Si te dedicas a la fotografía profesional, tanto si tienes o no un estudio como si no, necesitas conocer las obligaciones en materia de protección de datos que debes cumplir. Para facilitarte la tarea, hemos elaborado esta guía de protección de datos para fotógrafos profesionales.
En este artículo hablamos de:
- ¿Qué leyes de protección de datos deben cumplir fotógrafos?
- RGPD para fotógrafos y estudios de fotografía
- LOPDGDD para fotógrafos profesionales
- Verifica que cumples la normativa de protección de datos en tu negocio de fotografía
- Dedica más tiempo a tu negocio fotográfico y evita posibles sanciones, delegando la protección de datos a profesionales
- ¿Cómo implantar la normativa de protección de datos en un estudio de fotografía?
- Determinar el Responsable del Tratamiento
- Llevar un registro de las actividades de tratamiento
- Obtener consentimiento
- Realizar un Análisis de riesgos
- Evaluación de Impacto
- Información a los propietarios de los datos
- Firmar contratos de encargo de tratamiento
- Página web
- Realizar auditorías periódicas
- Notificar brechas de seguridad
- Resumen de actuaciones
- La mayoría de los fotógrafos nos preguntan…
¿Qué leyes de protección de datos deben cumplir fotógrafos?
La protección de datos para fotografía la encontramos regulada en dos normativas, una de carácter supranacional y otra de carácter nacional, pero estrechamente relacionadas:
- Reglamento General de Protección de datos (RGPD)
- Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD o LOPD)
Aparte de la LOPDGDD y RGPD, también debemos tener en cuenta la Ley de Servicios de la Información y de Comercio Electrónico (LSSI-CE), especialmente si promocionamos y vendemos nuestros servicios a través de una página web.
Te ayudamos a cumplir la ley de protección de datos para autónomos desde solo 180 euros al año.
RGPD para fotógrafos y estudios de fotografía
El RGPD es el marco normativo europeo para la protección de datos. En España entró en vigor en 2018, modificando la ley de protección de datos e introduciendo nuevas obligaciones y requisitos que las entidades públicas y privadas han tenido que ir adaptando desde entonces.
Los detallaremos más adelante, pero entre las novedades que introdujo el RGPD que afectan a la protección de datos para fotógrafos profesionales y estudios de fotografía, está la obligación de obtener el consentimiento expreso para el tratamiento de datos, llevar un registro de actividades de tratamiento, firmar contratos de encargo de tratamiento con terceros o la obligación de notificar las brechas de seguridad.
Además, a los derechos ARCO (acceso, rectificación, cancelación y oposición) que pueden ejercer los interesados respecto a sus datos personales, sumó los derechos a la portabilidad y al olvido.
LOPDGDD para fotógrafos profesionales
La LOPDGDD introdujo en nuestra legislación las nuevas obligaciones, requisitos y exigencias el RGPD, y en concreto aquellos aspectos más generales del Reglamento, cuya regulación particular dejaba en manos de cada Estado miembro.
De manera que un fotógrafo que cumple con la LOPDGDD está cumpliendo también con el RGPD.
¿Es obligatorio cumplir con estas leyes?
Sí. Un fotógrafo profesional o un estudio de fotografía trata con datos personales, siendo el más evidente y principal de ellos la propia imagen de sus clientes, pero además, también maneja otros datos personales, como los datos identificativos.
Y en el caso de que se tengan empleados, también se estarían tratando diferentes datos personales de estos, lo que obliga cumplir la ley igualmente. Igual que si se trabaja con proveedores autónomos, puesto que al ser personas físicas, quedan amparados por la normativa.
No cumplir la ley puede conllevar sanciones LOPD que pueden alcanzar los 20 millones de euros o el 4% de la facturación anual (la cuantía que sea superior). Así que piensa en lo caro que te pueda salir no adaptar tu negocio a la normativa de protección de datos, tanto si eres autónomo como empresa.
