La corretta impostazione del modello organizzativo data protection – sia interno alla singola entità giuridica sia nei riguardi di terze parti, appartenenti al gruppo o estranee ad esso (es. outsourcer e responsabili esterni) – rappresenta una sfida non agevole da gestire.
Il Regolamento pone correttivi ed integrazioni in merito alle ipotesi di co-titolarità (art. 26), ai rapporti tra titolare e responsabile (art. 28), alla impostazione e gestione contrattuale tra tali ruoli, alla impostazione e gestione delle filiere a valle dei primi livelli (c.d. sub-responsabili, art. 28.4), nonchè a quelle figure da noi in Italia note con l’appellativo di “incaricati” (art. 29).
Un eventuale modello organizzativo di gruppo disegnato non correttamente, alla luce del Regolamento, può esporre, da un lato, a violazioni sanzionabili e suscettibili di danni da risarcire, oppure, dall’altro lato, può causare inutili e costosi appesantimenti burocratici.