Conformément à l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, les responsables du traitement ou les sous-traitants peuvent désigner un seul délégué à la protection des données qui exerce sa mission pour le compte de plusieurs d'entre eux.
Lorsque les collectivités territoriales, leurs groupements, les établissements publics locaux, et les personnes morales de droit privé gérant un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s'exerce la mutualisation. Chacune des parties à la mutualisation demeure responsable du traitement ou sous-traitant.