I soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati o trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (art. 37 lett b)e c) del Regolamento UE 2016/6799) come ad esempio: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; telecomunicazioni, distribuzione di energia elettrica o gas; imprese di somministrazione di lavoro e ricerca del personale; società di prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici.
Inoltre l’art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un DPO «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali
Nel caso in cui soggetti privati esercitino funzioni pubbliche (ad esempio concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un DPO.