Diretrizes 07_2020 sobre os conceitos de controlador e processador no GDPR Versão 1 0

Prévia do material em texto

14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 1/44
Página 1
Adotada - versão para consulta pública 1
Diretrizes 07/2020 sobre os conceitos de controlador e
processador no GDPR
Versão 1.0
Adotado em 02 de setembro de 2020
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 2/44
Página 2
Adotada - versão para consulta pública 2
Página 3
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 3/44
Adotada - versão para consulta pública 3
SUMÁRIO EXECUTIVO
Os conceitos de controlador, controlador conjunto e processador desempenham um papel crucial na aplicação do
Regulamento Geral de Proteção de Dados 2016/679 (GDPR), uma vez que determinam quem será o responsável
para o cumprimento das diferentes regras de proteção de dados e como os titulares dos dados podem exercer seus direitos
prática. O significado preciso desses conceitos e os critérios para sua correta interpretação devem
ser suficientemente claro e consistente em todo o Espaço Económico Europeu (EEE).
Os conceitos de controlador, controlador conjunto e processador são conceitos funcionais na medida em que visam
alocar responsabilidades de acordo com as funções reais das partes e conceitos autônomos no
sentido que devem ser interpretados principalmente de acordo com a legislação da UE em matéria de proteção de dados.
Controlador
Em princípio, não há limitação quanto ao tipo de entidade que pode assumir a função de controlador, mas
na prática, geralmente é a organização como tal, e não um indivíduo dentro da organização (como
o CEO, um funcionário ou membro do conselho), que atua como controlador.
Um controlador é um corpo que decide certos elementos-chave do processamento. Controladoria pode ser
definido por lei ou pode resultar da análise de elementos de fato ou circunstâncias do caso.
Certas atividades de processamento podem ser vistas como naturalmente ligadas ao papel de uma entidade (um empregador para
funcionários, um editor para assinantes ou uma associação para seus membros). Em muitos casos, os termos de
um contrato pode ajudar a identificar o controlador, embora não sejam decisivos em todas as circunstâncias.
Um controlador determina os objetivos e meios do processamento, ou seja, o porquê e como do
em processamento. O controlador deve decidir sobre os objetivos e os meios. No entanto, alguns mais práticos
aspectos de implementação (“meios não essenciais”) podem ser deixados para o processador. Não é necessário
se o controlador realmente tem acesso aos dados que estão sendo processados para ser qualificado como controlador.
Controladores conjuntos
A qualificação como controladores conjuntos pode surgir quando mais de um ator está envolvido no processamento.
O GDPR apresenta regras específicas para controladores conjuntos e define uma estrutura para governar seus
relação. O critério geral para a existência de controladoria conjunta é a participação conjunta de dois
ou mais entidades na determinação dos propósitos e meios de uma operação de processamento. Junta
a participação pode assumir a forma de decisão comum tomada por duas ou mais entidades ou resultar de
decisões convergentes por duas ou mais entidades, onde as decisões se complementam e são
necessário para que o processamento ocorra de tal maneira que tenham um impacto tangível no
determinação das finalidades e meios de processamento. Um critério importante é que o
o processamento não seria possível sem a participação de ambas as partes, no sentido de que o processamento
por cada parte é inseparável, ou seja, inextricavelmente ligada. A participação conjunta deve incluir o
determinação dos fins, por um lado, e determinação dos meios, por outro.
Processador
Processador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa
dados pessoais em nome do responsável pelo tratamento. Existem duas condições básicas para se qualificar como processador: que
é uma entidade separada em relação ao controlador e que processa dados pessoais no controlador
lado.
O processador não deve processar os dados senão de acordo com as instruções do controlador. o
as instruções do controlador ainda podem deixar um certo grau de discrição sobre como melhor servir o
Página 4
interesses do controlador, permitindo ao processador escolher o técnico e organizacional mais adequado
significa. Um processador infringe o GDPR, no entanto, se for além das instruções do controlador e
começa a determinar seus próprios fins e meios de processamento. O processador então será
considerado um controlador em relação a esse processamento e pode estar sujeito a sanções por ir além
as instruções do controlador.
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 4/44
Adotada - versão para consulta pública 4
Relação entre controlador e processador
Um controlador deve usar apenas processadores que forneçam garantias suficientes para implementar as
medidas técnicas e organizacionais para que o processamento atenda aos requisitos do GDPR.
Os elementos a serem levados em consideração podem ser o conhecimento especializado do processador (por exemplo, especialização técnica
no que diz respeito a medidas de segurança e violações de dados); a confiabilidade do processador; do processador
recursos e a adesão do processador a um código de conduta aprovado ou mecanismo de certificação.
Qualquer processamento de dados pessoais por um processador deve ser regido por um contrato ou outro ato legal que
deve ser feito por escrito, inclusive em formato eletrônico, e ser vinculativo. O controlador e o processador podem
optar por negociar seu próprio contrato incluindo todos os elementos obrigatórios ou por confiar, no todo ou em
parte, em cláusulas contratuais padrão.
O GDPR lista os elementos que devem ser definidos no acordo de processamento. O processamento
o acordo não deve, entretanto, apenas reafirmar as disposições do GDPR; em vez disso, deve incluir
informações mais específicas e concretas sobre como os requisitos serão atendidos e qual nível de segurança
é necessário para o processamento de dados pessoais que é o objeto do acordo de processamento.
Relacionamento entre controladores conjuntos
Os controladores conjuntos devem, de maneira transparente, determinar e concordar com suas respectivas responsabilidades
para o cumprimento das obrigações do GDPR. A determinação de seus respectivos
responsabilidades devem, em particular, considerar o exercício dos direitos dos titulares dos dados e os deveres de fornecer
em formação. Além disso, a distribuição de responsabilidades deve abranger outros controladores
obrigações, como em relação aos princípios gerais de proteção de dados, base jurídica, medidas de segurança,
obrigação de notificação de violação de dados, avaliações de impacto de proteção de dados, o uso de processadores, terceiros
transferências de país e contactos com titulares de dados e autoridades de supervisão.
Cada controlador conjunto tem o dever de garantir que possui uma base jurídica para o tratamento e que o
os dados não são processados de maneira incompatível com os fins para os quais foram
originalmente coletados pelo controlador que compartilha os dados.
A forma jurídica do acordo entre controladores conjuntos não é especificada pelo GDPR. Pelo bem
de segurança jurídica, e de forma a proporcionar transparência e responsabilização, o EDPB recomenda
que tal acordo seja feito na forma de um documento vinculativo, como um contrato ou outro
ato vinculativo ao abrigo da legislação da UE ou dos Estados-Membros a que os responsáveis pelo tratamento estão sujeitos.
O acordo deve refletir devidamente os respectivos papéis e relações dos controladores conjuntosvis-à-
em relação ao titular dos dados e a essência do acordo devem ser disponibilizados ao titular dos dados.
Independentemente dos termos do acordo, os titulares dos dados podem exercer os seus direitos em relação a e
contra cada um dos controladores conjuntos. As autoridades de supervisão não estão vinculadas aos termos do
acordo seja sobre a questão da qualificação das partes como controladores conjuntos ou o
ponto de contato designado.
Página 5
Índice
SUMÁRIO EXECUTIVO................................................ .................................................. .... 3
INTRODUÇÃO ................................................. .................................................. ............. 7
PARTE I - CONCEITOS .............................................. .................................................. ........... 8
1 OBSERVAÇÕES GERAIS ................................................ ............................................... 8
2 DEFINIÇÃO DO CONTROLADOR ............................................... ........................................... 9
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 5/44
Adotada - versão para consulta pública 5
2.1 Definição de controlador .............................................. .................................................. .................... 9
2.1.1 “Pessoa física ou jurídica, autoridade pública, agência ou outro órgão” .................................... ... 10
2.1.2 “Determina” ............................................... .................................................. ........................ 10
2.1.3 “Sozinho ou em conjunto com outros” ........................................... .................................................. ... 12
2.1.4 “Finalidades e meios” ............................................. .................................................. ........... 13
2.1.5 “Do tratamento de dados pessoais” .......................................... .......................................... 15
3DEFINIÇÃO DE CONTROLADORES DE JUNTA .............................................. ............................... 16
3.1 Definição de controladores conjuntos ............................................. .................................................. ......... 16
3.2 Existência de controladoria conjunta ............................................. .................................................. ..... 17
3.2.1 Considerações gerais ................................................ .................................................. ........ 17
3.2.2 Avaliação da participação conjunta .............................................. ............................................ 18
4 DEFINIÇÃO DO PROCESSADOR ............................................... ........................................... 24
5 DEFINIÇÃO DE TERCEIRO / DESTINATÁRIO ............................................ ........................... 27
PARTE II - CONSEQUÊNCIAS DA ATRIBUIÇÃO DE DIFERENTES PAPÉIS ........................................ 29
1 RELAÇÃO ENTRE CONTROLADOR E PROCESSADOR ............................................. 29
1.1 Escolha do processador ............................................. .................................................. .................. 29
1.2 Forma do contrato ou outro ato legal ......................................... ................................................ 30
1.3 Conteúdo do contrato ou outro ato legal ......................................... ........................................... 32
