Los estudios de fotografía y los estudios de video, es decir los estudios audiovisuales, suelen manejar datos de carácter personal, especialmente los relacionados con la imagen y el sonido. Por ello es importante qué límites, derechos y obligaciones deben contemplar a la hora de realizar el tratamiento de datos de terceros.
- ¿Qué tipos de datos personales se tratan habitualmente en los estudios de fotografía y videos?
- ¿Cómo deben cumplir con la protección de datos los fotógrafos?
- 1. Realizar el registro de actividades de tratamiento
- 2. Análisis de riesgos
- 3. Evaluaciones de impacto
- 4. En caso de que cedas datos personales a terceros
- 5. Asegura la confidencialidad los empleados de tu estudio de fotografía y video
- 6. Recogida del consentimiento de los clientes
- 7. Si tienes una página web de fotografía y video
- 8. Notificar brechas de seguridad
- 9. Designación de un Delegado de Protección de Datos (DPD/DPO)
- 10. Elaboración del documento de Seguridad
- Sanciones
- Preguntas frecuentes
- ¿Qué hago con los curriculum que recibo por correo electrónico o me entregan en persona?
- ¿Puedo publicar las fotografías o el video en mi página web o en redes sociales?
- ¿Qué ocurre con los datos recogidos a través de la TPV?
- ¿Y exponer las fotografías o el video en el escaparate del estudio?
- ¿Puedo publicar fotografías o videos de una boda en la que aparecen los invitados?
- ¿Necesitas ayuda?
¿Qué tipos de datos personales se tratan habitualmente en los estudios de fotografía y videos?
Los estudios de fotografía y videos pueden tratar información relativa a las fotografías, a los videos y a la voz de las personas. Por ejemplo:
- Clientes
- Empleados
- Candidatos
- Contacto Web y Redes Sociales
- Proveedores
- Contabilidad
- Videovigilancia, en su caso
- Fotografía, Video y voz.
- Certificados negativos de delitos penales
Por este motivo, es fundamental que los abogados cumplan con la Ley de Protección de Datos y observen todas las obligaciones recogidas en ella.
¿Cómo deben cumplir con la protección de datos los fotógrafos?
Si vas a abrir un estudio de fotografía, es normal que te surjan dudas respecto a cómo debes cumplir con la Ley de Protección de Datos, sobre todo porque vas a trabajar mayoritariamente con imágenes de terceros. Pero no solo eso, también gestionamos otros datos personales de tus clientes y de tus empleados (si los tienes), incluso de aquellos proveedores autónomos.
También te pueden surgir dudas si tienes una página web o si te ves en la situación de tener que ceder el acceso a datos personales de tus clientes o empleados a terceros externos a tu negocio.
Debes saber que para cumplir con la normativa vigente de protección de datos los estudios de fotografía y video (y en realidad, cualquier empresa o profesional que trate con datos personales de otros) deben llevar a cabo una serie de actuaciones principales:
- Realizar un Registro de actividades de tratamiento
- Realizar un Análisis de riesgos
- Evaluación de Impacto
- Firmar los contratos con terceros
- Firmar las cláusulas legales con los empleados
- Solicitar el consentimiento a los clientes
- Incluir los textos legales en la página web
- Notificar brechas de seguridad
- Elaboración del documento de seguridad
Veamos en detalle alguna de estas actuaciones, para despejar todas tus dudas.
1. Realizar el registro de actividades de tratamiento
Realizar el registro de actividades de tratamiento es obligatorio para que las empresas cumplan con la Ley de Protección de Datos, de hecho, es fundamental tener recogido por escrito y lo más actualizado posible, porque es el documento que la Agencia Española de Protección de Datos puede solicitarse en caso de que te realicen una inspección.
A través de este registro podrás tener más claro qué tipo de datos personales tratados y la cantidad de ellos que manejas, lo que más adelante te servirá para realizar el análisis de riesgos y, si lo necesitas, la evaluación de impacto.
Para realizar un correcto registro de actividades, debes incluir la siguiente información:
- Tipo de datos almacenados
- Finalidad
- Legitimados
- Política de almacenamiento de esos datos
- Si se realizan cesiones o transferencias internacionales
- Medios a través de los que se realiza el tratamiento
Si no tienes muy claro qué datos se manejan en un estudio de fotografía, aquí va una lista de los más habituales:
- Clientes
- Proveedores
- Recursos Humanos
- Currículum o candidatos
- Videovigilancia
- TPV
- Fotografías y vídeos
- Voz
2. Análisis de riesgos
Aunque si guardas todos los datos personales de tus clientes y empleados en un archivo físico, es posible que estos no corran riesgo de ser expuestos o robados, lo cierto es que actualmente, lo habitual es manejar muchos datos personales a través del ordenador. ¿Mandas tus presupuestos o facturas por correo electrónico?, ¿tus clientes contactan contigo a través de un formulario en tu web?, ¿almacenas tus trabajos de fotografía y video en discos duros virtuales (en la nube)?
