Il regolemanteo europeo non prevede espressamente la figura dell'incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l'autorità diretta del titolare o del responsabile (art. 4, n. 10 GDPR).
Incaricato, o autorizzato, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Questo indica che se in teoria è possibile che un incaricato sia un soggetto esterno all'azienda, nella pratica risulterebbe difficile. L'autorizzato può operare alle dipendenze del titolare, ma anche del responsabile se nominato. Ovviamente gli autorizzati possono essere organizzati con diversi livelli di delega.