← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 30 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Prassi e linee guida
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
  • L'art. 166 disciplina i criteri di applicazione delle sanzioni amministrative pecuniarie privacy.
  • Recepisce e attua l'art. 83 GDPR nel sistema italiano.
  • Le sanzioni possono raggiungere il 4% del fatturato annuo globale o 20 milioni di euro (massimo).
  • I criteri di graduazione: gravità, durata, danno, natura dolosa/colposa, cooperazione, precedenti, misure attenuanti.
  • Si applica il principio del ne bis in idem: una sola sanzione per lo stesso fatto.
  • La procedura è disciplinata dalla L. 689/1981 e dai regolamenti interni del Garante.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. Le sanzioni amministrative pecuniarie sono applicate dal Garante in conformità all’articolo 83 del Regolamento.
Stesso numero, altri codici

Commento

Il sistema sanzionatorio amministrativo privacy

L'art. 166 del Codice Privacy disciplina i criteri di applicazione delle sanzioni amministrative pecuniarie in materia di protezione dei dati personali. Attua nel sistema italiano l'art. 83 GDPR, che ha introdotto un regime sanzionatorio rivoluzionario rispetto al passato: sanzioni che possono arrivare al 4% del fatturato annuo globale del gruppo, una delle più alte del diritto amministrativo europeo. L'obiettivo è il deterrente effettivo contro violazioni di colossi tecnologici e organizzazioni complesse.

Le due fasce sanzionatorie

L'art. 83 GDPR distingue due fasce: a) fascia 2% / 10 milioni di euro per violazioni "meno gravi" (mancato registro, omessa notifica data breach, mancata DPIA, mancata designazione DPO obbligatorio); b) fascia 4% / 20 milioni di euro per violazioni "più gravi" (mancato consenso, violazione dei diritti dell'interessato, trasferimenti extra-UE illegittimi, inosservanza di provvedimenti del Garante). L'art. 166 del Codice ricalca tale distinzione e specifica gli illeciti italiani sanzionabili.

I criteri di graduazione della sanzione

L'art. 83, par. 2, GDPR (richiamato dall'art. 166) impone al Garante di valutare: a) natura, gravità e durata della violazione; b) natura dolosa o colposa; c) misure adottate per attenuare il danno; d) grado di responsabilità del titolare (tenuto conto di misure tecniche e organizzative implementate); e) eventuali precedenti rilevanti; f) grado di cooperazione con il Garante; g) categorie di dati coinvolte; h) modalità con cui il Garante è venuto a conoscenza della violazione (per esempio, autodenuncia); i) rispetto di codici di condotta o certificazioni; j) altre circostanze aggravanti o attenuanti.

L'autodenuncia e la cooperazione

Il criterio della cooperazione è uno dei più rilevanti. Un titolare che: a) notifichi tempestivamente il data breach; b) collabori attivamente nell'istruttoria; c) implementi rimedi celeri; d) compensi gli interessati danneggiati, vede ridotta significativamente la sanzione. Al contrario, l'occultamento, la risposta evasiva, la mancata cooperazione integrano aggravanti. La giurisprudenza del Garante ha sviluppato una casistica articolata su come valutare la cooperazione.

Principio del ne bis in idem

L'art. 166 e l'art. 83, par. 8, GDPR richiamano il principio del ne bis in idem: per lo stesso fatto non può essere irrogata più di una sanzione amministrativa privacy. Il principio non esclude però: a) cumulabilità con sanzioni penali (art. 167 Codice + sanzione amministrativa); b) cumulabilità con sanzioni di altre autorità di settore (Antitrust, AGCOM, Banca d'Italia); c) cumulabilità con responsabilità civile risarcitoria. La giurisprudenza CEDU (sent. Engel) e CGUE (sent. A e B c. Norvegia) ha tracciato i confini.

Procedura sanzionatoria

La procedura segue la L. 689/1981 e il regolamento interno del Garante: a) accertamento e contestazione formale della violazione; b) termine di 60 giorni per presentare memorie difensive; c) audizione del titolare, se richiesta; d) istruttoria del relatore; e) decisione collegiale del Garante; f) notificazione del provvedimento; g) termine di 30 giorni per impugnazione ex art. 152 davanti al Tribunale civile. La motivazione del provvedimento è particolarmente dettagliata, con analisi punto per punto dei criteri dell'art. 83 GDPR.

