D’après le Règlement Général européen sur la Protection des Données, le DPO est désigné « sur la base de ses qualités professionnelles et de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir ses missions… » (article 37.5 du règlement européen).
Le DPO doit maîtriser le RGPD et les pratiques en termes de gestion de données personnelles nationales et européennes. Il doit également bien connaître le fonctionnement de votre entreprise afin de vous proposer des solutions adaptées aux besoins spécifiques que vous pourriez rencontrer au sujet de la protection des données.
Selon vos besoins et moyens financiers disponibles, vous pouvez désigner un DPO en interne ou l’externaliser. En ce qui concerne les TPE et PME, cela peut être avantageux de désigner un délégué à la protection des données externalisé car ces plus petites structures n’auront pas besoin de mobiliser un salarié en interne pour ce poste. De plus, celles-ci n’ont pas nécessairement besoin d’avoir un DPO à temps plein. Désigner un DPO externalisé permet donc de limiter les dépenses en termes de recrutement.