Il titolare del trattamento è chi determina finalità e mezzi del trattamento (art. 4, n. 7 GDPR); il responsabile è chi tratta i dati per conto del titolare (art. 4, n. 8). La differenza non è formale: decide chi risponde delle scelte, chi firma il contratto ex art. 28, chi notifica un data breach e chi rischia la sanzione più alta. Sbagliare la qualificazione — trattare da responsabile chi in realtà agisce da titolare — è uno degli errori più comuni e più contestati in sede ispettiva. Questa guida distingue i quattro ruoli del GDPR con casi italiani concreti.
Key Takeaways
- Il titolare decide il “perché” e il “come” del trattamento; il responsabile esegue seguendo le sue istruzioni.
- La contitolarità (art. 26) ricorre quando due o più soggetti determinano insieme le finalità.
- Il ruolo si qualifica in base ai fatti, non alle etichette scelte nel contratto.
- Il rapporto titolare-responsabile va regolato da un contratto ex art. 28 con contenuto minimo obbligatorio.
- L’autorizzato (art. 29) non è un soggetto autonomo: agisce sotto l’autorità del titolare o del responsabile.
Le definizioni: chi decide, chi esegue
Il criterio discriminante è il potere decisionale sulle finalità e sui mezzi essenziali del trattamento.
Il titolare (data controller) determina perché i dati vengono trattati e attraverso quali strumenti fondamentali. È il soggetto responsabile del rispetto dei principi dell’art. 5 e destinatario della gran parte degli obblighi: informativa, registro, DPIA, notifica dei breach.
Il responsabile (data processor) tratta i dati per conto del titolare, entro il perimetro delle sue istruzioni. Un fornitore di cloud, una software house SaaS, un centralino esterno: eseguono, non decidono le finalità. Possono scegliere aspetti tecnici (i “mezzi non essenziali”), ma non lo scopo.
Le linee guida EDPB 07/2020 sono il riferimento interpretativo per distinguere i ruoli quando il caso è dubbio.
Contitolari e autorizzati: gli altri due ruoli
Oltre alla coppia base, il GDPR conosce altre due figure.
La contitolarità (art. 26) ricorre quando due o più titolari determinano congiuntamente le finalità e i mezzi. Devono definire con un accordo interno la ripartizione delle responsabilità, in particolare su informativa ed esercizio dei diritti. Esempio tipico: due aziende che gestiscono insieme una piattaforma di co-marketing decidendo di comune accordo il target.
L’autorizzato al trattamento (art. 29 GDPR e art. 2-quaterdecies Codice Privacy) è la persona fisica che, sotto l’autorità del titolare o del responsabile, tratta i dati seguendo istruzioni. Non è un soggetto autonomo: è il dipendente o il collaboratore designato. La sua disciplina è nella nomina degli autorizzati al trattamento.
Casi italiani: chi è cosa
La qualificazione dipende dai fatti. Ecco alcuni casi ricorrenti che il Garante ha affrontato.
| Soggetto | Ruolo tipico | Perché |
|---|---|---|
| Software house SaaS | Responsabile (art. 28) | Tratta i dati del cliente per suo conto |
| Commercialista che elabora le paghe | Responsabile del cliente-azienda | Esegue su istruzioni; ma è titolare dei propri dati |
| Agenzia marketing per un brand | Responsabile | Gestisce campagne per conto del titolare |
| Amministratore di condominio | Titolare (o responsabile) | Titolare per la gestione; responsabile se agisce per il condominio come titolare |
| Piattaforma di annunci immobiliari | Titolare autonomo | Determina proprie finalità sui dati raccolti |
| Datore di lavoro | Titolare | Decide le finalità del trattamento HR |
Il caso del commercialista è istruttivo: quando elabora le buste paga per un’azienda cliente agisce come suo responsabile ex art. 28; ma per i propri dati contabili e la propria clientela è titolare. Il tema è approfondito nella guida GDPR per commercialisti. Analogamente, una startup SaaS è quasi sempre responsabile dei dati che i suoi clienti aziendali le affidano, come spiega la guida GDPR per startup e SaaS.