¿Aunque no tenga empleados trabajando en el estudio?
Como hemos dicho en el punto anterior, incluso si no tienes empleados en el estudio, debes cumplir con la Ley de Protección de Datos, porque vas a tratar datos personales de tus clientes.
Verifica que cumples la normativa de protección de datos en tu negocio de fotografía
Hay una serie de requisitos mínimos respecto a protección de datos en empresas y autónomos que nos servirán para verificar si estamos cumpliendo con la normativa vigente. Así que hazte esta lista y ve tachando aquellos ítems que estés realizando o cumpliendo:
- Tienes el consentimiento de tus clientes para el tratamiento de sus datos por escrito (o en soporte digital verificable)
- Tienes implantadas medidas de seguridad suficientes para garantizar la protección de los datos personales de tus clientes y empleados
- Tienes elaborado y actualizado un registro de actividades de tratamiento por cada tratamiento de datos personales que realizas
- Tienes implantado un protocolo de actuación en caso de que produzca una brecha de seguridad que ponga en riesgo los datos personales
- Has nombra un responsable del tratamiento
- Tienes firmados contratos con los encargados del tratamiento de aquellas empresas o autónomos a quien cedas datos personales
Dedica más tiempo a tu negocio fotográfico y evita posibles sanciones, delegando la protección de datos a profesionales
Adaptar tu negocio de fotografía a la Ley de Protección de Datos puede no solo consumir un tiempo que podrías estar dedicando a hacer más clientes y promoviendo tu estudio, sino que también es complejo y exige tener unos conocimientos mínimos de la normativa, para asegurarte de que la cumples y no te expones a recibir sanciones.
Adaptar la ley de protección de datos para autónomos o empresas es una labor que recomendamos dejar en manos de profesionales con experiencia, como los que encontrarás en Grupo Atico34; no solo adaptamos tu negocio a la normativa, también nos aseguramos de que esté al día y completamente actualizado cuando se produzcan modificaciones en la ley.
¿Cómo implantar la normativa de protección de datos en un estudio de fotografía?
Para implantar la normativa de protección de datos en un estudio de fotografía es necesario cumplir con una serie de obligaciones documentales y operativas, que vamos a describir en los siguientes puntos.
Cómo deben cumplir la protección de datos los fotógrafos profesionales
Determinar el Responsable del Tratamiento
Siempre que se van a llevar a cabo tratamientos de datos personales, es necesario nombrar un responsable del tratamiento de datos; se trata de la persona física o jurídica encargada de decidir todo lo relacionado con el tratamiento de datos personales, incluyendo fines, medios y medidas de seguridad. Además, es quien debe demostrar antes la autoridad de control (la AEPD) el cumplimiento con la normativa.
El responsable del tratamiento también establece las cláusulas y firma el contrato de encargo de tratamiento con aquellos terceros a quienes pueda ceder datos.
En el caso de un estudio de fotografía, el responsable del tratamiento es el propio estudio o el profesional a cargo del mismo.
El responsable del tratamiento es una figura pública, es decir, sus datos identificativos y de contacto deben estar publicados y ser accesibles tanto para la AEPD (Agencia Española de Protección de Datos) como para los usuarios.
Llevar un registro de las actividades de tratamiento
Como ya vimos, la Ley de Protección de Datos dice que las fotografías son datos personales, pero además, pueden contener información de la denominada sensible, puesto que a través de la imagen de la persona se puede determinar su etnia o raza. Este es uno de los motivos que obliga a fotógrafos profesionales y estudios de fotografía a tener que llevar un registro de actividades de tratamiento.
