← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 24 Aprile 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Prassi e linee guida
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
  • L'art. 83 GDPR disciplina le sanzioni amministrative pecuniarie.
  • Principio: effettive, proporzionate, dissuasive (par. 1).
  • Criteri (par. 2): gravità, durata, intenzionalità, danno, cooperazione, ecc.
  • Prima fascia (par. 4): fino a 10 mln € o 2% fatturato.
  • Seconda fascia (par. 5): fino a 20 mln € o 4% fatturato (principi, diritti, trasferimenti).
  • SM possono modulare per PA (par. 7); in Italia art. 166 D.Lgs. 196/2003.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 83 del Regolamento (UE) 2016/679 (GDPR) — Condizioni generali per infliggere sanzioni amministrative pecuniarie.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Stesso numero, altri codici

Commento

Le sanzioni come strumento di enforcement

L'art. 83 GDPR disciplina le sanzioni amministrative pecuniarie inflitte dalle Autorità di controllo. È il principale strumento di enforcement del GDPR: l'efficacia del Regolamento dipende dalla capacità dissuasiva delle sanzioni. Il par. 1 fissa il principio cardine: le sanzioni sono effettive, proporzionate e dissuasive. La giurisprudenza dei Garanti europei e della CGUE ha sviluppato un corpo significativo di criteri quantitativi.

Criteri di quantificazione (par. 2)

Il par. 2 elenca i criteri di quantificazione: natura, gravità e durata della violazione, numero di interessati colpiti, livello del danno; carattere intenzionale o negligente; misure adottate dal titolare/responsabile per attenuare il danno; grado di responsabilità del titolare/responsabile; eventuali precedenti violazioni; grado di cooperazione con l'Autorità; categorie di dati interessate; modalità con cui l'Autorità ha avuto conoscenza; aderenza a codici di condotta o meccanismi di certificazione approvati; ogni altro elemento aggravante/attenuante.

Massimali sanzionatori (par. 4-6)

Il par. 4 prevede la prima fascia: sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del totale del fatturato mondiale annuo dell'esercizio precedente, se superiore. Si applica a violazioni di articoli specifici: artt. 8, 11, 25-39, 42, 43. Sono regole tecnico-organizzative: privacy by design, registri, sicurezza, breach, DPO, certificazioni, ecc.

Sanzioni per fascia di gravità

Il par. 5 prevede la seconda fascia: sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del totale del fatturato mondiale annuo dell'esercizio precedente, se superiore. Si applica a violazioni di articoli più gravi: artt. 5, 6, 7, 9 (principi e basi giuridiche), 12-22 (diritti dell'interessato), 44-49 (trasferimenti), inosservanza di ingiunzioni dell'Autorità ex art. 58. Sono violazioni dei diritti fondamentali e della trasparenza.

Sanzioni alle PA

Il par. 7 prevede facoltà SM di stabilire regime sanzioni per autorità pubbliche e organismi pubblici. La regola riflette la sensibilità di sanzionare entità pubbliche con sanzioni pecuniarie. In Italia, l'art. 166 D.Lgs. 196/2003 disciplina le sanzioni del Garante, distinguendo tra privati e PA. Per la PA, le sanzioni possono essere applicate ma con criteri specifici (impatto su servizio pubblico, fonti di finanziamento).

Effettività, proporzionalità, dissuasività

L'effettività, proporzionalità, dissuasività sono i criteri-guida (par. 1). La giurisprudenza ha sviluppato una pratica internazionale: sanzioni a Meta (1,2 mld €), Amazon (746 mln €), TikTok (345 mln €), Google (varie). Le sanzioni sono pubbliche e generano effetti dissuasivi sistemici. In Italia, sanzioni significative al settore telco, marketing, sanità, PA. La tendenza è di aumento, con focalizzazione su settori critici.

Regola pratica e checklist operativa

Compliance art. 83: (i) gap analysis per identificare aree di rischio; (ii) framework di accountability robusto; (iii) breach response efficace; (iv) certificazioni e codici come attenuanti; (v) cooperazione attiva con il Garante; (vi) assicurazione privacy. Le sanzioni hanno effetto dissuasivo sistemico.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Prassi e linee guida

Garante per la protezione dei dati personali

Garante per la protezione dei dati personali

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio: marketing senza consenso

Tizio, titolare, fa marketing senza consenso. Violazione art. 6 (base giuridica): fascia 4% del fatturato. Garante valuta criteri par. 2 e impone sanzione.

Caso 2: Caio: PMI senza registro

Caio, PMI, omette registro art. 30. Violazione tecnica: fascia 2% del fatturato (art. 83, par. 4). Cooperazione attiva attenua.

Caso 3: Sempronio: data breach grave

Sempronio, gruppo, ha breach con esfiltrazione massiva non gestita. Multiple violazioni (artt. 32, 33, 34): cumulo possibile. Sanzione fino al 4% del fatturato.

Caso 4: Commento applicativo

L'art. 83 è la spada di Damocle. Sanzioni miliardarie sono ormai realtà. Cooperazione, misure correttive, certificazioni attenuano. Inazione aggrava.

Domande frequenti

Quali fasce di sanzione?

Prima (par. 4): fino a 10 mln € o 2% del fatturato per violazioni tecnico-organizzative. Seconda (par. 5): fino a 20 mln € o 4% per principi, diritti, trasferimenti, ingiunzioni.

Quali criteri di quantificazione?

Par. 2: gravità, durata, danno, intenzionalità, misure attenuative, cooperazione, precedenti, categoria di dati, modalità di conoscenza, aderenza a codici/certificazioni.

Le PA sono sanzionate?

Dipende dal diritto SM (par. 7). In Italia (art. 166 D.Lgs. 196/2003) sì, con criteri specifici. Sanzioni applicate ma valutando impatto su servizio pubblico.

Posso ridurre la sanzione?

Sì, attraverso: cooperazione tempestiva, misure correttive immediate, certificazioni e codici, assenza di precedenti, dolo non grave. Criteri attenuanti del par. 2.

Cosa rischio se non pago?

Esecuzione coatta secondo procedure SM. In Italia, riscossione tramite AdE-Riscossione. Possibili interessi e maggiorazioni. Impugnazione presso Tribunale di Roma.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.