Come si irrogano le sanzioni GDPR

Tra i poteri del Garante rientra quello di infliggere una sanzione amministrativa pecuniaria, ai sensi dell'art. 58, par. 2, lett. i) GDPR. Le condizioni generali che devono essere rispettate in questo ambito sono precisate dal successivo art. 83 GDPR: in particolare al comma 1 di questa norma è disposto che tali sanzioni debbano essere “in ogni singolo caso effettive, proporzionate e dissuasive”. Nella stessa disposizione di forniscono i criteri per la quantificazione dell'importo della sanzione. Le garanzie procedimentali sono affidate al diritto interno.

Se ne occupa in primo luogo l'art. 166 Codice privacy (d.lgs. n. 196/2003), che detta ulteriori criteri di applicazione, regola in parte il procedimento e fa rinvio per il resto alla disciplina generale delle sanzioni amministrative contenute nella l. n. 689/1981.

In generale il corretto procedimento sanzionatorio richiede che si rispetti il diritto di difesa dell'incolpato, dando piena trasparenza alle risultanze istruttorie, consentendo la produzione di documenti e scritti difensivi e, se richiesta, la diretta audizione.

Quanto alle garanzie rispetto al provvedimento sanzionatorio finale va ricordato che, ai sensi dell'art. 78 GDPR, nonché degli artt. 152 Codice privacy e 10 d.lgs. n. 150/2011, avverso di esso può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10 cit., entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.