Foto e privacy

Dettagli

TAU VIsual

TAU Visual

Foto e privacy

Roberto Tomesani

In questo ultimo periodo siamo stati tutti sommersi di sollecitazioni – molte delle quali, francamente allarmistiche – sugli adempimenti legati al nuovo Regolamento Europeo sulla privacy.

In questo ultimo periodo siamo stati tutti sommersi di sollecitazioni – molte delle quali, francamente allarmistiche – sugli adempimenti legati al nuovo Regolamento Europeo sulla privacy.

Premessa indispensabile
Attorno al nuovo Regolamento Generale di Protezione dei Dati si è generata una situazione abbastanza paradossale, dovuta dal fatto che l'impianto della Norma è ben congegnato e strutturato se riferito alle grandi strutture responsabili del trattamento e dell'utilizzo massivo di dati, ma risulta farraginosa e insensatamente complessa se applicata alla realtà dei piccoli operatori.
Questo ha generato una spaccatura nella reazione degli operatori professionali: c'è chi ritiene che la Legge sia fatta per l'Uomo, e non l'Uomo per la legge, e che la norma vada letta ed applicata con un buon senso che ne scali l'impatto in relazione alla realtà dimensionale dell'operatore, e chi invece ritiene che la norma vada applicata interpretandola restrittivamente, con questo ponendosi al riparo da possibili contestazioni per una non completa adesione alla norma.

Ha reso più complessa la cosa il fatto che la nuova norma (GDPR 679/2016) sia entrata pienamente in vigore il 25 maggio 2018 senza che però il Governo abbia rispettato i termini per l'approvazione dei relativi decreti attuativi, slittati quindi al 21 agosto 2018; in sostanza, il Regolamento è pienamente in vigore nella sua forma comunitaria, ma ne manca lo "shell" che avrebbe dovuto armonizzare e meglio specificare la norma con l'impianto italiano.

Ecco quindi che abbiamo deciso di fornire, per i punti maggiormente discussi del Regolamento, gli strumenti per valutare autonomamente; sui punti cardine spieghiamo quale sia la lettura adattiva e quale sia quella restrittiva, e cosa - in pratica - si debba fare.
Sta poi al buon senso e ad indole di ciascun operatore seguire l'una o l'altra soluzione.

CONSENSO AL TRATTAMENTO DEI DATI
La legge dice:
Articolo 6
Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
... (segue)

INTERPRETAZIONE ADATTIVA
I dati possono essere raccolti lecitamente o perché sono necessari al lavoro che hai concordato con il cliente, oppure - se non fossero davvero necessari al lavoro - sulla base del consenso esplicito rilasciato da chi fornisce i dati.
In sostanza: è lecito raccogliere i dati dell'anagrafica e di contatto del cliente, come anche gli estremi fiscali, senza che per questo debba essere dato un esplicito assenso.
Va invece richiesto l'assenso quando i dati raccolti travalicano la necessità che discende dal contratto che stai eseguendo (a esempio, se - oltre ai dati anagrafici e di contatto - chiedi dati sugli interessi personali, sugli hobby, la famiglia, o altri elementi utili di marketing, che però non sono necessari per il lavoro fotografico che ti stai apprestando a fare).
Quindi: chiedi assenso - esplicito e cosciente - al trattamento dei dati quando questi non sono i semplici dati necessari per l'esecuzione del lavoro che il cliente ti chiede.
Occorre spiegare (tramite l'informativa, vedi più avanti) quali trattamenti verranno fatti, lasciando a ciascuno la possibilità di acconsentire o di non acconsentire a generi differenti di trattamento.

INTERPRETAZIONE RESTRITTIVA
Occorre dimostrare di avere ottenuto esplicito l'assenso al trattamento di tutti i dati raccolti, nella loro interezza.

