In base al GDPR, alcuni titolari del trattamento e responsabili del trattamento sono tenuti a nominare un DPO . Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali. Si allega scheda riassuntiva  per i requisiti e i compiti del DPO