Perché la qualificazione conta
Qualificare male il ruolo ha conseguenze concrete. Il titolare risponde delle scelte di finalità e sopporta gli obblighi principali; il responsabile risponde di aver agito oltre le istruzioni o senza misure di sicurezza adeguate (art. 32) e diventa esso stesso titolare se determina autonomamente finalità e mezzi (art. 28, par. 10). Le etichette del contratto non prevalgono sui fatti: se un presunto “responsabile” decide in autonomia le finalità, il Garante lo tratta come titolare, con il relativo carico sanzionatorio.
Da qui l’importanza di un contratto ex art. 28 ben scritto, con il contenuto minimo obbligatorio: oggetto, durata, natura e finalità, tipi di dati, obblighi di riservatezza, misure di sicurezza, sub-responsabili, assistenza al titolare, sorte dei dati a fine rapporto. La disciplina completa è nella guida alla nomina del responsabile del trattamento ex art. 28, mentre la mappatura dei ruoli va riportata nel registro dei trattamenti.
Nelle catene di fornitura complesse — un titolare, un responsabile e diversi sub-responsabili — tenere traccia di chi fa cosa e con quale contratto diventa un lavoro di governance. È una delle attività che una piattaforma come Legiscope centralizza, collegando ogni trattamento al ruolo e al contratto corrispondente.
Sub-responsabili e catene di trattamento
Il tema più insidioso nella pratica è la sub-responsabilità. Un responsabile (ad esempio una software house) che si appoggia a un fornitore cloud crea un sub-responsabile: la catena titolare → responsabile → sub-responsabile deve essere autorizzata dal titolare, almeno in forma generale, e ogni anello deve replicare gli obblighi di sicurezza dell’art. 28 verso l’anello successivo (art. 28, par. 4). Il titolare che ignora la composizione della propria catena rischia di scoprire, solo dopo un data breach, che i suoi dati transitavano da un sub-fornitore extra-UE senza garanzie adeguate.
Da qui l’importanza di due verifiche. La prima è la mappatura dei sub-responsabili: chi sono, dove trattano i dati, con quali garanzie sui trasferimenti. La seconda è il controllo sulle modifiche: molti contratti prevedono che il responsabile possa cambiare sub-fornitori dandone avviso, e il titolare deve poter obiettare.
Vale infine ricordare che la qualificazione del ruolo incide anche sulla notifica dei data breach. Il responsabile che subisce una violazione non notifica al Garante: informa senza ritardo il titolare (art. 33, par. 2), che valuta e — se necessario — notifica. Confondere i ruoli in quel momento fa perdere ore preziose sul termine delle 72 ore. Definire in anticipo chi fa cosa nella catena è parte della preparazione a un incidente.
FAQ
Qual è la differenza pratica tra titolare e responsabile?
Il titolare decide finalità e mezzi essenziali del trattamento e sopporta gli obblighi principali (informativa, registro, DPIA, notifica breach). Il responsabile esegue per conto del titolare seguendone le istruzioni e risponde soprattutto della sicurezza e del rispetto del mandato. Chi decide le finalità è titolare, chiunque lo chiami.
Un fornitore di software è titolare o responsabile?
Di regola responsabile: tratta i dati dei clienti per loro conto, secondo le istruzioni del contratto ex art. 28. Diventa titolare solo per i trattamenti che decide autonomamente — ad esempio l’uso dei dati aggregati per migliorare il proprio prodotto, se determina lui quella finalità.
Cos’è la contitolarità?
È la situazione (art. 26 GDPR) in cui due o più soggetti determinano insieme finalità e mezzi del trattamento. Devono stipulare un accordo che ripartisce le responsabilità, in particolare su informativa e diritti degli interessati, e renderne noti gli elementi essenziali agli interessati.
Cosa succede se qualifico male il ruolo?
La qualificazione si basa sui fatti, non sulle etichette. Se un “responsabile” decide in autonomia le finalità, il Garante lo tratta come titolare, con il pieno carico di obblighi e sanzioni. Una qualificazione errata è tra le contestazioni più frequenti in sede ispettiva.
Vedi anche: le sei basi giuridiche del trattamento (art. 6) che il titolare deve individuare per ciascun trattamento.
Fonti ufficiali: le linee guida EDPB 07/2020 su titolare e responsabile, il testo del GDPR su EUR-Lex e il Garante per la protezione dei dati personali.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial