Sanzioni Amministrative Pecuniarie

Il legislatore unionale del GDPR ha affermato un principio generale: l’imposizione di sanzioni, comprese sanzioni amministrative pecuniarie deve sempre essere soggetta a garanzie procedurali appropriate in conformità dei principi generali del diritto dell’Unione e della Carta, inclusi l’effettiva tutela giurisdizionale e il giusto processo.

In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, al posto della sanzione pecuniaria può essere rivolto un ammonimento.

Le sanzioni amministrative pecuniarie devono essere modulate in base a:

– la natura, la gravità e la durata della violazione,

– il carattere doloso della violazione,

– le misure adottate per attenuare il danno subito,

– il grado di responsabilità o eventuali precedenti violazioni pertinenti,

– la maniera in cui l’autorità di controllo ha preso conoscenza della violazione,

– il rispetto dei provvedimenti disposti dall’autorità di controllo nei confronti del titolare del trattamento o del responsabile del trattamento,

– l’adesione a un codice di condotta e eventuali altri fattori aggravanti o attenuanti.

All’interno dell’Unione, ogni autorità di controllo deve poter imporre sanzioni amministrative pecuniarie.

Nel determinare ogni singola sanzione amministrativa pecuniaria ogni autorità di controllo deve tenere conto della natura, della gravità e della durata dell’infrazione e delle relative conseguenze, delle misure adottate per assicurare la conformità agli obblighi derivanti dal GDPR, prevenire o attenuare le conseguenze della violazione.

Le sanzioni amministrative pecuniarie si applicano sia alle imprese che a tutti i soggetti privati diversi dalle imprese, mentre spetta agli Stati membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie.