プライベートDNS OFFのときは、必ず従来型の方法でプロバイダのDNSサーバーと通信します。従来型の通信はDNSへの問い合わせを暗号化しないので、攻撃を受け易いという問題が指摘されています。また、経路上で読み取られる可能性があります。
自動のときは、暗号化した問い合わせを試みて、駄目なら従来型の方法を使います。
「プライベートDNSプロバイダのホスト名」を入力すると、必ず暗号化した通信を試み、駄目ならインターネット接続がないとみなします。

https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html