¿Qué significa el GDPR para los fotógrafos?
Página web "oficial" de GDPR de la Comisión Europea.
Probablemente haya recibido algunos correos electrónicos de empresas sobre sus nuevas políticas de privacidad y el cumplimiento de GDPR (el Reglamento Europeo de Privacidad de Datos Generales), que entró en vigor el 25 de mayo de 2018. Este reglamento armoniza y refuerza la protección de los datos personales en toda la Unión Europea y el Espacio Económico Europeo. También promete proporcionar una mayor transparencia sobre cómo las empresas y organizaciones utilizan y almacenan los datos de los clientes. ¿Tiene algún impacto en los fotógrafos? ¿Qué pasa si su negocio de fotografía no está situado en Europa? Siga leyendo para obtener las respuestas.
La buena noticia es que, para alguien con un pequeño negocio de fotografía aquí en los EE.UU., es poco probable que se vea muy afectado por las nuevas regulaciones. Las posibilidades de que usted llame la atención de los reguladores europeos, y mucho menos de que lo hagan después de que usted haya desaparecido. Aún así, hay algunas cosas que deberías hacer. Si usted hace bodas de destino, tiene clientes en el extranjero o hace muchas fotografías de viajes, es posible que tenga que echar un vistazo más detallado a la regulación.
Dos advertencias. No soy abogado y esto está escrito principalmente para fotógrafos en los Estados Unidos, pero debería ser razonablemente aplicable a otros fuera de Europa. Nada de esto debe interpretarse como asesoramiento jurídico y, si usted tiene su sede en Europa, o hace muchos negocios en Europa o con europeos, tendrá que sumergirse mucho más en la regulación para estar seguro de que cumple con las normas. Para eso está tu abogado.
¿Qué es exactamente la información de identificación personal (IIP)?
La IIP es considerada generalmente como el nombre de una persona, número de seguro social, dirección, número de teléfono, fecha de nacimiento, fotografía y dirección IP. Hay más, incluyendo detalles sobre condiciones médicas, pero es menos probable que los fotógrafos registren o mantengan estos otros tipos de IIP. Es posible que esté manteniendo IIP en su programa de contabilidad, en su boletín de noticias por correo electrónico, en las descripciones y fotos de su catálogo de Lightroom y en las cookies de su sitio web. O bien, todo esto puede ser manejado por su sitio web, boletín de noticias y proveedores de procesamiento de pagos.
¿Por qué nuevas normas de protección de datos?
Usted ha oído hablar de grandes brechas de datos, cuando grandes corporaciones, como Target y Equifax, han sido pirateadas y mucha información personal identificable ha sido expuesta o comprometida. Y has oído hablar de empresas, como Facebook, que han utilizado información de identificación personal para promocionarle o vender datos sobre usted a otras empresas sin su conocimiento o consentimiento. También existe una creciente preocupación por la privacidad de los registros médicos y por lo que podría suceder con la tecnología de reconocimiento facial.
Los países europeos han adoptado una postura mucho más estricta que la de los Estados Unidos en cuanto a la protección de la privacidad de los datos de los consumidores. Tienen una visión mucho más estrecha de los datos que las empresas pueden recopilar y de lo que se puede hacer con ellos. Los reguladores europeos han sido mucho más agresivos que los Estados Unidos a la hora de perseguir a las grandes empresas de tecnología en estos temas. Europa reconoce incluso un "derecho al olvido", que obliga a las empresas a eliminar la información sobre las personas que lo soliciten.
El GDPR actualiza las prácticas europeas de protección de datos para tener en cuenta la evolución más reciente del mundo en línea. Abarca la actividad empresarial en la UE (Unión Europea: 28 países con más de 500 millones de habitantes) y en el EEE (Espacio Económico Europeo: Noruega, Islandia y Liechtenstein). Pero también se aplica a cualquier persona que haga negocios con ciudadanos de la UE o del EEE, independientemente de dónde se encuentre.
