GDPR per fotografi. Avrà effetti su di te?

Il GDPR è l'acronimo di General Data Protection Regulation (Regolamento generale sulla protezione dei dati). E molti fotografi si chiedono se il GDPR avrà impatto sul modo in cui gestiscono la propria attività. La risposta breve è Sì, quindi devi informarti ed essere pronto ai cambiamenti.

Cos'è esattamente il GDPR?

È una normativa dell'Unione europea in materia di protezione dei dati, che entrerà in vigore in tutto il Regno Unito e l'Unione europea il 25 maggio 2018.

Non vivo in UE, quindi perché mai dovrebbe avere ricadute su di me?

Questo pare essere un comune fraintendimento. Questo cambiamento legislativo interessa i fotografi di tutto il mondo, non solo quelli dell'UE. Se sei un fotografo che opera al di fuori dell'Unione Europea, potrebbe avere effetti su di te se conservi dati di clienti o potenziali clienti che risiedono in paesi dell'Unione Europea.

Perché c'è bisogno di tutto questo?

Tutti noi siamo consumatori e probabilmente ci siamo iscritti a siti Web e social media, o acquistato beni online con le nostre carte di credito o di debito. Queste aziende memorizzano nomi e indirizzi, ecc. Probabilmente sarai anche stato contattato da aziende di telemarketing o destinatario di e-mail pubblicitarie, e questi soggetti potrebbero aver ottenuto i tuoi dati da terzi.

Poiché il mondo online e la tecnologia si stanno muovendo a un ritmo davvero rapido, l'Unione europea intende proteggere i consumatori e questo nuovo regolamento è finalizzato a tutelare i dati e la privacy delle persone.

Ciò significa che, in qualità di consumatori, le nostre informazioni personali saranno meglio tutelate. Tuttavia, in qualità di titolari di aziende, dobbiamo assicurarci di rispettare le nuove normative e comprendere le finalità sottostanti.

Che cosa è classificato come dato sensibile?

I dati sensibili sono quei dati che possono essere utilizzati per identificare una persona, come nome, cognome, residenza, indirizzo e-mail, data di nascita, coordinate bancarie e così via.

La legge è stata ora modificata nel senso di includere le fotografie in cui è possibile identificare un certo soggetto. I software di riconoscimento facciale stanno diventando sempre più avanzati e persino Lightroom e Apple Photo ora posseggono questa capacità.

Ciò influisce sul modo in cui vengono raccolti, archiviati, compilati e condivisi i dati sensibili e ciò significa che i tuoi clienti avranno questi diritti:

• Il diritto di essere informati: il cliente ha il diritto di essere informato sulla raccolta e sull'uso dei propri dati personali. In questo rientrano anche permessi e consensi.
• Il diritto di accesso: il diritto per i clienti di accedere ai dati personali in possesso del fotografo.
• Il diritto di rettifica: i clienti possono richiedere la correzione dei dati se non sono corretti.Le aziende avranno un mese per effettuare le rettifiche su richiesta del cliente.
• Il diritto di cancellazione: i clienti possono richiedere la cancellazione o la rimozione dei propri dati personali.
• Il diritto di limitazione del trattamento: i clienti possono limitare la possibilità di trattamento dei propri dati personali da parte del fotografo.
• Il diritto di decidere sulla portabilità dei dati: si può concedere o meno la possibilità di memorizzazione dei dati del cliente in piattaforme chiuse, solitamente mailing list o database.
• Il diritto di opposizione: il cliente ha il diritto di presentare reclamo e opposizione al fotografo che tratta i suoi dati personali
• Il diritto di non essere sottoposti a processi decisionali automatici, inclusa la profilazione: il cliente ha il diritto di non essere aggiunto automaticamente a file, piattaforme o sistemi di terze parti.

In che modo questo influenza i fotografi?

I fotografi e i videografi sono interessati - in particolare quelli di matrimoni o eventi, tra cui quelli sportivi - perché memorizzano dati sensibili come qualsiasi altra azienda. Ogni immagine riconoscibile di qualcuno è un dato, anche se la persona si trova sullo sfondo dell'immagine. Se stai fotografando ad un matrimonio, ad un evento o per strada, stai inconsapevolmente raccogliendo dati personali di altre persone.

Quindi, come posso operare secondo i dettami della legge?

I cambiamenti normativi come questo non facilitano le persone, ma si spera che i punti seguenti possano aiutare te e la tua azienda ad adeguarti senza problemi alle nuove normative.

