Ai sensi dell'art. 28, par. 2, GDPR, vige il divieto per il Responsabile del trattamento di ricorrere ad un altro Responsabile (cioè a un subappaltatore, al quale affidare le operazioni di trattamento che il Titolare ha affidato in via principale al fornitore principale - Responsabile del trattamento) senza la previa autorizzazione scritta, specifica o generale, del Titolare del trattamento.
Tale obbligo dovrà di fatto essere riproposto a cascata nei rapporti contrattuali sottostanti: ciascun subappaltatore dovrà informare preventivamente il proprio committente diretto e ottenere il consenso all'affidamento ulteriore a terzi.
Da Leggi d'Italia, in Pratica legale - GDPR, Guida "Le catene di subappalto"