← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 161 sanziona l'inosservanza dei provvedimenti del Garante.
  • La sanzione amministrativa è prevista in aggiunta a quella eventualmente irrogata per la violazione di base.
  • L'ammontare può raggiungere il 4% del fatturato annuo globale o 20 milioni di euro (art. 83, par. 5, GDPR).
  • Per i casi più gravi opera anche il reato dell'art. 170.
  • L'inosservanza include: mancato adeguamento, mancata cessazione del trattamento illecito, mancata cancellazione di dati.
  • Le procedure di esecuzione coattiva sono disciplinate dalla L. 689/1981.

Testo dell'articoloVigente

1. Salvo che il fatto costituisca reato, chiunque non osserva un provvedimento del Garante adottato ai sensi del Regolamento e del presente codice è soggetto alla sanzione amministrativa.

Commento

La gravità dell'inosservanza dei provvedimenti del Garante

L'art. 161 del Codice Privacy sanziona specificamente l'inosservanza dei provvedimenti del Garante per la protezione dei dati personali. La norma è cruciale per assicurare l'effettività dell'azione regolatoria e sanzionatoria dell'authority: un provvedimento del Garante non eseguito perderebbe ogni efficacia. Per questo motivo l'ordinamento prevede una sanzione amministrativa specifica per il mancato adeguamento, oltre a quella eventualmente già irrogata per la violazione di base. Nei casi più gravi è prevista anche la responsabilità penale ex art. 170 del Codice.

Categorie di provvedimenti sanzionati

Sono soggetti all'art. 161: a) ordini di adeguamento del trattamento (art. 58, par. 2, lett. d, GDPR); b) ordini di cancellazione dei dati (art. 58, par. 2, lett. g, GDPR); c) limitazioni o divieti di trattamento (art. 58, par. 2, lett. f, GDPR); d) sospensione di flussi transfrontalieri (art. 58, par. 2, lett. j, GDPR); e) avvertimenti e ammonimenti (se prescrivono comportamenti specifici); f) ordini di portabilità o di accesso. Non vi rientrano gli atti di natura consultiva (pareri preventivi) o le sole sanzioni pecuniarie.

Cumulabilità delle sanzioni

L'art. 161 prevede sanzione amministrativa cumulabile con: a) la sanzione per la violazione di base (ad esempio, mancato consenso ex art. 130); b) eventuali sanzioni penali (art. 167 trattamento illecito, art. 170 inosservanza); c) responsabilità civile risarcitoria ex art. 82 GDPR; d) sanzioni disciplinari nei settori professionali (Ordine giornalisti, avvocati); e) responsabilità erariale per dirigenti pubblici. La cumulabilità è un deterrente forte: un'azienda che non si adegua può subire sanzioni multiple di entità rilevante.

Ammontare della sanzione

L'art. 161 rinvia ai criteri dell'art. 83, par. 5, GDPR: sanzione fino al 4% del fatturato annuo globale dell'esercizio precedente, oppure 20 milioni di euro, se superiore. La sanzione è graduata in base a: gravità, durata, natura intenzionale o colposa, danno cagionato, misure adottate per attenuare il danno, grado di responsabilità, precedenti rilevanti, cooperazione con il Garante. La valutazione è disciplinata dall'art. 166 del Codice.

Esecuzione coattiva del provvedimento

Se il destinatario continua nell'inosservanza, il Garante può: a) emettere un secondo provvedimento più stringente; b) attivare l'esecuzione forzata tramite il prefetto (per le sanzioni pecuniarie, secondo la L. 689/1981); c) trasmettere gli atti alla procura per l'ipotesi penale ex art. 170 del Codice. L'esecuzione coattiva delle sanzioni pecuniarie segue le regole della riscossione coattiva degli atti pubblici (D.P.R. 602/1973, Equitalia/Agenzia delle Entrate Riscossione).

Difese del destinatario

Il destinatario del provvedimento può difendersi: a) impugnando il provvedimento originario ex art. 152 (con eventuale sospensione cautelare); b) dimostrando l'oggettiva impossibilità di adeguamento (forza maggiore, contestualità con altre prescrizioni contraddittorie); c) chiedendo proroga del termine con motivata istanza al Garante; d) provando l'avvenuto adeguamento entro il termine. La buona fede e la diligenza nel tentativo di adeguamento sono criteri attenuanti, anche se non escludono la sanzione.