EMAIL DI INFORMAZIONE NUOVO GDPR
La legge dice:
Articolo 13
Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato 1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:... (segue)

INTERPRETAZIONE ADATTIVA
La richiesta è di fornire le informazioni nel momento in cui vengono raccolti i dati, non in seguito.
Se i dati raccolti in precedenza (ad esempio, in una mailing list costituita rispettando il precedente Codice della Privacy) erano stati raccolti in modo corretto, non occorre inviare la comunicazione di "aggiornamento alle nuove norme" - che tanto copiosamente è stata scambiata fra tutti verso la fine del mese di maggio 2018, ferma restando la disponibilità - tramite l'informativa - di tutti i dati di contatto, e la facoltà di ciascuno di chiedere modifica, integrazione o cancellazione dei dati che lo riguardano.
Tieni conto che il consenso basato sul "silenzio-assenso" (se non dici nulla, assumiamo che tu sia d'accordo) è considerato inefficace ("considerando" n. 32 del Regolamento).
Quindi: non spammare il mondo con una comunicazione che semplicemente svela che esiste il nuovo regolamento, ma informa correttamente gli utenti all'atto della trasmissione dei loro dati.
INTERPRETAZIONE RESTRITTIVA
Occorre dimostrare di avere informato tutti i propri contatti delle eventuali modifiche apportate alla propria Policy di trattamento dei dati; poiché il GDPR ha modificato le modalità di approccio alla gestione dei dati, è quindi necessario darne comunicazione a tutti, per non incorrere in sanzioni.

COSA CAMBIA PER IMMAGINI FOTOGRAFICHE
La legge dice:
Articolo 4
Definizioni
Ai fini del presente regolamento s’intende per:
(...)
14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
:... (segue)

INTERPRETAZIONE ADATTIVA
È vero che nel testo del Regolamento si fa richiamo all'immagine facciale come "dato biometrico" (e quindi come dato speciale, quello che prima era chiamato "dato sensibile"), ma l'intento del Legislatore è evidentemente quello di riferirsi alla schedatura (infatti l'esempio continua menzionando i dati dattiloscopici, cioè le impronte digitali), abbinati ad un trattamento tecnico specifico, cioè ad una routine di riconoscimento facciale.
"Appesantire" qualsiasi foto di ritratto ritenendola un dato sensibile che impone elevati parametri di sicurezza come se fosse un dato secretato è, a nostro avviso, una distorsione dell'intento e della funzione del Regolamento, oltre che un approccio anacronistico (qualsiasi ritratto taggato pubblicato su Facebook diventerebbe un dato personale speciale da trattare con particolare rigore).
In questo senso, è molto chiaro quanto riportato dal "Considerando" n. 51 (le indicazioni introduttive del GDPR), che recita: Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica.
Quindi: poiché il GDPR si riferisce all'immagine facciale considerandola "dato biometrico" quando questa sia utilizzata all'interno di una specifica procedura di schedatura, le normali foto di ritratto non finalizzate a quello scopo vanno considerate alla stessa stregua dei normali dati personali, mantenendo quindi il soggetto delle immagini nella condizione di poterne eventualmente chiedere la cancellazione (a meno che non esistano vincoli contrattuali fra le parti, quando il ritratto faccia parte di una commessa di lavoro oggetto di diritti espressamente ceduti al fotografo dalla persona ritratta).
Di fatto, il GDPR non introduce alcun cambiamento - rispetto al precedente Codice della Privacy - sulla gestione delle immagini fotografiche.

INTERPRETAZIONE RESTRITTIVA
L'immagine facciale, accompagnata dall'indicazione del nome della persona ritratta, è a tutti gli effetti l'equivalente di un dato biometrico. Quindi, gli archivi fotografici che contengono immagini di ritratto abbinate al nome vanno conservati e trattati come tali, ed il loro trattamento deve essere oggetto di esplicito assenso, ai sensi della lettera a) paragrafo 2, articolo 9.

