Il Regolamento stabilisce le sanzioni amministrative pecuniarie che il Garante della Privacy è chiamato a comminare a seguito della violazione del GDPR, distinguendo tra due categorie di violazioni ed affidando all’autorità di controllo il compito di individuare l’importo specifico della sanzione valutando il caso concreto:
L’articolo 84 del GDPR prevede altresì che sia compito degli Stati membri stabilire le norme e le sanzioni previste in caso di violazioni non sottoposte a misure di carattere amministrativo.
In Italia le sanzioni penali in materia sono previste dal Codice della Privacy del 2003 che prevede la reclusione fino a 6 anni ed individua 5 tipologie di violazioni: trattamento illecito dei dati; comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; inosservanza dei provvedimenti del Garante.