Il Regolamento Europeo sulla Protezione dei Dati (GDPR), che enterà in vigore il 25 maggio 2018, modifica in modo sostanziale l’apparato sanzionatorio. Sono prevede due tipologie di sanzioni amministrative: sanzione pecuniaria fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per il caso di violazione delle seguenti disposizioni: obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4. Sanzione pecuniaria fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per il caso di violazione delle seguenti disposizioni: principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; diritti degli interessati a norma degli articoli da 12 a 22; trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1. Inoltre, la sanzione fino a 20.000.000 di euro o al 4% del fatturato si applica all’inosservanza di un ordine delle Autorità garanti. Le sanzioni penali saranno, invece, previste dai singoli Stati UE.