In base al regolamento, alcuni titolari e responsabili del trattamento sono tenuti a nominare un Responsabile protezione dei dati (RPD o in inglese DPO) in via obbligatoria. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili).

Anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria.

L'articolo 37 del Regolamento Europeo Privacy infatti impone ai titolari di trattamento e ai Responsabili di Trattamento dei dati sensibili l'obbligo di designare un "Data Protection Officer " (DPO) con adeguate qualità professionali in materia di privacy per il proprio settore di attività. In particolare il DPO aziendale deve avere una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati e deve essere in grado di assolvere correttamente ai compiti stabiliti dall'articolo 39 del GDPR.