioni non profit e possono avere un impatto sulle loro politiche sulla privacy o sulle attività di trattamento dei dati.
| Legge | Impatto sulle organizzazioni non profit |
| Legge sulle tutele per i consumatori di cure caritatevoli del Colorado | Sebbene non sia una legge completa sulla privacy, questo statuto del Colorado è rilevante per le organizzazioni non profit del settore sanitario. Regolamenta il modo in cui gli ospedali (compresi quelli non profit) gestiscono i dati dei consumatori e l'assistenza caritatevole. |
| Legge sulla privacy del Nevada | La legge sulla privacy del Nevada ha un ambito di applicazione più limitato e generalmente non si applica alle organizzazioni non profit.
Ma si concentra sulla vendita di dati online, quindi le organizzazioni non profit possono svolgere attività che rientrano nella legge se vendono dati personali online. |
| Legge sulla notifica delle violazioni dei dati del Massachusetts | Il Massachusetts richiede a tutte le organizzazioni, comprese quelle non profit, di informare le persone interessate e il procuratore generale dello Stato in caso di violazione dei dati.
Sebbene non si tratti di una legge completa sulla privacy, si applica a tutte le organizzazioni che trattano informazioni personali. |
| Legge SHIELD di New York | Lo SHIELD Act si applica a qualsiasi ente che gestisce le informazioni private dei residenti di New York, comprese le organizzazioni non profit.
La legge impone requisiti di sicurezza dei dati piuttosto che diritti specifici sulla privacy dei consumatori, ma le organizzazioni non profit devono rispettare la salvaguardia dei dati in base a questa legge. |
| Legge sulla privacy delle informazioni biometriche (BIPA) dell'Illinois | Sebbene il BIPA si concentri sui dati biometrici, si applica a qualsiasi entità privata, che potrebbe includere alcune organizzazioni non profit, in particolare quelle che raccolgono dati biometrici come le impronte digitali o i dati di riconoscimento facciale.
Richiede il consenso informato prima di raccogliere i dati biometrici e ne limita l'uso e la condivisione. |
Anche se molte leggi sulla privacy degli Stati Uniti esentano esplicitamente le organizzazioni non profit, le organizzazioni devono comunque essere caute.
Le organizzazioni non profit potrebbero essere indirettamente interessate da queste leggi se firmano contratti con aziende che sono soggette a rispettarle.
È inoltre essenziale per le organizzazioni non profit esaminare le normative specifiche del settore, ad esempio:
- Health Insurance Portability and Accountability Act (HIPAA) per l'assistenza sanitaria.
- Children›s Online Privacy Protection Act (COPPA) per le organizzazioni che interagiscono con minori di 13 anni.
- Family Education Rights and Privacy Act (FERPA) per l'istruzione.
A causa della maggiore complessità, raccomando alle organizzazioni non profit di rivolgersi a un avvocato o a un esperto di privacy per assicurarsi che le loro attività di trattamento siano conformi alla legge.
Informazioni da includere in una politica sulla privacy per le organizzazioni non profit
Anche se i dettagli esatti della vostra politica sulla privacy dipendono dalla vostra unica nonprofit e dalle leggi in vigore, di seguito ho stilato un elenco delle clausole più comuni da prendere in considerazione.
Quali dati personali vengono raccolti
Dovete elencare i dati personali che raccogliete in una clausola dell'informativa sulla privacy della vostra nonprofit. Formattatela con un elenco puntato o una tabella, in modo che sia facile per gli utenti leggerla e comprenderla.
Come si raccolgono i dati
Le leggi sulla privacy, come il Colorado Privacy Act, impongono di spiegare le modalità di raccolta dei dati personali nella propria informativa sulla privacy.
Ad esempio, potreste raccogliere dati attraverso moduli online, distribuendo cookie internet sui browser o quando gli utenti compilano moduli di donazione.
Perché raccogliere i dati
Nella vostra informativa sulla privacy dovete spiegare lo scopo della raccolta dei dati personali.
Ad esempio, potreste raccogliere dati per scopi di marketing e ricerca, per migliorare l'esperienza dell'utente o per completare gli obblighi contrattuali con i consumatori.
Secondo la maggior parte delle leggi, non è possibile trattare i dati per motivi che esulano da queste finalità senza informare il consumatore e ottenere il suo consenso esplicito.
Se vendete o condividete i dati personali
Dovete indicare se vendete o condividete i dati personali con entità terze direttamente nella vostra politica sulla privacy.