Este registro es un listado de los tratamientos de datos personales que se llevan a cabo (por ejemplo, datos identificativos de clientes o uso de fotos para marketing) y en el que se debe ofrecer una información concisa, pero completa de todo lo relacionado con el tratamiento:
- Identificación del responsable del tratamiento, encargado del tratamiento y delegado de protección de datos (si lo hay)
- Fines del tratamiento
- Descripción de categorías de interesados
- Descripción de categorías de datos
- Descripción de destinatario de los datos (existentes y previstos)
- Si se van a producir, toda la información referente a las transferencias internacionales de datos
- Plazo de conservación de los datos
- Descripción de las medidas de seguridad implantadas
Obtener consentimiento
Será necesario obtener el consentimiento expreso e inequívoco de los interesados para poder recoger y tratar sus datos personales.
Este consentimiento se puede obtener a través de una solicitud hecha a tal efecto o un formulario en la página web, que el usuario debe aceptar. En cualquier caso, es necesario que los interesados firmen o acepten expresamente el tratamiento de datos, es decir, deben hacerlo a través de una acción afirmativa, que debe quedar registrada, para poder demostrar que se obtuvo legalmente.
Es importante señalar y recordar que las fotografías que se toman de los clientes son solo para su uso y que los datos personales que se recaban son, normalmente, para poder contactar con ellos, cobrar el servicio o hacerles llegar el producto final. En caso de que el fotógrafo o el estudio quieran usar las fotos o datos de clientes para otros fines, como por ejemplo, colocarlos en el escaparate o en redes sociales o enviarles información comercial, necesitan recabar un nuevo consentimiento para esos fines.
El consentimiento solo es válido para el fin para el que ha sido recabado. Siempre que haya nuevos fines, habrá que volverlo a obtener.
Y recuerda que el uso de datos personales sin consentimiento es una infracción por la que puedes ser sancionado.
Realizar un Análisis de riesgos
Llevar a cabo el tratamiento de datos personales, puede entrañar riesgos para los interesados. Por este motivo se debe llevar a cabo con carácter previo a cualquier tratamiento de datos, un análisis de riesgos con el que se puedan determinar las amenazas que pueden suponer un riesgo para la protección y salvaguarda de los datos; amenazas que pueden ser tanto físicas como digitales.
A través del análisis de riesgos podremos determinar las medidas técnicas y organizativas de seguridad que es necesario implantar para garantizar la protección de los datos personales que tratamos y guardamos.
La función del análisis de riesgos es minimizar la posibilidad de que ocurran incidentes de seguridad y, en caso de que ocurran, reducir al máximo su impacto.
Evaluación de Impacto
Si los riesgos y amenazas que pueden derivarse de los tratamientos de datos personales pueden suponer un riesgo para los derechos fundamentales y libertades de los interesados, será necesario llevar a cabo también una evaluación de impacto de protección de datos.
Esta evaluación de impacto nos servirá para evaluar el cumplimiento normativo y la efectividad de las medidas de seguridad implantadas.
Información a los propietarios de los datos
Es necesario informar a los afectados por el tratamiento de, al menos:
- El nombre del responsable
- La legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos
- Para qué se usan
- Cómo ejercer los derechos ARCO
Firmar contratos de encargo de tratamiento
Un fotógrafo profesional o un estudio de fotografía van a tener que ceder los datos personales de sus clientes y empleados a terceros (por ejemplo, la gestoría que lleva las nóminas o plataforma de almacenamiento en la nube que puede usar para guardar las fotos) y esto obliga a firmar con esos terceros un contrato de encargo de tratamiento.
El responsable del tratamiento debe establecer las obligaciones en materia de protección de datos que el encargado del tratamiento debe observar y cumplir y las consecuencias de no cumplirlas.
Página web
Es muy probable que como profesional o si tienes un estudio, lo uses para darte a conocer, incluso para ofertar servicios de fotografía y captar clientes. Para las páginas web, la normativa de protección de datos obliga a tener redactados y accesibles los siguientes textos legales:
- Aviso legal
- Política de privacidad
- Política de cookies
Realizar auditorías periódicas
La auditoría LOPD era una obligación explícita que establecía la antigua Ley de Protección de Datos, pero ni el RGPD ni la actual LOPDGDD citan la obligación de someterse a auditorías periódicas de protección de datos.