1.3.1 O processador só deve processar os dados de acordo com as instruções documentadas do controlador (art.
28 (3) (a) GDPR) ......................................... .................................................. ............................ 34
1.3.2 O processador deve garantir que as pessoas autorizadas a processar os dados pessoais tenham
comprometeram-se com a confidencialidade ou estão sob uma obrigação legal apropriada de
confidencialidade (Art. 28 (3) (b) GDPR) ..................................... ................................................. 35
1.3.3 O transformador deve tomar todas as medidas exigidas nos termos do artigo 32 (Art. 28 (3) (c)
GDPR) ................................................ .................................................. ................................... 35
1.3.4 O transformador deve respeitar as condições referidas no Artigo 28 (2) e 28 (4) para contratar
outro processador (Art. 28 (3) (d) GDPR) .................................... ............................................. 36
Página 6
1.3.5 O processador deve auxiliar o controlador para o cumprimento de sua obrigação de responder
pedidos de exercício dos direitos do titular dos dados (artigo 28.º, n.º 3, alínea e), do RGPD) . ............................ 36
1.3.6 O processador deve ajudar o controlador a garantir o cumprimento das obrigações
nos termos dos artigos 32.º a 36.º (artigo 28.º, n.º 3, alínea f), do GDPR) . .................................................. .............. 37
1.3.7 Ao término das atividades de processamento, o processador deve, à escolha do
controlador, exclua ou devolva todos os dados pessoais ao controlador e exclua as cópias existentes
(Art. 28 (3) (g) GDPR) ...................................... .................................................. ....................... 38
1.3.8 O processador deve disponibilizar ao controlador todas as informações necessárias para
demonstrar o cumprimento das obrigações estabelecidas no artigo 28 e permitir e
contribuir para auditorias, incluindo inspeções, conduzidas pelo controlador ou outro auditor
mandatada pelo controlador (Art. 28 (3) (h) GDPR). .................................................. ............... 38
1.4 Instruções que infringem a lei de proteção de dados ............................................ ....................................... 38
1.5 Finalidades de determinação do processador e meios de processamento .......................................... ............... 39
1.6 Subprocessadores .............................................. .................................................. .............................. 39
Ê
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 6/44
Adotada - versão para consulta pública 6
2 CONSEQUÊNCIAS DE CONTROLE CONJUNTO .............................................. .................. 40
2.1 Determinar de forma transparente as respectivas responsabilidades dos controladores conjuntos para
conformidade com as obrigações do GDPR ........................................... ..................................... 40
2.2 A atribuição de responsabilidades deve ser feita por meio de um acordo ................................. 42
2.2.1 Forma do acordo .............................................. .................................................. ...... 42
2.2.2. Obrigações para com os titulares dos dados .............................................. .......................................... 43
2.3 Obrigações para com as autoridades de proteção de dados ............................................ .............................. 45
Página 7
O Conselho Europeu de Proteção de Dados
Tendo em conta o artigo 70.º, n.º 1, do Regulamento 2016/679 / UE do Parlamento Europeu e do
Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao tratamento de pessoas
dados e sobre a livre circulação de tais dados, e revogando a Diretiva 95/46 / CE, (doravante "RGPD"
ou "o Regulamento"),
Tendo em conta o Acordo EEE e, em particular, o Anexo XI e o Protocolo 37 do mesmo, conforme alterado
pela Decisão do Comité Misto do EEE n.º 154/2018, de 6 de julho de 2018 1 ,
Tendo em conta os artigos 12 e 22 de seu Regulamento,
Considerando que o trabalhopreparatório dessas diretrizes envolveu a coleta de informações das partes interessadas,
tanto por escrito quanto em um evento para as partes interessadas, a fim de identificar os desafios mais urgentes;
ADOTOU AS SEGUINTES DIRETRIZES
INTRODUÇÃO
1 Este documento visa fornecer orientação sobre os conceitos de controlador e processador com base no
As regras do RGPD sobre as definições do artigo 4.º e as disposições sobre as obrigações do capítulo IV. O objetivo principal é
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 7/44
Adotada - versão para consulta pública 7
para esclarecer o significado dos conceitos e para esclarecer os diferentes papéis e a distribuição de
responsabilidades entre esses atores.
2 O conceito de controlador e sua interação com o conceito de processador desempenham um papel crucial no
aplicação do GDPR, uma vez que determinam quem será responsável pelo cumprimento de diferentes
regras de proteção de dados e como os titulares dos dados podem exercer os seus direitos na prática. O GDPR explicitamente
introduz o princípio de responsabilidade, ou seja, o controlador deve ser responsável por, e ser capaz de
demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais previstos no artigo 5.
Além disso, o GDPR também introduz regras mais específicas sobre o uso de processador (es) e alguns dos
as disposições sobre o processamento de dados pessoais são dirigidas - não apenas aos controladores - mas também aos processadores.
3 - Portanto, é de suma importância que o significado preciso desses conceitos e dos critérios
para a sua correta utilização são suficientemente claros e partilhados na União Europeia e no EEE.
4 - O Grupo de Trabalho do Artigo 29 emitiu orientações sobre os conceitos de controlador / processador em seu parecer
1/2010 (WP169) 2 , a fim de fornecer esclarecimentos e exemplos concretos a respeito destes
conceitos. Desde a entrada em vigor do GDPR, muitas questões foram levantadas sobre o que
extensão o GDPR trouxe mudanças aos conceitos de controlador e processador e seus respectivos
papéis. Foram levantadas questões em particular quanto à substância e implicações do conceito de articulação
controladoria (por exemplo, conforme estabelecido no Artigo 26 do RGPD) e às obrigações específicas para os processadores estabelecidas
estabelecidas no Capítulo IV (por exemplo, conforme estabelecido no Artigo 28 do RGPD). Portanto, e como a EDPB reconhece que
a aplicação concreta dos conceitos carece de maior clarificação, o EDPB agora considera necessário
1 As referências a "Estados-Membros" feitas ao longo deste documento devem ser entendidas como referências a "EEA
Estados-Membros ”.
2 Artigo 29.º Parecer do Grupo de Trabalho 1/2010 sobre os conceitos de "controlador" e "processador", adotado em 16
Fevereiro de 2010, 264/10 / EN, WP 169
Página 8
para dar orientações mais desenvolvidas e específicas, a fim de garantir uma consistente e harmonizada
abordagem em toda a UE e EEE. As presentes diretrizes substituem a opinião anterior de
Grupo de Trabalho 29 sobre estes conceitos (WP169).
5 Na parte I, essas diretrizes discutem as definições dos diferentes conceitos de controlador,
controladores, processador e terceiros / destinatários. Na parte II, são fornecidas mais orientações sobre o
consequências que estão associadas às diferentes funções de controlador, controladores conjuntos e processador.
PARTE I - CONCEITOS
1 OBSERVAÇÕES GERAIS
6 O GDPR, no Artigo 5 (2), introduz explicitamente o princípio da responsabilidade, o que significa que:
- o responsável pelo tratamento é responsável pelo cumprimento dos princípios enunciados no artigo 5.º, n.º 1
GDPR; e essa
- o responsável pelo tratamento deve ser capaz de demonstrar o cumprimento dos princípios enunciados no artigo 5.º, n.º 1
GDPR.
Este princípio foi descrito em um parecer pelo Artigo 29 WP 3 e não será discutido em detalhes
aqui.
7 O objetivo de incorporar o princípio de responsabilidade ao RGPD e torná-lo um princípio central
foi enfatizar que os controladores de dados devem implementar medidas adequadas e eficazes e ser
capaz de demonstrar conformidade. 4
8 O princípio da responsabilidade foi elaborado mais detalhadamente no Artigo 24, que afirma que o controlador
deve implementar medidas técnicas e organizacionais adequadas para garantir e ser capaz de
demonstrar que o processamento é realizado de acordo com o GDPR. Tais medidas devem ser
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 8/44
Adotada - versão para consulta pública 8
revisado e atualizado, se necessário. O princípio da responsabilidade também se reflete no Artigo 28, queestabelece as obrigações do controlador ao contratar um processador.
9 O princípio da responsabilidade é dirigido diretamente ao controlador. No entanto, alguns dos mais específicos
regras são dirigidas a controladores e processadores, tais como as regras sobre autoridades de supervisão '
poderes do artigo 58. Tanto controladores quanto processadores podem ser multados em caso de não cumprimento do
obrigações do GDPR que são relevantes para eles e ambos são diretamente responsáveis perante
autoridades de supervisão em virtude das obrigações de manter e fornecer
documentação mediante solicitação, cooperar em caso de investigação e acatar
pedidos. Ao mesmo tempo, deve-se lembrar que os processadores devem sempre cumprir e agir apenas
ligado, as instruções do controlador.
