¡Pide presupuesto en 2 min! ✓
ProfesionalesSectores

Protección de datos para fotógrafos profesionales. LOPDGDD/RGPD 2021

10 Mins read

Si te dedicas a la fotografía profesional, tanto si tienes o no un estudio como si no, necesitas conocer las obligaciones en materia de protección de datos que debes cumplir. Para facilitarte la tarea, hemos elaborado esta guía de protección de datos para fotógrafos profesionales.

¿Qué leyes de protección de datos deben cumplir fotógrafos y estudios de fotografía?

La protección de datos para fotografía la encontramos regulada en dos normativas, una de carácter supranacional y otra de carácter nacional, pero estrechamente relacionadas:

  • Reglamento General de Protección de datos (RGPD)
  • Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD o LOPD)

Aparte de la LOPD y RGPD, también debemos tener en cuenta la Ley de Servicios de la Información y de Comercio Electrónico (LSSI-CE), especialmente si promocionamos y vendemos nuestros servicios a través de una página web.

RGPD para fotógrafos y estudios de fotografía

El RGPD es el marco normativo europeo para la protección de datos. En España entró en vigor en 2018, modificando la ley de protección de datos e introduciendo nuevas obligaciones y requisitos que las entidades públicas y privadas han tenido que ir adaptando desde entonces.

Los detallaremos más adelante, pero entre las novedades que introdujo el RGPD que afectan a la protección de datos para fotógrafos profesionales y estudios de fotografía, está la obligación de obtener el consentimiento expreso para el tratamiento de datos, llevar un registro de actividades de tratamiento, firmar contratos de encargo de tratamiento con terceros o la obligación de notificar las brechas de seguridad.

Además, a los derechos ARCO (acceso, rectificación, cancelación y oposición) que pueden ejercer los interesados respecto a sus datos personales, sumó los derechos a la portabilidad y al olvido.

LOPDGDD para fotógrafos profesionales

La LOPDGDD introdujo en nuestra legislación las nuevas obligaciones, requisitos y exigencias el RGPD, y en concreto aquellos aspectos más generales del Reglamento, cuya regulación particular dejaba en manos de cada Estado miembro.

De manera que un fotógrafo que cumple con la LOPDGDD está cumpliendo también con el RGPD.

¿Es obligatorio cumplir con estas leyes?

Sí. Un fotógrafo profesional o un estudio de fotografía trata con datos personales, siendo el más evidente y principal de ellos la propia imagen de sus clientes, pero además, también maneja otros datos personales, como los datos identificativos.

Y en el caso de que se tengan empleados, también se estarían tratando diferentes datos personales de estos, lo que obliga cumplir la ley igualmente. Igual que si se trabaja con proveedores autónomos, puesto que al ser personas físicas, quedan amparados por la normativa.

No cumplir la ley puede conllevar sanciones LOPD que pueden alcanzar los 20 millones de euros o el 4% de la facturación anual (la cuantía que sea superior). Así que piensa en lo caro que te pueda salir no adaptar tu negocio a la normativa de protección de datos, tanto si eres autónomo como empresa.

¿Aunque no tenga empleados trabajando en el estudio?

Como hemos dicho en el punto anterior, incluso si no tienes empleados en el estudio, debes cumplir con la Ley de Protección de Datos, porque vas a tratar datos personales de tus clientes.