Dovreste includere un elenco delle categorie di dati che condividete con le terze parti e le categorie delle terze parti stesse.
Non dovresti farlo da solo; le organizzazioni non profit possono e dovrebbero aspettarsi che le loro piattaforme digitali di raccolta fondi impieghino solide misure di sicurezza per la protezione dei donatori, come quelle progettate per prevenire donazioni spam e attacchi di carding , per garantire la sicurezza dei dati dei donatori. Durante il processo di verifica, le organizzazioni non profit dovrebbero informarsi su
- Certificazioni di conformità come il PCI DSS Level 1, che dimostra l'adesione a rigorosi standard di sicurezza per la gestione dei dati delle carte di credito.
- Audit di sicurezza regolari, test di penetrazione e valutazioni delle vulnerabilità che sono fondamentali per mantenere un ambiente sicuro.
- Accordi trasparenti sul trattamento dei dati che delineino chiaramente le modalità di raccolta, utilizzo, conservazione e protezione dei dati dei donatori.
- Un solido piano di risposta agli incidenti della piattaforma in caso di violazione dei dati.
Justin Wheeler, CEO e co-fondatore della piattaforma digitale di raccolta fondi Funraise, sottolinea: "La privacy dei dati dei donatori è fondamentale. I nostri sostenitori più forti ci affidano le loro informazioni più sensibili, quindi abbiamo la responsabilità di fornire il massimo livello di sicurezza e trasparenza".
Informazioni sui diritti dei consumatori
Le leggi sulla privacy richiedono di spiegare quali diritti hanno gli utenti sui loro dati direttamente nella vostra informativa sulla privacy.
Dovete anche spiegare come possono esercitare tali diritti.
Se la vostra nonprofit è soggetta all'osservanza di più leggi, considerate l'aggiunta di una clausola per ciascuna di esse, in modo che i vostri consumatori di quelle regioni possano individuare facilmente i diritti a loro applicabili.
Informazioni di contatto per le organizzazioni non profit
Dovreste includere le informazioni di contatto della vostra nonprofit nella vostra informativa sulla privacy, in modo che i consumatori sappiano come contattarvi in caso di domande, commenti o dubbi.
Dove esporre l'informativa sulla privacy della vostra nonprofit
l'informativa sulla privacy della vostra nonprofit deve essere sempre facile da trovare per gli utenti, quindi prendete in considerazione l'idea di inserirla nei seguenti punti accessibili:
- Piè di pagina del sito web: La maggior parte dei siti web collega l'informativa sulla privacy al piè di pagina, perché si tratta di un luogo statico a cui gli utenti possono accedere da qualsiasi pagina durante la navigazione del sito.
- Banner di consenso pop-up: Il collegamento all'informativa sui cookie e sulla privacy in un banner di consenso assicura che i vostri utenti vedano automaticamente il documento quando entrano nel vostro sito web.
- Centro per la privacy: Se la vostra nonprofit ha molte norme legali e volete che i vostri utenti le trovino rapidamente, aggiungete al vostro sito un centro per la privacy che ospiti tutti i documenti applicabili, compresa la vostra informativa sulla privacy.
- Ovunque si raccolgano dati: Collegatevi all'informativa sulla privacy ovunque raccogliate dati dagli utenti, ad esempio nei moduli di pagamento, nei portali per la creazione di account e per l'iscrizione alla newsletter.
Riassunto
Le organizzazioni non profit che raccolgono, elaborano o utilizzano informazioni personali devono avere una politica sulla privacy completa.
È possibile che le leggi sulla privacy richiedano direttamente o indirettamente di averne uno, ma i vostri utenti si aspettano di trovarlo anche sul vostro sito web o nella vostra app.
Per quanto riguarda la privacy dei dati, le organizzazioni non profit devono tenere conto di altre leggi e normative oltre a quelle sulla privacy dei consumatori.
Ricordate di tenerlo a mente quando andrete a creare il vostro.
Scritto da Natasha Piirainen
Natasha Piirainen è una scrittrice specializzata in privacy con una laurea in inglese e filosofia conseguita presso il Wheaton College e oltre 10 anni di esperienza professionale nello sviluppo di contenuti basati sulla ricerca.
Leggi tutti i post di Natasha Piirainen
Revisionato da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha Komnenic è consulente legale e Direttore della Privacy Globale Termly, laureata in giurisprudenza presso l'Università di Belgrado. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD).
Leggi tutti i post revisionati da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
