In sintesi
- L'art. 83 GDPR disciplina le sanzioni amministrative pecuniarie.
- Principio: effettive, proporzionate, dissuasive (par. 1).
- Criteri (par. 2): gravità, durata, intenzionalità, danno, cooperazione, ecc.
- Prima fascia (par. 4): fino a 10 mln € o 2% fatturato.
- Seconda fascia (par. 5): fino a 20 mln € o 4% fatturato (principi, diritti, trasferimenti).
- SM possono modulare per PA (par. 7); in Italia art. 166 D.Lgs. 196/2003.
Testo dell'articoloVigente
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 83 del Regolamento (UE) 2016/679 (GDPR) — Condizioni generali per infliggere sanzioni amministrative pecuniarie.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Stesso numero, altri codici
- Art. 83 Reg. (UE) 2024/1689 — Non conformità formale
- Art. 83 Cod. Amb. — acque di balneazione
- Art. 83 D.Lgs. 159/2011 — Ambito di applicazione della documentazione antimafia
- Art. 83 D.Lgs. 209/2005 — Articolo abrogato
- Art. 83 D.Lgs. 42/2004 — Destinazione del bene restituito
- Art. 83 CAD — Articolo abrogato
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Le sanzioni come strumento di enforcement
L'art. 83 GDPR disciplina le sanzioni amministrative pecuniarie inflitte dalle Autorità di controllo. È il principale strumento di enforcement del GDPR: l'efficacia del Regolamento dipende dalla capacità dissuasiva delle sanzioni. Il par. 1 fissa il principio cardine: le sanzioni sono effettive, proporzionate e dissuasive. La giurisprudenza dei Garanti europei e della CGUE ha sviluppato un corpo significativo di criteri quantitativi.
Criteri di quantificazione (par. 2)
Il par. 2 elenca i criteri di quantificazione: natura, gravità e durata della violazione, numero di interessati colpiti, livello del danno; carattere intenzionale o negligente; misure adottate dal titolare/responsabile per attenuare il danno; grado di responsabilità del titolare/responsabile; eventuali precedenti violazioni; grado di cooperazione con l'Autorità; categorie di dati interessate; modalità con cui l'Autorità ha avuto conoscenza; aderenza a codici di condotta o meccanismi di certificazione approvati; ogni altro elemento aggravante/attenuante.
Massimali sanzionatori (par. 4-6)
Il par. 4 prevede la prima fascia: sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del totale del fatturato mondiale annuo dell'esercizio precedente, se superiore. Si applica a violazioni di articoli specifici: artt. 8, 11, 25-39, 42, 43. Sono regole tecnico-organizzative: privacy by design, registri, sicurezza, breach, DPO, certificazioni, ecc.
Sanzioni per fascia di gravità
Il par. 5 prevede la seconda fascia: sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del totale del fatturato mondiale annuo dell'esercizio precedente, se superiore. Si applica a violazioni di articoli più gravi: artt. 5, 6, 7, 9 (principi e basi giuridiche), 12-22 (diritti dell'interessato), 44-49 (trasferimenti), inosservanza di ingiunzioni dell'Autorità ex art. 58. Sono violazioni dei diritti fondamentali e della trasparenza.
Sanzioni alle PA
Il par. 7 prevede facoltà SM di stabilire regime sanzioni per autorità pubbliche e organismi pubblici. La regola riflette la sensibilità di sanzionare entità pubbliche con sanzioni pecuniarie. In Italia, l'art. 166 D.Lgs. 196/2003 disciplina le sanzioni del Garante, distinguendo tra privati e PA. Per la PA, le sanzioni possono essere applicate ma con criteri specifici (impatto su servizio pubblico, fonti di finanziamento).
Effettività, proporzionalità, dissuasività
L'effettività, proporzionalità, dissuasività sono i criteri-guida (par. 1). La giurisprudenza ha sviluppato una pratica internazionale: sanzioni a Meta (1,2 mld €), Amazon (746 mln €), TikTok (345 mln €), Google (varie). Le sanzioni sono pubbliche e generano effetti dissuasivi sistemici. In Italia, sanzioni significative al settore telco, marketing, sanità, PA. La tendenza è di aumento, con focalizzazione su settori critici.
Regola pratica e checklist operativa
Compliance art. 83: (i) gap analysis per identificare aree di rischio; (ii) framework di accountability robusto; (iii) breach response efficace; (iv) certificazioni e codici come attenuanti; (v) cooperazione attiva con il Garante; (vi) assicurazione privacy. Le sanzioni hanno effetto dissuasivo sistemico.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Prassi e linee guida
Garante per la protezione dei dati personali
Garante per la protezione dei dati personali
Leggi il documento su www.garanteprivacy.itCasi pratici
Caso 1: Tizio: marketing senza consenso
Tizio, titolare, fa marketing senza consenso. Violazione art. 6 (base giuridica): fascia 4% del fatturato. Garante valuta criteri par. 2 e impone sanzione.
Caso 2: Caio: PMI senza registro
Caio, PMI, omette registro art. 30. Violazione tecnica: fascia 2% del fatturato (art. 83, par. 4). Cooperazione attiva attenua.
Caso 3: Sempronio: data breach grave
Sempronio, gruppo, ha breach con esfiltrazione massiva non gestita. Multiple violazioni (artt. 32, 33, 34): cumulo possibile. Sanzione fino al 4% del fatturato.
Caso 4: Commento applicativo
L'art. 83 è la spada di Damocle. Sanzioni miliardarie sono ormai realtà. Cooperazione, misure correttive, certificazioni attenuano. Inazione aggrava.
Domande frequenti
Quali fasce di sanzione?
Prima (par. 4): fino a 10 mln € o 2% del fatturato per violazioni tecnico-organizzative. Seconda (par. 5): fino a 20 mln € o 4% per principi, diritti, trasferimenti, ingiunzioni.
Quali criteri di quantificazione?
Par. 2: gravità, durata, danno, intenzionalità, misure attenuative, cooperazione, precedenti, categoria di dati, modalità di conoscenza, aderenza a codici/certificazioni.
Le PA sono sanzionate?
Dipende dal diritto SM (par. 7). In Italia (art. 166 D.Lgs. 196/2003) sì, con criteri specifici. Sanzioni applicate ma valutando impatto su servizio pubblico.
Posso ridurre la sanzione?
Sì, attraverso: cooperazione tempestiva, misure correttive immediate, certificazioni e codici, assenza di precedenti, dolo non grave. Criteri attenuanti del par. 2.
Cosa rischio se non pago?
Esecuzione coatta secondo procedure SM. In Italia, riscossione tramite AdE-Riscossione. Possibili interessi e maggiorazioni. Impugnazione presso Tribunale di Roma.
Vedi anche