Casistica: sanzioni record italiane e settori più colpiti

I settori più sanzionati in Italia: a) telecomunicazioni (TIM, Vodafone, WindTre, Iliad: oltre 80 milioni cumulativi); b) energia (Enel, Acea, Edison, Iren: oltre 60 milioni); c) financial services (banche e assicurazioni: 30 milioni); d) tecnologico/social (Meta, Google, TikTok via coordinamento EDPB: oltre 1 miliardo); e) PA e sanità (Regione Lazio, ASL, INPS, INAIL, Comuni: oltre 10 milioni). Tendenza recente: aumento delle sanzioni nel settore HR (controlli su lavoratori), retail (cookie e marketing), AI (ChatGPT, Replika).

Mitigazione del rischio: compliance proattiva

Le organizzazioni virtuose adottano programmi di compliance proattivi: a) DPO interno o esterno con poteri reali; b) registro dei trattamenti aggiornato; c) DPIA per trattamenti ad alto rischio; d) contratti con responsabili (art. 28 GDPR) sottoscritti; e) clausole contrattuali standard per trasferimenti extra-UE post-Schrems II; f) certificazioni ISO 27001, ISO 27701, certificazioni privacy; g) formazione obbligatoria del personale; h) sistemi di audit interno; i) procedure di gestione data breach. La compliance proattiva non solo riduce il rischio sanzionatorio ma può attenuare le sanzioni in caso di violazione (criterio della cooperazione e delle misure adottate, art. 83, par. 2, GDPR).

Prassi e linee guida

Garante per la protezione dei dati personali

Garante per la protezione dei dati personali

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio S.p.A.: data breach con autodenuncia

Tizio S.p.A. subisce data breach di 500.000 record. Notifica entro 72 ore al Garante e agli interessati. Implementa rimedi (cifratura, MFA, audit). Coopera attivamente nell'istruttoria. Il Garante valuta i criteri art. 166: violazione grave (4M+ potenziali), ma cooperazione e autodenuncia attenuano. Sanzione finale 400.000 euro (anziché 2M che sarebbero stati ipotizzabili).

Caso 2: Caia: violazione dolosa e occultata

Caia Srl aveva venduto deliberatamente liste di clienti senza consenso. Tenta di occultare il fatto, fornisce risposte evasive al Garante. Il provv. applica art. 166 con aggravanti: dolo, occultamento, mancata cooperazione, precedenti. Sanzione massima 2,5 milioni di euro.

Caso 3: Sempronio: cumulabilità con altre sanzioni

Sempronio Inc. riceve sanzione del Garante (4M) e contestualmente sanzione AGCOM (2M) per uso illecito di dati nelle telecomunicazioni. Il ne bis in idem non opera tra autorità di settori diversi. Le due sanzioni si cumulano. Sempronio impugna entrambe in sede giurisdizionale.

Caso 4: Commento applicativo

L'art. 166 è la norma cardine del sistema sanzionatorio italiano. La graduazione è dettagliata: cooperazione, autodenuncia, misure compensative sono attenuanti significative. Il dolo, l'occultamento, la mancata cooperazione sono aggravanti. La strategia di compliance proattiva è il miglior investimento per ridurre l'esposizione sanzionatoria.

Domande frequenti

Qual è la sanzione massima per una violazione privacy?

4% del fatturato annuo globale dell'esercizio precedente o 20 milioni di euro (cifra superiore). Riservata alle violazioni più gravi: consenso, diritti dell'interessato, trasferimenti extra-UE, inosservanza provvedimenti.

Come viene graduata la sanzione?

Sulla base dei criteri dell'art. 83, par. 2, GDPR (richiamato dall'art. 166): gravità, durata, dolo/colpa, danno, cooperazione, precedenti, misure adottate, autodenuncia.

L'autodenuncia attenua la sanzione?

Sì significativamente. La notifica tempestiva del data breach, la cooperazione attiva e i rimedi celeri sono criteri attenuanti. Il Garante ha applicato sanzioni anche dell'80% inferiori rispetto al massimo edittale.

Si applica il ne bis in idem?

Sì, ma solo per sanzioni amministrative privacy. Non esclude la cumulabilità con sanzioni penali (art. 167 Codice), sanzioni di altre autorità di settore (Antitrust, AGCOM), responsabilità civile (art. 82 GDPR).

Quale procedura segue il Garante?

L. 689/1981 e regolamento interno: contestazione formale, 60 giorni per memorie, audizione, istruttoria, decisione collegiale motivata. La sanzione è impugnabile entro 30 giorni davanti al Tribunale civile ex art. 152.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.