I «titolari del trattamento» dei dati personali possono essere persone fisiche o giuridiche, autorità pubbliche, servizi o altri organismi che, singolarmente o insieme ad altri, utilizzano dei dati personali determinandone le finalità.
Il Regolamento GDPR pone con forza l’accento sulla “responsabilizzazione” dei titolari. Essi infatti sono tenuti ad adottare politiche e attuare misure adeguate per garantire la sicurezza dei dati; essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme alla normativa; assicurare che i dati siano trattati in modo lecito, corretto e trasparente.
Il GDPR dà ai titolari potere decisionale in ordine al trattamento dei dati personali: non si limitano infatti a gestirli, ma sono anche responsabili giuridicamente dell’ottemperanza agli obblighi previsti dalla normativa in materia di protezione dei dati personali.
Spetta a loro il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, applicando i principi del GDPR. Primo fra tutti il principio di “data protection by default and by design”, ossia la necessità di configurare in maniera conforme al Regolamento il trattamento dei dati fin dalla progettazione (per es. applicando la psedonimizzazione e la minimizzazione dei dati) e per impostazioni predefinite (ad es. stabilendo il periodo di conservazione dei dati e a chi possono essere accessibili) così da tutelare i diritti degli interessati, tenendo conto del contesto complessivo nel quale il trattamento viene svolto e dei rischi per i diritti e le libertà degli interessati.
Il titolare del trattamento ha anche potere discrezionale: è compito suo, infatti, notificare al Garante privacy le violazioni di dati personali di cui venga a conoscenza entro 72 ore e comunque sempre “senza ingiustificato ritardo”, ma soltanto se ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.