Entrambe le possibilità sono corrette, ma attenzione al conflitto di interessi: quindi no CEO o appartenenti al CDA, no Responsabile IT, no Responsabile Personale e no Responsabile Marketing.

Ed ovviamente anche altre cariche importanti in azienda sono da valutare caso per caso.

Faq sul Responsabile della Protezione dei Dati (DPO o RPD in italiano) in ambito privato.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793?fbclid=IwAR2ipSqmxNrorE6P8HsY4eP7jHSile5jN4UQt6mrLiej8sMunmjHm93prCI