10 O princípio da responsabilização, juntamente com as demais regras mais específicas sobre como cumprir o
O GDPR e a distribuição de responsabilidades, portanto, torna necessário definir as diferentes funções
de vários atores envolvidos em uma atividade de processamento de dados pessoais.
3 Parecer do Grupo de Trabalho do artigo 29.º 3/2010 sobre o princípio da responsabilidade, adotado em 13 de julho de 2010,
00062/10 / EN WP 173.
4 Considerando 74 GDPR
Página 9
11 Uma observação geral sobre os conceitos de controlador e processador no GDPR é que eles têm
não foi alterado em comparação com a Diretiva 95/46 / CE e que, em geral, os critérios de como atribuir o
papéis diferentes permanecem os mesmos.
12 Os conceitos de controlador e processador são conceitos funcionais : eles visam alocar responsabilidades
de acordo com os papéis reais das partes. 5 Isso implica que o status legal de um ator como um
“Controlador” ou “processador” deve, em princípio, ser determinado por suas atividades reais em um determinado
situação, ao invés da designação formal de um ator como sendo um "controlador" ou
“Processador” (por exemplo, em um contrato). 6
13 Os conceitos de controlador e processador também são conceitos autônomos no sentido de que, embora
fontes externas legais podem ajudar a identificar quem é um controlador, deve ser interpretado principalmente de acordo com
conformidade com a legislação da UE em matéria de proteção de dados. O conceito de controlador não deve ser prejudicado por outros - às vezes
colidindo ou sobrepondo-se - conceitos em outras áreas do direito, como o criador ou o titular do direito em
direitos de propriedade intelectual ou direito da concorrência.
14 Como o objetivo subjacente de atribuir a função de controlador é garantir a responsabilidade e o
proteção efetiva e abrangente dos dados pessoais, o conceito de 'controlador' deve ser
interpretado de uma forma suficientemente ampla para garantir o pleno efeito da legislação de proteção de dados da UE, para evitar
lacunas e prevenir possíveis contornos das regras.
2 DEFINIÇÃO DE CONTROLADOR
2.1 Definição de controlador
15 Um controlador é definido pelo Artigo 4 (7) GDPR como
“A pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto
com outros , determina as finalidades e meios de tratamento de dados pessoais ; onde o
fins e meios de tal tratamento são determinadospela legislação da União ou dos Estados-Membros, o
controlador ou os critérios específicos para sua nomeação podem ser fornecidos pela União ou Membro
Lei estadual ” .
16 A definição de controlador contém cinco blocos de construção principais, que serão analisados separadamente para
os objetivos destas Diretrizes. Eles são os seguintes:
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 9/44
Adotada - versão para consulta pública 9
▪ “a pessoa física ou jurídica, autoridade pública, agência ou outro órgão”
▪ “determina”
▪ “sozinho ou em conjunto com outros”
▪ “os fins e meios”
▪ “do tratamento de dados pessoais”.
5 Parecer do Grupo de Trabalho do Artigo 29.º 1/2010, WP 169, p. 9
6 Ver também as conclusões do advogado-geral Mengozzi, nas testemunhas de Jeová , C-25/17, ECLI: EU: C: 2018: 57,
n. ° 68 (“ Para efeitos de determinação do 'controlador' na aceção da Diretiva 95/46, sou
inclinado a considerar [...] que o formalismo excessivo tornaria mais fácil contornar as disposições da diretiva
95/46 e que, por conseguinte, é necessário recorrer a uma análise mais factual do que formal […]. ”)
Página 10
2.1.1 “Pessoa física ou jurídica, autoridade pública, agência ou outro órgão”
17 O primeiro bloco de construção está relacionado ao tipo de entidade que pode ser um controlador. Sob o GDPR, um
o controlador pode ser “ uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão ”. Isso significa que,
em princípio, não há limitação quanto ao tipo de entidade que pode assumir a função de controlador. isto
pode ser uma organização, mas também pode ser um indivíduo ou um grupo de indivíduos. 7 Na prática,
no entanto, geralmente é a organização como tal, e não um indivíduo dentro da organização (como
o CEO, um funcionário ou um membro do conselho), que atua como um controlador na acepção do
GDPR. No que diz respeito ao processamento de dados dentro de um grupo de empresas, atenção especial deve ser dada
à questão de saber se um estabelecimento atua como controlador ou processador, por exemplo, ao processar
dados em nome da empresa-mãe.
18 Às vezes, empresas e órgãos públicos nomeiam uma pessoa específica responsável pela implementação
das operações de processamento. Mesmo se uma pessoa física específica for nomeada para garantir o cumprimento
regras de proteção de dados, esta pessoa não será o controlador, mas agirá em nome da pessoa jurídica
(empresa ou órgão público) que será o responsável final em caso de violação das regras em
sua capacidade de controlador.
2.1.2 “Determina”
19 O segundo bloco de construção do conceito de controlador refere-se à influência do controlador sobre o
processamento, em virtude do exercício do poder de decisão . Um controlador é um corpo que decide
certos elementos-chave sobre o processamento. Essa controladoria pode ser definida por lei ou pode ter origem
a partir de uma análise dos elementos factuais ou circunstâncias do caso. Deve-se olhar para o específico
operações de processamento em questão e entender quem as determina, considerando primeiro o
seguintes perguntas: " por que esse processamento está ocorrendo ?" e “ quem decidiu que o processamento
deve ocorrer para um propósito específico? ” .
Circunstâncias que dão origem ao controle
20 Tendo dito que o conceito de controlador é um conceito funcional, é, portanto, baseado em um conceito factual
em vez de uma análise formal . Para facilitar a análise, certas regras práticas e práticas
presunções podem ser usadas para orientar e simplificar o processo. Na maioria das situações, o "determinante
corpo "pode ser facilmente e claramente identificado por referência a certas circunstâncias legais e / ou factuais
da qual normalmente se pode inferir “influência”, a menos que outros elementos indiquem o contrário. Dois
podem ser distinguidas categorias de situações: (1) controle decorrente de dispositivos legais ; e (2)
controle decorrente de influência factual .
1) Controle decorrente de dispositivos legais
21 Há casos em que o controle pode ser inferido da competência legal explícita, por exemplo, quando o controlador
ou os critérios específicos para a sua nomeação são determinados pela legislação nacional ou da União. Na verdade, o Artigo 4 (7)
afirma que " quando os fins e meios de tal processamento são determinados pela União ou Membro
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 10/44
Adotada - versão para consulta pública 10
A legislação estadual, o controlador ou os critérios específicos para sua nomeação podem ser previstos pela União ou
Legislação dos Estados-Membros. "Onde o controlador for especificamente identificado por lei, ele será
determinante para estabelecer quem está atuando como controlador. Isso pressupõe que o legislador tenha
designada como controladora a entidade com capacidade genuína de exercer controle. Em alguns países, o
7 Por exemplo, no seu julgamento nas testemunhas de Jeová , C-25/17, ECLI: EU: C: 2018: 551, parágrafo 75, o TJUE
considerou que uma comunidade religiosa de testemunhas de Jeová atuou como um controlador, juntamente com seu indivíduo
membros. Julgamento nas testemunhas de Jeová , C-25/17, ECLI: EU: C: 2018: 551, parágrafo 75.
Página 11
a legislação nacional estabelece que as autoridades públicas são responsáveis pelo processamento de dados pessoais no
contexto das suas funções.
22 No entanto, mais comumente, ao invés de nomear diretamente o controlador ou estabelecer os critérios para
sua nomeação, a lei estabelecerá uma tarefa ou imporá a alguém o dever de coletar e processar
certos dados. Nesses casos, o objetivo do processamento é frequentemente determinado pela lei. o
controlador será normalmente aquele designado por lei para a realização dessa finalidade, este público
tarefa. Por exemplo, este seria o caso em que uma entidade a quem são confiadas certas tarefas públicas
(por exemplo, segurança social) que não pode ser cumprida sem coletar pelo menos alguns dados pessoais, configura
um banco de dados ou registro para cumprir essas tarefas públicas. Nesse caso, a lei, ainda que indiretamente, estabelece
quem é o controlador. De forma mais geral, a lei também pode impor uma obrigação ao público ou
entidades privadas para reter ou fornecer certos dados. Essas entidades normalmente seriam consideradas como
controladores no que diz respeito ao processamento necessário ao cumprimento desta obrigação.
Exemplo: disposições legais
A legislação nacional do país A estabelece a obrigação de as autoridades municipais fornecerem
benefícios de bem-estar social, como pagamentos mensais aos cidadãos, dependendo de suas finanças
situação. Para efetuar esses pagamentos, o município deve arrecadar e
processar dados sobre a situação financeira dos candidatos. Mesmo que a lei não
declarar explicitamente que as autoridades municipais são os controladores desse processamento, segue
implicitamente das disposições legais.
