Responsabile del trattamento: chi è e come si nomina (art. 28)

Chi è il responsabile del trattamento, come si nomina con il contratto ex art. 28 del GDPR, cosa deve contenere l'atto di nomina, la disciplina dei sub-responsabili, gli obblighi e la responsabilità.
In breve — Il responsabile del trattamento è il soggetto che tratta i dati personali per conto del titolare, seguendone le istruzioni: il fornitore del gestionale, il provider cloud o di hosting, chi gestisce i sistemi informatici o le telecamere (art. 4 del GDPR). Attenzione, però: molti professionisti a cui affidi dei dati — l’avvocato, il commercialista — sono in realtà titolari autonomi, non responsabili. Il suo rapporto con il titolare va regolato per iscritto con un contratto ex art. 28 (il cosiddetto DPA), che stabilisce cosa il responsabile può e deve fare. Senza quella nomina — o con un contratto generico — l’affidamento è illegittimo e il titolare resta scoperto in caso di controllo.
1. Chi è il responsabile del trattamento
Il responsabile del trattamento è il soggetto che tratta i dati personali per conto del titolare. Non decide le finalità del trattamento: le esegue, nei limiti e secondo le istruzioni che il titolare gli impartisce. È una figura tipicamente esterna, a cui il titolare affida una parte delle proprie attività.
La norma · Art. 4, n. 8, GDPR
Il «responsabile del trattamento» è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Sono responsabili del trattamento, tipicamente: il fornitore del software gestionale o del CRM, il provider di posta, hosting o cloud, la società che gestisce i sistemi informatici o l’impianto di videosorveglianza, l’agenzia di marketing che invia le comunicazioni per conto dell’azienda, il service esterno che elabora le buste paga secondo le istruzioni del datore. Il filo comune: trattano i dati del titolare per suo conto e nei limiti che il titolare stabilisce, senza deciderne autonomamente le finalità.
2. Responsabile e titolare: la differenza
La distinzione dal titolare del trattamento sta nel potere di decidere. Il titolare determina finalità e mezzi; il responsabile agisce su istruzione, per conto del titolare. Attenzione, però: la qualifica non dipende da come le parti si “chiamano” nel contratto, ma da ciò che accade in concreto. Se un fornitore, di fatto, decide autonomamente finalità e mezzi del trattamento, è titolare a sua volta — con tutte le responsabilità che ne derivano — a prescindere dall’etichetta usata.
Questo spiega un equivoco molto diffuso: non tutti i professionisti a cui affidi dei dati sono responsabili. Le linee guida europee (EDPB 07/2020) lo mostrano con alcuni casi tipici.
Titolare o responsabile? I casi delle linee guida EDPB
Avvocato / studio legale — rappresenta un cliente trattando i dati con un grado significativo di indipendenza, senza istruzioni del cliente sul trattamento → titolare autonomo.
Commercialista / società di revisione — controlla la contabilità decidendo, secondo le norme della professione, quali dati trattare e come, senza istruzioni dettagliate → titolare autonomo (diventa responsabile solo con istruzioni molto dettagliate e in assenza di un obbligo di legge proprio).
Service di elaborazione buste paga — elabora gli stipendi seguendo le istruzioni precise del datore di lavoro → responsabile.
La regola pratica: se il professionista decide in autonomia secondo le regole della sua categoria è titolare (semmai serviranno accordi tra titolari); se si limita a eseguire le istruzioni del cliente è responsabile. Sul ruolo del titolare, i suoi obblighi e l’accountability rinviamo alla guida sul titolare del trattamento.
3. La nomina del responsabile: il contratto (art. 28)
Il titolare non può affidare dati a un responsabile “a voce”. L’art. 28 del GDPR impone che il rapporto sia regolato da un contratto (o altro atto giuridico) scritto, spesso chiamato accordo sul trattamento dei dati o DPA (data processing agreement). Non è una formalità: è lo strumento con cui il titolare mantiene il controllo sui dati anche quando li affida a terzi, e con cui potrà dimostrare al Garante di aver governato correttamente l’affidamento.
Il contratto deve indicare materia, durata, natura e finalità del trattamento, il tipo di dati e le categorie di interessati, e vincolare il responsabile a una serie di obblighi.
Gli obblighi del responsabile (art. 28, par. 3)
trattare i dati solo su istruzione documentata del titolare;
garantire la riservatezza di chi è autorizzato a trattare i dati;
adottare adeguate misure di sicurezza (art. 32);
ricorrere a sub-responsabili solo con l'autorizzazione del titolare;
assistere il titolare per i diritti degli interessati, la sicurezza, i data breach e la DPIA;
cancellare o restituire i dati al termine del rapporto;
mettere a disposizione le informazioni per dimostrare la conformità e consentire audit.