En todas esas instancias existe el riesgo de que los datos personales o las fotografías o los videos o la voz queden expuestos al acceso no autorizado de otras personas. Por ello es importante que realices un análisis de riesgos con el que puedas evaluar el tipo de amenazas que entraña cada tratamiento de datos que realizas y qué medidas de seguridad puedes y debes implementar para prevenir y evitar dichos riesgos.
En algunos casos, se suele subcontratar la posibilidad de que el estudio grave la voz de las personas que intervienen en las reuniones, por ejemplo reuniones de Junta de Hermandad, o de comunidades de vecinos. En este caso, la grabación del sonido también se podría considerar un fichero a ser tratado.
Para realizar el análisis de riesgos puedes tener en cuenta las siguientes cuestiones:
- tipo de datos
- medios de tratamiento
- cesiones
- naturaleza de los datos
- transferencias internacionales
- número de interesados afectados
3. Evaluaciones de impacto
Si de alguno de los riesgos identificados se desprende alguno especialmente alto, será necesario realizar una evaluación de impacto para minimizar posibles perjuicios a los derechos o libertades de los interesados. Ten en cuenta que la ley de protección de datos respecto a fotografías y videos, especialmente las de personas, contempla el tratamiento de las imágenes con especial atención, ya que el derecho a la propia imagen es un derecho fundamental en la Constitución Española.
4. En caso de que cedas datos personales a terceros
Prácticamente todas las empresas o profesionales ceden algunos datos personales de sus clientes o empleados a terceros, es decir, a otras empresas o autónomos externos para realizar algún trabajo en concreto o por la prestación de algún servicio. Es el caso, por ejemplo, de esa asesoría fiscal y laboral que te lleva los temas fiscales y laborales y se ocupa de gestionar las nóminas de tus empleados, o de ese servicio de Informática con el que tienes contratado una base de datos en la nube o el hosting de tu página web, o el de marketing online para el tratamiento de las redes sociales o campañas de email marketing.
Cuando cede datos personales de tus clientes a terceros, tienes que asegurarte de que estos también cumplen con la normativa vigente de protección de datos, porque ambos van a ser responsables de la protección de dichos datos.
Esto podrás hacerlo firmando un contrato de encargo de tratamiento entre tu estudio de fotografía y esos otros agentes externos. El contrato deberá recoger las obligaciones que cada parte debe cumplir y qué responsabilidades tienen respecto a los datos personales a los que tengan acceso.
5. Asegura la confidencialidad los empleados de tu estudio de fotografía y video
Si tienes empleados trabajando en tu estudio de fotografía y video, es necesario que les informes de las medidas de seguridad en materia de protección de datos tomadas por la empresa y la obligación que tienen de cumplirlas. Para asegurarte de que esto se hace bien, lo adecuado es que firmen un acuerdo de confidencialidad o que el contrato de trabajo incluya ya una o varias cláusulas al respecto.
De esta manera te aseguras que tus empleados sean más precavidos a la hora de dar acceso indebido a datos o información sensible sobre clientes a terceras partes no autorizadas.
En cuanto a las medidas de seguridad, también debes asegurarte que entienden los riesgos que supone para la exposición o pérdida de datos que sean víctimas de algún ciberataque, especialmente si utilizan el correo electrónico para comunicarse entre ellos, contigo o con clientes.
6. Recogida del consentimiento de los clientes
En un esfuerzo por que la ciudadanía esté más y mejor informado en lo que respecta al uso y manejo de sus datos personales por parte de las empresas o profesionales con los que contratan algún tipo de servicio, el RGPD incorporó la necesidad de conseguir el consentimiento expreso de los usuarios para poder tratar sus datos y en el caso de la protección de datos para estudios de fotografías y vídeos también hay que tenerlo en cuenta para el uso de imágenes de terceros.
Este consentimiento puede solicitarse de dos formas:
- Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En caso de que el cliente facilite sus datos personalmente en la entidad, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.
Como decíamos, debes poner especial atención en el uso de imágenes de tus clientes, por mucho que te hayan contrato para realizar el reportaje fotográfico y video de su boda o cualquier otro evento, o les hayas hecho las fotos de carnet, la utilización de imágenes sin autorización expresa del interesado (la persona fotografiada o grabada) no es legal y pueden denunciarte por ello.
7. Si tienes una página web de fotografía y video
Si como fotógrafo o como estudio de fotografía y video cuentas con una página web, tienes la obligación de incluir una serie de textos exigidos por la Ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Política de privacidad
Es importante que revises la política de privacidad de la web y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Así, en el texto de Política de privacidad tendrás que informar expresamente de:
- existencia de un tratamiento de los datos que se le están solicitando,
- legitimación para el tratamiento,
- plazo de conservación de los datos,
- finalidad,
- destinatario o destinatarios de aquella información,
- identidad y dirección del responsable del tratamiento de los datos y
- posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
- Nombre del propietario
- Dirección
- CIF / NIF
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de cookies
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica. Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
8. Notificar brechas de seguridad
Si pese a todas tus medidas de seguridad, acabas sufriendo una brecha de seguridad que deje expuestos los datos personales de tus empleados o clientes, el actual Reglamento de protección de datos te obliga a comunicar en un plazo no superior a 72 horas de este tipo de incidentes, tanto a los interesados como la Agencia Española de Protección de Datos.
