Am detaliat, în mod extins, diferența dintre operator și împuternicit, aici, în baza unui Ghid recent al Comitetului European pentru Protecția Datelor. M-am referit la cum pot fi identificați aceștia, la obligațiile lor și, mai ales, la depășirea direcțiilor, adică a scopului și a mijloacelor, de către împuternicit, și la ce riscă acesta. În esență, împuternicitul nu are libertate de decizie, întrucât acesta este un atribut al operatorului.
Totuși, există o anumită situație când, deși poate să decidă, împuternicitul nu se transformă într-un operator, ci își păstrează calitatea. E vorba de stabilirea anumitor mijloace de îndeplinire a scopului stabilit de către operator, lucru care păstrează raportul stabilit între cei doi intact.
Practic, împuternicitul poate avea libertatea să decidă asupra unor chestiuni practice, considerate ca nefiind, neapărat, „esențiale”, din perspectiva GDPR-ului și a relației cu operatorul. Astfel de chestiuni pot viza componentele hardware sau software folosite sau măsurile de securitate implementate. Atât timp cât împuternicitul alege aceste elemente, însă acționează, în continuare, în cadrul stabilit de operator, se va considera că el poate să decidă, deși își păstrează calitatea.
Prin comparație, într-o astfel de situație, elementele care sunt considerate „esențiale” sunt decise, în orice caz, de operator. De exemplu, persoanele cărora le sunt prelucrate datele, timpul pentru care sunt stocate datele sau alte asemenea chestiuni.