1. Ottieni un consenso esplicito: dovrai abituarti a richiedere il consenso esplicito da parte dei clienti prima di contattare gli stessi via e-mail o telefono, o di compilare, condividere o archiviare i dati ad essi relativi. Se, ad esempio, ti trovavi in una fiera della fotografia e qualcuno ti ha chiesto di fare una ripresa, o un preventivo ecc., dovrai assicurarti che il soggetto ti dia il consenso ad essere ricontattato in futuro, e che tu possa aggiungere il nominativo al tuo database.
2. Durata dell'archiviazione dei dati: devi informare i tuoi clienti sul periodo di tempo per cui conserverai i loro dati personali - immagini incluse - e devi chiedere il loro consenso. Devi prevedere una durata dei dati, sia essa di 1, 6 o 20 anni e, se raggiungi la fine del periodo di tempo concordato, non puoi contattare i clienti per chiedere il consenso al rinnovo. Devi farlo prima della fine di detto periodo.
3. Condivisione: se ti viene chiesto di non condividere le immagini o i dati di un cliente, non hai altra scelta che accettare tale limitazione. Ciò ha effetto su qualsiasi modalità di condivisione, come e -mail, social media, stampe, mostre, concorsi fotografici e così via.
4. Diritto di cancellazione: spero che questo non ti accada, ma se un cliente ti chiede di cancellare tutti i dati e le foto che hai scattato, significa che devi cancellare tutto. Persino i file RAW! Se ti viene fatta questa richiesta, devi rispettarla e dimostrare di avere adempiuto.
5. Archiviazione e accesso: devi assicurarti che il computer e i dischi rigidi siano crittografati e che i dischi rigidi esterni siano riposti in un luogo chiuso a chiave. Anche le password devono essere robuste. Se puoi, tieni un computer solo per il lavoro e un altro per uso personale.
6. Formato di archiviazione: i dati devono essere memorizzati in un formato che può essere condiviso, su richiesta, con i clienti. Se hai Microsoft, usa Excel; per Apple, usa Numbers. Potresti anche utilizzare Google Drive, che potrebbe sembrare più semplice. I tuoi file devono essere crittografati o protetti da password e archiviati sul tuo computer, che deve essere sicuro!
7. Utilizzo di Google Drive: questo è un trucco che può rendere un po' più agevole il passaggio al GDPR. Gli indirizzi "https", come Google Drive, sono considerati perfettamente sicuri, perché gli https inviano i dati per mezzo di una fonte crittografata. Puoi archiviare comodamente dati sensibili sul tuo Google Drive, perché è una soluzione cloud crittografata. Potresti prendere in considerazione anche Dropbox, in quanto è a sua volta compatibile con il GDPR. Se non sei pratico di piattaforme cloud e se non sai se sono conformi al GDPR, non rischiare.
8. Inserimento di un'informativa sulla privacy sul proprio sito web: devi avere una pagina sul tuo sito web in cui elenchi consenso, durata di archiviazione, utilizzo ecc. Sì, è un lavoro noioso, ma potrebbe rappresentare la linea di confine tra rispetto della legge e pagamento di una multa.
9. Contratti: ora è un buon momento per revisionare i tuoi testi contrattuali, per fare in modo che siano rispettosi delle nuove norme. Se già non lo fai, prendi in considerazione l'utilizzo di contratti digitali. Questo tipo di contratto è crittografato e può essere archiviato sulla tua piattaforma cloud crittografata. Aggiungi una clausola di conferimento del consenso al tuo contratto. Mantienilo separato dai tuoi Termini e condizioni, poiché queste si riferiscono a un contratto di servizio, mentre il consenso ha riguardo ai dati sensibili. Potrebbe essere utile chiedere anche se potrai avere il permesso di utilizzare le immagini su qualsiasi canale, incluse mostre o concorsi.
10. Chi ha accesso ai dati? Hai un assistente o un dipendente? Se sì, hanno accesso ai dati sensibili? Questi devono essere messi a disposizione solo a chi ne ha bisogno per portare a termine il proprio lavoro, e nessun altro dovrebbe avere accesso ad essi.

L'unico modo per essere sicuro di essere pienamente conforme alle previsioni del GDPR è fare riferimento alla documentazione ICO. La ICO è responsabile dell'implementazione del GDPR nel Regno Unito. GDPR UE è un sito web utile che contiene ulteriori informazioni. Inoltre, se hai un avvocato di fiducia, consultalo.

Spero che sia d'aiuto.