Sanzioni

Il Regolamento stabilisce le sanzioni amministrative pecuniarie che il Garante della Privacy è chiamato a comminare a seguito della violazione del GDPR, distinguendo tra due categorie di violazioni ed affidando all’autorità di controllo il compito di individuare l’importo specifico della sanzione valutando il caso concreto:

• Violazioni meno gravi (assenza del registro del trattamento, omessa notifica data breach, mancata nomina DPO, assenza della DPIA) per le quali è prevista una ammenda fino a 10 milioni di euro o una sanzione amministrativa fino al 2% del fatturato mondiale annuo dell’anno precedente dell’impresa
• Violazioni più gravi (assenza del consenso al trattamento, violazione diritti interessato, vizi o assenza dell’informativa, trasferimento dati extra UE in violazione delle norme) per le quali è prevista una multa fino a 20 milioni di euro o una sanzione amministrativa fino al 4% del fatturato mondiale annuo dell’anno precedente dell’impresa.

L’articolo 84 del GDPR prevede altresì che sia compito degli Stati membri stabilire le norme e le sanzioni previste in caso di violazioni non sottoposte a misure di carattere amministrativo.
In Italia le sanzioni penali in materia sono previste dal Codice della Privacy del 2003 che prevede la reclusione fino a 6 anni ed individua 5 tipologie di violazioni: trattamento illecito dei dati; comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; inosservanza dei provvedimenti del Garante.