NOTA IN MARGINE
Il pasticcio delle immagini d'archivio ed il diritto di accesso
Sollevato da alcune agenzie di stock, viene portato a galla un paradosso: poiché la foto è equiparata ad un dato personale, e poiché il proprietario dei dati ha diritto di avere accesso ai dati e ad una copia dei dati che lo riguardano, allora qualsiasi persona ritratta - modello/a, cliente, eccetera - può pretendere che vengano cancellate le sue immagini, oppure di avere una copia di tutte le fotografie fatte, semplicemente chiedendolo.
Viene in soccorso a questa interpretazione perniciosa il Paragrafo 4, capitolo 15 (diritti di accesso) che recita:
4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.
... quindi, quando si è svolto un lavoro, sulle immagini fotografiche si gode di un diritto, che è il diritto d’autore.
Inoltre, se esiste un accordo od un contratto, vi sono diritti definiti su base contrattuale.
In questo caso, si tratta di diritti che non possono essere fatti sparire in nome della semplice privacy
(per capirci: non posso chiedere che, in nome del diritto all’oblio previsto dal GDPR vengano cancellati i dati su un contratto di mutuo che devo finire di pagare...)

INFORMATIVA SUI DATI PERSONALI
Indipendentemente dal fatto che i dati che raccogli richiedano o meno un assenso esplicito al trattamento, occorre comunque fornire le indicazioni sul responsabile del trattamento e sulle modalità con cui viene svolto.
La legge dice:
Articolo 12
Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.
Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
... (segue)

INTERPRETAZIONE ADATTIVA
La richiesta è quella di fornire all'interessato tutte le indicazioni che riguardano il trattamento dei dati, le modalità con cui vengono svolti, i nominativi dei responsabili ed i contatti per raggiungerli.
Come a dire, la quadratura del cerchio: viene chiesto di fornire tutte le informazioni contenute in 11 articoli (3.900 parole e 26.000 caratteri), in forma concisa, trasparente ed intellegibile...
Proponiamo una formula di Informativa rispettosa della sostanza della Legge e, al contempo, dell'intelligenza dell'interlocutore.

"Garantiamo la piena osservanza di tutte le norme previste dalla Legge a protezione della Privacy, esplicitamente confermando la nostra attenta adesione al disposto del Regolamento Gdpr n.679/2016 ed a quanto ne discende, ed in particolare da quanto contenuto negli articoli dal 13 al 22, e all'articolo 34.
Concretamente: in qualsiasi momento, potrai rivolgerti al titolare del trattamento dei dati Nome Cognome, contattandolo all'indirizzo email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. per qualsiasi informazione, correzione, variazione o cancellazione tu desideri sui dati che ti riguardano.
Garantiamo che i dati raccolti non verranno utilizzati per finalità diverse da quelle esplicitamente pattuite, che se non esplicitamente concesso non saranno comunicati a terzi, e che verranno conservati e protetti adottando adeguate modalità, per il periodo di tempo necessario per l'esecuzione del lavoro e, successivamente, per l'archiviazione dei lavori eseguiti, per un periodo di tempo di (indicare la durata - suggeriamo un periodo di due anni) anni, se non diversamente pattuito.
Desideriamo ringraziarti della fiducia riposta in noi, e desideriamo ricambiarla ponendo ogni attenzione nel trattamento delle informazioni che ti riguardano".

INTERPRETAZIONE RESTRITTIVA
L'articolo 12 del Regolamento dispone chiaramente di fornire tutte le indicazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34.
Quindi l'informativa deve specificare, nel dettaglio:

    1.  l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
    2. i dati di contatto del responsabile della protezione dei dati, ove applicabile;
    3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
    4. qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
    5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
    6. ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione.
    7. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    8. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
    9. qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
    10. il diritto di proporre reclamo a un’autorità di controllo;
    11. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
    12. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Deve indicare i diritti specifici, che discendono da quanto indicato sopra e, inoltre:

  1. Diritto di rettifica dei dati.
    L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
  2. Diritto all'oblio.
    L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi elencati all'articolo 17 (vedi)
  3. Diritto di limitazione del trattamento.
  4. Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
  5. Diritto alla portabilità dei dati
  6. Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
  7. Comunicazione tempestiva di una eventuale violazione dei dati personali all’interessato.

