L'impianto sanzionatorio in materia di trattamento dati personali è regolato dall'articolo 83 del GDPR. Si tratta, sostanzialmente, di sanzioni più gravose rispetto a quelle previste dal Codice Privacy.
Tale impianto demanda all'autorità di controllo la possibilità di fissare l'importo effettivo della sanzione, sulla base dell'effettiva violazione commessa, stabilendo così dei parametri cui l'autorità di controllo deve fare riferimento per comminare l'effettivo importo della sanzione.

Sostanzialmente, l'autorità di controllo dovrà tenere conto della natura, gravità, durata della violazione, considerando la natura, l'oggetto e la finalità del trattamento in questione, oltre a diversi altri parametri.

Queste sanzioni possono essere comminate, sia in aggiunta che in sostituzione di altre misure di tipo interdittivo, sospensivo o monitorio previste dal Regolamento 679/2016.