2) Controle decorrente de influência factual
23 Na ausência de controle decorrente de dispositivos legais, a qualificação de uma parte como controlador deve
ser estabelecida com base na avaliação das circunstâncias factuais que envolvem o processamento.
Todas as circunstâncias factuais relevantes devem ser levadas em consideração a fim de se chegar a uma conclusão quanto a
se uma determinada entidade exerce uma influência determinante no que diz respeito ao processamento de
dados pessoais em questão.
24 A necessidade de avaliação factual também significa que o papel de um controlador não decorre da natureza
de uma entidade que está processando dados, mas a partir de suas atividades concretas em um contexto específico. Em outras palavras,
a mesma entidade pode atuar ao mesmo tempo como controladora para certas operações de processamento e como
processador para outros, e a qualificação como controlador ou processador deve ser avaliadaem relação a
cada atividade específica de processamento de dados.
25 Na prática, certas atividades de processamento podem ser consideradas como naturalmente ligadas à função ou atividades
de uma entidade, em última análise, implicando responsabilidades do ponto de vista da proteção de dados. Isso pode ser devido
a disposições legais mais gerais ou a uma prática legal estabelecida em diferentes áreas (direito civil, comercial
direito, direito do trabalho, etc.). Neste caso, funções tradicionais existentes e experiência profissional que normalmente
implicar uma certa responsabilidade ajudará na identificação do controlador, por exemplo, um empregador em relação
para processar dados pessoais sobre seus funcionários, um editor que processa dados pessoais sobre seu
assinantes ou uma associação que processa dados pessoais sobre seus membros ou colaboradores. Quando um
entidade se envolve no processamento de dados pessoais como parte de suas interações com seus próprios funcionários,
clientes ou membros, geralmente será aquele que efetivamente pode determinar o propósito e
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 11/44
Adotada - versão para consulta pública 11
significa em torno do processamento e, portanto, atua como um controlador dentro do significado do GDPR.
Página 12
Adotada - versão para consulta pública 12
Exemplo: escritórios de advocacia
A empresa ABC contrata um escritório de advocacia para representá-la em uma disputa. Para realizar esta tarefa,
o escritório de advocacia precisa processar os dados pessoais relacionados ao caso. Os motivos do processamento
os dados pessoais são mandato do escritório de advocacia para representar o cliente em tribunal. Este mandato
no entanto, não se destina especificamente ao processamento de dados pessoais. O escritório de advocacia atua com um
grau significativo de independência, por exemplo, na decisão de quais informações usar e como
para usá-lo, e não há instruções da empresa cliente sobre os dados pessoais
em processamento. O processamento que o escritório de advocacia realiza para cumprir a tarefa como legal
representante da empresa está, portanto, ligado ao papel funcional do escritório de advocacia
que deve ser considerado como controlador desse processamento.
26 Em muitos casos, uma avaliação dos termos contratuais entre as diferentes partes envolvidas pode
facilitar a determinação de qual parte (ou partes) está atuando como controlador. Mesmo se um contrato for silencioso
quanto a quem é o controlador, pode conter elementos suficientes para inferir quem exerce uma tomada de decisão
função no que diz respeito aos fins e meios de processamento. Também pode ser que o contrato
contém uma declaração explícita quanto à identidade do controlador. Se não há razão para duvidar disso
isso reflete com precisão a realidade, não há nada contra seguir os termos do contrato.
No entanto, os termos de um contrato não são decisivos em todas as circunstâncias, pois isso simplesmente permitiria
as partes atribuam responsabilidades como acharem adequado. Não é possível se tornar um controlador ou
escapar das obrigações do controlador simplesmente moldando o contrato de uma certa maneira, onde o
as circunstâncias dizem outra coisa.
27 Se uma parte de fato decidir por que e como os dados pessoais são processados, essa parte será o controlador
mesmo que um contrato diga que se trata de um processador. Da mesma forma, não é porque um contrato comercial usa o
termo "subcontratado" que uma entidade deve ser considerada um processador do ponto de vista dos dados
lei de proteção. 8
28 Em linha com a abordagem factual, a palavra "determina" significa que a entidade que realmente exerce
influência sobre os objetivos e meios de processamento é o controlador. Normalmente, um processador
acordo estabelece quem são a parte determinante (controlador) e a parte instruída (processador).
Mesmo que o processador ofereça um serviço previamente definido de uma forma específica, o controlador deve
ser apresentado com uma descrição detalhada do serviço e deve tomar a decisão final para ativamente
aprovar a forma como o processamento é realizado e poder solicitar alterações, se necessário.
Além disso, o processador não pode, em um estágio posterior, alterar os elementos essenciais do processamento
sem a aprovação do controlador.
2.1.3 “Sozinho ou em conjunto com outros”
29 O Artigo 4 (7) reconhece que os "fins e meios" do tratamento podem ser determinados por mais
de um ator. Afirma que o controlador é o ator que "sozinho ou em conjunto com outros" determina
os objetivos e meios do processamento. Isso significa que várias entidades diferentes podem atuar como
controladores para o mesmo processamento, sendo cada um deles sujeito aos dados aplicáveis
8 Ver, por exemplo, Artigo 29 do Grupo de Trabalho de Proteção de Dados, Parecer 10/2006 sobre o processamento de dados pessoais pelo
Society for Worldwide Interbank Financial Telecommunication (SWIFT), 22 de novembro de 2006, WP128, p. 11
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 12/44
Página 13
Adotada - versão para consulta pública 13
disposições de proteção. Correspondentemente, uma organização ainda pode ser um controlador, mesmo que não faça
todas as decisões quanto a propósitos e meios. Os critérios de controladoria conjunta e em que medida
dois ou mais atores exercem o controle em conjunto podem assumir diferentes formas, conforme será esclarecido posteriormente. 9
2.1.4 "Objetivos e meios"
30 O quarto bloco de construção da definição do controlador refere-se ao objeto de influência do controlador,
nomeadamente os “fins e meios” do tratamento. Ele representa a parte substantiva do
conceito de controlador: o que uma parte deve determinar para se qualificar como controlador.
31 Os dicionários definem "propósito" como "um resultado antecipado pretendido ou que orienta o seu planejamento
ações ”e“ meios ”como“ como um resultado é obtido ou um fim é alcançado ”.
32 O GDPR estabelece que os dados devem ser coletados para fins específicos, explícitos e legítimos e
não posteriormente processado de forma incompatível com esses fins. Determinação dos "objetivos" de
o processamento e os "meios" para alcançá-los são, portanto, particularmente importantes.
33 Determinar os objetivos e os meios equivale a decidir, respectivamente, o "por que" e o "como"
do processamento: 10 dada uma operação de processamento particular, o controlador é o ator que tem
determinou porque o processamento está ocorrendo (ou seja, "para que fim"; ou "para quê") e como isso
objetivo deve ser alcançado (isto é, que meios devem ser empregados para atingir o objetivo). Um natural ou
pessoa jurídica que exerce tal influência sobre o tratamento de dados pessoais, participando assim de
a determinação das finalidades e meios desse processamento de acordo com a definição em
Artigo 4 (7) do RGPD. 11
34 O controlador deve decidir sobre a finalidade e os meios de processamento, conforme descrito abaixo. Como um
resultado, o controlador não pode resolver apenas determinando o propósito. Ele também deve tomar decisões
sobre os meios de processamento . Por outro lado, a parte que atua como processador nunca pode determinar o
finalidade do processamento.
35 Na prática, se um controlador contrata um processador para realizar o processamento em seu nome, isso geralmente significa
que o processador deve ser capaz de tomar certas decisões sobre como realizar o processamento.
A EDPB reconhece que pode existir alguma margem de manobra para que o processador também seja capaz de
tomar algumas decisões em relação ao processamento. Nessa perspectiva, é necessário fornecer
orientação sobre qual nível de influência sobre o "porquê" e o "como" deve implicar a qualificação
de uma entidade como um controlador e até que ponto um processador pode tomar decisões porconta própria.
36 Quando uma entidade determina claramente os propósitos e meios, confiando a outra entidade o processamento
atividades que equivalem à execução de suas instruções detalhadas, a situação é simples, e
não há dúvida de que a segunda entidade deve ser considerada como um processador, enquanto a primeira entidade é
o controlador.
Meios essenciais vs. não essenciais
37 A questão é onde traçar a linha entre as decisões que são reservadas ao controlador e
decisões que podem ser deixadas ao critério do processador. Decisões sobre a finalidade do processamento
são claramente sempre para o controlador fazer.
9 Ver seção 3, p.15
10 Ver também as conclusões do advogado-geral Bot no processo Wirtschaftsakademie , C ‑ 210/16, ECLI: EU: C: 2017: 796,
parágrafo 46.