Un contratto assente, o generico, lascia scoperte entrambe le parti: il titolare non potrà dimostrare di aver governato l’affidamento, e il responsabile opererà senza il perimetro che lo protegge.
4. I sub-responsabili del trattamento
Il responsabile spesso si avvale, a sua volta, di altri fornitori (per esempio un provider cloud su cui gira il gestionale): sono i sub-responsabili. L’art. 28 li ammette, ma a condizioni precise: il responsabile può nominarli solo con l’autorizzazione del titolare (specifica o generale), deve informare il titolare di eventuali modifiche e deve imporre al sub-responsabile, con un contratto, gli stessi obblighi che gravano su di lui. Se il sub-responsabile non li rispetta, il responsabile ne risponde verso il titolare.
5. Gli obblighi e la responsabilità del responsabile
Il responsabile non è un mero esecutore passivo: il GDPR pone alcuni obblighi direttamente a suo carico. Oltre a quelli previsti dal contratto, deve tenere un proprio registro dei trattamenti svolti per conto dei titolari (art. 30, par. 2), adottare misure di sicurezza adeguate e — punto cruciale — informare il titolare senza ingiustificato ritardo quando viene a conoscenza di una violazione dei dati, così che il titolare possa attivare la gestione del data breach nei termini.
Sul piano della responsabilità, il responsabile risponde degli obblighi a suo carico e, soprattutto, se agisce al di fuori delle istruzioni del titolare o le disattende: in quel caso è considerato titolare del trattamento per quella specifica attività. Il Garante può sanzionare direttamente il responsabile, e l’interessato danneggiato può agire anche nei suoi confronti per il risarcimento.
6. Come ti assiste lo Studio Legale Calzoni
La nomina a responsabile è uno dei documenti più trascurati e più decisivi: un contratto ex art. 28 assente o “copiato” espone titolare e responsabile in caso di controllo. Lo Studio Legale Calzoni offre consulenza privacy e GDPR a imprese ed enti pubblici: redigiamo e verifichiamo gli atti di nomina a responsabile e i contratti con i sub-responsabili, calibrandoli sul trattamento concreto, e assistiamo sia i titolari nell’affidamento sicuro a fornitori esterni, sia i fornitori che operano come responsabili.
Domande frequenti
Chi è il responsabile del trattamento? Il soggetto, di regola esterno, che tratta i dati per conto del titolare seguendone le istruzioni: per esempio il fornitore del gestionale, il provider cloud o di hosting, chi gestisce i sistemi informatici o le telecamere, il service che elabora le buste paga su istruzioni del datore.
L’avvocato o il commercialista è titolare o responsabile del trattamento? Di regola titolare autonomo, non responsabile: agisce con indipendenza professionale e in base a obblighi di legge propri, decidendo come trattare i dati senza istruzioni dettagliate del cliente (linee guida EDPB 07/2020). Diventa responsabile solo se si limita a eseguire le istruzioni puntuali del cliente, senza autonomia.
Come si nomina il responsabile del trattamento? Con un contratto scritto ex art. 28 del GDPR (il DPA) che indica materia, durata, natura, finalità, tipo di dati e categorie di interessati, e vincola il responsabile a trattare solo su istruzione del titolare, con misure di sicurezza adeguate e gli altri obblighi previsti dalla norma.
Cosa deve contenere il contratto di nomina del responsabile? Oltre agli elementi del trattamento (materia, durata, natura, finalità, tipo di dati, categorie di interessati), gli obblighi del responsabile: trattamento solo su istruzione, riservatezza, misure di sicurezza, disciplina dei sub-responsabili, assistenza al titolare, cancellazione o restituzione dei dati e disponibilità a dimostrare la conformità.
Il responsabile può nominare altri sub-responsabili? Sì, ma solo con l’autorizzazione del titolare e imponendo al sub-responsabile, per contratto, gli stessi obblighi. Il responsabile risponde verso il titolare dell’operato del sub-responsabile.
Qual è la differenza tra titolare e responsabile del trattamento? Il titolare decide le finalità e i mezzi del trattamento; il responsabile tratta i dati per conto del titolare, su sua istruzione. Se un fornitore decide autonomamente finalità e mezzi, diventa a sua volta titolare.
Di cosa risponde il responsabile del trattamento? Degli obblighi che il GDPR e il contratto pongono a suo carico e, se agisce fuori dalle istruzioni del titolare, come titolare per quell’attività. Può essere sanzionato direttamente dal Garante e chiamato a risarcire il danno.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.