Sin embargo, a lo que sí obligan es a contar con las medidas de seguridad adecuadas y efectivas para proteger los datos personales y poder demostrar dicha efectividad y cumplimiento de la norma. Y la manera más adecuada para hacer esto es sometiendo la política de protección de datos del estudio de fotografía a auditorías periódicas, idealmente cada dos años o cuando se produzca un cambio sustantivo en los sistemas de información que puedan afectar a los datos personales tratados.
Notificar brechas de seguridad
Si se producen brechas de seguridad informática o físicas que puedan poner en riesgo los datos personales de tus clientes, deberás informar de ello tanto a los propios interesados cuyos datos hayan podido verse afectados, como a la AEPD.
Para notificar a la AEPD se dispone de un plazo máximo de 72 horas. También se debe informar de las medidas de seguridad adoptadas para solucionar el problema.
Resumen de actuaciones
Para resumir los aspectos más importantes a la hora de adaptar tu negocio de fotografía a la normativa de protección de datos tienes que:
- Contar con todos los documentos obligatorios firmados y actualizados
- Llevar a cabo un análisis de riesgos previo a cualquier tratamiento y, si es necesario, la correspondiente evaluación de impacto de protección de datos
- Establecer las medidas de seguridad necesarias para minimizar los riesgos y su impacto
- Tener redactado y actualizado el registro de actividades de tratamiento
- Tener identificado al responsable del tratamiento
- Tener firmados los correspondientes contratos de encargo de tratamiento
- Informar a los interesados de dónde y cómo pueden ejercer sus derechos ARCO, de portabilidad y al olvido
La mayoría de los fotógrafos nos preguntan…
¿Cuándo sé que trato datos de carácter personal?
Siempre que trates datos que permitan identificar a una persona física, como un cliente o empleado, estarás tratando datos de carácter personal.
¿Cuánto tiempo puedo conservar los datos?
Ni el RGPD ni la LOPDGDD concretan plazos para la conservación de los datos, pero sí que dicen que es responsabilidad del responsable del tratamiento determinar estos plazos en función de la finalidad del tratamiento.
Además, también es necesario tener en cuenta otras normativas que pueden afectar a los plazos de conservación (como la tributaria). En el siguiente enlace encontrarás una lista con todos los plazos de conservación que deberás seguir.
¿Puede un fotógrafo difundir su trabajo?
Sí, pero teniendo siempre en cuenta las siguientes consideraciones cuando las imágenes se empleen para la promoción o difusión de la empresa:
- Contar con el consentimiento del afectado
- Si el afectado es menor de 14 años, habrá que solicitar ese consentimiento al que ostente su patria potestad
- Informar con anterioridad de la finalidad de la captación de imágenes
- Informar el nivel de accesibilidad de las imágenes
- Tener un contrato de cesión de derechos de imagen de la fotografía
Cuando un fotógrafo usa una red social para darse a conocer, si incluyen algún dato de carácter personal, deberán recabar el consentimiento inequívoco del afectado.
Además se le deberá de proveer de la siguiente información:
- Datos que se van a publicar
- Redes sociales en las que se van a utilizar
- Finalidad de uso
- Quién puede acceder a los datos
Además el Reglamento Europeo de Protección de Datos exige que se informe del plazo durante el que se van a conservar las imágenes, así como los criterios para su eliminación.
¿Y para poner fotografías en el escaparate de mi tienda?
De la misma forma que hemos visto en las preguntas anteriores, hay que pedir un consentimiento de la persona que aparece en las imágenes.
¿Tienes más dudas?
Miles de fotógrafos ya han acudido a nuestros abogados para olvidarse de este asunto y estar tranquilos sabiendo que cumplen la Ley de Protección de Datos.