11 Sentença nas testemunhas de Jeová , C-25/17, ECLI: EU: C: 2018: 551, parágrafo 68.
Página 14
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 13/44
Adotada - versão para consulta pública 14
38 No que diz respeito à determinação dos meios, pode ser feita uma distinção entre essenciais e não essenciais.
significa. "Meios essenciais" estão intimamente ligados ao propósito e ao escopo do processamento e são
tradicional e inerentemente reservado ao controlador. Exemplos de meios essenciais são o tipo de
dados pessoais que são processados (" quais dados devem ser processados ?"), a duração do processamento
(" Por quanto tempo eles devem ser processados? "), As categorias de destinatários (" quem deve ter acesso a
eles? ”) E as categorias dos titulares dos dados (“ cujos dados pessoais estão a ser tratados? ”). "Não-
meios essenciais ”referem-se a aspectos mais práticos da implementação, como a escolha de um determinado
tipo de hardware ou software ou as medidas de segurança detalhadas que podem ser deixadas para o processador
decidir sobre.
Exemplo: administração da folha de pagamento
O empregador A contrata outra empresa para administrar o pagamento dos salários de seus funcionários.
O empregador A dá instruções claras sobre quem pagar, quais valores, em que data, em que
banco, por quanto tempo os dados devem ser armazenados, quais dados devem ser divulgados para a autoridade fiscal
etc. Neste caso, o processamento de dados é realizado para o propósito da Empresa A de pagar salários
aos seus funcionários e o administrador da folha de pagamento não pode usar os dados para qualquer finalidade de sua
próprio. A maneira pela qual o administrador da folha de pagamento deve realizar o processamento é basicamente
claramente e rigidamente definido. No entanto, o administrador da folha de pagamento pode decidir sobre certos
assuntos detalhados sobre o processamento, como qual software usar, como distribuir
acesso dentro de sua própria organização, etc. Isso não altera seu papel como processador, desde que o
administrador não vai contra ou além das instruções fornecidas pela Empresa A.
Exemplo: pagamentos bancários
Como parte das instruções do Empregador A, a administração da folha de pagamento transmite informações
ao Banco B para que possam efetuar o pagamento efetivo aos funcionários do Empregador A. Este
atividade inclui o processamento de dados pessoais pelo Banco B, que realiza com o propósito de
exercício de atividade bancária. Dentro desta atividade, o banco decide independentemente de
Empregador A sobre quais dados devem ser processados para fornecer o serviço, por quanto tempo o
os dados devem ser armazenados, etc. O empregador A não pode ter qualquer influência sobre a finalidade e os meios de
Processamento de dados do Banco B. O Banco B deve, portanto, ser visto como um controlador para este processamento
e a transmissão de dados pessoais da administração da folha de pagamento deve ser considerada como um
divulgação de informações entre dois controladores, do Empregador A ao Banco B.
Exemplo: Contadores
O empregador A também contrata a empresa de contabilidade C para realizar auditorias de sua contabilidade e, portanto,
transfere dados sobre transações financeiras (incluindo dados pessoais) para C. Empresa de contabilidade C
processa esses dados sem instruções detalhadas de A. A empresa de contabilidade C decide por si mesma, em
de acordo com as disposições legais que regulam as atribuições das atividades de auditoria realizadas pela
C, que os dados que coleta serão processados apenas para fins de auditoria A e
determina quais dados ele precisa ter, quais categorias de pessoas precisam ser registradas,
por quanto tempo os dados devem ser mantidos e quais os meios técnicos a serem usados. Sob essas circunstâncias,
A empresa de contabilidade C deve ser considerada como controladora própria ao realizar sua auditoria
serviços para A. No entanto, esta avaliação pode ser diferente dependendo do nível de
Página 15
instruções de A. Em uma situação em que a lei não estabeleça obrigações específicas para o
empresa de contabilidade e a empresa cliente fornecem instruções muito detalhadas sobre o processamento,
a firma de contabilidade estaria de fato atuando como um processador. Uma distinção pode ser feita
entre uma situação em que o processamento é - de acordo com as leis que regulam este
profissão - feito como parte da atividade principal da empresa de contabilidade e onde o processamento é um
tarefa acessória mais limitada que é realizada no âmbito da atividade da empresa cliente.
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 14/44
Adotada - versão para consulta pública 15
Exemplo: serviços de hospedagem
O empregador A contrata o serviço de hospedagem H para armazenar dados criptografados nos servidores de H. O serviço de hospedagem
H não determina se os dados que hospeda são dados pessoais nem processa dados em
qualquer outra forma que não seja armazená-lo em seus servidores. Como o armazenamento é um exemplo de dados pessoais
atividade de processamento, o serviço de hospedagem H está processando dados pessoais em nome do empregador A
e é, portanto, um processador. O empregador A deve fornecer as instruções necessárias para H sobre, para
exemplo, quais medidas de segurança técnicas e organizacionais são necessárias e um dado
acordo de processamento de acordo com o artigo 28º. H deve ajudar A a garantir
que as medidas de segurança necessárias sejam tomadas e notifique-o no caso de quaisquer dados pessoais
violação.
39 Mesmo que as decisões sobre meios não essenciais possam ser deixadas para o processador, o controlador ainda deve
estipular certos elementos no contrato do processador, como - em relação ao título
requisito, por exemplo, uma instrução para tomar todas as medidas exigidas de acordo com o Artigo 32 do RGPD. o
acordo também deve estabelecer que o processador deve ajudar o controlador a garantir o cumprimento,
por exemplo, o Artigo 32. Em qualquer caso, o controlador permanece responsável pela implementação de
medidas técnicas e organizacionais adequadas para garantir e ser capaz de demonstrar que o
o tratamento é efectuado em conformidade com o regulamento (artigo 24.º). Ao fazer isso, o controlador deve
levar em consideração a natureza, escopo, contexto e finalidades do processamento, bem como os riscos para
direitos e liberdades das pessoas singulares. Por este motivo, o controlador deve ser totalmente informado sobre
os meios que são utilizados para que possa tomar uma decisão informada a este respeito. Para que o
controlador para poder demonstrar a legalidade do tratamento, é aconselhável documentar em
as medidas técnicas e organizacionais mínimas necessárias no contrato ou outras medidas juridicamente vinculativas
instrumento entre o controlador e o processador.
2.1.5 “Do tratamento de dados pessoais”
40 Os objetivos e meios determinados pelo controlador devem estar relacionados ao "processamento de pessoal
dados". O Artigo 4 (2) GDPR define o processamento de dados pessoais como “qualquer operação ou conjunto de operações
que é realizado em dados pessoais ou em conjuntos de dados pessoais ”. Como resultado, o conceito de um controlador
pode ser vinculado a uma única operação de processamento ou a um conjunto de operações. Na prática, isso pode
significa que o controle exercido por uma determinada entidade pode se estender à totalidade do processamento em questão
mas também pode ser limitado a um estágio particular do processamento. 12
12 Acórdão Fashion ID , C ‑ 40/17, ECLI: EU: C: 2019: 629, n. ° 74: “ (A) s, o advogado-geral observou, [...-]
parece que uma pessoa singular ou colectiva pode ser responsável pelo tratamento, na acepção do artigo 2.º, alínea d), da Directiva 95/46,
em conjunto com outros apenas em relação a operações envolvendo o processamento de dados pessoais para as quais determina
Página 16
41 Qualquer pessoa que decida processar dados deve considerar se isso inclui dados pessoais e, em caso afirmativo,
quais são as obrigações de acordo com o GDPR. Um ator será considerado um "controlador" mesmo que
não visa deliberadamente dados pessoais como tais ou avaliou erroneamente que não processa
dados pessoais.
42 Não é necessário que o controlador realmente tenha acesso aos dados que estão sendo processados 13 . Alguém
quem terceiriza uma atividade de processamento e, ao fazê-lo, tem uma influência determinante na finalidade
e meios (essenciais) de processamento (por exemplo, ajustando os parâmetros de um serviço de tal forma que
influências cujos dados pessoais devem ser processados), deve ser considerado como controlador, embora ele ou
ela nunca terá acesso real aos dados .
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 15/44
Adotada - versão para consulta pública 16
Exemplo: pesquisa de mercado
A empresa ABC deseja entender quais tipos de consumidores têm maior probabilidade de se interessar
em seus produtos e contratos um provedor de serviços, XYZ, para obter as informações relevantes.
A empresa ABC instrui XYZ sobre o tipo de informação em que está interessada e fornece uma lista
de perguntas a serem feitas aos participantes da pesquisa de mercado.
A empresa ABC recebe apenas informações estatísticas (por exemplo, identificando tendências de consumo por
região) de XYZ e não tem acesso aos dados pessoais em si. No entanto, empresa
ABC decidiu que o processamento deveria ocorrer, o processamento é realizado para o seu propósito
e sua atividade e forneceu a XYZ instruções detalhadas sobre quais informações
coletar. A empresa ABC, portanto, ainda deve ser considerada uma controladora em relação à
processamento de dados pessoais que ocorre a fim de fornecer as informações que possui
Requeridos. XYZ só pode processar os dados para os fins fornecidos pela Empresa ABC e
de acordo com suas instruções detalhadas e, portanto, deve ser considerado um processador.
