Il Regolamento (UE) n. 679/2016 prevede che l’Autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto, nella determinazione del quantum, di determinati indici, quali ad esempio:
- la natura, la gravità e la durata della violazione,
- il carattere doloso o colposo della stessa,
- le misure adottate dal Titolare).
Le Autorità di controllo si fanno carico di assicurare che le sanzioni siano effettivamente inflitte e che siano, altresì, proporzionate e dissuasive.
Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa.
A tale riguardo il Considerando (150) precisa che “se le sanzioni amministrative sono inflitte a imprese” a tale categoria vanno ascritte quelle definite agli artt. 101 e 102 TFUE; invece, se le sanzioni amministrative sono irrogate nei confronti di persone fisiche “l’autorità di controllo dovrebbe tenere conto del livello generale di reddito nello Stato membro, come pure della situazione economica della persona nel valutare l’importo appropriato della sanzione pecuniaria.”
Se il Titolare o il Responsabile hanno commesso, intenzionalmente o per negligenza, più violazioni alle disposizioni del GDPR connesse a una stessa operazione di trattamento di dati personali, l'importo totale della sanzione non dovrà superare l'importo indicato per la violazione più grave.
Lo Stato membro allorchè abbia legiferato in materia penale deve darne comunicazione alla Commissione, alla quale saranno notificate anche eventuali modifiche.
Alla luce del Considerando (150) le sanzioni penali “possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia”.
L'articolo continua dopo la pubblicità
Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva
Puo interessarti il Pacchetto contenente tre e-book: Tutela della Privacy
disponibili anche in vendita singola:
Segui anche il Dossier gratuito dedicato alla Privacy
Sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale.
Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale.
Sono soggette a sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di:
Le sanzioni penali rimangono di competenza di ogni singolo Stato, che deve predisporre sanzioni “effettive, proporzionate e dissuasive”, il Considerando (149) recita che: “Gli Stati membri dovrebbero potere stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento.
Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia.