📸 Privacy immagini: gestire foto e video a norma di GDPR

Nel 2001, il Garante per la protezione dei dati personali ha stabilito un principio fondamentale: le immagini che ritraggono persone identificabili sono a tutti gli effetti dati personali. Questo significa che fotografie e video sono soggetti alla normativa sulla privacy, indipendentemente dal fatto che vengano guardate o meno.

Da allora, il quadro normativo si è evoluto, in particolare con l’introduzione del GDPR (Regolamento Europeo 2016/679) sulla protezione dei dati. Tuttavia, il principio di base rimane valido: chi tratta foto con persone riconoscibili deve rispettare le regole in materia di privacy.

Ma come applicare queste norme nella pratica? 

Per chi lavora con le immagini, come nel web marketing o nei webinar, possono sorgere dubbi su come chiedere il consenso, per quanto tempo conservare le foto e quali diritti garantire alle persone ritratte.

Questa guida completa vuole essere un punto di riferimento per chiunque debba gestire foto in cui compaiono persone, spiegando in modo chiaro e pratico come farlo nel rispetto del GDPR. 

Che tu sia un marketer, un organizzatore di eventi online o semplicemente interessato a questo tema, qui troverai le risposte che cerchi. Perché tutelare la privacy delle persone nelle foto non è solo un obbligo di legge, ma anche una questione di rispetto. In fondo, a nessuno piacerebbe vedere la propria immagine usata senza consenso, vero?

Ora che abbiamo inquadrato il tema, possiamo passare ad analizzare come trattare le immagini in modo conforme al GDPR.

Le foto e i video come dati personali secondo la legge sulla privacy

Quando si parla di privacy, è fondamentale capire cosa si intende per “dato personale”. Secondo il GDPR, un dato personale è qualsiasi informazione che identifica o rende identificabile, direttamente o indirettamente, una persona fisica. Questa definizione abbraccia un’ampia gamma di informazioni, tra cui rientrano anche le fotografie.

Per avere maggiori dettagli in merito, e conoscere tutti i tipi di dati personali, ti invitiamo a leggere l’articolo “Quali sono i dati personali secondo il GDPR”. 

Perché le foto sono dati personali

Come ha sottolineato il Garante per la protezione dei dati personali nel provvedimento del 19 dicembre 2001, le immagini che ritraggono persone identificate o identificabili sono a tutti gli effetti dati personali. Ciò significa che, indipendentemente dal fatto che vengano effettivamente visionate o meno, le foto sono soggette alla normativa sulla privacy e devono essere trattate di conseguenza.

Questo principio ha delle conseguenze concrete per chiunque scatti, raccolga o utilizzi foto o video in cui compaiono persone riconoscibili. In primo luogo, sorge l’obbligo di informare gli interessati sul trattamento dei loro dati personali, specificando finalità, modalità e diritti esercitabili. Inoltre, è necessario adottare misure tecniche e organizzative adeguate a proteggere le immagini da accessi non autorizzati, perdite o alterazioni.

Quali rischi per la privacy delle foto

Va poi considerato che, in alcuni casi, le foto possono rivelare anche dati particolari o sensibili, come l’origine etnica, le convinzioni religiose o lo stato di salute di una persona. Si pensi ad esempio a immagini scattate durante una cerimonia religiosa o in un contesto medico. In queste situazioni, il trattamento è consentito solo in presenza di una base giuridica rafforzata, come il consenso esplicito dell’interessato o la necessità di tutelare un interesse vitale.

Insomma, le fotografie non sono semplici istantanee, ma dati che richiedono attenzione e cura nel loro trattamento. Solo avendo ben chiaro questo principio di partenza è possibile gestire le immagini in modo conforme alla normativa sulla privacy, rispettando i diritti delle persone ritratte.

Come raccogliere e conservare immagini in modo legale

Per poter trattare legittimamente le immagini, foto e video, in cui compaiono persone identificabili, è necessario basarsi su una delle condizioni di liceità previste dal GDPR.

Per poter utilizzare legalmente le foto e i video in cui compaiono persone riconoscibili, il GDPR richiede di avere una “base giuridica”, cioè una giustificazione legale. La base giuridica più comune è il consenso della persona interessata.

