Il y a des  cas où des informations sensibles de l'entreprise ne doivent pas quitter le pays (par exemple, s'il y  des contrôles à l'exportation ou des préoccupations de sécurité nationale), mais dans la plupart des cas il n'y a rien d'obligatoire. Il sera suffisant de s'assurer que les données personnelles ne seront pas stockées dans un pays spécifique qui est connu pour ses violations de confidentialité.
Le responsable devrait consacrer 20 à 30% de son temps à ce sujet.

Trouver l'équilibre en matière de protection de la vie privée

- La valeur de la notion de vie privée détermine la protection nécessaire, mais il est difficile de la quantifier ! La valeur de la vie privée et de la sensibilité des renseignements personnels est impossible à déterminer en dehors de son contexte. Les renseignements personnels n'ont guère d'intérêt en eux mêmes. Tout dépend de la manière dont les données sont traitées. Il faut trouver l'équilibre entre «pas assez» de protection et «trop» de protection, c'est un processus continu.

Les responsables devraient mettre en place un processus pour identifier les parties prenantes dans l'élaboration des informations personnelles, rassembler les exigences de leur part, cerner l'influence de la conception des processus des applications, planifier des ajustements. Une fois ce processus créé, son exécution doit prendre 10% du temps du responsable.

- Les modifications réglementaires sont incessantes, mais de portée limitée.

Les modifications réglementaires ne devraient pas détourner l'attention des responsables de la confidentialité, car la plupart de ses modifications auront seulement un effet limité dans le temps. Il faut savoir interpréter la législation existante sur  la vie privée pour les technologies émergentes comme les compteurs intelligents, le positionnement à l'intérieur, la reconnaissance faciale sur smartphones corrélée aux bases de données photo, les véhicules et les localisateurs de périphérique, la détection de présence, les scanners corporels, et autres.
Cette stratégie est importante, mais elle devrait consommer entre 5 et 10% des temps du responsable.

Il reste au responsable de la confidentialité encore15 à 50% de son temps, c'est nécessaire pour exécuter le programme de confidentialité, veiller à la gestion des relations, à l'examen des demandes, à la révision des politiques, au contrôles des documents (les termes des contrats de confidentialité , la consultation avec les juristes), la réponse aux requêtes, le suivi des incidents et la supervision du programme de formation à la question de la vie privée.