Skip to main content
Logo della Commissione europea
AI Act Service Desk

AI Act Explorer

  • Capo XII: Sanzioni

Articolo 100: Sanzioni amministrative pecuniarie inflitte a istituzioni, organi e organismi dell'Unione

1.   Il Garante europeo della protezione dei dati può infliggere sanzioni amministrative pecuniarie alle istituzioni, agli organi e agli organismi dell'Unione che rientrano nell'ambito di applicazione del presente regolamento. Nel decidere se infliggere una sanzione amministrativa pecuniaria e nel determinarne l'importo in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e si tiene quanto segue in debita considerazione:

a)la natura, la gravità e la durata della violazione e delle sue conseguenze, tenendo in considerazione la finalità del sistema di IA interessato, nonché se del caso, il numero di persone interessate e il livello del danno da esse subito;
b)il grado di responsabilità dell'istituzione, dell'organo o dell'organismo dell'Unione, tenendo conto delle misure tecniche e organizzative da essi attuate;
c)qualsiasi azione intrapresa dall'istituzione, dall'organo o dall'organismo dell'Unione per attenuare il danno subito dalle persone interessate;
d)il grado di cooperazione con il Garante europeo della protezione dei dati al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, compreso il rispetto delle misure precedentemente disposte dal Garante europeo della protezione dei dati nei confronti dell'istituzione, dell'organo o dell'organismo dell'Unione interessato in relazione allo stesso tema;
e)eventuali precedenti violazioni analoghe commesse dall'istituzione, dall'organo o dall'organismo dell'Unione;
f)il modo in cui il Garante europeo della protezione dei dati è venuto a conoscenza della violazione, in particolare se e in che misura è stata notificata dall'istituzione, dall'organo o dall'organismo dell'Unione;
g)il bilancio annuale dell'istituzione, dell'organo o dell'organismo dell'Unione.

2.   La non conformità al divieto delle pratiche di IA di cui all'articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 1 500 000 EUR.

3.   La non conformità del sistema di IA ai requisiti o agli obblighi a norma del presente regolamento, diversi da quelli previsti all'articolo 5, è soggetta a sanzioni amministrative pecuniarie fino a 750 000 EUR.

4.   Prima di adottare qualsiasi decisione a norma del presente articolo, il Garante europeo della protezione dei dati dà all'istituzione, all'organo o all'organismo dell'Unione oggetto del procedimento avviato dal Garante europeo della protezione dei dati l'opportunità di esprimersi in merito all'eventuale violazione. Il Garante europeo della protezione dei dati basa le sue decisioni solo sugli elementi e le circostanze in merito ai quali le parti interessate sono state poste in condizione di esprimersi. Gli eventuali ricorrenti sono strettamente associati al procedimento.

5.   Nel corso del procedimento sono pienamente garantiti i diritti di difesa delle parti interessate. Esse hanno diritto d'accesso al fascicolo del Garante europeo della protezione dei dati, fermo restando l'interesse legittimo delle persone fisiche o delle imprese alla tutela dei propri dati personali o segreti aziendali.

6.   I fondi raccolti mediante l'imposizione di sanzioni pecuniarie in forza del presente articolo contribuiscono al bilancio generale dell'Unione. Le sanzioni pecuniarie non pregiudicano l'effettivo funzionamento dell'istituzione, dell'organo o dell'organismo dell'Unione sanzionato.

7.   Il Garante europeo della protezione dei dati notifica annualmente alla Commissione le sanzioni amministrative pecuniarie da esso inflitte a norma del presente articolo e qualsiasi controversia o procedimento giudiziario che ha avviato.

Considerazioni pertinenti