¿Estamos obligados, por el Reglamento de Protección de Datos, a mantener un sistema muy alto de seguridad si no manejamos datos de particulares?

Hola,

Somos una asociación sin ánimo de lucro creada hace apenas un año. Tenemos un poco de lío porque nos dicen que con el reglamento de Protección de Datos tenemos que hacer cuestiones de seguridad muy alta y con un coste elevadísimo.

No acabamos de entender por qué. Los socios somos empresas que nos hemos unidos para solicitar cosas a la administración y para diferenciarnos en nuestra pagina web de las empresas que no están legalizadas. No tenemos datos de clientes porque no tenemos clientes y no tenemos datos de proveedores más que los de servicios de la página web, aunque es una persona de la propia asociación la que lo gestiona, y de telefonía. De momento, no tenemos más.

La cuestión es que nos pasan dos presupuestos. Uno de unas cantidades moderadas con un mantenimiento anual razonable, y no nos piden mas cosas, y el otro en cambio nos pide una cantidad de varios miles de euros.

Nos gustaría saber si las asociaciones sin ánimo de lucro están sometidas al reglamento como si fuéramos ayuntamientos (que es lo que nos dicen) o si por el contrario dado que no manejamos datos sensibles de información de ningún particular es algo mas parecido a una pequeña empresa.