3 DEFINIÇÃO DE CONTROLADORES DE JUNTA
3.1 Definição de controladores conjuntos
43 A qualificação como controladores conjuntos pode surgir quando mais de um ator está envolvido no processamento.
44 Embora o conceito não seja novo e já existisse ao abrigo da Diretiva 95/46 / CE, o GDPR, no seu artigo 26.º,
introduz regras específicas para controladores conjuntos e define uma estrutura para governar seu relacionamento. No
em conjunto os fins e meios. Em contrapartida, essa [...] pessoa singular ou coletiva não pode ser considerada um
controlador, na aceção dessa disposição, no contexto das operações que precedem ou são subsequentes em
a cadeia geral de processamento para a qual essa pessoa não determina os propósitos ou os meios ”.
13 Acórdão Wirtschaftsakademie , C-201/16, ECLI: EU: C: 2018: 388, n.o 38.
Página 17
além disso, o Tribunal de Justiça da União Europeia (TJUE), em acórdãos recentes, trouxe esclarecimentos
sobre este conceito e suas implicações 14 .
45 Conforme desenvolvido na Parte II, seção 2, a qualificação de controladores conjuntos terá principalmente
consequências em termos de atribuição de obrigações para o cumprimento das regras de proteção de dados e em
em particular no que diz respeito aos direitos dos indivíduos.
46 Nessa perspectiva, a seção a seguir tem como objetivo fornecer orientações sobre o conceito de controladores conjuntos
de acordo com o GDPR e a jurisprudência do CJEU para ajudar as entidades a determinar onde podem
atuar como controladores conjuntos e aplicar o conceito na prática.
3.2 Existência de controladoria conjunta
3.2.1 Considerações gerais
47 A definição de controlador no artigo 4.º, n.º 7, do RGPD constitui o ponto de partida para a determinação da junta
controladoria. As considerações nesta seção estão, portanto, diretamente relacionadas e complementam o
considerações na seção sobre o conceito de controlador. Como consequência, a avaliação da articulação
a controladoria deve espelhar a avaliação do controle "único" desenvolvida acima.
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 16/44
Adotada - versão para consulta pública 17
48 O Artigo 26 do RGPD, que reflete a definição do Artigo 4 (7) do RGPD, estabelece que “[w] aqui dois ou mais
os controladores determinam em conjunto as finalidades e os meios de processamento, eles devem ser os controladores conjuntos. ” No
termos amplos, a controladoria conjunta existe no que diz respeito a uma atividade de processamento específica quando diferente
as partes determinam em conjunto a finalidade e os meios dessa atividade de processamento. Portanto, avaliando o
existência de controladores conjuntos requer o exame se a determinação de propósitos e meios
que caracterizam um controlador são decididas por mais de uma parte. “Conjuntamente” deve ser interpretado como
significando “junto com” ou “não sozinho”, em diferentes formas e combinações, conforme explicado a seguir.
49. A avaliação da controladoria conjunta deve ser realizada com base em uma análise factual, e não formal
da influência real nas finalidades e meios de processamento. Todos existentes ou previstos
arranjos devem ser verificados contra as circunstâncias factuais sobre a relação entre
as festas. Um critério meramente formal não seria suficiente por pelo menos duas razões: em alguns casos,
a nomeação formal de um controlador conjunto - prevista, por exemplo, por lei ou em contrato - seria
ausente; em outros casos, pode ser que a nomeação formal não reflita a realidade do
acordos, ao confiar formalmente a função de controlador a uma entidade que, na verdade, não está no
posição para "determinar" as finalidades e meios do processamento.
50 Nem todas as operações de processamento envolvendo entidades diversas dão origem a controladoria conjunta. O abrangente
critério de existência de controladoria conjunta é a participação conjunta de duas ou mais entidades no
determinação das finalidades e meios de uma operação de processamento. Mais especificamente,
a participação deve incluir a determinação de propósitos por um lado e a determinação
14 Ver, em particular, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie , (C-
210/16), Tietosuojavaltuutettu v Jehovan todistajat - uskonnollinen yhdyskunta (C-25/17), Fashion ID GmbH &
Co. KG contra Verbraucherzentrale NRW eV ( C-40/17). Note-se que, embora esses julgamentos tenham sido emitidos pelo
CJUE sobre a interpretação do conceito de controladores conjuntos nos termos da Diretiva 95/46 / CE, eles permanecem válidos no
contexto do GDPR, dado que os elementos que determinam este conceito no GDPR permanecem os mesmos que
nos termos da directiva.
Página 18
de meios, por outro lado. Se cada um desses elementos for determinado por todas as entidades envolvidas, eles
devem ser considerados controladores conjuntos do processamento em questão.
3.2.2 Avaliação da participação conjunta
51 A participação conjunta na determinação de objetivos e meios implica quemais de uma entidade tenha
uma influência decisiva sobre se e como o processamento ocorre. Na prática, a participação conjunta
pode assumir várias formas diferentes. Por exemplo, a participação conjunta pode assumir a forma de um comum
decisão tomada por duas ou mais entidades ou resultado da convergência de decisões de duas ou mais entidades
quanto aos fins e meios essenciais.
52 A participação conjunta através de uma decisão comum significa decidir em conjunto e envolve uma
intenção de acordo com o entendimento mais comum do termo "em conjunto" referido em
Artigo 26 do GDPR.
53 A situação de participação conjunta por meio de decisões convergentes resulta mais particularmente da
jurisprudência do TJUE sobre o conceito de controladores conjuntos. As decisões podem ser consideradas convergentes em
fins e meios se eles se complementam e são necessários para que o processamento tome
colocar de forma que tenham impacto tangível na determinação dos propósitos e
meio de processamento . Como tal, um critério importante para identificar decisões convergentes neste
contexto é se o processamento não seria possível sem a participação de ambas as partes no
sentido que o processamento por cada parte é inseparável, ou seja, inextricavelmente vinculado. A situação do conjunto
controladores agindo com base em decisões convergentes devem, no entanto, ser distinguidos do caso
de um processador, uma vez que este - enquanto participa do desempenho de um processamento - não
processa os dados para seus próprios fins, mas realiza o processamento em nome do responsável pelo tratamento.
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 17/44
Adotada - versão para consulta pública 18
54 O fato de uma das partes não ter acesso aos dados pessoais processados não é suficiente para
excluir controladoria conjunta 15 . Por exemplo, nas Testemunhas de Jeová , o TJUE considerou que um
comunidade religiosa deve ser considerada um controlador, juntamente com seus membros que se engajam em
pregação, do tratamento de dados pessoais efectuado por esta última no âmbito da porta a porta
pregação. 16 O TJUE considerou que não era necessário que a comunidade tivesse acesso aos dados
em questão, ou para estabelecer que essa comunidade deu aos seus membros orientações por escrito ou
instruções em relação ao processamento de dados. 17 A comunidade participou da determinação de
fins e meios para organizar e coordenar as atividades dos seus membros, o que ajudou a
alcançar o objetivo da comunidade das Testemunhas de Jeová. 18 Além disso, a comunidade tinha
conhecimento em um nível geral do fato de que tal processamento foi realizado a fim de difundir sua
fé. 19
55 Também é importante sublinhar, conforme esclarecido pelo TJEU, que entidade será considerada solidária
controlador com o (s) outro (s) apenas em relação às operações para as quais determina, em conjunto com
outros, os meios e os fins do processamento. Se uma dessas entidades decidir sozinha, o
15 Acórdão Wirtschaftsakademie , C-210/16, ECLI: EU: C: 2018: 388, n.o 38.
16 Julgamento nas testemunhas de Jeová, C-25/17, ECLI: EU: C: 2018: 551, parágrafo 75.
17 Ibid.
18 Ibid, parágrafo 71.
19 Ibid.
Página 19
fins e meios de operações que precedem ou são subsequentes na cadeia de processamento, este
entidade deve ser considerada como o único controlador desta operação anterior ou subsequente 20 .
56 A existência de responsabilidade conjunta não implica necessariamente responsabilidade igual das várias
operadores envolvidos no tratamento de dados pessoais. Pelo contrário, o TJEU esclareceu que
esses operadores podem estar envolvidos em diferentes estágios desse processamento e em diferentes graus para que
o nível de responsabilidade de cada um deles deve ser avaliado em relação a todos os
circunstâncias do caso particular.
3.2.2.1 Propósito (s) determinado (s) em conjunto
57 A controladoria conjunta existe quando entidades envolvidas na mesma operação de processamento processam esses dados
para fins definidos em conjunto. Este será o caso se as entidades envolvidas processarem os dados para o mesmo,
ou propósitos comuns.
