Por la propia naturaleza de su trabajo, los fotógrafos suelen manejar datos de carácter personal, especialmente los relacionados con la imagen. Por ello es importante qué límites, derechos y obligaciones deben contemplar a la hora de realizar el tratamiento de datos de terceros. En esta entrada cómo deben cumplir los fotógrafos con el RGPD.

Normativa de Protección de Datos

Actualmente, son tres los textos legales en los que podemos encontrar recogida toda la regulación concerniente a la protección de datos en España y la UE; hablamos de:

  • Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo de 2018.
  • La Ley Orgánica de Protección de Datos (LOPD), que desde diciembre de 2018 encontramos en el BOE como texto refundido de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
  • La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), en vigor desde 2002.

Imagen de estudio fotográfico para protección de datos fotógrafos

¿Cómo deben cumplir con la protección de datos los fotógrafos?

Si vas a abrir un estudio de fotografía, es normal que te surjan dudas respecto a cómo debes cumplir con la Ley de Protección de Datos, sobre todo porque vas a trabajar mayoritariamente con imágenes de terceros. Pero no solo eso, también gestionarás otros datos personales de tus clientes y de tus empleados (si los tienes), incluso de aquellos proveedores autónomos.

También te pueden surgir dudas si tienes una página web o si te ves en la situación de tener que ceder el acceso a datos personales de tus clientes o empleados a terceros externos a tu negocio.

Debes saber que para cumplir con la normativa vigente de protección de datos los fotógrafos en España (y en realidad, cualquier empresa o profesional que trate con datos personales de otros) deben llevar a cabo una serie de actuaciones principales:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los clientes
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Notificar brechas de seguridad

Veamos en detalle cada uno de estas actuaciones, para despejar todas tus dudas.

como cumplen la ley de proteccion de datos y el reglamento general de proteccion de datos los fotografos estudio de fotografia

1. Cómo realizar el registro de actividades de tratamiento

Realizar el registro de actividades de tratamiento es obligatorio para que las empresas cumplan con la Ley de Protección de Datos, de hecho, es fundamental tener recogido por escrito y lo más actualizado posible, porque es el documento que la Agencia Española de Protección de Datos (AEPD) puede solicitarse en caso de que te realicen una inspección.

 

A través de este registro podrás tener más claro qué tipo de datos personales tratas y la cantidad de ellos que manejas, lo que más adelante te servirá para realizar el análisis de riesgos y, si lo necesitas, la evaluación de impacto.

 

Para realizar un correcto registro de actividades, debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Si no tienes muy claro qué datos se manejan en un estudio de fotografía, aquí va una lista de los más habituales:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. En caso de que cedas datos personales a terceros

Prácticamente todas las empresas o profesionales ceden algunos datos personales de sus clientes o empleados a terceros, es decir, a otras empresas o autónomos externos para realizar algún trabajo en concreto o por la prestación de algún servicio. Es el caso, por ejemplo, de esa gestoría que te lleva los temas fiscales y laborales y se ocupa de gestionar las nóminas de tus empleados, o de ese servicio de IT con el que tienes contratado una base de datos en la nube o el hosting de tu página web.

Cuando cede datos personales de tus clientes a terceros, tienes que asegurarte de que estos también cumplen con la normativa vigente de protección de datos, porque ambos vais a ser responsables de la protección de dichos datos.

Esto podrás hacerlo firmando un contrato de encargo de tratamiento entre tu estudio de fotografía y esos otros agentes externos. El contrato deberá recoger las obligaciones que cada parte debe cumplir y qué responsabilidades tienen respecto a los datos personales a los que tengan acceso.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

3. Asegura la confidencialidad los empleados de tu estudio de fotografía

Si tienes empleados trabajando en tu estudio de fotografía, es necesario que les informes de las medidas de seguridad en materia de protección de datos tomadas por la empresa y la obligación que tienen de cumplirlas. Para asegurarte de esto se hace bien, lo adecuado es que firmen un acuerdo de confidencialidad o que el contrato de trabajo incluya ya una o varias cláusulas al respecto.

De esta manera te aseguras tus empleados sean más precavidos a la hora de dar acceso indebido a datos o información sensible sobre clientes a terceras partes no autorizadas.

En cuanto a las medidas de seguridad, también debes asegurarte que entienden los riesgos que supone para la exposición o pérdida de datos que sean víctimas de algún ciberataque, especialmente si utilizan el correo electrónico para comunicarse entre ellos, contigo o con clientes.

fotógrafo eligiendo foto protección de datos fotógrafos

4. Recoge el consentimiento de clientes

En un esfuerzo por que la ciudadanía esté más y mejor informado en lo que respecta al uso y manejo de sus datos personales por parte de las empresas o profesionales con los que contratan algún tipo de servicio, el RGPD incorporó la necesidad de conseguir el consentimiento expreso de los usuarios para poder tratar sus datos y en el caso de la protección de datos para fotógrafos también hay que tenerlo en cuenta para el uso de imágenes de terceros.

Este consentimiento puede solicitarse de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la entidad, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Como decíamos, debes poner especial atención en el uso de imágenes de tus clientes, por mucho que te hayan contrato para realizar el reportaje fotográfico de su boda o cualquier otro evento, o les hayas hecho las fotos de carnet, la utilización de imágenes sin autorización expresa del interesado (la persona fotografiada) no es legal y pueden denunciarte por ello.

5. Si tienes una página web de fotografía

Si como fotógrafo o como estudio de fotografía cuentas con una página web, tienes la obligación de incluir una serie de textos exigidos por la Ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de la web y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración..

