Note riassuntive
sul nuovo
Regolamento Privacy
RGPD europeo (Regolamento Generale di Protezione dei Dati) - 679/2016
GDPR (General Data Protection Regulation)
IN DUE PAROLE
Come ovviamente gia' saprai (per la valanga di comunicazioni che si e' generata), il testo Unico della Privacy è sostituito, dal 25 maggio 2018, dall'attuazione del nuovo RGPD europeo (Regolamento Generale di Protezione dei Dati).
La cosa buffa e' che il testo della norma pubblicato dal Garante e' di 190 pagine (sic), e che dai riassunti pubblicati risulta un'impresa capire quali caspita siano - alla fin fine - le norme che concretamente riguardano il piccolo professionista od imprenditore, sommerse come sono dalla valanga di indicazioni che si applicano alle grandi strutture.
Ed ecco il perche' di questa nostra analisi.
Innanzitutto: tranquillizzarsi.
a) Le azioni maggiormente complesse NON sono richieste ai singoli professionisti ed ai piccoli imprenditori che svolgano normali attivita', come quella fotografica.
b) Per i normali dati direttamente necessari all'esecuzione del lavoro non occorre richiedere e dimostrare l'assenso al trattamento.
c) Nella breve trattazione che segue, vediamo nel concreto quali siano le azioni da compiere e quali siano invece superflue, per il normale caso di un fotografo professionista.
Tutte cose fattibilissime.
Leggere questa nota richiede 10 minuti, ma sono minuti ben spesi, per l'effetto catartico e liberatorio che da' il sapere cosa va effettivamente fatto, e cosa invece non ti riguarda.
UN POCHINO PIU' NEL DETTAGLIO
Raccolta del consenso al trattamento dei dati.
Capiamoci: i dati devono essere raccolti e trattati in modo lecito, e su questo non ci piove.
Ma, come spiega l'articolo 6 del Regolamento 679/2016 (in vigore dopo il 25 maggio 2018), i dati possono essere raccolti lecitamente o perche' sono necessari al lavoro che hai concordato con il cliente, oppure - se non fossero davvero necessari al lavoro - sulla base del consenso esplicito rilasciato da chi fornisce i dati.
In sostanza: e' lecito raccogliere i dati dell'anagrafica e di contatto del cliente, come anche gli estremi fiscali, senza che per questo debba essere dato un esplicito assenso. Va invece richiesto l'assenso quando i dati raccolti travalicano la necessita' che discende dal contratto che stai eseguendo (a esempio, se - oltre ai dati anagrafici e di contatto - chiedi dati sugli interessi personali, sugli hobby, la famiglia, o altri elementi utili di marketing, che pero' non sono necessari per il lavoro fotografico che ti stai apprestando a fare).
Cosa cambia per immagini fotografiche ed autorizzazione alla pubblicazione.
Nulla.
Il nuovo Regolamento non introduce nessuna reale novita' riguardo la pubblicabilita' o meno dei ritratti, che continuano a seguire le norme che abbiamo piu' volte riassunto (vedi anche apposito capitolo 18 del volume "Documentazione", liberamente scaricabile da www.documentazione.org)
Contenuto dell'informativa sui dati personali.
Come abbiamo specificato sopra, va raccolto un esplicito assenso al trattamento dei dati quando raccogli dati non strettamente inerenti lo svolgimento del contratto (e non in altri casi).
Indipendentemente dal fatto che i dati che raccogli richiedano o meno un assenso esplicito al trattamento, occorre comunque fornire le indicazioni sul responsabile del trattamento e sulle modalita' con cui viene svolto.
Ti consigliamo di preparare un'apposita pagina del tuo sito, e semplicemente di richiamare il link a quella pagina dalle email, o dai documenti con cui intendi fornire le informazioni, evitando quelle ridicole "spataffiate" di testo al piede di ogni singolo messaggio email.
Tieni conto che l'articolo 12 indica chiaramente che deve trattarsi di un'informativa scritta in linguaggio chiaro e comprensibile per il destinatario (volesse il cielo!); sempre lo stesso articolo indica che le informazioni possono essere fornite anche oralmente, se sta bene all'interessato.
