<div dir="ltr"><p class="MsoNormal">Hello all,</p><p class="MsoNormal"><br></p><p class="MsoNormal">As a follow-up to SSAC's previously-proposed question on legal/natural persons: we revised our original question in light of the recent memo from Bird & Bird, to ensure it focused on specific unaddressed issues involving consent. See full text below. We propose that our new version replace the old one entirely.</p><p class="MsoNormal"><br></p><p class="MsoNormal">Thanks for your consideration,</p><p class="MsoNormal">Tara Whalen</p><p class="MsoNormal">---</p><p class="MsoNormal">[NEW VERSION]<u></u><u></u></p><p class="MsoNormal">LEGAL VERSUS NATURAL PERSONS:<u></u><u></u></p><p class="MsoNormal">Registration data submitted by legal person registrants may contain the data of natural persons.  A Phase 1 memo stated that registrars can rely on a registrant's self-identification as legal or natural person, especially if risk is mitigated by taking further steps to ensure the accuracy of the registrant's designation. <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">As a follow-up to that memo: what are the consent issues and requirements related to such designations?  Can registrars state that it is the responsibility of a legal person registrant to obtain consent from any natural person whose data it submits? <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">As part of the analysis, please examine the GDPR policies and practices of the Internet protocol (IP address) registries RIPE NCC (the registry in Europe, based in the Netherlands) and ARIN (the registry in North America, which has customer contacts in Europe).  These registries publish the data of natural person contacts who are subject to the GDPR, publicly via their WHOIS services, by placing the choice and responsibility on their registrants, who are legal persons.  These IP address registries state mission justifications and collection purposes similar to those in ICANN's Temporary Specification.<u></u><u></u></p><p class="MsoNormal">Please see:<u></u><u></u></p><p class="MsoNormal">1) “How We're Implementing the GDPR: Legal Grounds for Lawful Personal Data Processing and the RIPE Database”:<u></u><u></u></p><p class="MsoNormal"><a href="https://labs.ripe.net/Members/Athina/gdpr-legal-grounds-for-lawful-personal-data-processing-and-the-ripe-database" target="_blank">https://labs.ripe.net/Members/Athina/gdpr-legal-grounds-for-lawful-personal-data-processing-and-the-ripe-database</a><u></u><u></u></p><p class="MsoNormal">2)  “How We're Implementing the GDPR: The RIPE Database”: <a href="https://labs.ripe.net/Members/Athina/how-we-re-implementing-the-gdpr-the-ripe-database" target="_blank">https://labs.ripe.net/Members/Athina/how-we-re-implementing-the-gdpr-the-ripe-database</a><u></u><u></u></p><p class="MsoNormal">3) "Personal Data Privacy Considerations At ARIN": <a href="https://teamarin.net/2018/03/20/personal-data-privacy-considerations-at-arin/" target="_blank">https://teamarin.net/2018/03/20/personal-data-privacy-considerations-at-arin/</a><u></u><u></u></p><p class="MsoNormal">4) ARIN "Data Accuracy": <a href="https://www.arin.net/reference/materials/accuracy/" target="_blank">https://www.arin.net/reference/materials/accuracy/</a><u></u><u></u></p><p class="MsoNormal">5) ARIN Registration Services Agreement, paragraph 3: <a href="https://www.arin.net/about/corporate/agreements/rsa.pdf" target="_blank">https://www.arin.net/about/corporate/agreements/rsa.pdf</a><u></u><u></u></p><p class="MsoNormal">6) ARIN Privacy Policy: <a href="https://www.arin.net/about/privacy/" target="_blank">https://www.arin.net/about/privacy/</a><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><div style="border-top:none;border-right:none;border-left:none;border-bottom:3pt dotted windowtext;padding:0in 0in 1pt"><p class="MsoNormal" style="border:none;padding:0in"><u></u> <u></u></p></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">[OLD VERSION]<u></u><u></u></p><p class="MsoNormal">LEGAL VERSUS NATURAL PERSONS:<u></u><u></u></p><p class="MsoNormal">Registration data submitted by legal person registrants may contain the data of natural persons.  For example the contact data they provide may include a natural person's name and email address. Legal person registrants also have the ability to publish non-personally identifiable contact data ("<a href="mailto:admin@companyname.com" target="_blank">admin@companyname.com</a>") should they desire.<u></u><u></u></p><p class="MsoNormal">If registrants are required to self-identify as either a natural or legal person, then:<u></u><u></u></p><p class="MsoNormal">a.            Can registrars rely on that self-identification? <u></u><u></u></p><p class="MsoNormal">b.            Can registrars make the contact data submitted by legal person registrants publicly available in RDS (WHOIS), by stating that it is the responsibility of a legal person registrant to obtain consent from any natural person whose data it submits? <u></u><u></u></p><p class="MsoNormal">Please state any considerations, such as the ability of the registrant to correct its data.<u></u><u></u></p><p class="MsoNormal">As part of the analysis, please examine the policies of the Internet protocol (IP address) registries RIPE NCC (the registry in Europe, based in the Netherlands) and ARIN (the registry in North America, which has customer contacts in Europe).  These registries publish the data of natural persons who are subject to the GDPR, publicly via their WHOIS services, by placing the choice and responsibility on their registrants, who are legal persons.  IP addresses and domain names are two sides of the same coin, and these IP address registries state mission justifications and collection purposes similar to those in ICANN's Temporary Specification. See:<u></u><u></u></p><p class="MsoNormal">1) “How We're Implementing the GDPR: Legal Grounds for Lawful Personal Data Processing and the RIPE Database”:<u></u><u></u></p><p class="MsoNormal"><a href="https://labs.ripe.net/Members/Athina/gdpr-legal-grounds-for-lawful-personal-data-processing-and-the-ripe-database" target="_blank">https://labs.ripe.net/Members/Athina/gdpr-legal-grounds-for-lawful-personal-data-processing-and-the-ripe-database</a><u></u><u></u></p><p class="MsoNormal">2)  “How We're Implementing the GDPR: The RIPE Database”: <a href="https://labs.ripe.net/Members/Athina/how-we-re-implementing-the-gdpr-the-ripe-database" target="_blank">https://labs.ripe.net/Members/Athina/how-we-re-implementing-the-gdpr-the-ripe-database</a><u></u><u></u></p><p class="MsoNormal">3) "Personal Data Privacy Considerations At ARIN": <a href="https://teamarin.net/2018/03/20/personal-data-privacy-considerations-at-arin/" target="_blank">https://teamarin.net/2018/03/20/personal-data-privacy-considerations-at-arin/</a><u></u><u></u></p><p class="MsoNormal">4) ARIN "Data Accuracy": <a href="https://www.arin.net/reference/materials/accuracy/" target="_blank">https://www.arin.net/reference/materials/accuracy/</a><u></u><u></u></p><p class="MsoNormal">5) ARIN Registration Services Agreement, paragraph 3: <a href="https://www.arin.net/about/corporate/agreements/rsa.pdf" target="_blank">https://www.arin.net/about/corporate/agreements/rsa.pdf</a><u></u><u></u></p><p class="MsoNormal">6) ARIN Privacy Policy: <a href="https://www.arin.net/about/privacy/" target="_blank">https://www.arin.net/about/privacy/</a></p></div>