Q: ¿Si contrato a un fotógrafo para mi empresa, de verdad debo preocuparme por el RGPD?
"Sí. Si las personas pueden ser reconocidas en las fotos, son datos personales. Eso significa que necesitas un contrato claro (con reglas de RGPD, no solo derechos de autor), o podrías enfrentarte a multas y perder el control de tus imágenes."
Francesco Cattaneo
Cuando una sesión de fotos se convierte en tratamiento de datos
Contratar a un fotógrafo parece una decisión creativa. Pero el resultado no son solo imágenes, sino datos. Empleados, clientes, incluso figuras desenfocadas al fondo cuentan como datos personales bajo el RGPD si son identificables. Cada sesión fotográfica es, por tanto, un acto de tratamiento de datos, con obligaciones legales que no puedes eludir.
Quién decide qué: Responsable vs. Encargado
La línea es clara. Tu empresa es el responsable del tratamiento, porque decide cómo y por qué se usarán las fotos (web, LinkedIn o un folleto corporativo). El fotógrafo es el encargado del tratamiento: captura, edita, almacena y entrega solo bajo tus instrucciones. El artículo 28 del RGPD exige que esa relación se formalice mediante un Acuerdo de Encargado de Tratamiento (DPA).
Los pasos invisibles que cuentan como tratamiento
Los fotógrafos hacen más que apretar el obturador. Retoque, recorte, almacenamiento en discos locales o en la nube, y el uso de herramientas de transferencia para entregar el resultado. Cada paso procesa datos personales, independientemente de la intención artística.
El DPA que no puedes omitir
Cualquier contrato con un fotógrafo que implique personas identificables debe incluir cláusulas de DPA o adjuntar un DPA independiente. Un DPA serio define:
- Alcance y finalidad: desde la sesión hasta la edición y la entrega.
- Estándares de seguridad: almacenamiento, cifrado, plazos de eliminación.
- Subencargados: proveedores en la nube, retocadores freelance.
- Fin del encargo: eliminación o devolución de todos los datos.
Los riesgos de ignorarlo
El DPA no es un trámite por sí mismo. Sin él, expones a tu empresa a multas regulatorias, daños a la reputación y una pérdida de control sobre dónde circulan las fotos.
| Área de riesgo | Si se ignora | Impacto en pymes |
|---|---|---|
| Sin DPA | Tratamiento ilícito bajo art. 28 | Multas regulatorias; daño reputacional |
| Sin reglas de eliminación | Fotos permanecen indefinidamente | Incumplimiento de plazos; pérdida de control |
| Subencargados ocultos | Flujo de datos poco claro | Responsabilidad si un tercero usa mal las imágenes |
| Solo cláusulas de copyright, sin datos | Contrato incompleto | Doble exposición: copyright + riesgo RGPD |
Dos contratos en uno: Copyright y RGPD
Todo fotógrafo contratado lleva dos sombreros: artista y encargado del tratamiento. Las cláusulas de derechos de autor no cubren tu exposición. El contrato debe verse como una capa doble: por un lado, los derechos de propiedad intelectual; por otro, las obligaciones RGPD.
Ir un paso adelante
La fotografía es arte, pero también cumplimiento normativo. Ignorar esta segunda parte es jugar con multas y con la confianza. Combina cláusulas de copyright con un DPA conforme al RGPD, y protegerás no solo la creatividad, sino también a tu empresa.
Lista rápida para pymes
- Identifica los datos personales en cada sesión.
- Adjunta un DPA al contrato.
- Define reglas de almacenamiento, transferencia y eliminación.
- Aprueba o rechaza cualquier subencargado.
- Nunca separes derechos de autor de deberes RGPD.
Head of Compliance and Legal Department
Francesco Cattaneo es el Jefe de Legal y Cumplimiento en XTROVERSO™. Abogado italiano calificado y experto en privacidad certificado por CIPP/E, conecta el derecho civil, la regulación digital y la gobernanza estratégica. Su escritura desafía la falsa división entre la ley y la innovación, mostrando cómo las reglas claras, cuando están bien elaboradas, no son límites, sino instrumentos de libertad, protección y diseño a largo plazo.