Debido a que Europa es un mercado tan grande, el GDPR está afectando la forma en que los países multinacionales hacen negocios. La mayoría están cambiando sus prácticas para cumplir con GDPR, razón por la cual es posible que haya recibido muchos correos electrónicos sobre los cambios en las políticas de privacidad de las empresas con las que hace negocios. Algunas empresas han descubierto que su modelo de negocio no funcionaría con GDPR y han cerrado (por ejemplo, Klout). Otros han tomado medidas para limitar su exposición, como algunos sitios web de periódicos que han bloqueado el acceso a los usuarios en Europa.
Si, a través de su sitio web, está vendiendo algo a un ciudadano de la UE o del EEE, GDPR podría solicitarlo a usted. Si usted tiene una lista de correo electrónico para su boletín o materiales de marketing, y alguien de la EAU/EEE está en ella, podría aplicarse a usted. Si su sitio web utiliza ciertos tipos de cookies que recopilan datos, esto podría caer bajo el GDPR. Si está planeando vender fotos de unas vacaciones en Europa, puede que se aplique a usted. Y, si usted está reservado para filmar una boda de destino en uno de los 31 países, definitivamente se aplica a usted.
Buena fuente secundaria de información en EUGDPR.org
En el pasado, cada país europeo aprobó una legislación habilitante que incorporaba una regulación como GDPR en sus leyes nacionales. Por lo general, las excepciones se hacían con fines artísticos, editoriales y periodísticos. Así que, por ejemplo, podrías usar fotos que incluyan a personas si las estuvieras vendiendo como arte, como noticias, o usándolas como parte de tu portafolio. Sin embargo, usted necesitaría una versión de modelo si desea utilizar estas fotos para stock o publicidad.
Anteriormente, cualquier persona que asistiera a una boda o a un evento o convención corporativa podía considerarse que había consentido en que se le tomara una foto. No había expectativa de privacidad. Lo mismo se aplica a los deportes y otros eventos públicos. No está del todo claro lo que el GDPR requerirá aquí y he leído varias opiniones contradictorias.
La fotografía en lugares públicos (la Fuente de Trevi en Roma, la Plaza Trafalgar en Londres, los Campos Elíseos en París) sigue estando bien, dentro de lo razonable. Siempre y cuando no estés avergonzando a alguien, mostrándole una mala imagen, o usando su imagen para vender o respaldar algo, deberías estar bien. Use el sentido común.
Entonces, ¿qué vas a hacer?
1) Compruebe sus proveedores de servicios. ¿Son conformes?
Mis clientes son en su mayoría personas de mi área general, en las afueras de Washington, D.C., no ciudadanos de Europa. Como la mayoría de los propietarios de pequeñas empresas de fotografía, utilizo un proveedor de sitios web (como Zenfolio, Squarespace, Smug Mug, Wix, Photo Shelter y otros) para mi sitio web y un servicio de correo electrónico para un boletín informativo (Mail Chimp, Constant Comment, etc.) y procesamiento de pagos a través de una plataforma (Square, Stripe, PayPal). Casi todas las interacciones con mis clientes se gestionan a través de estas empresas. Mi mayor preocupación es asegurarme de que sé que todos ellos cumplen con el GDPR. La mayoría me ha enviado correos electrónicos detallados indicando su cumplimiento. Otros tienen una página o más sobre el cumplimiento de GDPR en su sitio web. En general, creo que estoy bien. ¿Qué hay de ti?
2) Ser responsable y receptivo
Las autoridades europeas han indicado que no están interesadas en perseguir a las pequeñas empresas que no representan una amenaza importante para la seguridad de los datos de un gran número de personas. Sin embargo, tomarán medidas contra las empresas, independientemente de su tamaño, que no respondan a las solicitudes de los consumidores de eliminar datos, que se descubra que han sido descuidadas o negligentes, que recopilen más datos de los necesarios o de los que dijeron, o que compartan o vendan datos de forma inadecuada. Mientras actúe de manera responsable y responda a cualquier solicitud que pueda recibir, debería estar bien.