58 Além disso, quando as entidades não tiverem a mesma finalidade de processamento, a controladoria solidária
também podem, à luz da jurisprudência do TJUE, ser constituídas quando as entidades envolvidas prossigam fins
que estão intimamente ligados ou complementares. Esse pode ser o caso, por exemplo, quando há um
benefício decorrente da mesma operação de processamento, desde que cada uma das entidades envolvidas
participa na determinação das finalidades e meios da operação de processamento relevante. No
Fashion ID , por exemplo, o CJEU esclareceu que um operador de site participa da determinação
das finalidades (e meios) do processamento, incorporando um plug-in social em um site, a fim de
otimizar a publicidade de seus produtos, tornando-os mais visíveis na rede social. O CJEU
considerou que as operações de processamento em questão foram realizadas no interesse económico de ambos
o operador do site e o provedor do plug-in social. 21
59. Da mesma forma, conforme observado pelo CJEU em Wirtschaftsakademie , o processamento de dados pessoais por meio de
estatísticas de visitantes de uma página de fãs têm como objetivo permitir que o Facebook melhore seu sistema de publicidade
transmitido através de sua rede e para permitir ao administrador da fan page obter estatísticas para
gerir a promoção da sua atividade. 22 Cada entidade, neste caso, persegue seu próprio interesse, mas ambas as partes
participar na determinação das finalidades (e meios) do processamento de dados pessoais como
diz respeito aos visitantes da página de fãs. 23
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 18/44
Adotada - versão para consulta pública 19
60 A este respeito, é importante destacar que a mera existência de benefício mútuo (por ex.
comercial) decorrente de uma atividade de processamento não dá origem a controladoria conjunta. Se a entidade
envolvida no processamento não persegue qualquer propósito (s) próprio em relação ao processamento
atividade, mas está apenas sendo pago por serviços prestados, está agindo como um processador, e não como um conjunto
controlador.
3.2.2.2 Meios determinados em conjunto
61 A controladoria conjunta também exige que duas ou mais entidades tenham exercido influência sobre os meios de
o processamento. Isso não significa que, para que exista a controladoria conjunta, cada entidade envolvida precisa de
todos os casos para determinar todos os meios. Na verdade, conforme esclarecido pelo CJEU, diferentes entidades podem ser
20 Acórdão no Fashion ID , C-40/17, ECLI: EU: 2018: 1039, parágrafo 74 " Em contraste, e sem prejuízo de qualquer
responsabilidade civil prevista na legislação nacional a este respeito, essa pessoa singular ou colectiva não pode ser considerada como um
controlador, na aceção dessa disposição, no contexto das operações que precedem ou são subsequentes em
a cadeia geral de processamento para a qual essa pessoa não determina os propósitos ou os meios ”.
21 Acórdão no Fashion ID, C-40/17, ECLI: EU: 2018: 1039, parágrafo 80.
22 Acórdão Wirtschaftsakademie , C-210/16, ECLI: EU: C: 2018: 388, n.o 34.
23 Acórdão Wirtschaftsakademie, C-210/16, ECLI: EU: C: 2018: 388, n.o 39.
Página 20
envolvidos em diferentes estágios desse processamento e em diferentes graus. Diferentes controladores conjuntos podem
portanto, definem os meios de processamento em uma extensão diferente, dependendo de quem está efetivamente em
uma posição para fazê-lo.
62 Também pode ser o caso de uma das entidades envolvidas fornecer os meios de processamento e
disponibiliza-o para atividades de processamento de dados pessoais por outras entidades. A entidade que decide
fazer uso desses meios para que os dados pessoais também possam ser processados para uma finalidadeespecífica
participa na determinação dos meios de processamento.
63 Este cenário pode surgir notavelmente no caso de plataformas, ferramentas padronizadas ou outra infraestrutura que permite
as partes processem os mesmos dados pessoais e que tenham sido configurados de uma determinada forma por um dos
as partes a serem utilizadas por outros que também podem decidir como configurá-lo 24 . O uso de um já existente
sistema técnico não exclui a controladoria conjunta quando os usuários do sistema podem decidir sobre o
tratamento de dados pessoais a realizar neste contexto.
64 A título de exemplo, o CJEU realizou em Wirtschaftsakademie que o administrador de uma fan page
hospedado no Facebook, definindo parâmetros com base no seu público-alvo e nos objetivos do
gestão e promoção de suas atividades, deve ser considerada como participante na determinação do
meios de tratamento de dados pessoais relativos aos visitantes da sua fan page.
65 Além disso, a escolha feita por uma entidade de usar para seus próprios fins uma ferramenta ou outro sistema
desenvolvido por outra entidade, permitindo o processamento de dados pessoais, provavelmente equivalerá a uma
decisão sobre os meios desse tratamento por essas entidades. Isso decorre do caso do Fashion ID, onde
o CJEU concluiu, que ao incorporar no seu site o botão Curtir do Facebook disponibilizado pela
Facebook para operadores de sites, Fashion ID hasex exerceu uma influência decisiva em relação às operações
envolvendo a recolha e transmissão dos dados pessoais dos visitantes do seu site para o Facebook
e, assim, determinou em conjunto com o Facebook os meios desse processamento 25 .
66 É importante sublinhar que a utilização de um sistema ou infraestrutura comum de processamento de dados irá
nem em todos os casos conduzem a qualificar as partes envolvidas como controladores conjuntos, em particular quando o
o processamento que realizam é separável e pode ser realizado por uma das partes sem a intervenção de
o outro ou quando o provedor é um processador na ausência de qualquer propósito próprio (a existência
de um mero benefício comercial para as partes envolvidas não é suficiente para qualificar como um propósito de
em processamento).
Exemplo: agência de viagens
Uma agência de viagens envia dados pessoais de seus clientes para a companhia aérea e uma rede de hotéis, com
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 19/44
Adotada - versão para consulta pública 20
com o objetivo de fazer reservas para um pacote de viagem. A companhia aérea e o hotel confirmam o
disponibilidade dos lugares e quartos solicitados. A agência de viagens emite os documentos de viagem
e vouchers para seus clientes. Cada um dos atores processa os dados para a realização de seus
atividades próprias e com meios próprios. Neste caso, a agência de viagens, a companhia aérea e a
24 O provedor do sistema pode ser um controlador conjunto se os critérios mencionados acima forem atendidos, ou seja, se o provedor
participa da determinação de propósitos e meios. Caso contrário, o provedor deve ser considerado como um
processador.
25 Acórdão no Fashion ID, C-40/17, ECLI: EU: 2018: 1039, parágrafos 77-79.
Página 21
hotel são três controladores de dados diferentes que processam os dados para seus próprios fins e
não há controladoria conjunta.
A agência de viagens, a rede de hotéis e a companhia aérea decidem então participar conjuntamente da configuração
uma plataforma comum baseada na Internet com o propósito comum de fornecer viagens organizadas
promoções. Eles concordam sobre os meios essenciais a serem usados, como quais dados serão armazenados, como
as reservas serão atribuídas e confirmadas, e quem pode ter acesso às informações
armazenado. Além disso, eles decidem compartilhar os dados de seus clientes, a fim de realizar
ações conjuntas de marketing. Nesse caso, a agência de viagens, a companhia aérea e a rede hoteleira, em conjunto
determinar por que e como os dados pessoais de seus respectivos clientes são processados e
portanto, ser controladores conjuntos no que diz respeito às operações de processamento relativas ao
plataforma de reservas baseada na Internet e as ações de marketing conjuntas. No entanto, cada um deles
ainda manteria o controle exclusivo no que diz respeito a outras atividades de processamento fora da internet-
plataforma comum baseada.
Exemplo: projeto de pesquisa por institutos
Vários institutos de pesquisa decidem participar de um projeto específico de pesquisa conjunta e usar
para o efeito, a plataforma existente de um dos institutos envolvidos no projeto. Cada instituto
alimenta os dados pessoais que mantém na plataforma para fins de pesquisa conjunta e usa
os dados fornecidos por terceiros por meio da plataforma de realização da pesquisa. Nesse caso,
todos os institutos se qualificam como controladores conjuntos para o processamento de dados pessoais que é feito através do armazenamento
e divulgar informações desta plataforma, uma vez que decidiram juntos o propósito
do processamento e dos meios a serem utilizados (plataforma existente). Cada um dos institutos
no entanto, é um controlador separado para qualquer outro processamento que possa ser realizado fora do
plataforma para seus respectivos fins.
Exemplo: operação de marketing
As empresas A e B lançaram um produto de marca conjunta C e desejam organizar um evento para
promover este produto. Para esse fim, eles decidem compartilhar dados de seus respectivos clientes e
banco de dados de clientes potenciais e decidir sobre a lista de convidados para o evento com base nisso. Eles também concordam
sobre as modalidades de envio dos convites para o evento, como coletar feedback durante o
eventos e ações de marketing de acompanhamento. As empresas A e B podem ser consideradas conjuntas
controladores para o processamento de dados pessoais relacionados com a organização da promoção
evento conforme eles decidem juntos sobre a finalidade definida em conjunto e os meios essenciais dos dados
processamento neste contexto.
