Fotografi e agenzie fotografiche: adeguarsi alla normativa europea sulla privacy

Non sfugge proprio nessuno all’obbligo di adeguamento alle disposizioni fissate nel Regolamento UE n. 679/2016 in materia di trattamento dati personali e infatti le norme si rivolgono a tutti coloro che trattano dati personali e dunque anche fotografi free lance e agenzie fotografiche dovranno conformare la propria impresa al GDPR. E sì perché tali professionisti, nel momento in cui raccolgono, trattano e conservano l’immagine fotografica di un volto (ma non solo) rientrano nella definizione di titolari o responsabili del trattamento dei dati personali, essendo titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, mentre responsabile del trattamento, la persona fisica o giuridica che tratta dati personali per conto di un titolare. L’immagine che ritrae un volto umano consente di identificare direttamente il soggetto cui il volto appartiene e dunque è un dato personale, ma se stai pensando che, non essendo tu un ritrattista, queste norme non ti riguardino, stai facendo un grosso errore, in quanto anche i meri dati contenuti in un accordo per servizio fotografico, non solo quello per cerimonie o pubblicità, ma anche per tutte le altre tipologie di servizi fotografici, ad esempio nominativi, indirizzi, indirizzi email, numeri di telefono e altri, sono dati personali (anche se conservi questi dati in archivi cartacei); anche se disponi di un sito con un form con cui è possibile chiedere un preventivo o registrarsi creando un account da cui i tuoi clienti possono effettuare il download di proprie fotografie, oppure acquistare le tue immagini fotografiche tramite il tuo sito di commercio elettronico, tratti dati personali, senza poi contare le situazioni più complesse in cui l’agenzia fotografica o il fotografo hanno anche dipendenti o collaboratori che trattano a loro volta i dati dei clienti o dei fornitori, o ancora se si usano i dati personali raccolti per finalità di marketing o marketing profilato, come l’impiego di cookies di profilazione, l’uso di fidelity card, l’invio di newsletter, l’elaborazione di sconti personalizzati, se hai una banca dati in cui sono registrati dati personali o altro, ebbene in tutti questi casi e in molti altri si trattano dati personali.

Fino ad arrivare a situazioni in cui, oltre a trattare dati personali, i fotografi, con le immagini fotografiche da essi scattate arrivano a trattare anche dati particolari, come dati relativi alla salute, dati giudiziari o relativi a condanne penali, opinioni politiche o religiose, ad esempio, fotoreporter di cronaca che trattano questa tipologia di dati non occasionalmente, ma frequentemente e che devono sottostare a regole ancora più stringenti per la tutela di tali dati personali cosiddetti “particolari”, rispettando anche le regole deontologiche previste per i giornalisti.

E allora cosa devi fare come fotografo o agenzia per adeguarti al GDPR?

Innanzitutto, devi preparare una mappatura di tutti i dati trattati, controllando di non disporre di immagini fotografiche relative ad esempio ad un contratto di servizio (es. fotografie per cerimonia, pubblicitarie, foto di testimonial) concluso, pagato e fatturato in cui siano visibili i volti di terze persone e/o dei tuoi clienti: essendo terminata la finalità del trattamento quelle immagini dovrebbero essere cancellate definitivamente e oltre a tali immagini andrebbero cancellati anche numeri di telefono o indirizzi email per i quali lo scopo della raccolta si sia concluso e quindi non hai più alcun motivo per conservarli (salvo non sussistano ancora situazioni contabili amministrative pendenti e allora è il caso di mantenere i dati, ma avendo la cura di garantire la loro protezione e usarli solo per questo scopo).

Oltre a ciò dovrai verificare se tra le finalità del tuo trattamento vi sono operazioni di marketing, ad esempio se tratti dati personali per inviare una newsletter oppure offerte via email o telefono a destinatari che non hanno mai prestato un consenso espresso per questo scopo. Per continuare ad utilizzarli dovrai infatti ottenere il consenso espresso, specifico e tracciato da parte dei soggetti cui tali comunicazioni sono inviate, diversamente dovrai procedere alla cancellazione di tali indirizzi o numeri e non inviare più la comunicazione promozionale. Dovrai consentire a tutti i soggetti cui i dati si riferiscono (ad esempio se hai una procedura che consente la creazione di un profilo online all’utente) di esercitare in maniera facile e se è possibile automatizzata i diritti previsti dal GDPR (diritto di accesso ai dati, modifica, rettifica, opposizione al trattamento, cancellazione, blocco, reclamo) e disporre di procedure che ti consentano di effettuare l’individuazione di tutti i dati personali raccolti, qualora ti giungesse una richiesta di cancellazione, effettuando anche un’analisi dei rischi per controllare che le misure attualmente impiegate per proteggere i dati personali siano proporzionate e idonee a prevenire quei rischi individuati. Facciamo un esempio al fine di un maggiore chiarimento: poniamo il caso che tu sia di un fotografo di moda (ma vale anche per un’agenzia di modelle/i) e che raccogli nei tuoi database le immagini fotografiche di modelli o testimonial o che scambi con agenzie di moda con cui collabori i book o altre foto dei modelli/e che lavorano per loro via Internet, sei proprio sicuro di avere misure di sicurezza adeguate? Hai mai pensato a quali conseguenze potrebbe portare un bug dei tuoi sistemi o della tua organizzazione? Se non hai implementato misure di sicurezza sui tuoi sistemi informatici o sui tuoi archivi che siano adeguate e proporzionate ai rischi specifici che nell’ambito della tua organizzazione si possono verificare sui dati personali e malauguratamente qualcuno accedesse illecitamente e rubasse delle immagini fotografiche di moda che ritraggono modelli/e e a seguito di questo fatto quelle stesse immagini venissero diffuse indebitamente online, in qualità di titolare del trattamento potresti incappare in sanzioni per violazione della normativa europea sulla privacy. Inoltre molti modelli o modelle sono minorenni e nei confronti dei minori, la normativa prevede disposizioni più stringenti.

