Note riassuntive
sul nuovo
Regolamento Privacy

RISERVATE AI SOCI TAU VISUAL

RGPD europeo (Regolamento Generale di Protezione dei Dati) - 679/2016

IN DUE PAROLE
Come probabilmente gia' saprai (per le notizie allarmistiche che circolano), l'attuale testo Unico della Privacy verra' sostituito, dal 25 maggio 2018, dall'attuazione del nuovo RGPD europeo (Regolamento Generale di Protezione dei Dati).
La cosa buffa e' che il testo della norma pubblicato dal Garante e' di 190 pagine (sic), e che dai riassunti pubblicati risulta un'impresa capire quali caspita siano - alla fin fine - le norme che concretamente riguardano il piccolo professionista od imprenditore, sommerse come sono dalla valanga di indicazioni che si applicano alle grandi strutture.
Ed ecco il perche' di questa nostra analisi.

Innanzitutto: tranquillizzarsi.
a) Le azioni maggiormente complesse NON sono richieste ai singoli professionisti ed ai piccoli imprenditori che svolgano normali attivita', come quella fotografica.
b) Per i normali dati direttamente necessari all'esecuzione del lavoro non occorre richiedere e dimostrare l'assenso al trattamento.
c) Nella breve trattazione che segue, vediamo nel concreto quali siano le azioni da compiere e quali siano invece superflue, per il normale caso di un fotografo professionista.
Tutte cose fattibilissime.
Leggere nota richiede 10 minuti, ma sono minuti ben spesi, per l'effetto catartico e liberatorio che da' il sapere cosa va effettivamente fatto, e cosa invece non ti riguarda.

UN POCHINO PIU' NEL DETTAGLIO

Raccolta del consenso al trattamento dei dati.
Capiamoci: i dati devono essere raccolti e trattati in modo lecito, e su questo non ci piove.
Ma, come spiega l'articolo 6 del Regolamento 679/2016 (che andra' in vigore dopo il 25 maggio 2018), i dati possono essere raccolti lecitamente o perche' sono necessari al lavoro che hai concordato con il cliente, oppure - se non fossero davvero necessari al lavoro - sulla base del consenso esplicito rilasciato da chi fornisce i dati.
In sostanza: e' lecito raccogliere i dati dell'anagrafica e di contatto del cliente, come anche gli estremi fiscali, senza che per questo debba essere dato un esplicito assenso. Va invece richiesto l'assenso quando i dati raccolti travalicano la necessita' che discende dal contratto che stai eseguendo (a esempio, se - oltre ai dati anagrafici e di contatto - chiedi dati sugli interessi personali, sugli hobby, la famiglia, o altri elementi utili di marketing, che pero' non sono necessari per il lavoro fotografico che ti stai apprestando a fare).

Cosa cambia per immagini fotografiche ed autorizzazione alla pubblicazione.
Nulla.
Il nuovo Regolamento non introduce nessuna reale novita' riguardo la pubblicabilita' o meno dei ritratti, che continuano a seguire le norme che abbiamo piu' volte riassunto (vedi anche apposito capitolo 18 del volume "Documentazione", liberamente scaricabile da www.documentazione.org)

Contenuto dell'informativa sui dati personali.

Come abbiamo specificato sopra, va raccolto un esplicito assenso al trattamento dei dati quando raccogli dati non strettamente inerenti lo svolgimento del contratto (e non in altri casi).
Indipendentemente dal fatto che i dati che raccogli richiedano o meno un assenso esplicito al trattamento, occorre fornire le indicazioni sul responsabile del trattamento e sulle modalita' con cui viene svolto.
Ti consigliamo di preparare un'apposita pagina del tuo sito, e semplicemente di richiamare il link a quella pagina dalle email, o dai documenti con cui intendi fornire le informazioni, evitando quelle ridicole "spataffiate" di testo al piede di ogni singolo messaggio email.
Tieni conto che l'articolo 12 indica chiaramente che deve trattarsi di un'informativa scritta in linguaggio chiaro e comprensibile per il destinatario (volesse il cielo!); sempre lo stesso articolo indica che le informazioni possono essere fornite anche oralmente, se sta bene all'interessato.
Ecco come il testo del Regolamento indica che va fornita l'informativa: "(...) in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori".