Exemplo: ensaios clínicos
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 20/44
Adotada - versão para consulta pública 21
Um provedor de saúde (o investigador) e uma universidade (o patrocinador) decidem lançar
juntos um ensaio clínico com o mesmo propósito. Eles colaboram juntos para a elaboração do
protocolo do estudo (ou seja, objetivo, metodologia / desenho do estudo, dados a serem coletados, sujeito
critérios de exclusão / inclusão, reutilização da base de dados (quando relevante), etc.). Eles podem ser considerados como
controladores conjuntos, para este ensaio clínico, uma vez que determinam e concordam em conjunto com o mesmo propósito
e os meios essenciais do processamento. A coleta de dados pessoais do médico
Página 22
registro do paciente para fins de pesquisa deve ser distinguido do armazenamento e
uso dos mesmos dados para fins de atendimento ao paciente, para o qual o provedor de saúde
permanece o controlador.
Caso o investigador não participe da elaboração do protocolo (ele apenas
aceita o protocolo já elaborado pelo patrocinador), e o protocolo é desenhado apenas por
o patrocinador, o investigador deve ser considerado como um processador e o patrocinador como o
controlador para este ensaio clínico.
Exemplo: Headhunters
A Empresa X ajuda a Empresa Y no recrutamento de novos funcionários - com seu famoso serviço de valor agregado
"matchz global". A empresa X procura candidatos adequados entre os currículos recebidos
diretamente pela Empresa Y e aqueles que já possui em seu próprio banco de dados. Esse banco de dados é criado
e administrado pela Empresa X por conta própria. Isso garante que a Empresa X aprimore a correspondência
entre ofertas de emprego e procura de emprego, aumentando assim o seu faturamento. Mesmo que eles não tenham
formalmente tomadauma decisão em conjunto, as Empresas X e Y participam conjuntamente do processamento
com o objetivo de encontrar candidatos adequados com base em decisões convergentes: a decisão de
criar e gerenciar o serviço “global matchz” para a Empresa X e a decisão da Empresa Y
para enriquecer a base de dados com os currículos que recebe diretamente. Essas decisões complementam cada
outros, são inseparáveis e necessários para o processamento de encontrar candidatos adequados para tomar
Lugar, colocar. Portanto, neste caso particular, eles devem ser considerados como controladores conjuntos de tais
em processamento. No entanto, a Empresa X é a única controladora do processamento necessário para gerenciar
seu banco de dados e a Empresa Y é a única controladora do processamento de contratação subsequente para seu
propósito próprio (organização de entrevistas, celebração do contrato e gestão de RH
dados).
3.2.3 Situações em que não há controladoria conjunta
67 O fato de vários atores estarem envolvidos no mesmo processamento não significa que eles estejam
necessariamente atuando como controladores conjuntos de tal processamento. Nem todos os tipos de parcerias, cooperação ou
colaboração implica qualificação de controladores conjuntos, uma vez que tal qualificação requer um caso a caso
análise de cada processamento em jogo e o papel preciso de cada entidade em relação a cada processamento.
Os casos a seguir fornecem exemplos não exaustivos de situações em que não há controladoria conjunta.
68 Por exemplo, a troca dos mesmos dados ou conjunto de dados entre duas entidades sem em conjunto
propósitos determinados ou meios de processamento determinados em conjunto devem ser considerados como um
transmissão de dados entre controladores separados.
Exemplo: transmissão de dados de funcionários às autoridades fiscais
Uma empresa coleta e processa dados pessoais de seus funcionários com o objetivo de
gestão de salários, seguros de saúde, etc. Uma lei impõe à empresa a obrigação de
encaminhar todos os dados salariais ao fisco, com vistas a reforçar o controle fiscal.
Nesse caso, embora tanto a empresa quanto o fisco processem os mesmos dados
no que diz respeito aos salários, a falta de objetivos e meios determinados conjuntamente com relação a esses dados
o processamento resultará na qualificação das duas entidades como dois controladores de dados separados.
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 21/44
Adotada - versão para consulta pública 22
Página 23
Adotada - versão para consulta pública 23
69 A controladoria conjunta também pode ser excluída em uma situação em que várias entidades usam um banco de dados compartilhado
ou uma infraestrutura comum, se cada entidade determinar independentemente seus próprios objetivos.
Exemplo: operações de marketing em um grupo de empresas usando um banco de dados compartilhado:
Um grupo de empresas usa o mesmo banco de dados para o gerenciamento de clientes e clientes potenciais.
Esse banco de dados está hospedado nos servidores da empresa-mãe que, portanto, é um processador
das empresas no que diz respeito ao armazenamento dos dados. Cada entidade do grupo entra no
dados de seus próprios clientes e clientes potenciais e processa esses dados apenas para seus próprios fins. Além disso,
cada entidade decide independentemente sobre o acesso, os períodos de retenção, a correção ou
exclusão dos dados de seus clientes e clientes potenciais. Eles não podem acessar ou usar os dados uns dos outros. o
o simples fato de essas empresas usarem um banco de dados de grupo compartilhado não implica, como tal,
controladoria. Nessas circunstâncias, cada empresa é, portanto, um controlador separado.
Exemplo: controladores independentes ao usar uma infraestrutura compartilhada
A empresa XYZ hospeda um banco de dados e o disponibiliza a outras empresas para processar e hospedar
dados pessoais sobre seus funcionários. A empresa XYZ é uma processadora em relação ao processamento
e armazenamento de funcionários de outras empresas, uma vez que essas operações são realizadas em nome e
de acordo com as instruções dessas outras empresas. Além disso, as outras empresas
processar os dados sem qualquer envolvimento da Empresa XYZ e para fins que não são
de qualquer forma compartilhada pela Empresa XYZ.
70 Além disso, pode haver situações em que vários atores processam sucessivamente os mesmos dados pessoais em um
cadeia de operações, cada um desses atores tendo um propósito independente e meios independentes em
sua parte da cadeia. Na ausência de participação conjunta na determinação dos objetivos e
meio da mesma operação de processamento ou conjunto de operações, a controladoria conjunta deve ser excluída
e os vários atores devem ser considerados controladores independentes sucessivos.
Exemplo: análise estatística para uma tarefa de interesse público
Uma autoridade pública (Autoridade A) tem a tarefa legal de fazer análises e estatísticas relevantes sobre
como a taxa de emprego do país se desenvolve. Para fazer isso, muitas outras entidades públicas são legalmente
obrigada a divulgar dados específicos à Autoridade A. A Autoridade A decide usar um sistema específico para
processar os dados, incluindo a coleta. Isso também significa que as outras unidades são obrigadas a usar
o sistema de divulgação de dados. Neste caso, sem prejuízo de qualquer atribuição de
funções por lei, a Autoridade A será a única controladora do processamento para fins de análise
e estatísticas da taxa de emprego processada no sistema, porque Autoridade A
determina a finalidade do processamento e decidiu como o processamento será
organizado. Claro, os demais entes públicos, como controladores de seu próprio processamento
atividades, são responsáveis por garantir a precisão dos dados que processaram anteriormente,
que eles então divulgam à Autoridade A.
14/09/2020 Diretrizes 07/2020 sobre os conceitos de controlador e processador no GDPR Versão 1.0
https://translate.googleusercontent.com/translate_f 22/44
Página 24
Adotada - versão para consulta pública 24
4 DEFINIÇÃO DE PROCESSADOR
71 Um transformador é definido no artigo 4.º, n.º 8, como uma pessoa singular ou coletiva, autoridade pública, agência ou outro
órgão, que processa dados pessoais em nome do responsável pelo tratamento. Semelhante à definição de controlador,
a definição de processador contempla uma ampla gama de atores - pode ser “ uma pessoa física ou jurídica,
autoridade pública, agência ou outro órgão ”. Isso significa que não há, em princípio, nenhuma limitação quanto a qual
tipo de ator pode assumir o papel de um processador. Pode ser uma organização, mas também pode ser um
Individual.
72 O GDPR estabelece obrigações diretamente aplicáveis especificamente aos processadores, conforme especificado em
Parte II, seção 1 destas diretrizes. Um processador pode ser responsabilizado ou multado em caso de não cumprimento
com tais obrigações ou no caso de agir de forma alheia ou contrária às instruções legais do responsável pelo tratamento.
73 O processamento de dados pessoais pode envolver vários processadores. Por exemplo, um controlador pode ele mesmo
optar por envolver diretamente vários processadores, envolvendo diferentes processadores em estágios separados de
o processamento (múltiplos processadores). Um controlador também pode decidir envolver um processador, que em
por sua vez - com a autorização do controlador - envolve um ou mais outros processadores (“sub
processador (es) ”). A atividade de processamento confiada ao processador pode ser limitada a uma tarefa muito específica
ou contexto ou pode ser mais geral e extenso.
74 Duas condições básicas para se qualificar como processador são:
a) ser uma entidade separada em relação ao controlador e
b) processamento de dados pessoais em nome do responsável pelo tratamento .
75 Uma entidade separada significa que o controlador decide delegar todas ou parte das atividades de processamento