I DATI PARTICOLARI (DATI SENSIBILI)
La legge dice:
Articolo 9
Trattamento di categorie particolari di dati personali
1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona:
... (segue)

INTERPRETAZIONE ADATTIVA
Oltre al tema specifico delle fotografie considerate come "dato biometrico" (vedi sopra) un timore sollevato è quello che l'individuazione di uno specifico rito religioso giacché in grado di fornire indicazioni sulle "convinzioni religiose" del cliente.
Non è così. Il nuovo regolamento, all'articolo 9, paragrafo 2, lettera E, spiega che la norma "non si applica se il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato". Caso che evidentemente si verifica quando gli sposi celebrano - appunto pubblicamente - il loro matrimonio secondo il rito di una specifica religione.

INTERPRETAZIONE RESTRITTIVA
La pubblicità data dagli Sposi al rito delle loro nozze è circoscritta alla sfera dei parenti ed amici prossimi, di fatto assumendo in questo modo la valenza di una comunicazione fra congiunti, e non una "pubblicazione" del loro credo.
Ergo, resta confermata la natura di dato particolare quello che identifica la professione religiosa degli sposi e, in quanto tale, deve essere oggetto di esplicito assenso al relativo trattamento, come previsto dall'articolo 9.

NOMINA RESPONSABILE PROTEZIONE DATI
La legge dice:
Articolo 37
Designazione del responsabile della protezione dei dati
1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
...(segue)

INTERPRETAZIONE ADATTIVA
Il titolare del trattamento sei tu, e tu renderai conto dell'operato della tua attività; ma non è obbligatorio che nomini il famigerato Responsabile (con competenze specifiche) a meno che tu non tratti in modo regolare e sistematico dati su larga scala (articolo 37, paragrafo 1, lettere b e c).
In sostanza, non c'è l'obbligo di designazione di un RPD per qualsiasi normale attività fotografica, svolta in forma individuale o societaria. In tal senso si è espresso esplicitamente anche il Garante, nelle risposte recentemente emanate:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793
in cui si precisa che in questi casi non sussiste l'obbligo, e che l'eventuale nomina è semplicemente "raccomandata"

(Testo tratto dalle FAQ del Garante Privacy: 4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile della protezione dei dati non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").
In ogni caso, resta comunque  raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura"

INTERPRETAZIONE RESTRITTIVA
La delicatezza e la complessità della normativa suggeriscono la nomina di un Responsabile del Trattamento che, in quanto dotato di specifiche competenze, possa farsi carico della corretta gestione del trattamento dei dati e degli adempimenti connessi, evitando che il Titolare del trattamento (tipicamente, nelle piccole attività, l'imprenditore od il professionista) sia investito di compiti di cui non ha competenze e, di conseguenza, sia esposto a gravi responsabilità.

SICUREZZA DEI DATI
La legge dice:
Articolo 32
Sicurezza del trattamento

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio

...(segue)

INTERPRETAZIONE ADATTIVA

Il Regolamento - all'articolo 32 - prevede una nutrita serie di garanzie che vanno previste nella conservazione dei dati.

Concretamente, in relazione alla tipologia di dati che ci troviamo a trattare normalmente, basterà semplicemente:

1) Avere installato sulle proprie macchine un efficace antivirus, da tenere aggiornato;

2) Prevedere una robusta password di accesso ai computer di studio;

3) Mantenere aggiornati backup dei dati;

4) Conservare i backup fisici in luogo sicuro, diverso da quello in cui sono custoditi i dati in prima copia;

5) Usare autenticazione in due passaggi e password robuste per i dati in caso di dati conservati su un servizio cloud;

6) Raccogliere dati personali in rete solo attraverso pagine e sistemi con protocollo SSL o TLS.