Ecco come il testo del Regolamento indica che va fornita l'informativa: "(...) in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori".
Al piede di questa nota proponiamo una bozza di testo "conciso, trasparente ed intellegibile" che riporti le indicazioni richieste dall'articolo 13 del Regolamento 679/2016.
I dati "particolari" (fino ad ora definiti "dati sensibili")
Un livello particolare di protezione era - e sara' anche in futuro - riservato ai dati "particolari", cioe' a quei dati "che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché (...) dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona".
Normalmente, nulla che riguardi i dati che raccoglie di solito un fotografo presso i suoi clienti.
Quando dovesse occorrerti (perche' mai, pero'?) questo genere di dati, occorre avere l'assenso esplicito dell'interessato, e circoscritto a finalita' specifiche.
Qualcuno, in vena di particolare paranoia, ravvedeva essere un "dato sensibile" quello collegato alla funzione religiosa del matrimonio, giacche' in grado di fornire indicazioni sulle "convinzioni religiose" del cliente.
Non e' cosi'. Il nuovo regolamento, all'articolo 9, paragrafo 2, lettera E, spiega che la norma "non si applica se il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato". Caso che evidentemente si verifica quando gli sposi celebrano - appunto pubblicamente - il loro matrimonio secondo il rito di una specifica religione.
Chi deve nominare un responsabile della protezione dei dati (RPD / DPO).
Rilassarsi...
Il titolare del trattamento sei tu, e tu renderai conto dell'operato della tua attivita'; ma non e' obbligatorio che nomini il famigerato Responsabile (con competenze specifiche) a meno che tu non tratti in modo regolare e sistematico dati su larga scala (articolo 37, paragrafo 1, lettere b e c).
In sostanza, non c'e' l'obbligo di designazione di un RPD per qualsiasi normale attivita' fotografica, svolta in forma individuale o societaria. In tal senso si e' espresso esplicitamente anche il Garante, nelle risposte recentemente emanate:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793
in cui si precisa che in questi casi non sussiste l'obbligo, e che l'eventuale nomina e' semplicemente "raccomandata".
Raccolta e sicurezza dei dati - accountability
Anche se non sei obbligato a nominare un Responsabile del trattamento dei dati, tu sei il Titolare del trattamento e, se vuoi essere in regola, devi offrire delle garanzie.
Tutto il Regolamento mira a far prendere a cuore fin dall'origine il problema della sicurezza dei dati; si tratta di un concetto riassunto con il termine "accountability", "responsabilita'", inteso come attenzione fin dall'origine al bisogno di onesta' e trasparenza, e non tanto come rispetto di norme teoriche per timore delle sanzioni.
Semplificando:
La sicurezza dei dati.
Il Regolamento - all'articolo 32 - prevede una nutrita serie di garanzie che vanno previste nella conservazione dei dati. Concretamente, in relazione alla tipologia di dati che ci troviamo a trattare normalmente, bastera' semplicemente:
1) Avere installato sulle proprie macchine un efficace antivirus, da tenere aggiornato; 2) Prevedere una robusta password di accesso ai computer di studio; 3) Mantenere aggiornati backup dei dati; 4) Conservare i backup fisici in luogo sicuro; 5) Usare autenticazione in due passaggi e password robuste per i dati in caso di dati conservati su un servizio cloud; 6) Raccogliere dati personali in rete solo attraverso pagine e sistemi con protocollo SSL o TLS.
Stiamo elaborando un Codice di Autoregolamentazione sulla protezione dei dati in fotografia.
Vedi a questa pagina (clicca qui)
Registro delle attivita'.
L'articolo 30 specifica l'obbligo di tenere un registro dei responsabili e delle attivita'. Ma si tratta (punto 5 dello stesso articolo 30) di un obbligo che non si applica alle strutture con meno di 250 dipendenti.
Come fornire l'informativa.
Una cosa chiara e semplice, magari usando il modello che riportiamo in fondo a questa nota.
Pubblica la tua informativa sul sito, e richiama quel link dai documenti che fornisci.
Raccolta dei dati.
