El nuevo Reglamento de Protección de Datos obliga a todas las empresas y profesionales que traten datos personales. Pero ….

¿qué ocurre con los fotógrafos?

Los fotógrafos manejan datos de carácter personal, sobre todo imágenes, y deben preocuparse del buen uso de estos datos. La protección de datos no impide utilizarlos, pero la nueva normativa marca cómo hacerlo para conseguir la finalidad que queremos.

En este post tienes todos los pasos que debes seguir para adaptar tu estudio de fotografía a la normativa de protección de datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos para fotógrafos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir los fotógrafos el RGPD?

Los fotógrafos forman parte de ese tipo de profesionales que tienen en sus manos datos personales de terceros, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un usuario te deja sus datos para contratar un servicio fotográfico, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu estudio de fotografía para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los clientes
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Notificar brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplen la ley de proteccion de datos y el reglamento general de proteccion de datos los fotografos estudio de fotografia

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en los estudios de fotografía son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

¿Que tú no cedes datos a terceros?

No me lo creo.

¿Tienes una gestoría que te lleva temas fiscales o de nóminas?

¿Y una empresa informática que realiza el mantenimiento de los equipos?

Pues eso.

Sí cedes datos a terceros

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Acuerdo de confidencialidad con empleados

¿Tienes algún empleado?

Entonces esto te interesa.

Los empleados tienen acceso a toda la información que maneja el estudio de fotografía y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En estas entidades los empleados disponen de un correo electrónico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Consentimiento de clientes

Algo que no debes olvidar.

Además de actualizar la política de privacidad, como fotógrafo debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la entidad, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de la web y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración..

6. Análisis de riesgos

Como fotógrafo debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Así de simple.

Ni más ni menos.

Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados. Es raro que necesites una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que manejes o el volumen de esos datos, exista un riesgo alto y necesites realizarla.

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

7. Notificar brechas de seguridad

¡Ojo con esto!

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en tu estudio de fotografía, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

¿Puedo publicar las fotografías en mi página web o en redes sociales?

puedes hacerlo. Pero debes cumplir una serie de requisitos:

  • Contar con el consentimiento del afectado
  • Si el afectado es menor de 14 años habrá que solicitar ese consentimiento al que ostente su patria potestad
  • Informar con anterioridad de la finalidad de la captación de imágenes, lugares donde se van a publicar y quién puede acceder a ellas
  • Informar el nivel de accesibilidad de las imágenes

¿Y exponer las fotografías en el escaparate del estudio?

Igual que en el caso anterior, necesitas el consentimiento expreso del cliente para poder hacerlo.

¿Qué hago con los curriculum que recibo por correo electrónico?

Si vas a almacenar esos curriculum, debes responder al mismo correo que nos lo ha enviado informándole sobre:

  • dónde van a almacenarse los datos,
  • dónde y cómo puede el interesado ejercer sus derechos y
  • para qué se van a usar.

En el supuesto de que no vayas a tratar los datos personales del currículum vitae, debes contestar al correo electrónico informando que esos datos no serán usados y que los soportes que los contienen van a ser destruidos.

¿Qué ocurre con los datos recogidos a través de la TPV?

Estos datos también se consideran datos personales. Entre los datos que se recogen se encuentran:

  • número de tarjeta,
  • comercial donde se efectúa la compra,
  • su importe y
  • fecha y hora de realización.

No se envían otros datos de carácter personal como el nombre y apellidos del cliente.

Debes considerarlo como un tratamiento más y guardar esos tickets de forma segura.

¿Puedo publicar fotografías de una boda en la que aparecen los invitados?

Para publicar una fotografía en la que aparece una persona se requiere su consentimiento expreso e inequívoco. En el caso de una boda, aunque los novios firmen un contrato con el fotógrafo, este no da derecho a publicar fotos del resto de invitados. Debemos informarles y solicitar su consentimiento.

Plantillas

Aquí tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu estudio fotográfico.

Sanciones

Con esta nueva normativa se incrementan las exigencias en materia de Protección de Datos, y también las sanciones en caso de incumplimiento.

Por poner algún ejemplo, ahora la realización de actividades de márketing sin haber obtenido previamente el correspondiente consentimiento para ello, con los requisitos necesarios y establecidos por el RGPD, que actualmente es castigado con hasta 600.000€, pasará a ser multado hasta con 20 millones de euros o un 4% del volumen de negocio total anual del año anterior.

Tómatelo en serio.

No es broma.

A continuación te indico algunos ejemplos de sanciones impuestas por la AEPD a fotógrafos.

Publicar fotografía de menor en el escaparate

Una madre fue a un estudio de fotografía a realizar una foto de su hijo menor de edad, y el fotógrafo sin consentimiento previo de su madre, colgó las fotos del menor en el escaparate a la vista de todo el mundo.

Es aconsejable que los estudios de fotografía y fotógrafos tomen las medidas necesarias para proteger las imágenes, sobre todo de los menores. Aunque en un primer momento parezca algo que no necesitan y que no les afecta esta ley, la práctica del día a día demuestra lo contrario. Las medidas no son complicadas pero sí importantes y necesarias para evitar sanciones.

No atender debidamente el ejercicio del derecho de cancelación

El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Resolución AEPD R/00821/2017

¿Ya has adaptado tu estudio fotográfico a la nueva normativa de Protección de Datos? ¿A qué esperas?

¿Necesitas cumplir el RGPD?

Protección de datos para fotógrafos. Guía para cumplir el RGPD
4.5 (90.91%) 11 votos