INTERPRETAZIONE RESTRITTIVA

Il Titolare ed il Responsabile del trattamento dei Dati devono adottare ogni ragionevole precauzione per garantire la sicurezza dei dati, fra cui, se necessario:

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

REGISTRO DELLE ATTIVITÀ
La legge dice:
Articolo 30
Registri delle attività di trattamento

  1. 1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.

....(segue)

INTERPRETAZIONE ADATTIVA
L'articolo 30 specifica l'obbligo di tenere un registro dei responsabili e delle attività.
Ma si tratta (punto 5 dello stesso articolo 30) di un obbligo che non si applica alle strutture con meno di 250 dipendenti.
Lo stesso articolo 30, infatti, indica al punto 5:

  1. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

INTERPRETAZIONE RESTRITTIVA
Come indicato da Daniele De Paoli del Garante Privacy, durante la presentazione del Decreto a Bologna il 24 maggio 2018 (clicca qui per video), il punto 5 dell'articolo 30 non va inteso come "finestra" di non obbligatorietà del registro, che quindi va redatto e deve contenere:

  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1

ALTRE COSE DA SAPERE
Tempi di attuazione.
Evviva l'Italia!
La scadenza per l'entrata in vigore è stata il 25 maggio 2018, ma la legge di Delegazione Europea aveva dato tempo al Governo fino al 6 maggio 2018 (davvero!) per recepire la norma e fino al 21 maggio per definire le modalità attuative; come a dire che il Governo ha avuto quasi due anni (dal 27 aprile 2016) per recepire la norma, e i cittadini pochi giorni per districarsi fra le norme del Decreto e l'entrata in vigore.
Il tutto, senza decreto attuativo di adeguamento...

Perché, manco a dirlo, siccome il Governo non ha provveduto in tempo, la normativa precedente è scaduta, e quella nuova è entrata in vigore senza che venisse approvato il decreto di adeguamento, il che significa che per adesso siamo pienamente regolamentati direttamente dal Decreto europeo (che è in vigore), ma in assenza delle specifiche direttive nazionali di adeguamento.

L'articolo di legge che dava delega al Governo è l'articolo 13 della legge 25 ottobre 2017, n. 163; siccome la richiesta di pareri è stata presentata alle Commissioni con meno di 30 giorni di anticipo, il termine per attuare le deleghe legislative slitta di tre mesi, quindi va al 21 agosto 2018, cosi come previsto dall'articolo 31, comma 3, legge 234/2012.

La confusione sul concetto di Privacy in fotografia
Come se non bastasse, l’opinione pubblica è da sempre molto confusa (e disinformata) sul fumoso concetto di privacy, per cui spesso argomenti, adempimenti o leggende metropolitane si intrecciano fra loro, intricando inutilmente un settore già complesso del suo.
Abbiamo realizzato e posto a disposizione della comunità professionale uno strumento – snello e diretto – per “disambiguare” gli ambiti che vengono spesso fra loro confusi, genericamente richiamati da un non ben definito concetto di privacy.

Si tratta del mini-sito www.foto-privacy.com

Li si trovano riassuntivamente ed operativamente affrontati quattro diverse tematiche fra loro confuse:

1) Quali norme siano da conoscere ed applicare a proposito della privacy sulla pubblicazione dei ritratti:

  1. descrizione della norma generale.
  2. esempi di pubblicabilità o meno.

2) Quali indicazioni concrete emergano per il professionista fotografo dal nuovo RGPD europeo (Regolamento Generale di Protezione dei Dati)

3) Quali indicazioni concrete regolamentino la ripresa di edifici ed abitazioni, e quali siano le consuetudini d'uso al di là della lettera della norma

4) Cosa c'entri con la privacy e quali siano le indicazioni della cosiddetta "cookie law", che ha introdotto l'anacronistico e tutto sommato fastidioso alert sull'uso dei cookies.

Il tutto raccolto alla risorsa: www.foto-privacy.com

TAU Visual

www.italianphotographers.org
www.facebook.com/tauvisual

Data di pubblicazione: giugno 2018
© riproduzione riservata

Cerca su Osservatorio Digitale