Che differenza c'è tra titolare e responsabile del trattamento?

Il titolare decide finalità e mezzi; il responsabile tratta i dati per conto del titolare (es. il fornitore IT), regolato da contratto ex art. 28 GDPR.

Il Responsabile della protezione dei dati: figura indipendente di controllo e consulenza, punto di contatto con il Garante (artt. 37-39 GDPR).

Quando è obbligatorio nominare il DPO?

Per enti pubblici e per chi svolge come attività principale monitoraggio su larga scala o trattamento su larga scala di dati particolari o penali (art. 37).

Responsabile del trattamento e DPO sono la stessa cosa?

No: sono ruoli diversi. Il responsabile tratta i dati per il titolare; il DPO vigila sulla conformità.

Responsabile del trattamento e DPO — i ruoli della privacy

← Torna a Casi pratici applicati

Ultimo aggiornamento: 17 Giugno 2026

Fonte: Normattiva.it · Gazzetta Ufficiale

Indice

Testo dell'articolo
Domande frequenti
Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

In sintesi

Titolare: chi decide finalità e mezzi del trattamento (l’impresa).
Responsabile del trattamento: chi tratta i dati per conto del titolare (art. 28), es. il fornitore IT.
DPO: il Responsabile della protezione dei dati, figura di controllo e consulenza (artt. 37-39).
Attenzione: responsabile del trattamento e DPO sono ruoli diversi, da non confondere.

I tre ruoli da non confondere

Il GDPR distingue tre figure spesso confuse: il titolare del trattamento (l’impresa, che decide finalità e mezzi), il responsabile del trattamento (chi tratta i dati per conto del titolare) e il DPO o Responsabile della protezione dei dati (figura indipendente di controllo). Chiarire i ruoli è essenziale per impostare correttamente la compliance.

Il responsabile del trattamento (art. 28)

Il responsabile del trattamento è il soggetto esterno che tratta dati personali per conto del titolare: ad esempio il fornitore del gestionale, il provider di posta o cloud, il consulente paghe, l’agenzia di marketing. Il rapporto deve essere regolato da un contratto o atto giuridico (art. 28 GDPR) che disciplini oggetto, durata, finalità, obblighi di sicurezza e riservatezza, e il destino dei dati a fine rapporto.

Il DPO (artt. 37-39)

Il DPO (Data Protection Officer) è una figura di sorveglianza e consulenza: informa e assicura la conformità, fa da punto di contatto con il Garante e con gli interessati, sorveglia il rispetto del GDPR. Deve essere indipendente, non in conflitto di interessi, e dotato di competenze specialistiche. Può essere interno o esterno.

Quando il DPO è obbligatorio

La nomina del DPO è obbligatoria (art. 37) quando: il trattamento è svolto da un’autorità o un organismo pubblico; le attività principali del titolare consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; oppure consistono nel trattamento su larga scala di dati particolari (salute, ecc.) o relativi a condanne penali. Fuori da questi casi è facoltativo, ma può essere consigliabile.

Le nomine

L’impresa deve quindi: nominare per iscritto i responsabili del trattamento (i fornitori che trattano dati), con il contratto ex art. 28; designare le persone autorizzate al trattamento (i dipendenti che usano i dati), con istruzioni; e, se obbligata o se lo ritiene opportuno, nominare il DPO comunicandone i dati al Garante. Le nomine fanno parte della documentazione di accountability.

Esempio pratico

Una SRL (titolare) usa un gestionale in cloud e un consulente paghe: entrambi sono responsabili del trattamento e vanno nominati con contratto ex art. 28. I dipendenti che accedono ai dati sono “autorizzati” con istruzioni. Se la SRL non rientra nei casi obbligatori, può scegliere se nominare comunque un DPO esterno per presidiare la conformità.

Serve un parere sul tuo caso concreto?

Questa guida spiega la regola generale, ma ogni situazione ha le sue specificità. Per un controllo sul tuo caso puoi trovare un professionista tramite Legge in Chiaro.

Quanta IRPEF devi pagare?

Calcola l'IRPEF lorda e netta con scaglioni, aliquote e detrazioni aggiornati, per capire cosa aspettarti dal modello 730.

Apri il calcolatore IRPEF →

Domande frequenti

A cura di

Andrea Marton — Dottore in Economia e Finanza, praticante commercialista

Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 100 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.