É importante ressaltar a necessidade de que a regulamentação deixe mais explícito o escopo da obrigação da guarda apenas se aplica a empresas que obtêm lucro com o tratamento dos dados pessoais. Isso quer dizer que a obrigação prévia de guarda se aplica ao provedor cuja a monetização dos dados pessoais seja o seu principal negócio. O perfil da obrigação de guarda pode ser delimitado por meio de requisitos tais como como teto de faturamento, finalidade das atividades – o que abriria a possibilidade de que uma pessoa jurídica com fins lucrativos cuja finalidade seja justamente a proteção da privacidade, não seja obrigada a guardar os dados – e por último à necessidade ou não de realizar login, momento em que efetivamente se configura a existência de um usuário cadastrado que realiza ações.