Art. 37(5) prevede că DPO „este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la art. 39”. Considerentul 97 prevede că nivelul necesar al cunoștințelor de specialitate ar trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate.


 Nivelul de expertiză

Nivelul de expertiză necesar nu este strict definit, dar trebuie să fie proporțional cu sensibilitatea, complexitatea și volumul de date prelucrate de organizație. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Există de asemenea diferențe în funcție de faptul dacă organizația transferă în mod sistematic date cu caracter
personal în afara UE sau dacă aceste transferuri sunt ocazionale. Astfel, DPO ar trebui ales cu atenție, ținând seama de aspectele de protecție a datelor care apar în cadrul organizației.


Calitățile profesionale
Cu toate că art. 37(5) nu precizează calitățile profesionale care ar trebui să fie luate în considerare la desemnarea unui DPO, un element relevant ar fi ca DPO să aibă experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD. De asemenea, ar fi util dacă autoritățile de supraveghere ar promova o formă adecvată și regulată pentru DPO.
Este utilă cunoașterea sectorului de afaceri și a organizării operatorului. DPO ar trebui, de asemenea, să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor ale operatorului.
În cazul unei autorități publice sau a unui organism public, DPO trebuie să aibă, de asemenea, cunoștință de regulile și procedurile administrative ale organizației.


 Capacitatea de a îndeplini sarcinile
Capacitatea de a-și îndeplini sarcinile ce revin DPO trebuie interpretată ca referindu-se atât la calitățile lor personale și la cunoștințe, cât și la poziția lor în cadrul organizație. Calitățile personale trebuie să includă, spre exemplu, integritatea și etica profesională; principala preocupare a DPO trebuie să fie respectarea RGPD. DPO joacă un rol-cheie în promovarea unei culturi de protecție a datelor în cadrul organizației și ajută la implementarea elementelor esențiale al RGPD, cum ar fi principiile de prelucrare a datelor , drepturile persoanelor vizate, asigurarea protecției datelor începând cu  momentul conceperii și în mod implicit, înregistrarea activităților de prelucrare, securitatea
prelucrării, precum și notificarea și comunicarea încălcărilor de securitate.

Funcția DPO poate fi, de asemenea, exercitată în baza unui contract de prestări servicii încheiat cu o persoană fizică sau o organizație din afara organizației operatorului/persoanei împuternicite de operator. În acest ultim caz, este esențial ca fiecare membru al organizației care exercită funcțiile unui DPO să îndeplinească toate cerințele aplicabile din Secțiunea 4 din RGPD (de exemplu, este esențial ca nicio persoană să se afle în conflict de interese). Este la fel de important ca fiecare membru să fie protejat prin prevederile RGPD (de exemplu, să nu existe o reziliere abuzivă a contractului de prestări servicii pentru activitățile DPO, dar, de asemenea, să nu existe o concediere abuzivă a oricărui membru al organizației care îndeplinește sarcinile DPO). În același timp, calitățile profesionale și punctele forte pot fi combinate astfel încât mai multe persoane care lucrează într-o echipă să poate servi mai eficient clienții lor.

DPO este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor
sale, în conformitate cu dreptul Uniunii sau cu dreptul intern (art. 38(5)).

Organizația ar trebui să se asigure, de exemplu, că:
DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel
mediu.
Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției
datelor. Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite
ca acesta să ofere o consiliere corespunzătoare.
Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord,
WP29 recomandă, ca bună practică, documentarea motivelor pentru care nu a fost urmat
avizul DPO.
–  DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității
datelor sau un alt incident.
– Atunci când este cazul, operatorul sau persoana împuternicită de operator ar putea elabora ghiduri
privind protecția datelor sau proceduri care stabilesc situații când DPO trebuie să fie consultat.