Também fiquei surpreso ver certos nomes nesta lista, pois a Serasa já apresenta o nome do DPO na seguinte página ao clicar num link (abaixo, descaracterizei o nome do encarregado):

https://www.serasa.com.br/protecao-dados-pessoais/como-tratamos-seus-dados

Em----no To----o
Encarregado de Proteção de Dados
[email protected]

Não seria melhor a ANPD solicitar que cada empresa disponibilize um canal padrão para acesso ao DPO? Por exemplo, facilitando para os usuários,

dpo.dominio.tld ou um email [email protected]

Desta forma, o usuário facilmente construiria o contato. Um formulário para captura de denúncias também é relevante, pois incidentes que ocorrem, quando bem detalhados, ajudam nas investigações de possíveis vazamento de dados.

Ou ainda, dominio.tld/dpo.txt
Note que para o robots.txt existe um padrão universal que um consenso estabeleceu. Texto simples, fácil acesso, sem necessidade de renderização.

Acho certo o funcionário público exercer sua função pois, caso não o faça, prevarica. Entretanto, notificações antes de tornar público os nomes de empresas seria melhor, para que não comprometa as marcas.

Um funcionário público que não age quando deve pode estar cometendo um crime de prevaricação:

• Dificultar ou não cumprir os deveres do cargo
• Praticar atos de ofício para atender interesses pessoais
• Deixar de cumprir o dever ou agir contra a lei para beneficiar alguém

A pena para prevaricação é de detenção de três meses a um ano e multa.
A omissão ou a não prática de um ato que deveria ser feito pelo funcionário público pode resultar em penalidades administrativas e criminais.