6. Análisis de riesgos

Aunque si guardas todos los datos personales de tus clientes y empleados en un archivo físico, es posible que estos no corran riesgo de ser expuestos o robados, lo cierto es que actualmente, lo habitual es manejar muchos datos personales a través del ordenador. ¿Mandas tus presupuestos o facturas por correo electrónico?, ¿tus clientes contactan contigo a través de un formulario en tu web?, ¿almacenas tus trabajos de fotografía en discos duros virtuales (en la nube)?

En todas esas instancias existe el riesgo de que los datos personales o las fotografías queden expuestos al acceso no autorizado de otras personas. Por ello es importante que  realices un análisis de riesgos con el que puedas evaluar el tipo de amenazas que entraña cada tratamiento de datos que realizas y qué medidas de seguridad puedes y debes implementar para prevenir y evitar dichos riesgos.

Para realizar el análisis de riesgos puedes tener en cuenta las siguientes cuestiones:

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Y si de alguno de esos riesgos se desprende alguno especialmente alto, será necesario realizar una evaluación de impacto para minimizar posibles perjuicios a los derechos o libertades de los interesados. Ten en cuenta que la ley de protección de datos respecto a fotografías, especialmente las de personas, contempla el tratamiento de las imágenes con especial atención, ya que el derecho a la propia imagen es un derecho fundamental en la Constitución Española.

7. Notificar brechas de seguridad

Si pese a todas tus medidas de seguridad, acabas sufriendo una brecha de seguridad que deje expuestos los datos personales de tus clientes o empleados, el actual RGPD te obliga a comunicar en un plazo no superior a 72 horas de este tipo de incidentes, tanto a los interesados como la AEPD.

Ten en cuenta que los datos personales son actualmente un bien muy preciado, en esta era del Big Data, los datos tienen precio y hay quien se dedica a robarlos para venderlos al mejor postor o, peor, usarlos con intenciones fraudulentas, como la suplantación de identidad.

Por ello, aparte de implementar medidas de seguridad adecuadas y actualizadas, que podrán ser contempladas como atenuantes en caso de infracción y sanción, es recomendable que cuentas con un plan de actuación o protocolo que te permite responder y poner solución a la incidencia lo más rápidamente posible.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Fotografía de en estudio protección de datos fotógrafos

Preguntas frecuentes

¿Puedo publicar las fotografías en mi página web o en redes sociales?

Sí puedes hacerlo. Pero debes cumplir una serie de requisitos:

  • Contar con el consentimiento del afectado
  • Si el afectado es menor de 14 años habrá que solicitar ese consentimiento al que ostente su patria potestad
  • Informar con anterioridad de la finalidad de la captación de imágenes, lugares donde se van a publicar y quién puede acceder a ellas
  • Informar el nivel de accesibilidad de las imágenes

¿Y exponer las fotografías en el escaparate del estudio?

Igual que en el caso anterior, necesitas el consentimiento expreso del cliente para poder hacerlo. Recuerda que desde la entrada en vigor de la nueva Ley de Protección de Datos la autorización expresa para el uso de imágenes personales es obligatoria.

¿Qué hago con los curriculum que recibo por correo electrónico?

Si vas a almacenar esos curriculum, debes responder al mismo correo que nos lo ha enviado informándole sobre:

  • dónde van a almacenarse los datos,
  • dónde y cómo puede el interesado ejercer sus derechos y
  • para qué se van a usar.

En el supuesto de que no vayas a tratar los datos personales del currículum vitae, debes contestar al correo electrónico informando que esos datos no serán usados y que los soportes que los contienen van a ser destruidos.

¿Qué ocurre con los datos recogidos a través de la TPV?

Estos datos también se consideran datos personales. Entre los datos que se recogen se encuentran:

  • número de tarjeta,
  • comercial donde se efectúa la compra,
  • su importe y
  • fecha y hora de realización.

No se envían otros datos de carácter personal como el nombre y apellidos del cliente.

Debes considerarlo como un tratamiento más y guardar esos tickets de forma segura.

¿Puedo publicar fotografías de una boda en la que aparecen los invitados?

Para publicar una fotografía en la que aparece una persona se requiere su consentimiento expreso e inequívoco. En el caso de una boda, aunque los novios firmen un contrato con el fotógrafo, este no da derecho a publicar fotos del resto de invitados. Debemos informarles y solicitar su consentimiento.

Plantillas

Aquí tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu estudio fotográfico.

Sanciones

Con esta nueva normativa se incrementan las exigencias en materia de Protección de Datos, y también las sanciones en caso de incumplimiento.

Por poner algún ejemplo, ahora la realización de actividades de márketing sin haber obtenido previamente el correspondiente consentimiento para ello, con los requisitos necesarios y establecidos por el RGPD, que actualmente es castigado con hasta 600.000€, pasará a ser multado hasta con 20 millones de euros o un 4% del volumen de negocio total anual del año anterior.

A continuación te indico algunos ejemplos de sanciones impuestas por la AEPD a fotógrafos.

Publicar fotografía de menor en el escaparate

Una madre fue a un estudio de fotografía a realizar una foto de su hijo menor de edad, y el fotógrafo sin consentimiento previo de su madre, colgó las fotos del menor en el escaparate a la vista de todo el mundo.

Es aconsejable que los estudios de fotografía y fotógrafos tomen las medidas necesarias para proteger las imágenes, sobre todo de los menores. Aunque en un primer momento parezca algo que no necesitan y que no les afecta esta ley, la práctica del día a día demuestra lo contrario. Las medidas no son complicadas pero sí importantes y necesarias para evitar sanciones.

No atender debidamente el ejercicio del derecho de cancelación

El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Resolución AEPD R/00821/2017

¿Ya has adaptado tu estudio fotográfico a la normativa de Protección de Datos? ¿A qué esperas?

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.