AL piede di questa nota proponiamo una bozza di testo "conciso, trasparente ed intellegibile" che riporti le indicazioni richieste dall'articolo 13 del Regolamento 679/2016.

I dati "particolari" (fino ad ora definiti "dati sensibili")
Un livello particolare di protezione era - e sara' anche in futuro - riservato ai dati "particolari", cioe' a quei dati "che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o  filosofiche, o l'appartenenza sindacale, nonché  (...) dati  genetici, dati biometrici  intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona".
Normalmente, nulla che riguardi i dati che raccoglie di solito un fotografo presso i suoi clienti.
Quando dovesse occorrerti (perche' mai, pero'?) questo genere di dati, occorre avere l'assenso esplicito dell'interessato, e circoscritto a finalita' specifiche.
Qualcuno, in vena di particolare paranoia, ravvedeva essere un "dato sensibile" quello collegato alla funzione religiosa del matrimonio, giacche' in grado di fornire indicazioni sulle "convinzioni religiose" del cliente.
Non e' cosi'. Il nuovo regolamento, all'articolo 9, paragrafo 2, lettera E, spiega che la norma "non si applica se il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato". Caso che evidentemente si verifica quando gli sposi celebrano - appunto pubblicamente - il loro matrimonio secondo il rito di una specifica religione.

Chi deve nominare un responsabile della protezione dei dati (RPD / DPO) entro il 25 maggio.
Rilassarsi...
Il titolare del trattamento sei tu, e tu renderai conto dell'operato della tua attivita'; ma non e' obbligatorio che nomini il famigerato Responsabile (con competenze specifiche) a meno che tu non tratti in modo regolare e sistematico dati su larga scala (articolo 37, paragrafo 1, lettere b e c).
In sostanza, non c'e' l'obbligo di designazione di un RPD per qualsiasi normale attivita' fotografica, svolta in forma individuale o societaria. In tal senso si e' espresso esplicitamente anche il Garante, nelle risposte recentamente emanate:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793
in cui si precisa che in questi casi non sussiste l'obbligo, e che l'eventuale nomina e' semplicemente "raccomandata".

Raccolta e sicurezza dei dati - accountability
Anche se non sei obbligato a nominare un Responsabile del trattamento dei dati, tu sei il Titolare del trattamento e, se vuoi essere in regola, devi offrire delle garanzie.
Tutto il Regolamento mira a far prendere a cuore fin dall'origine il problema della sicurezza dei dati; si tratta di un concetto riassunto con il termine "accountability", "responsabilita'", inteso come attenzione fin dall'origine al bisogno di onesta' e trasparenza, e non tanto come rispetto di norme teoriche per timore delle sanzioni.
Semplificando:

La sicurezza dei dati.
Il Regolamento - all'articolo 32 - prevede una nutrita serie di garanzie che vanno previste nella conservazione dei dati. Concretamente, in relazione alla tipologia di dati che ci troviamo a trattare normalmente, bastera' semplicemente:
1) Avere installato sulle proprie macchine un efficace antivirus, da tenere aggiornato; 2) Prevedere una robusta password di accesso ai computer di studio; 3) Mantenere aggiornati backup dei dati; 4) Conservare i backup fisici in luogo sicuro; 5) Usare autenticazione in due passaggi e password robuste per i dati in caso di dati conservati su un servizio cloud; 6) Raccogliere dati personali in rete solo attraverso pagine e sistemi con protocollo SSL o TLS.
Stiamo elaborando un Codice di Autoregolamentazione sulla protezione dei dati in fotografia. Vedi a www.foto-privacy.com

Registro delle attivita'.
L'articolo 30 specifica l'obbligo di tenere un registro dei responsabili e delle attivita'. Ma si tratta (punto 5 dello stesso articolo 30) di un obbligo che non si applica alle strutture con meno di 250 dipendenti.

Come fornire l'informativa.
Una cosa chiara e semplice, magari usando il modello che riportiamo in fondo a questa email.
Pubblica la tua informativa sul sito, e richiama quel link dai documenti che fornisci.

