Il GDPR inasprisce le sanzioni amministrative pecuniarie stabilendo un tetto massimo significativamente più elevato di quello fino ad oggi previsto.
Per le violazioni degli obblighi del titolare e del responsabile, in particolare degli articoli 25 (privacy by design/by default) e 32 (sicurezza), la sanzione prevista può arrivare fino ad un massimo di 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le sanzioni possono invece arrivare a 20 milioni di euro o al 4% del fatturato, sempre se superiore, in caso, ad esempio, di violazioni dei principi fondamentali in materia di protezione dei dati personali, dei diritti dell’interessato e per l’inosservanza degli ordini dell’autorità di controllo o degli obblighi emanati dagli Stati membri a norma del GDPR.
Il Regolamento, pur lasciando agli Stati membri la possibilità di prevedere sanzioni penali, precisa che l’irrogazione delle stesse non deve essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia Ue, che vieta un sistema a doppia sanzione e a doppio processo.