Si usted recoge información personal de o sobre un europeo (facturación, lista de correo, modelos, etc.), tiene varias obligaciones. Usted tiene que recolectar los datos de una manera justa y transparente, donde dice exactamente qué datos está recolectando y por qué. Estos datos deben ser relevantes y necesarios para su relación comercial con esa persona, y los datos deben protegerse y conservarse durante el tiempo que sea necesario. Hacerlo para todos los clientes no es una mala idea y podría ser una ventaja que te diferencia de otros fotógrafos. Pero también podría preguntarse por qué está haciendo la recolección cuando eso podría ser parte de su paquete con su sitio web o proveedor de marketing por correo electrónico.
3) Si acepta trabajar en Europa o con europeos, sepa en lo que se está metiendo.
Si usted ha firmado para filmar una boda en Helsinki, una conferencia en París o una fiesta en Milán, el GDPR está en pleno vigor. Para poder utilizar sus fotografías, para cualquier propósito, es posible que tenga que obtener el permiso afirmativo de cualquiera y de todos los que aparecen en sus fotografías. La cláusula de exención de responsabilidad estándar de que, al asistir a este evento, usted consiente en ser fotografiado y su imagen utilizada por el anfitrión simplemente ya no vuela en Europa. Algunos expertos dicen que cada invitado tendrá que decir explícitamente que sí. Otras águilas legales dicen que eso es irrazonable e innecesario. Las opiniones informadas difieren.
4) ¿Pueden los contactos optar por no recibir sus comunicaciones?
¿Tiene un boletín informativo por correo electrónico? ¿Tiene una manera fácil para que los destinatarios opten por no participar? Debería. ¿Ofrecen concursos o premios para reunir las direcciones de correo electrónico de las personas para su lista de correo? ¿Tienen opciones claras para optar por no recibir comunicaciones o mensajes de marketing en el futuro? Deberían hacerlo. Su sitio web tiene un alcance global. Puedes conseguir suscriptores de correo electrónico desde cualquier lugar.
5) ¿Está usted guardando y los datos que tiene están seguros?
Si está guardando los datos de sus clientes, ¿es seguro? ¿Están sus archivos al menos protegidos por contraseña, si no están encriptados? ¿Está borrando información obsoleta? Usted debe tener por lo menos un plan para hacerlo en ciertos intervalos, digamos después de 3 o 5 años. La mayoría de las soluciones de backup y almacenamiento tienen esas opciones. Úsalos.
6) ¿Tiene su sitio web una política de privacidad?
Una buena política de privacidad explica, en un lenguaje sencillo, qué datos está recopilando, por qué los está recopilando y qué hará con ellos. Incluso si usted no está, personalmente, recopilando ningún dato, su proveedor de sitio web podría hacerlo, por lo que vale la pena volver a comprobar cuál es su política de privacidad. Hay varios buenos ejemplos de políticas de privacidad que puede encontrar con una búsqueda rápida. Considere agregar uno a su sitio web, una vez que esté seguro de qué datos están recopilando usted y sus proveedores y qué se está haciendo con ellos.
Usted podría haber notado que la mayoría de estas son simplemente prácticas de negocios inteligentes y éticas. El GDPR no estaba realmente dirigido a los fotógrafos. Más bien tiene por objeto proteger a los europeos contra el uso indebido de los datos de los clientes por parte de las grandes empresas y contra el robo de esos datos a las empresas por parte de los ciberdelincuentes.
Si usted tiene un negocio de fotografía inteligente y ético, y su sitio web y otros proveedores están cumpliendo con GDPR, debería estar bien.
Una cosa menos de la que preocuparse en un mundo con muchas otras distracciones.
Deja una respuesta