Nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa. Per quanto riguarda i professionisti iscritti ad albi o comunque le ipotesi in cui il fornitore esterno ha ampia autonomia e si autorganizza (commercialista, avvocato, medico del lavoro Legge 81/2008, consulente del lavoro, azienda per il DVR -documento valutazione rischi-), questo porta a configurare più correttamente il soggetto come titolare autonomo piuttosto che responsabile, appunto perchè non riceve istruzioni specifiche sul trattamento da parte del titolare.
Situazione in Italia
L'esperienza italiana ha sempre ammesso il responsabile del trattamento interno. In tal senso, con la legge 20 novembre 2017, n. 167 (Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017), il legislatore italiano ha modificato l'articolo 29 del Codice Privacy, mantenendo la possibilità di distinguere tra soggetto interno ed esterno. La nomina del responsabile è, quindi, discrezionale, ma se il titolare si avvale di soggetti esterni deve nominarli responsabili del trattamento.