Verifica que cumples la normativa de protección de datos en tu negocio de fotografía

Hay una serie de requisitos mínimos respecto a protección de datos en empresas y autónomos que nos servirán para verificar si estamos cumpliendo con la normativa vigente. Así que hazte esta lista y ve tachando aquellos ítems que estés realizando o cumpliendo:

  • Tienes el consentimiento de tus clientes para el tratamiento de sus datos por escrito (o en soporte digital verificable)
  • Tienes implantadas medidas de seguridad suficientes para garantizar la protección de los datos personales de tus clientes y empleados
  • Tienes elaborado y actualizado un registro de actividades de tratamiento por cada tratamiento de datos personales que realizas
  • Tienes implantado un protocolo de actuación en caso de que produzca una brecha de seguridad que ponga en riesgo los datos personales
  • Has nombra un responsable del tratamiento
  • Tienes firmados contratos con los encargados del tratamiento de aquellas empresas o autónomos a quien cedas datos personales

tarifas proteccion datos autonomos

Dedica más tiempo a tu negocio fotográfico y evita posibles sanciones, delegando la protección de datos a profesionales

Adaptar tu negocio de fotografía a la Ley de Protección de Datos puede no solo consumir un tiempo que podrías estar dedicando a hacer más clientes y promoviendo tu estudio, sino que también es complejo y exige tener unos conocimientos mínimos de la normativa, para asegurarte de que la cumples y no te expones a recibir sanciones.

Adaptar la LOPD para autónomos o empresas es una labor que recomendamos dejar en manos de profesionales con experiencia, como los que encontrarás en Grupo Atico34; no solo adaptamos tu negocio a la normativa, también nos aseguramos de que esté al día y completamente actualizado cuando se produzcan modificaciones en la ley.

¿Cómo implantar la normativa de protección de datos en un estudio de fotografía?

Para implantar la normativa de protección de datos en un estudio de fotografía es necesario cumplir con una serie de obligaciones documentales y operativas, que vamos a describir en los siguientes puntos.

cumplir lopd rgpd fotografos profesionales

Determinar el Responsable del Tratamiento

Siempre que se van a llevar a cabo tratamientos de datos personales, es necesario nombrar un responsable del tratamiento de datos; se trata de la persona física o jurídica encargada de decidir todo lo relacionado con el tratamiento de datos personales, incluyendo fines, medios y medidas de seguridad. Además, es quien debe demostrar antes la autoridad de control (la AEPD) el cumplimiento con la normativa.

El responsable del tratamiento también establece las cláusulas y firma el contrato de encargo de tratamiento con aquellos terceros a quienes pueda ceder datos.

En el caso de un estudio de fotografía, el responsable del tratamiento es el propio estudio o el profesional a cargo del mismo.

El responsable del tratamiento es una figura pública, es decir, sus datos identificativos y de contacto deben estar publicados y ser accesibles tanto para la AEPD (Agencia Española de Protección de Datos) como para los usuarios.

Llevar un registro de las actividades de tratamiento

Como ya vimos, la Ley de Protección de Datos dice que las fotografías son datos personales, pero además, pueden contener información de la denominada sensible, puesto que a través de la imagen de la persona se puede determinar su etnia o raza. Este es uno de los motivos que obliga a fotógrafos profesionales y estudios de fotografía a tener que llevar un registro de actividades de tratamiento.

Este registro es un listado de los tratamientos de datos personales que se llevan a cabo (por ejemplo, datos identificativos de clientes o uso de fotos para marketing) y en el que se debe ofrecer una información concisa, pero completa de todo lo relacionado con el tratamiento:

  • Identificación del responsable del tratamiento, encargado del tratamiento y delegado de protección de datos (si lo hay)
  • Fines del tratamiento
  • Descripción de categorías de interesados
  • Descripción de categorías de datos
  • Descripción de destinatario de los datos (existentes y previstos)
  • Si se van a producir, toda la información referente a las transferencias internacionales de datos
  • Plazo de conservación de los datos
  • Descripción de las medidas de seguridad implantadas

Obtener consentimiento

Será necesario obtener el consentimiento expreso e inequívoco de los interesados para poder recoger y tratar sus datos personales.

Este consentimiento se puede obtener a través de una solicitud hecha a tal efecto o un formulario en la página web, que el usuario debe aceptar. En cualquier caso, es necesario que los interesados firmen o acepten expresamente el tratamiento de datos, es decir, deben hacerlo a través de una acción afirmativa, que debe quedar registrada, para poder demostrar que se obtuvo legalmente.

