De nombreuses organisations s'interrogent sur la nécessité ou non de créer la fonction de DPO. Il y a aussi l'option de désigner un référent en charge de la mise en œuvre de cette politique. Et enfin la question de l'assistance de ces fonctions par un conseil extérieur, ponctuel ou permanent
Il y a ce que dit la loi (en l'occurrence le règlement général pour la protection des données, pour l'Europe) et l'avis rendu par des groupes de travail qui ont préparé le document réglementaire, et celui des autorités de contrôle, la CNIL pour la France.
Le cadre réglementaire oblige à la désignation d'un DPO dans l'hypothèse où l'organisation a des effectifs supérieurs à 250 employés et plus. L'interprétation de ce critère est plutôt simple.
Si une entité gère des traitements de données personnelles à grande échelle, ou si elle traite des données hautement sensibles, elle doit également désigner un DPO. Ce critère est moins évident à appliquer dans la mesure où cette notion de volume demande nécessite une interprétation.
Le groupe de travail article 29 (dit le G29), qui réunissait les autorités de contrôle de chaque Etat membre et la Commission Européenne, a apporté sa réflexion lors de la rédaction du futur règlement général sur la protection des données, et proposé des recommandations sur son application. Il a recommandé notamment que la plupart des organisations penchent pour la nomination d'un délégué à la protection des données.
Cette position se comprend dans la mesure où selon l'article 37-5 du RGPD, cette fonction doit être remplie "par une personne désigné sur la base de ses qualités professionnelles", avec "une connaissance approfondie de la législation et des pratiques en matière de protection des données".
Le délégué à la protection des données doit travailler étroitement avec l'autorité de contrôle pour aider à renforcer la conformité. À ce titre, il doit effectuer régulièrement une veille des évolution du cadre législatif et réglementaire entourant les technologies de l'information. Il doit avoir une bonne connaissance des systèmes de contrôle administratifs et judiciaires. Il doit avoir une bonne connaissance de l'analyse des risques, et des mesures d'atténuation. Il doit vérifier le bon niveau de formation au sein de l'organisation et la prise de conscience de l'organisation quant à ses responsabilités. il doit être en mesure de monter et de piloter des programmes de protection des données, ce qui implique une autonomie forte dans la gestion de la fonction. Il doit être en capacité d'échanger avec l'ensemble des acteurs, et assurer les procédures de réclamation et d'assistance des personnes concernées sur la protection de leurs droits.