Cosa significa consenso? In parole semplici, la persona deve dire chiaramente “Sì, accetto che tu usi la mia immagine per quello scopo”. Il consenso deve essere:

• Libero: la persona deve poter scegliere senza pressioni
• Specifico: per ogni uso delle foto (es. pubblicità) serve un consenso apposito
• Informato: bisogna spiegare bene come saranno usate le immagini
• Inequivocabile: il consenso deve essere esplicito, con un’azione positiva (es. firmare un modulo, spuntare una casella)

Come si ottiene il consenso per le foto?

Di solito si usa una liberatoria, cioè un documento che spiega come saranno usate le immagini e chiede alla persona di accettare. La liberatoria può far parte dell’informativa sulla privacy (il documento che spiega tutti i trattamenti di dati) oppure essere un modulo separato. L’importante è che sia chiara e facile da capire.

Affinché la liberatoria sia valida, deve contenere alcune informazioni chiave:

• Identità del titolare del trattamento
• Finalità per cui le foto saranno utilizzate
• Eventuali destinatari delle immagini
• Diritti esercitabili dall’interessato (accesso, rettifica, cancellazione)

È poi buona prassi conservare le liberatorie per tutto il periodo in cui si utilizzano le relative immagini, in modo da poter dimostrare di aver raccolto correttamente il consenso.

Se vuoi approfondire l’argomento, leggi l’articolo specifico per le liberatorie.

Per quanto tempo conservare le immagini tutelate dal GDPR?

Su questo punto si è espresso il Garante per la protezione dei dati personali con il provvedimento n. 130 del 22 febbraio 2024. Secondo l’Autorità, la durata della conservazione delle immagini raccolte con liberatorie può essere stabilita dall’autonomia contrattuale dei privati, ai sensi dell’art. 1322 del Codice Civile. Ciò significa che le parti possono accordarsi sui tempi di retention, purché siano rispettati i principi di trasparenza e correttezza nel trattamento.

Tuttavia, questa autonomia contrattuale trova dei limiti nei diritti degli interessati, che devono sempre essere garantiti. In particolare, anche se la liberatoria prevede tempi di conservazione molto lunghi, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento e di chiedere la cancellazione delle proprie immagini. Inoltre, se le finalità per cui le foto erano state raccolte vengono meno, il titolare è tenuto a cancellarle anche prima della scadenza concordata.

Insomma, la raccolta e la conservazione delle immagini richiedono attenzione tanto nella fase iniziale, con la stesura di liberatorie chiare e complete, quanto nel corso del trattamento, per garantire il rispetto dei diritti degli interessati e dei principi di privacy by design e by default.

Per approfondire il tema, leggi l’articolo dedicato alla privacy by design.

Pubblicare foto online: regole e rischi privacy

Differenza tra uso interno e pubblicazione

Quando si tratta di immagini che ritraggono persone identificabili, bisogna distinguere tra uso interno e pubblicazione. L’uso interno si ha quando le foto e i video vengono utilizzati solo all’interno dell’organizzazione che li ha raccolti, ad esempio per documentare un evento o per finalità di formazione del personale. La pubblicazione, invece, si verifica quando le immagini vengono diffuse all’esterno, ad esempio attraverso il sito web aziendale, i canali social o le campagne pubblicitarie.

Come abbiamo già detto la pubblicazione di immagini personali richiede, salvo specifiche eccezioni, il consenso esplicito degli interessati. Infatti, la diffusione al pubblico rappresenta un trattamento ulteriore rispetto alla semplice raccolta e richiede quindi un’autonoma base giuridica. Il consenso per la pubblicazione deve essere libero, specifico, informato e inequivocabile, e deve essere richiesto attraverso un atto positivo e inequivocabile, come la sottoscrizione di un’apposita liberatoria.

Eccezioni al consenso e casi particolari

Ci sono alcune situazioni in cui il consenso potrebbe non essere necessario per la pubblicazione delle immagini:

• Foto di eventi pubblici: se le persone riprese non sono il soggetto principale dell’immagine ma compaiono solo sullo sfondo, il loro consenso potrebbe non essere richiesto.
• Personaggi pubblici o soggetti con cariche istituzionali: le loro immagini possono essere diffuse senza consenso se riguardano fatti o eventi di interesse pubblico, sempre nel rispetto dei principi di essenzialità dell’informazione e continenza espressiva.
• Motivi di interesse pubblico rilevante: in casi specifici, il trattamento può trovare base giuridica nell’art. 9.2.g) del GDPR, ad esempio per finalità di medicina preventiva o del lavoro, valutazione della capacità lavorativa, diagnosi, assistenza o terapia sanitaria.