Es importante señalar y recordar que las fotografías que se toman de los clientes son solo para su uso y que los datos personales que se recaban son, normalmente, para poder contactar con ellos, cobrar el servicio o hacerles llegar el producto final. En caso de que el fotógrafo o el estudio quieran usar las fotos o datos de clientes para otros fines, como por ejemplo, colocarlos en el escaparate o en redes sociales o enviarles información comercial, necesitan recabar un nuevo consentimiento para esos fines.

El consentimiento solo es válido para el fin para el que ha sido recabado. Siempre que haya nuevos fines, habrá que volverlo a obtener.

Y recuerda que el uso de datos personales sin consentimiento es una infracción por la que puedes ser sancionado.

Realizar un Análisis de riesgos

Llevar a cabo el tratamiento de datos personales, puede entrañar riesgos para los interesados. Por este motivo se debe llevar a cabo con carácter previo a cualquier tratamiento de datos, un análisis de riesgos con el que se puedan determinar las amenazas que pueden suponer un riesgo para la protección y salvaguarda de los datos; amenazas que pueden ser tanto físicas como digitales.

A través del análisis de riesgos podremos determinar las medidas técnicas y organizativas de seguridad que es necesario implantar para garantizar la protección de los datos personales que tratamos y guardamos.

La función del análisis de riesgos es minimizar la posibilidad de que ocurran incidentes de seguridad y, en caso de que ocurran, reducir al máximo su impacto.

Evaluación de Impacto

Si los riesgos y amenazas que pueden derivarse de los tratamientos de datos personales pueden suponer un riesgo para los derechos fundamentales y libertades de los interesados, será necesario llevar a cabo también una evaluación de impacto de protección de datos.

Esta evaluación de impacto nos servirá para evaluar el cumplimiento normativo y la efectividad de las medidas de seguridad implantadas.

Información a los propietarios de los datos

Es necesario informar a los afectados por el tratamiento de, al menos:

  • El nombre del responsable
  • La legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos
  • Para qué se usan
  • Cómo ejercer los derechos ARCO

Firmar contratos de encargo de tratamiento

Un fotógrafo profesional o un estudio de fotografía van a tener que ceder los datos personales de sus clientes y empleados a terceros (por ejemplo, la gestoría que lleva las nóminas o plataforma de almacenamiento en la nube que puede usar para guardar las fotos) y esto obliga a firmar con esos terceros un contrato de encargo de tratamiento.

El responsable del tratamiento debe establecer las obligaciones en materia de protección de datos que el encargado del tratamiento debe observar y cumplir y las consecuencias de no cumplirlas.

Página web

Es muy probable que como profesional o si tienes un estudio, lo uses para darte a conocer, incluso para ofertar servicios de fotografía y captar clientes. Para las páginas web, la normativa de protección de datos obliga a tener redactados y accesibles los siguientes textos legales:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Realizar auditorías periódicas

La auditoría LOPD era una obligación explícita que establecía la antigua Ley de Protección de Datos, pero ni el RGPD ni la actual LOPDGDD citan la obligación de someterse a auditorías periódicas de protección de datos.

Sin embargo, a lo que sí obligan es a contar con las medidas de seguridad adecuadas y efectivas para proteger los datos personales y poder demostrar dicha efectividad y cumplimiento de la norma. Y la manera más adecuada para hacer esto es sometiendo la política de protección de datos del estudio de fotografía a auditorías periódicas, idealmente cada dos años o cuando se produzca un cambio sustantivo en los sistemas de información que puedan afectar a los datos personales tratados.

Notificar brechas de seguridad

Si se producen brechas de seguridad informática o físicas que puedan poner en riesgo los datos personales de tus clientes, deberás informar de ello tanto a los propios interesados cuyos datos hayan podido verse afectados, como a la AEPD.

