1. Ogni autorità di controllo è abilitata a imporre sanzioni amministrative conformemente al presente articolo.
2. La sanzione amministrativa deve essere efficace, proporzionata e dissuasiva. L’ammontare è fissato tenuto debito conto della natura, della gravità e della durata della violazione, del carattere doloso o colposo dell’illecito, del grado di responsabilità della persona fisica o giuridica, delle precedenti violazioni da questa commesse, delle misure e procedure tecniche e organizzative messe in atto ai sensi dell’articolo 23 e del grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione.
3. In caso di prima inosservanza non intenzionale del presente regolamento può essere inviato un avvertimento scritto, senza l’imposizione di sanzioni, qualora:
(a) una persona fisica tratti dati personali senza un interesse commerciale, oppure
(b) un’impresa o un’organizzazione con meno di 250 dipendenti tratti dati personali solo accessoriamente rispetto alle attività principali.
4. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 250 000 EUR o, per le imprese, fino allo 0,5% del fatturato mondiale annuo, a chiunque, con dolo o colpa:
(a) non predispone i meccanismi per consentire all’interessato di presentare richieste o non risponde all’interessato prontamente o nella forma dovuta, in violazione dell’articolo 12, paragrafi 1 e 2;
(b) fa pagare un contributo spese per le informazioni o le risposte alle richieste dell’interessato, in violazione dell’articolo 12, paragrafo 4.
5. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 500 000 EUR o, per le imprese, fino all’1% del fatturato mondiale annuo, a chiunque, con dolo o colpa:
(a) non fornisce le informazioni, fornisce informazioni incomplete o non fornisce le informazioni in modo sufficientemente trasparente All’interessato, in violazione dell’articolo 11, dell’articolo 12, paragrafo 3, e dell’articolo 14;
(b) non dà l’accesso all’interessato o non rettifica i dati personali, in violazione degli articoli 15 e 16, oppure non comunica al destinatario le informazioni pertinenti, in violazione dell’articolo 13,
(c) non rispetta il diritto all’oblio o alla cancellazione, omette di predisporre meccanismi che garantiscano il rispetto dei termini o non prende tutte le misure necessarie per informare i terzi della richiesta dell’interessato di cancellare tutti i link verso i dati personali, copiare tali dati o riprodurli, in violazione dell’articolo 17;
(d) non fornisce copia dei dati personali in formato elettronico oppure impedisce all’interessato di trasmettere i dati personali a un’altra applicazione, in violazione dell’articolo 18;
(e) omette di determinare o non determina in modo sufficiente le rispettive responsabilità dei corresponsabili del trattamento, in violazione dell’articolo 24;
(f) omette di conservare o non conserva in modo sufficiente la documentazione di cui all’articolo 28, all’articolo 31, paragrafo 4, e all’articolo 44, paragrafo 3;
(g) nei casi che non riguardano categorie particolari di dati, non rispetta le norme sulla libertà di espressione o sul trattamento dei dati nei rapporti di lavoro o le Condizioni per il trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica, in violazione degli articoli 80, 82 e 83.
6. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 1 000 000 EUR o, per le imprese, fino al 2% del fatturato mondiale annuo, a chiunque, con dolo o colpa:
(a) tratta dati personali senza una base giuridica o una base giuridica sufficiente a tal fine o non rispetta le condizioni relative al consenso, in violazione degli articoli 6, 7 e 8;
(b) tratta categorie particolari di dati, in violazione degli articoli 9 e 81;
(c) non rispetta il diritto di opposizione o l’obbligo di cui all’articolo 19;
(d) non rispetta le condizioni relative alle misure basate sulla profilazione di cui all’articolo 20;
(e) non adotta politiche interne o non attua misure adeguate per garantire e dimostrare la conformità del trattamento, in violazione degli articoli 22, 23 e 30;
(f) non designa un rappresentante, in violazione dell’articolo 25;
(g) tratta o dà istruzione di trattare dati personali in violazione degli obblighi relativi al trattamento per conto di un responsabile del trattamento di cui agli articoli 26 e 27;
(h) omette di allertare o notificare all’autorità di controllo o all’interessato una violazione di dati personali, oppure non la notifica tempestivamente o integralmente, in violazione degli articoli 31 e 32;
(i) non effettua una valutazione d’impatto sulla protezione dei dati o tratta dati personali senza l’autorizzazione preventiva o la consultazione preventiva dell’autorità di controllo, in violazione degli articoli 33 e 34;
(j) non designa un responsabile della protezione dei dati o non garantisce le condizioni per l’adempimento dei compiti del responsabile della protezione dei dati, in violazione degli articoli 35, 36 e 37;
(k) fa un uso illecito di un sigillo o marchio di protezione dei dati di cui all’articolo 39;
(l) effettua o dà istruzione di effettuare un trasferimento di dati verso un paese terzo o un’organizzazione internazionale senza che tale trasferimento sia stato autorizzato da una decisione di adeguatezza, senza offrire garanzie adeguate o senza che il trasferimento sia previsto da una deroga, in violazione degli articoli da 40 a 44;
(m) non si conforma a un ordine, a un divieto provvisorio o definitivo di trattamento o a un ordine di sospensione dei flussi di dati dell’autorità di controllo, di cui all’articolo 53, paragrafo 1;
(n) non si conforma all’obbligo di prestare assistenza, rispondere o fornire informazioni utili o l’accesso ai locali all’autorità di controllo, in violazione dell’articolo 28, paragrafo 3, dell’articolo 29, dell’articolo 34, paragrafo 6, o dell’articolo 53, paragrafo 2;
(o) non si conforma alle norme di salvaguardia del segreto professionale di cui all’articolo 84. 7. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di aggiornare l’importo delle sanzioni amministrative pecuniarie di cui ai paragrafi 4, 5 e 6, tenuto conto dei criteri di cui al paragrafo 2.