Resta ferma, in ogni caso, la necessità di informare adeguatamente gli interessati e di rispettare i principi di privacy by design e by default.

Per le immagini di minori va fatto un doscorso a parte: è sempre necessario acquisire il consenso di entrambi i genitori o dei tutori legali, salvo rare eccezioni (es. per tutelare un interesse vitale del minore). La pubblicazione di foto/video di minori, inoltre, deve sempre tutelare la loro dignità ed evitare ogni forma di sfruttamento.

I rischi di pubblicare senza consenso

La pubblicazione non autorizzata di immagini altrui espone a rischi e responsabilità rilevanti:

• Sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo (art. 83 GDPR)
• Risarcimento danni patrimoniali e non (art. 82 GDPR)
• Nei casi più gravi, reclusione da 1 a 6 anni per trattamento illecito di dati (art. 167 Codice Privacy)

Come anonimizzare le immagini prima di pubblicare

Per ridurre i rischi legali e tutelare la privacy degli interessati, è spesso opportuno anonimizzare i soggetti ripresi prima di pubblicare le immagini. L’anonimizzazione, se correttamente applicata, fa venir meno l’identificabilità delle persone e quindi la necessità del loro consenso.

Tra le principali tecniche di anonimizzazione:

• Blurring (sfocatura) o pixeling (pixellazione) dei volti
• Uso di emoji o forme geometriche per coprire occhi e tratti identificativi
• Taglio dell’inquadratura per escludere i volti

Attenzione però: l’anonimizzazione deve essere irreversibile. Se i soggetti restano indirettamente identificabili, ad esempio da dettagli come un tatuaggio o una cicatrice, il loro consenso è ancora necessario.

Quindi prima di pubblicare qualsiasi immagine, è fondamentale verificare l’identificabilità dei soggetti ripresi e, se necessario, acquisire il loro consenso esplicito, a meno che non ricorra un’eccezione di legge. L’anonimizzazione, ove possibile, è comunque una buona prassi per ridurre i rischi e rispettare la privacy delle persone.

Privacy immagini per webinar ed eventi: dalla liberatoria alle best practice

Oggi, soprattutto dopo il Covid, webinar, conferenze online ed eventi di web marketing sono diventati sempre più frequenti. Spesso, in queste occasioni, vengono scattate fotografie ai partecipanti, registrati video, sia per documentare l’evento, che per utilizzarli a fini promozionali sui social media o sul sito web dell’organizzazione. Tuttavia, anche in questi contesti è fondamentale rispettare la privacy dei partecipanti e trattare le loro immagini in conformità al GDPR.

Informare e chiedere il consenso ai partecipanti

La prima buona pratica è informare i partecipanti, già nella fase di iscrizione all’evento, che saranno scattate fotografie e girati video, e che questi potranno essere utilizzate per determinati scopi. Questa informazione può essere inclusa nell’informativa privacy o in una sezione dedicata del modulo di registrazione. In questo modo, gli interessati saranno consapevoli fin da subito della raccolta dei loro dati personali.

Ancora meglio se, già in fase di iscrizione, si chiede ai partecipanti di prestare uno specifico consenso per l’utilizzo della loro immagine. La richiesta di consenso deve essere chiara, granulare e non preselezionata. Ad esempio, si possono presentare due caselle distinte: una per il consenso all’uso interno delle foto (es. documentazione dell’evento) e una per il consenso alla pubblicazione esterna (es. sui social media). Il partecipante deve poter selezionare liberamente solo le opzioni desiderate.

Regole per foto e riprese durante l’evento

Durante l’evento, è buona norma segnalare con appositi cartelli o avvisi che sono presenti fotografi e videomaker. Inoltre, si può chiedere ai partecipanti che non desiderano essere ripresi di segnalarlo al personale o di posizionarsi in una specifica area della sala. In questo modo, si rispetta il diritto all’autodeterminazione informativa e si evita di raccogliere immagini di persone che non vogliono essere fotografate.

Se l’evento prevede la possibilità per i partecipanti di intervenire attivamente (es. facendo domande dal vivo), è doveroso informarli prima dell’inizio delle registrazioni. Ad esempio, si può dire: “Ricordiamo che gli interventi dal pubblico saranno ripresi e inclusi nel video dell’evento che sarà poi pubblicato online”. Così facendo, chi non desidera essere ripreso può scegliere di non intervenire.

