- Categoria
- Privacy e GDPR
- Pubblicato
- 24 febbraio 2026
- Ultimo aggiornamento
- 24 febbraio 2026
- Tempo di lettura
- 4 min (752 parole)
- Autore
- A cura della Redazione 123Formazione
A cura della Redazione 123Formazione
Revisione: team tecnico sicurezza
Ultimo aggiornamento: 24 febbraio 2026
Una squadra di ruoli ben distinti
Il GDPR costruisce il sistema di protezione dei dati attorno ad alcune figure con compiti e responsabilità diverse. Conoscerle e distinguerle correttamente è il primo passo per organizzare la privacy in modo solido ed evitare confusioni che, nella pratica, generano errori e responsabilità non presidiate.
Le principali figure sono il Titolare del trattamento, il Responsabile del trattamento, le persone autorizzate al trattamento (gli "incaricati" del linguaggio previgente) e, dove richiesto, il Responsabile della Protezione dei Dati, noto con l’acronimo inglese DPO (Data Protection Officer). A queste si affiancano figure come gli amministratori di sistema, individuate dalla normativa e dai provvedimenti del Garante.
Il Titolare del trattamento: chi decide finalità e mezzi
Il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. In azienda, il Titolare coincide tipicamente con l’impresa stessa o con l’organo che ne ha la rappresentanza e i poteri decisionali.
È il Titolare il soggetto su cui grava la responsabilità principale del rispetto del GDPR, in virtù del principio di accountability: deve adottare misure tecniche e organizzative adeguate, essere in grado di dimostrarne l’efficacia e mantenere aggiornata la documentazione, come il registro dei trattamenti e le informative. Decide il "perché" e il "come" del trattamento e ne risponde.
Il Responsabile del trattamento: chi tratta per conto del Titolare
Il Responsabile del trattamento è il soggetto esterno (o comunque distinto) che tratta dati personali per conto del Titolare. Si pensi al fornitore di servizi cloud, al consulente del lavoro, alla software house che gestisce un gestionale o alla società che eroga un servizio di assistenza: tutti soggetti che, nello svolgere il proprio incarico, trattano dati per conto dell’azienda cliente.
Il rapporto tra Titolare e Responsabile deve essere regolato da un contratto o da un altro atto giuridico che disciplini oggetto, durata, natura e finalità del trattamento, oltre agli obblighi del Responsabile. Quest’ultimo deve fornire garanzie sufficienti in termini di misure di sicurezza e può ricorrere ad altri soggetti (sub-responsabili) solo nel rispetto delle condizioni previste e con l’autorizzazione del Titolare.
È importante non confondere il Responsabile del trattamento (un soggetto autonomo che agisce per conto del Titolare) con il Responsabile della Protezione dei Dati (DPO): si tratta di figure profondamente diverse, nonostante l’uso del medesimo termine "responsabile" nel linguaggio comune.
Gli autorizzati al trattamento (incaricati)
Le persone autorizzate al trattamento sono i dipendenti e i collaboratori che, sotto l’autorità diretta del Titolare o del Responsabile, trattano concretamente i dati nello svolgimento del proprio lavoro. Nel linguaggio del precedente D.Lgs. 196/03 erano chiamati "incaricati": il GDPR ha cambiato la terminologia, ma la sostanza del ruolo operativo rimane centrale.
Gli autorizzati devono ricevere istruzioni documentate dal Titolare e operare entro i limiti di tali istruzioni. Proprio perché sono le persone che maneggiano materialmente i dati, la loro designazione formale e la loro formazione sono elementi chiave del sistema privacy: senza autorizzati istruiti e consapevoli, anche le migliori misure tecniche rischiano di essere vanificate.
Il DPO: chi è e quando è obbligatorio
Il Responsabile della Protezione dei Dati (DPO) è una figura esperta in materia di protezione dei dati, designata per informare e consigliare il Titolare e i dipendenti, sorvegliare l’osservanza del GDPR, fornire pareri sulla valutazione d’impatto e fungere da punto di contatto con il Garante e con gli interessati. Deve operare in autonomia, senza conflitti di interesse, e disponendo delle risorse necessarie al suo compito.
La designazione del DPO è obbligatoria in alcuni casi specifici: ad esempio per le autorità e gli organismi pubblici, quando l’attività principale consiste in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, oppure quando si trattano su larga scala categorie particolari di dati o dati relativi a condanne penali e reati. Fuori da questi casi, molte aziende possono designare un DPO su base volontaria.
Distinguere correttamente queste figure e attribuire i ruoli in modo coerente con l’organizzazione reale è la base di un sistema privacy efficace. Con 123Formazione puoi approfondire ruoli, responsabilità e adempimenti del GDPR attraverso corsi in aula, videoconferenza ed e-learning, con attestato valido in tutta Italia.