Para notificar a la AEPD se dispone de un plazo máximo de 72 horas. También se debe informar de las medidas de seguridad adoptadas para solucionar el problema.

tarifas proteccion datos autonomos

Resumen de actuaciones

Para resumir los aspectos más importantes a la hora de adaptar tu negocio de fotografía a la normativa de protección de datos tienes que:

  • Contar con todos los documentos obligatorios firmados y actualizados
  • Llevar a cabo un análisis de riesgos previo a cualquier tratamiento y, si es necesario, la correspondiente evaluación de impacto de protección de datos
  • Establecer las medidas de seguridad necesarias para minimizar los riesgos y su impacto
  • Tener redactado y actualizado el registro de actividades de tratamiento
  • Tener identificado al responsable del tratamiento
  • Tener firmados los correspondientes contratos de encargo de tratamiento
  • Informar a los interesados de dónde y cómo pueden ejercer sus derechos ARCO, de portabilidad y al olvido

La mayoría de los fotógrafos nos preguntan…

¿Cuándo sé que trato datos de carácter personal?

Siempre que trates datos que permitan identificar a una persona física, como un cliente o empleado, estarás tratando datos de carácter personal.

¿Cuánto tiempo puedo conservar los datos?

Ni el RGPD ni la LOPDGDD concretan plazos para la conservación de los datos, pero sí que dicen que es responsabilidad del responsable del tratamiento determinar estos plazos en función de la finalidad del tratamiento.

Además, también es necesario tener en cuenta otras normativas que pueden afectar a los plazos de conservación (como la tributaria). En el siguiente enlace encontrarás una lista con todos los plazos de conservación que deberás seguir.

¿Puede un fotógrafo difundir su trabajo?

Sí, pero teniendo siempre en cuenta las siguientes consideraciones cuando las imágenes se empleen para la promoción o difusión de la empresa:

  • Contar con el consentimiento del afectado
  • Si el afectado es menor de 14 años, habrá que solicitar ese consentimiento al que ostente su patria potestad
  • Informar con anterioridad de la finalidad de la captación de imágenes
  • Informar el nivel de accesibilidad de las imágenes
  • Tener un contrato de cesión de derechos de imagen de la fotografía

Publicación de datos en redes sociales

Cuando un fotógrafo usa una red social para darse a conocer, si incluyen algún dato de carácter personal, deberán recabar el consentimiento inequívoco del afectado.

Además se le deberá de proveer de la siguiente información:

  • Datos que se van a publicar
  • Redes sociales en las que se van a utilizar
  • Finalidad de uso
  • Quién puede acceder a los datos

Además el Reglamento Europeo de Protección de Datos exige que se informe del plazo durante el que se van a conservar las imágenes, así como los criterios para su eliminación.

¿Y para poner fotografías en el escaparate de mi tienda?

De la misma forma que hemos visto en las preguntas anteriores, hay que pedir un consentimiento de la persona que aparece en las imágenes.

¿Tienes más dudas?

Miles de fotógrafos ya han acudido a nuestros abogados llamando al 91 489 64 19 o en el correo electrónico lopd@atico34.com para olvidarse de este asunto y estar tranquilos sabiendo que cumplen la Ley de Protección de Datos.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
ProfesionalesSectores

Protección de datos y administración de fincas 2021

10 Mins read
Son muchas las comunidades de propietarios que prefieren delegar la administración y gestión de la comunidad a un administrador de fincas y…
AsociacionesSectores

Protección de datos en hermandades: Aplicación y cumplimiento

9 Mins read
La Ley de Protección de Datos no es algo que solo afecte a empresas, en realidad, cualquier entidad que maneje datos personales…
SanidadSectores

Protección de datos en Farmacias. Cumple la normativa en 2021

10 Mins read
La Ley de Protección de Datos lleva ya varios años en vigor, pero todavía siguen surgiendo dudas respecto a su aplicación y…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.