Sinergie con sanzioni penali ex art. 170

L'art. 161 (illecito amministrativo) e l'art. 170 (reato) si applicano alla stessa condotta di inosservanza, ma con presupposti diversi: a) art. 161 punisce ogni inosservanza con sanzione amministrativa; b) art. 170 punisce con reato l'inosservanza dolosa e qualificata (recidiva, occultamento). La cumulabilità è ammessa nel rispetto del ne bis in idem flessibile della CGUE. Casistica: per inosservanze in buona fede solo art. 161; per inadempimenti reiterati e dolosi cumulazione art. 161 + art. 170 + responsabilità penale. La giurisprudenza è in costante evoluzione.

Strategie di difesa e gestione del rischio

Le migliori strategie di difesa: a) pronta esecuzione del provvedimento, anche parziale, con documentazione; b) eventuale impugnazione ex art. 152 con istanza cautelare; c) proroga motivata se l'esecuzione è complessa; d) comunicazione tempestiva al Garante di impossibilità oggettive; e) audit interno periodico per assicurare la compliance continuativa. La buona fede è elemento attenuante. La pianificazione di compliance proattiva è il miglior investimento per ridurre l'esposizione sanzionatoria: implementazione di registri, DPIA, contratti, policy, formazione, audit, monitoraggio continuo.

Massime giurisprudenziali

Corte Cost., sent. n. 20/2019

La Corte costituzionale si è pronunciata sulla compatibilità del regime sanzionatorio in materia di protezione dei dati con i princìpi costituzionali di tassatività e proporzionalità.

Perché è importante: Sanzioni e tutela giurisdizionale

Prassi e linee guida

Sanzioni · Provvedimenti sanzionatori

Garante Privacy

Raccolta di provvedimenti sanzionatori adottati dal Garante per la protezione dei dati personali.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio S.p.A.: ordine di cancellazione disatteso

Tizio S.p.A. riceve dal Garante ordine di cancellazione di un database di marketing illecito. Non ottempera entro il termine. Il Garante apre nuovo procedimento ex art. 161: oltre alla sanzione originaria di 200.000 euro, aggiunge sanzione di 500.000 euro per inosservanza. Eventuale denuncia penale ex art. 170.

Caso 2: Caia: adeguamento parziale

Caia Srl riceve ordine di adeguamento sui cookie. Adegua parzialmente (banner conforme), ma non rimuove i cookie di profilazione già installati. Il Garante apre procedimento ex art. 161 per inosservanza parziale; Caia documenta gli sforzi compiuti, ottiene riduzione della sanzione ma comunque un richiamo formale.

Caso 3: Sempronia: provvedimento impossibile da eseguire

Sempronia riceve ordine di cancellazione di dati di terze parti che non possiede direttamente. Comunica al Garante l'oggettiva impossibilità di eseguire l'ordine così formulato, chiede chiarimenti e modifiche. Il Garante valuta la difesa e modifica il provvedimento (interpello presso il terzo). La buona fede esclude la sanzione ex art. 161.

Caso 4: Commento applicativo

L'art. 161 è una norma di chiusura del sistema sanzionatorio. L'inosservanza dei provvedimenti del Garante comporta sanzioni cumulative gravissime, eventualmente anche penali. La strategia migliore è la pronta esecuzione, eventualmente impugnando in via cautelare e dimostrando buona fede. Le proroghe motivate sono ammesse.

Domande frequenti

Cosa succede se non eseguo un provvedimento del Garante?

Sanzione amministrativa fino al 4% del fatturato annuo globale, cumulabile con la sanzione originaria. Nei casi gravi anche responsabilità penale ex art. 170 del Codice. Il Garante può attivare esecuzione coattiva tramite prefetto.

Posso eseguire parzialmente il provvedimento?

Solo se è possibile e proporzionato. L'esecuzione parziale è considerata inadempimento. Meglio chiedere proroga motivata o impugnare in via cautelare il provvedimento originario.

Cosa accade se l'esecuzione è oggettivamente impossibile?

Devi comunicare al Garante l'impossibilità, motivandola e proponendo alternative. La buona fede e la diligenza sono criteri attenuanti, anche se la valutazione finale spetta al Garante.

L'impugnazione del provvedimento ex art. 152 sospende l'inosservanza?

Solo se chiedi e ottieni sospensione cautelare dal Tribunale. La mera impugnazione non sospende automaticamente. Senza sospensione, l'inosservanza è autonomamente sanzionata anche se il provvedimento originario è oggetto di ricorso.

Quando opera anche il reato dell'art. 170?

Per inosservanze gravi e dolose. Il reato è punito con reclusione da tre mesi a due anni. Tipicamente per inadempimenti reiterati o per inottemperanza a provvedimenti di blocco di trattamenti gravemente illeciti.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.