Domande frequenti
La formazione GDPR è obbligatoria per i dipendenti che trattano dati personali?
Sì. Il Reg. UE 2016/679 (GDPR), agli artt. 29, 32 e 39, impone al titolare e al responsabile del trattamento di garantire che le persone autorizzate ad accedere ai dati personali siano formate e operino secondo istruzioni documentate. Il Garante Privacy italiano ha più volte confermato la natura obbligatoria della formazione del personale: la sua assenza configura una violazione del principio di accountability (art. 5.2 GDPR) ed è valutata dal Garante in sede sanzionatoria.
Chi sono gli "autorizzati al trattamento" ai sensi dell’art. 29 del GDPR?
Sono le persone fisiche che, sotto l’autorità del titolare o del responsabile del trattamento, accedono e trattano dati personali nell’ambito delle proprie mansioni: tipicamente dipendenti, collaboratori, stagisti, somministrati. L’art. 2-quaterdecies del D.Lgs 196/2003 novellato dal D.Lgs 101/2018 disciplina la loro designazione, che deve avvenire per iscritto con istruzioni operative documentate. La formazione è il presupposto per poter validamente autorizzare al trattamento.
Quanto dura un corso base di formazione privacy/GDPR per i dipendenti?
Non esiste una durata fissata per legge: la prassi, e gli orientamenti delle Autorità di controllo europee (EDPB), indicano un percorso base di 4-8 ore per gli autorizzati al trattamento, modulato in funzione della tipologia di dati trattati (comuni, particolari, giudiziari), del settore e dell’esposizione al rischio. Per figure più esposte (HR, marketing, IT, sanità) sono opportune sessioni più approfondite e specialistiche.
Ogni quanto va aggiornata la formazione privacy aziendale?
Il GDPR non fissa una periodicità rigida, ma il principio di accountability (art. 5.2) impone di mantenere la formazione adeguata e attuale. La prassi consolidata, supportata dalle linee guida del Garante e dell’EDPB, è quella di un aggiornamento almeno annuale e di sessioni straordinarie in caso di modifiche normative, nuovi trattamenti, data breach, riorganizzazioni o introduzione di nuove tecnologie (es. AI Act, sistemi di videosorveglianza, biometrica).
Qual è la differenza tra titolare, responsabile, sub-responsabile e autorizzato del trattamento?
Il titolare (art. 4.7 GDPR) determina finalità e mezzi del trattamento e ne assume la responsabilità complessiva. Il responsabile (art. 28) tratta i dati per conto del titolare sulla base di un contratto scritto (DPA - Data Processing Agreement). Il sub-responsabile è un fornitore di secondo livello che il responsabile può nominare con autorizzazione del titolare. L’autorizzato (art. 29 e art. 2-quaterdecies del D.Lgs 196/2003) è la persona fisica che opera sotto l’autorità del titolare o del responsabile e tratta i dati secondo istruzioni.
Quando è obbligatorio nominare un DPO (Data Protection Officer)?
L’art. 37 del GDPR rende obbligatoria la nomina del DPO (o RPD - Responsabile della Protezione dei Dati) in tre casi: trattamento effettuato da un’autorità pubblica o organismo pubblico (esclusi i tribunali); attività principale del titolare/responsabile che consista in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; attività principale che consista nel trattamento su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali (art. 10). Il Garante e le linee guida EDPB WP243 chiariscono i concetti di "larga scala" e "monitoraggio sistematico".
Corsi correlati
Hai bisogno di assistenza sulla formazione della tua azienda?
Il nostro team verifica gratuitamente il piano formativo e ti propone le soluzioni più adatte al tuo settore.
ContattaciAltre guide utili
Formazione sicurezza obbligatoria: chi deve farla e ogni quanto
Tutto quello che datori di lavoro e lavoratori devono sapere sugli obblighi formativi previsti dal Testo Unico sulla sicurezza.
Corsi obbligatori per codice ATECO: come capire quali servono
Il codice ATECO determina il livello di rischio e quindi i corsi obbligatori: ecco come orientarsi.
Scadenze e aggiornamento degli attestati di sicurezza
Una panoramica chiara delle periodicità di aggiornamento per non far scadere la formazione aziendale.
HACCP: obblighi, livelli e validità per il settore alimentare
Tutto sul corso HACCP obbligatorio per chi lavora a contatto con gli alimenti.
Corso preposti: ruolo, obblighi di vigilanza e durata
Il preposto è il garante della sicurezza sul campo: ecco cosa fa, cosa rischia e qual è la formazione obbligatoria.
Corso dirigenti per la sicurezza: chi è e cosa deve fare
Il dirigente attua le politiche di sicurezza decise dal datore di lavoro: ecco compiti, responsabilità e formazione richiesta.