I dati devono essere raccolti a seguito di un'esplicita volonta' dell'interessato: non e' lecito utilizzarli semplicemente perche' compaiono pubblicamente da qualche parte.
a) Se si tratta di dati necessari per lo svolgimento di un contratto di lavoro od un servizio richiesto dall'interessato, non occorre raccogliere l'esplicito assenso al trattamento.
b) L'assenso invece va manifestato (magari non per iscritto, ma comunque in modalita' cosciente, non in forma "automatica") se si tratta di altri dati come, ad esempio, quelli raccolti con finalita' di marketing.
Tempi di attuazione.
Evviva l'Italia!
La scadenza per l'entrata in vigore e' stata il 25 maggio 2018, ma la legge di Delegazione Europea aveva dato tempo al Governo fino al 6 maggio 2018 (davvero!) per recepire la norma e fino al 21 maggio per definire le modalita' attuative; come a dire che il Governo ha avuto quasi due anni (dal 27 aprile 2016) per recepire la norma, e i cittadini pochi giorni per districarsi fra le norme del Decreto e l'entrata in vigore.
Il tutto, senza decreto attuativo di adeguamento...
Perche', manco a dirlo, siccome il Governo non ha provveduto in tempo, la normativa precedente e' scaduta, e quella nuova e' entrata in vigore senza che venisse approvato il decreto di adeguamento, il che significa che per adesso siamo pienamente regolamentati direttamentedal Decreto europeo (che e' in vigore), ma in assenza delle specifiche direttive nazionali di adeguamento.
L'articolo di legge che dava delega al Governo e' l'articolo 13 della legge 25 ottobre 2017, n. 163; siccome la richiesta di pareri e' stata presentata alle Commissioni con meno di 30 giorni di anticipo, il termine per attuare le deleghe legislative slitta di tre mesi, quindi va al 22 agosto 2018, cosi come previsto dall'articolo 31, comma 3, legge 234/2012.
... ma non siamo un Paese stupendo?
E' stato effettuato, il 24 maggio (sic!) un incontro del Garante con i responsabili del trattamento che lo desiderassero, a Bologna.
Ci si poteva registrare all'evento da qui: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7917099
La registrazione dell'incontro del 24 maggio 2018 e' disponibile collegandosi qui: https://www.youtube.com/watch?v=dG8KCEdVa9k
Il Codice di Autoregolamentazione
Come accennato, stiamo lavorando alla preparazione del primo Codice di Autoregolamentazione per la Privacy in fotografia professionale.
Ti chiediamo - se lo vuoi - di partecipare al rilevamento pubblico degli aspetti che si ritengono essere critici sull'argomento.
Possono partecipare sia i professionisti (anche non Soci), sia gli utenti (i tuoi clienti).
Vedi a direttamente al form https://tauvisual.typeform.com/to/lhPVKX
DAVVERO NEL DETTAGLIO, SE VUOI ANDARE ALLA FONTE
Se vuoi approfondire, la cosa migliore e' riferirsi alla documentazione alla fonte.
Trovi:
Il testo ufficiale dell'Unione Europea:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA
Il testo ufficiale del Garante, con i rimandi ai "considerando" del Regolamento (190 pagine)
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597
La guida riassuntiva in pdf del Garante:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8135449
Le risposte piu' recenti del Garante alle FAQ:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793
UNA BOZZA DI INFORMATIVA
Il nuovo Regolamento 679/2016 descrive la norma in 99 articoli preceduti da 173 "considerando", raccolti in un testo di 88 pagine (formattazione della UE) o di 190 pagine (formattazione del Garante).
Quasi comicamente, all'articolo 12 si dispone che l'informativa dei diritti dell'interessato sia fornita "in forma concisa, trasparente, intellegibile e facilmente accessibile" (...) fornendo "all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34".
Come a dire, la quadratura del cerchio: viene chiesto di fornire tutte le informazioni contenute in 11 articoli (3.900 parole e 26.000 caratteri), in forma concisa, trasparente ed intellegibile...
Un ossimoro (per essere gentili); o una fesseria (per dirla come sta).
Ti proponiamo una formula di Informativa rispettosa della sostanza della Legge e, al contempo, dell'intelligenza dell'interlocutore.