Raccolta dei dati.
I dati devono essere raccolti a seguito di un'esplicita volonta' dell'interessato: non e' lecito utilizzarli semplicemente perche' compaiono pubblicamente da qualche parte.
a) Se si tratta di dati necessari per lo svolgimento di un contratto di lavoro od un servizio richiesto dall'interessato, non occorre raccogliere l'esplicito assenso al trattamento.
b) L'assenso invece va manifestato (magari non per iscritto, ma comunque in modalita' cosciente, non in forma "automatica") se si tratta di altri dati come, ad esempio, quelli raccolti con finalita' di marketing.

Tempi di attuazione.
Evviva l'Italia!
La scadenza per l'entrata in vigore sarebbe il 25 maggio 2018, ma la legge di Delegazione Europea da' tempo al Governo fino al 6 maggio 2018 (davvero!) per recepire la norma e fino al 19 maggio per definire le modalita' attuative; come a dire che il Governo ha avuto quasi due anni (dal 27 aprile 2016) per recepire la norma, e i cittadini avrebbero pochi giorni per districarsi fra le norme definitive e l'entrata in vigore.
Fortunatamente, il Garante della Privacy ha gia' dichiarato che verra' considerato un periodo di "grazia" dopo il 25 maggio.
E' gia' previto, per il 24 maggio (sic!) un incontro del Garante con i responsabili del trattamento che lo desiderassero, a Bologna.
Ci si puo' registrare all'evento da qui: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7917099

Il Codice di Autoregolamentazione
Come accennato, stiamo lavorando alla preparazione del primo Codice di Autoregolamentazione per la Privacy in fotografia professionale.
Ti chiediamo - se lo vuoi - di partecipare al rilevamento pubblico degli aspetti che si ritengono essere critici sull'argomento.
Possono partecipare sia i professionisti (anche non Soci), sia gli utenti (i tuoi clienti).
Vedi a direttamente al form https://tauvisual.typeform.com/to/lhPVKX

DAVVERO NEL DETTAGLIO, SE VUOI ANDARE ALLA FONTE

Se vuoi approfondire, la cosa migliore e' riferirsi alla documentazione alla fonte.
Trovi:
Il testo ufficiale dell'Unione Europea:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA 

Il testo ufficiale del Garante, con i rimandi ai "considerando" del Regolamento (190 pagine)
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597

La guida riassuntiva in pdf del Garante:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8135449

Le risposte piu' recenti del Garante alle FAQ:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793

UNA BOZZA DI INFORMATIVA
Il nuovo Regolamento 679/2016 descrive la norma in 99 articoli preceduti da 173 "considerando", raccolti in un testo di 88 pagine (formattazione della UE) o di 190 pagine (formattazione del Garante).
Quasi comicamente, all'articolo 12 si dispone che l'informativa dei diritti dell'interessato sia fornita "in forma concisa, trasparente, intellegibile e facilmente accessibile" (...) fornendo "all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34".
Come a dire, la quadratura del cerchio: viene chiesto di fornire tutte le informazioni contenute in 11 articoli (3.900 parole e 26.000 caratteri), in forma concisa, trasparente ed intellegibile...
Un ossimoro (per essere gentili); o una fesseria (per dirla come sta).

Ti proponiamo una formula di Informativa rispettosa della sostanza della Legge e, al contempo, dell'intelligenza dell'interlocutore.

"Garantiamo la piena osservanza di tutte le norme previste dalla Legge a protezione della Privacy, esplicitamente confermando la nostra attenta adesione al disposto del Regolamento Gdpr n.679/2016 ed a quanto ne discende, ed in particolare da quanto contenuto negli articoli dal 13 al 22, e all'articolo 34.
Concretamente: in qualsiasi momento, potrai rivolgerti al titolare del trattamento dei dati Nome Cognome, contattandolo all'indirizzo email: nomedelresponsabile @ sitodelfotografo.com per qualsiasi informazione, correzione, variazione o cancellazione tu desideri sui dati che ti riguardano.
Garantiamo che i dati raccolti non verranno utilizzati per finalita' diverse da quelle esplicitamente pattuite, che se non esplicitamente concesso non saranno comunicati a terzi, e che verranno conservati e protetti adottando adeguate modalita'.
Desideriamo ringraziarti della fiducia riposta in noi, e desideriamo ricambiarla ponendo ogni attenzione nel trattamento delle informazioni che ti riguardano.

 

© Copyright TAU visual