Hoy en día, en tiempos de la crisis económica en la que vivimos, saltarse una correcta política de protección de datos puede poner en peligro la continuidad de algunos negocios, teniendo en cuenta que la inclusión de ficheros personales no inscritos en cualquier buscador de Internet puede conllevar una sanción de hasta 300.000€ por la Agencia Española de Protección de datos (AEPD).
Generalmente pensar que se consideran como datos personales únicamente nombre, domicilio, edad, DNI, etc… puede llevar al error de no considerar como datos personales fotografías o direcciones IP.
La fotografía de una persona, ¿es un dato personal?
La legislación española en el artículo 3 de la LOPD define datos de carácter personal como “Cualquier información concerniente a las personas físicas identificadas o identificables” y en el artículo 5.1 de su Reglamento de desarrollo lo define como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”. Es decir, que una fotografía de una persona tomada por una cámara fotográfica o de vídeo se considera datos de carácter personal.
Tanto fotógrafos profesionales como estudios de fotografía tienen la obligación de de tratar datos personales de acuerdo a la legislación vigente, por lo que tendrán que utilizar una política de protección de datos que se ajuste a su negocio para evitar ser sancionados.
El cumplimiento de la legislación conlleva unas obligaciones para el responsable de los datos que pueden ser avisar previamente sobre la existencia fichero de datos, conseguir el consentimiento inequívoco del cliente ( o de sus padres o tutores en caso de que se trate de un menor de 14 años) y cancelar los datos cuando ya no tengan utilidad alguna.
Para la aplicación de la norma es necesario que exista un fichero estructurado (una carpeta en el ordenador) en el que se incorporen las imágenes tratadas, como está establecido en la Sentencia de la Sala de lo Contencioso de la Audiencia Nacional de 18 de mayo de 2012.
¿Qué medidas hay que adoptar respecto a la LOPD?
Si somos propietarios de un estudio fotográfico debemos tener en cuenta una serie de medidas exigidas por la normativa de Protección de Datos:
- Cualquier petición de servicio, va acompañada de un formulario que el cliente firma y guarda copia donde se especifica el trabajo a realizar y se da oportunidad al usuario para que valore si permite que su imagen se use como muestra de los servicios profesionales del estudio. Hay que recordar que el consentimiento para el servicio, no incluye el consentimiento para la publicación de las imágenes tomadas.
- Cuando el sujeto fotografiado sea un menor, se requiere la firma de los padres o legales tutores para poder realizar las fotografías y además se facilita la opción de que los mismos puedan consentir o no en su publicación. Este consentimiento tiene que ser revocable en cualquier momento.
- La recogida de datos, en la aceptación del servicio, incluye un apartado donde se informa que el cliente puede recibir voluntariamente, informaciones y ofertas profesionales del estudio.
- Se establecerá un protocolo de copias de seguridad, donde se regula como cada semana las imágenes recogidas se almacenan en un soporte externo que se guarda en el domicilio de uno de los socios y además, diariamente se realiza una copia remota a través de un sistema de backup online.
- El estudio dispondrá de una serie de tratamientos de datos registrados ante la Agencia Española de Protección de Datos, que hacen referencia a los diversos tipos de tratamientos del estudio: videovigilancia, clientes, proveedores, y contactos o potenciales clientes.
- En todas las fases de recogida de información se indicarán mediante el clausulado correspondiente, todos los aspectos que en este sentido regula la LOPD.
Ejercicio de derechos ARCO por los afectados
Al igual que en otro tipo de datos personales, en el caso de las imágenes los afectados tienen una serie de derechos:
- Acceso: El derecho de acceso permite al ciudadano conocer y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento.
- Rectificación: Este derecho se caracteriza porque permite corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
- Cancelación: permite que se supriman los datos que resulten ser inadecuados o excesivos sin perjuicio del deber de bloqueo recogido en la LOPD.
- Oposición: es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.
Su ejercicio es personalísimo, por lo que sólo podrá solicitarlo la persona interesada, quién deberá dirigirse a la empresa u organismo público que sabe o presume que tiene sus datos, indicando a qué datos se refiere, y aportando al efecto la documentación que lo justifique.
El responsable del fichero deberá resolver sobre la solicitud de cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud. Deberá hacerlo aunque no disponga de datos del afectado. Transcurrido el plazo sin que de forma expresa se responda a la petición o ésta sea insatisfactoria, el interesado podrá interponer la correspondiente reclamación de tutela ante esta Agencia, acompañando la documentación acreditativa de haber solicitado la cancelación ante la entidad de que se trate.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas, transcurrido el cual deberá procederse a la cancelación.