Se la società ha nominato il RPD (o DPO), il GDPR prevede:
al punto 1.b degli artt. 13 e 14 (inerenti alle informative) che il titolare del trattamento renda noti " i dati di contatto [non c'è l'obbligo di indicare chi in concreto sia, potrebbe anche essere una persona giuridica se esterno all'organizzazione cfr WP243 par. 2.5] del responsabile della protezione dei dati, ove applicabile";
all'art. 37.7 "Il titolare del trattamento o il responsabile del trattamento pubblica [va da sé se ha un proprio portale] i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo".
Se la Società non ha nominato un RPD, pur essendo tenuta a farlo lo si può ipotizzare per differenza fra una valutazione dei processi svolti sui dati personali e la mancata indicazione/pubblicizzazione dei dati di contatto