In base a quanto previsto dall'art.37 del Regolamento UE n.679/2016, la nomina a Responsabile della protezione dati (DPO), è obbligatoria in tre casi specifici:

• se il trattamento è svolto da un'autorità pubblica o da un organismo pubblico; 
• se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, oppure
• se le attività principali del titolare o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali o reati.

Mentre la lettera a), dell'art.37, si riferisce solo alle PPAA, le lettere b) e c) possono essere riferite anche a soggetti privati.