Ten en cuenta que los datos personales son actualmente un bien muy preciado, en esta era del Big Data, los datos tienen precio y hay quien se dedica a robarlos para venderlos al mejor postor o, peor, usarlos con intenciones fraudulentas, como la suplantación de identidad.
Por ello, aparte de implementar medidas de seguridad adecuadas y actualizadas, que podrán ser contempladas como atenuantes en caso de infracción y sanción, es recomendable que cuentas con un plan de actuación o protocolo que te permite responder y poner solución a la incidencia lo más rápidamente posible.
9. Designación de un Delegado de Protección de Datos (DPD/DPO)
Con carácter general, un estudio de fotografía y videos no va a necesitar contratar un DPO. Pero puede ser necesario que, si tratan un gran volumen de datos, tengan que designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPO).
Además, para cumplir con el principio de información del RGPD, la designación del DPO y sus datos de contacto deben publicarse y comunicarse a la Agencia Española de Protección de Datos. El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.
10. Elaboración del documento de Seguridad
Nuestra entidad redactará un documento de seguridad, en el que se incluya toda la información aquí indicada en la guía. Es decir, las actividades de tratamiento, el análisis de riesgos, las evaluaciones de impacto, las medidas técnicas y organizativas, las cláusulas legales para los clientes, proveedores, trabajadores, páginas webs, los contratos con terceros, etc.
Sanciones
Con esta nueva normativa se incrementan las exigencias en materia de Protección de Datos, y también las sanciones en caso de incumplimiento.
Por poner algún ejemplo, ahora la realización de actividades de márketing sin haber obtenido previamente el correspondiente consentimiento para ello, con los requisitos necesarios y establecidos por el Reglamento de Protección de datos, que actualmente es castigado con hasta 600.000€, pasará a ser multado hasta con 20 millones de euros o un 4% del volumen de negocio total anual del año anterior.
Ejemplos de sanciones impuestas por la AEPD a fotógrafos.
1. No atender debidamente el ejercicio del derecho de cancelación
El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de 10 días. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Resolución AEPD R/00821/2017
2. Publicar fotografías de un menor en el escaparate del estudio
Una madre fue a un estudio de fotografía a realizar una foto de su hijo menor de edad, y el fotógrafo sin consentimiento previo de su madre, colgó las fotos del menor en el escaparate a la vista de todo el mundo.
Es aconsejable que los estudios de fotografía y videos, así como los fotógrafos tomen las medidas necesarias para proteger las imágenes, sobre todo de los menores. Aunque en un primer momento parezca algo que no necesitan y que no les afecta esta ley, la práctica del día a día demuestra lo contrario. Las medidas no son complicadas pero sí importantes y necesarias para evitar sanciones.
Preguntas frecuentes
¿Qué hago con los curriculum que recibo por correo electrónico o me entregan en persona?
Si vas a almacenar esos currículum, debes responder al mismo correo (o al que te lo entrega en persona) que nos lo ha enviado informando sobre:
- dónde van a almacenarse los datos,
- dónde y cómo puede el interesado ejercer sus derechos y
- para qué se van a usar.
En el supuesto de que no vayas a tratar los datos personales del currículum vitae, debes contestar al correo electrónico o en persona informando que esos datos no serán usados y que los soportes que los contienen van a ser destruidos.
¿Puedo publicar las fotografías o el video en mi página web o en redes sociales?
Sí puedes hacerlo. Pero debes cumplir una serie de requisitos:
- Contar con el consentimiento del afectado
- Informar con anterioridad de la finalidad de la captación de imágenes, lugares donde se van a publicar y quién puede acceder a ellas
- Informar el nivel de accesibilidad de las imágenes
- Si el afectado es menor de 14 años habrá que solicitar ese consentimiento al que ostente su patria potestad
- Lo mismo ocurre con personas discapacitadas o dependientes, tendrás que solicitar ese consentimiento al que ostente su potestad
¿Qué ocurre con los datos recogidos a través de la TPV?
Estos datos también se consideran datos personales. Entre los datos que se recogen se encuentran:
- número de tarjeta,
- comercial donde se efectúa la compra,
- su importe y
- fecha y hora de realización.
No se envían otros datos de carácter personal como el nombre y apellidos del cliente.
Debes considerarlo como un tratamiento más y guardar esos tickets de forma segura.
¿Y exponer las fotografías o el video en el escaparate del estudio?
Igual que en el caso anterior, necesitará el consentimiento expreso del cliente para poder hacerlo. Recuerda que desde la entrada en vigor de la nueva Ley de Protección de Datos la autorización expresa para el uso de imágenes personales es obligatoria.
¿Puedo publicar fotografías o videos de una boda en la que aparecen los invitados?
Para publicar una fotografía o videos en la que aparece una persona se requiere su consentimiento expreso e inequívoco. En el caso de una boda o banquete o otro tipo de celebración, aunque los novios firmen un contrato con el fotógrafo, este no da derecho a publicar fotos o videos del resto de invitados. Debemos informarles y solicitar su consentimiento.
¿Necesitas ayuda?
Escríbenos a info@legalglobal.es
Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/