Vedo idee un pochino confuse, non è che ci sia una "responsabilità di qualsiasi cosa".
C'è quella contrattuale, per i lavori che fa, e quella eventualmente assunta come titolare, responsabile (o sub-responsabile) o incaricato di trattamento dati (ovviamente al 99% non il titolare).
Un responsabile del trattamento dati, quindi parliamo di GDPR, deve tenere un sacco di registri, prendere le misure idonee per la salvaguardia, compilare metri cubi di carta dove spiega il perchè e il percome non usa nastri per i backup.
Un responsabile per la protezione dei dati è tutt'altra cosa.
---
Insomma firmare come "responsabile" significa prendersi carico dell'intera azienda, non solo di sviluppare due programmelli e le responsabilità civili ad esse legate.
Usualmente ci si fa pagare, almeno per la polizza di RC (ovviamente indispensabile in questi casi).
Personalmente mi capita di NON farmi creare un utente sul gestionale di alcune aziende, proprio per NON avere in alcun modo contezza con quello che fanno (chi sono i clienti, i fornitori, il fatturato etc) e - quindi - nessuna reponsabilità di alcun genere