D: Se ingaggio un fotografo per la mia azienda, devo davvero preoccuparmi del GDPR?
"Sì. Se nelle foto le persone sono riconoscibili, si tratta di dati personali. Questo significa che serve un contratto chiaro (con clausole GDPR, non solo sul copyright), altrimenti rischi multe e di perdere il controllo delle immagini."
Francesco Cattaneo
Quando uno shooting diventa trattamento di dati
Assumere un fotografo sembra una scelta creativa. Ma il risultato non sono solo immagini: sono dati. Dipendenti, clienti, perfino figure sfocate sullo sfondo contano come dati personali ai sensi del GDPR, se possono essere identificati. Ogni shooting è quindi un atto di trattamento dati, con obblighi legali a cui non puoi sottrarti.
Chi decide cosa: Titolare vs. Responsabile
La linea è chiara. La tua azienda è il Titolare, perché decide come e perché le foto verranno usate (sito web, LinkedIn, brochure). Il fotografo è il Responsabile: scatta, modifica, archivia e consegna solo seguendo le tue istruzioni. L’articolo 28 GDPR richiede che questo rapporto sia formalizzato in un Data Processing Agreement (DPA).
I passaggi invisibili che contano come trattamento
I fotografi non si limitano a premere un pulsante. Ritoccano, ritagliano, archiviano file su dischi locali o nel cloud e usano strumenti di trasferimento per consegnare i risultati. Ogni fase è trattamento di dati personali, indipendentemente dall’intento artistico.
Il DPA che non puoi saltare
Qualsiasi contratto con un fotografo che ritragga persone identificabili deve includere clausole DPA o avere un DPA separato in allegato. Un DPA serio definisce:
- Ambito e finalità: dallo shooting al montaggio fino alla consegna.
- Standard di sicurezza: archiviazione, crittografia, tempi di cancellazione.
- Sub-responsabili: cloud provider, ritoccatori freelance.
- Fine dell’incarico: cancellazione o restituzione dei dati.
I rischi di ignorarlo
Il DPA non è burocrazia inutile. Senza, esponi la tua azienda a sanzioni, danni reputazionali e perdita di controllo sulla circolazione delle foto.
| Area di rischio | Se ignorata | Impatto sulle PMI |
|---|---|---|
| Nessun DPA | Trattamento illecito ex art. 28 | Sanzioni; danno reputazionale |
| Nessuna regola di cancellazione | Foto conservate a tempo indeterminato | Violazione dei limiti di storage; perdita di controllo |
| Sub-responsabili nascosti | Flusso dati non chiaro | Responsabilità se un terzo abusa delle immagini |
| Solo copyright, nessuna clausola GDPR | Contratto incompleto | Doppia esposizione: copyright + rischio GDPR |
Due contratti in uno: Copyright e GDPR
Ogni fotografo che assumi indossa due cappelli: artista e responsabile del trattamento. Le sole clausole sul copyright non coprono i rischi. Devi trattare il contratto come stratificato: diritti d’autore da una parte, obblighi GDPR dall’altra.
Restare un passo avanti
La fotografia è arte, ma anche compliance. Ignorare la seconda metà significa giocare d’azzardo con multe e fiducia. Solo combinando clausole sul copyright e un DPA conforme al GDPR proteggi sia la creatività sia il tuo business.
Checklist rapida per le PMI
- Identifica i dati personali in ogni shooting.
- Allega un DPA al contratto.
- Definisci regole di archiviazione, trasferimento e cancellazione.
- Approva o rifiuta i sub-responsabili.
- Non separare mai copyright e obblighi GDPR.
Head of Compliance and Legal Department
Francesco Cattaneo è il Responsabile Legale e Compliance di XTROVERSO™. Avvocato italiano qualificato e esperto di privacy certificato CIPP/E, collega il diritto civile, la regolamentazione digitale e la governance strategica. La sua scrittura sfida la falsa divisione tra diritto e innovazione, dimostrando come regole chiare, se ben formulate, non siano limiti ma strumenti di libertà, protezione e progettazione a lungo termine.
