Le violazioni che comportano l’ applicazione di sanzioni amministrative e pecuniarie possono essere divise in due categorie, a seconda della loro gravità.

Alla prima categoria corrispondono sanzioni pecuniarie fino a 10 Mln € e sanzioni amministrative fino al 2% del fatturato mondiale della società. I casi in cui si applicano sono:
A) mancata valutazione d’impatto DPIA;
B) omessa consultazione preventiva dell’ Autorità di Controllo;
C) omessa notifica Data Breach;
D) violazione dell’ obbligo di tenuta del Registro dei Trattamenti;
E) violazione degli obblighi collegati alla figura del D.P.O/ R.P.D.;
F) violazione degli obblighi dell’ Organismo di Certificazione;
G) violazione degli obblighi dell’ Organismo di Controllo.

Alla seconda categoria, invece, corrispondono sanzioni pecuniarie fino a 20 Mln € e sanzioni amministrative fino al 4% del fatturato mondiale della società. I casi in cui si applicano sono:
A) violazione degli obblighi che riguardano i principi di base del trattamento e le condizioni relative al consenso;
B) violazione dei diritti degli interessati ;
C) violazione degli obblighi inerenti il trasferimento di dati personali ad un destinatario di un Paese Terzo o un’organizzazione internazionale;
D) l’inosservaziona di un’ordine emanato dal Garante per la protezione dei dati personali;
E) violazioni delle disposizioni relative a specifiche situaizoni di trattamento