Gestire le immagini dopo l’evento nel rispetto del GDPR

Dopo l’evento, le immagini andranno utilizzate solo per le finalità indicate nell’informativa e per cui si è ottenuto il consenso. Prima di pubblicare foto e video, specialmente se destinati a canali social o YouTube, è consigliabile effettuare un controllo per verificare che non compaiano soggetti che non hanno fornito il consenso o che potrebbero risultare in situazioni imbarazzanti. Nel caso dei video, potrebbe essere necessario editarli per rimuovere o oscurare alcune parti.

Anche per le immagini raccolte durante eventi valgono i diritti degli interessati, come la possibilità di revocare il consenso e chiedere la cancellazione. In caso di richieste di rimozione, occorrerà eliminare tempestivamente le foto da ogni canale di pubblicazione, mentre per i video potrebbe essere necessario modificarli ed effettuare un nuovo upload.

Le 6 best practice da seguire sempre

1. Informativa privacy: fin dalla fase di iscrizione all’evento, è necessario informare i partecipanti che saranno raccolte immagini (foto e video) e specificare per quali finalità saranno utilizzate.
2. Consenso: è consigliabile chiedere ai partecipanti un consenso specifico per l’utilizzo delle loro immagini, prevedendo opzioni granulari (ad es. uso interno/pubblicazione esterna, foto/video).
3. Segnalazione: durante l’evento, bisogna indicare chiaramente la presenza di fotografi e videomaker e, se possibile, delimitare un’area in cui i partecipanti possono posizionarsi per non essere ripresi.
4. Riprese attive: se si prevede la possibilità per i partecipanti di intervenire attivamente (es. con domande o testimonianze), è doveroso informarli prima dell’inizio delle registrazioni.
5. Utilizzo: dopo l’evento, le immagini andranno utilizzate solo per le finalità dichiarate e per il tempo strettamente necessario.
6. Diritti degli interessati: bisogna sempre rispettare i diritti dei partecipanti, in particolare la possibilità di revocare il consenso e chiedere la cancellazione delle proprie immagini. In caso di richieste di rimozione, potrebbe essere necessario modificare foto e video ed effettuare un nuovo upload.

Cosa fare per la privacy delle immagini nella tua azienda

Per molte attività, dalle agenzie di comunicazione ai fotografi, dagli organizzatori di eventi alle aziende che fanno marketing, poter utilizzare liberamente foto e video delle persone è essenziale per promuovere il proprio brand e i propri servizi. Tuttavia, gestire in autonomia tutti gli adempimenti privacy richiesti può essere complesso, specialmente senza un team legale specializzato.

È qui che entra in gioco Legal for Digital. Aiutare aziende e professionisti a trattare foto e video in modo conforme al GDPR, ma anche eticamente corretto e rispettoso delle persone, è uno dei nostri servizi chiave.

Forti della nostra esperienza, possiamo supportarti nell’impostare una gestione delle immagini che, oltre a minimizzare i rischi legali, valorizzi la tua reputazione e la fiducia dei tuoi interlocutori. Lavoreremo insieme per trovare il giusto equilibrio tra le tue esigenze di business e la tutela della privacy delle persone, sviluppando soluzioni su misura per il tuo contesto.

Scegliendo Legal for Digital per la gestione delle immagini nella tua attività, avrai accesso a:

• Consulenza specialistica GDPR per foto e video, cucita sulle esigenze specifiche del tuo business;
• Liberatorie e informative privacy;
• Assistenza nell’implementazione di misure di sicurezza adeguate per proteggere gli archivi di foto e video;
• Formazione pratica per te e i tuoi dipendenti su come raccogliere, utilizzare e pubblicare le immagini nel rispetto della privacy;
• Supporto nella gestione delle richieste di esercizio dei diritti da parte degli interessati (accesso, rettifica, cancellazione, opposizione);
• Consulenza nella valutazione d’impatto privacy (DPIA) per i progetti che comportano il trattamento di immagini su larga scala.

Affidandoti al nostro studio, avrai al tuo fianco un partner che sa coniugare diritto e innovazione, con il giusto equilibrio tra precisione legale e pragmatismo, per supportare al meglio i tuoi obiettivi di business. Trattando le immagini in modo corretto e trasparente, potrai rafforzare la reputazione del tuo brand e instaurare un rapporto di fiducia duraturo con tutti i tuoi interlocutori.

Domande frequenti su privacy e immagini