E se magari si tratta di fotografie relative ad un servizio di moda che hai condotto per una campagna pubblicitaria che ancora non è stata lanciata? O diversamente se a seguito di un accesso non autorizzato ai dati si verificasse come conseguenza un furto di identità? Se un tuo nuovo dipendente si appropriasse di alcune foto di testimonial, avendone l’accesso in agenzia e le trasferisse su una chiavetta USB per lavorarci da casa e per sbaglio la perdesse sul pullman e a causa di questa perdita qualcuno diffondesse quelle immagini online, se si scoprisse che non gli hai impartito istruzioni scritte su some comportarsi con i dati personali aziendali, la responsabilità potrebbe ricadere anche su di te relativamente al mancato adeguamento al GDPR.

Non voglio sembrarti catastrofista, ma proprio queste sono le domande che devi porti per valutare se i tuoi sistemi, le misure di sicurezza adottate e la tua organizzazione professionale in relazione al trattamento, al tipo di dati trattati, alle sue finalità risultano conformi alla normativa privacy, tenendo conto del fatto che la parola chiave nel GDPR è prevenzione del rischio: il regolamento, infatti, nell’ottica di una maggiore responsabilizzazione degli operatori chiede di intervenire anticipatamente, preparando la propria organizzazione ad evitare che eventi, come quelli che ti ho menzionato innanzi, si possano nel concreto verificare, senza contare che in sede di ispezione, anche se una violazione non si sia nel concreto verificata, le indagini sulla conformità al GDPR vengono comunque condotte analizzando cosa è stato implementato e cosa invece manca e a seguito di presa visione di un mancato adeguamento, vengono comminate le doverose sanzioni.

Quindi dovrai valutare le misure interne organizzative e di sicurezza vigenti a protezione dei dati e qualora esse non sussistano dovrai provvedere ad implementarle o migliorarle (magari risulteranno idonee, ma è arrivato il momento di valutarle); se hai anche collaboratori o dipendenti sarà necessario prevedere un sistema di permessi per consentire loro di accedere solo ai dati necessari per lo svolgimento della propria attività: per questo dovranno essere autorizzati all’accesso e dovrai impartite loro istruzioni operative su come comportarsi per proteggere i dati personali aziendali (tenendo conto che deve restare traccia di tutto questo, ciò significa che non sarà sufficiente affermare verbalmente ho proceduto, occorrerà impiegare misure verificabili nel concreto e monitorare la situazione periodicamente).

Dovrai anche rivedere i contratti all’interno dei quali dovrà essere modificata la vecchia informativa privacy, aggiornandola ai nuovi contenuti richiesti dal GDPR, in assenza, un’informativa conforme all’art. 13 del GDPR dovrà essere inserita. Inoltre, dovrai sottoscrivere atti di designazione a responsabili del trattamento nei confronti dei soggetti terzi cui trasferisci dati personali (es. partner commerciali, tuoi clienti come agenzie di moda, il tuo hosting provider, il commercialista, …) o che in qualche modo hanno accesso ai dati personali da te trattati perché hanno o potrebbero avere accesso ai tuoi database interni anche per finalità di manutenzione.

Questa è solo una sintesi sommaria delle misure base per conformarsi al GDPR; naturalmente ogni agenzia fotografica o ogni professionista free lance, in base al proprio assetto organizzativo, alla tipologia di dati trattati, alle finalità e al contesto del trattamento dovrà impostare un programma personalizzato per adeguarsi alle nuove norme europee sulla privacy, considerando che il principio dell’accountability (responsabilizzazione) e della prevenzione del rischio sono di fondamentale importanza, che le norme (come del resto le sanzioni per mancato adeguamento) si rivolgono indistintamente a tutti coloro che trattano dati personali e che il Regolamento n. 679 impone proattività e procedure concrete e verificabili.

 

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

 

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy