Vai al contenuto

CAPO XII — Sanzioni

Articolo 99

  1. In conformità dei termini e delle condizioni di cui al presente regolamento, gli Stati membri stabiliscono le norme relative alle sanzioni e alle altre misure di esecuzione, che possono includere anche avvertimenti e misure non pecuniarie, applicabili in caso di violazione del presente regolamento da parte degli operatori, e adottano tutte le misure necessarie per garantirne un'attuazione corretta ed efficace, tenendo conto degli orientamenti emanati dalla Commissione a norma dell'articolo 96. Le sanzioni previste sono effettive, proporzionate e dissuasive. Esse tengono conto degli interessi delle PMI, comprese le start-up, e della loro sostenibilità economica.

  2. Gli Stati membri notificano alla Commissione, senza indugio e al più tardi entro la data di entrata in applicazione, le norme relative alle sanzioni e le altre misure di esecuzione di cui al paragrafo 1, e provvedono poi a dare immediata notifica delle eventuali modifiche successive.

  3. La non conformità al divieto delle pratiche di IA di cui all'articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 35 000 000 EUR o, se l'autore del reato è un'impresa, fino al 7 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

  4. La non conformità a qualsiasi delle seguenti disposizioni connesse a operatori o organismi notificati, diverse da quelle di cui all'articolo 5, è soggetta a sanzioni amministrative pecuniarie fino a 15 000 000 EUR o, se l'autore del reato è un'impresa, fino al 3 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

    a) gli obblighi dei fornitori a norma dell'articolo 16;

    b) gli obblighi dei rappresentati autorizzati a norma dell'articolo 22;

    c) gli obblighi degli importatori a norma dell'articolo 23;

    d) gli obblighi dei distributori a norma dell'articolo 24;

    e) gli obblighi dei deployer a norma dell'articolo 26;

    f) i requisiti e gli obblighi degli organismi notificati a norma dell'articolo 31, dell'articolo 33, paragrafi 1, 3 e 4, o dell'articolo 34;

    g) gli obblighi di trasparenza per i fornitori e i deployers a norma dell'articolo 50.

  5. La fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali competenti per dare seguito a una richiesta è soggetta a sanzioni amministrative pecuniarie fino a 7 500 000 EUR o, se l'autore del reato è un'impresa, fino all'1 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

  6. Nel caso delle PMI, comprese le start-up, ciascuna sanzione pecuniaria di cui al presente articolo è pari al massimo alle percentuali o all'importo di cui ai paragrafi 3, 4 e 5, se inferiore.

  7. Nel decidere se infliggere una sanzione amministrativa pecuniaria e nel determinarne l'importo in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e, se del caso, si tiene in considerazione quanto segue:

    a) la natura, la gravità e la durata della violazione e delle sue conseguenze, tenendo in considerazione la finalità del sistema di IA, nonché, ove opportuno, il numero di persone interessate e il livello del danno da esse subito;

    b) se altre autorità di vigilanza del mercato hanno già applicato sanzioni amministrative pecuniarie allo stesso operatore per la stessa violazione;

    c) se altre autorità hanno già applicato sanzioni amministrative pecuniarie allo stesso operatore per violazioni di altre disposizioni del diritto dell'Unione o nazionale, qualora tali violazioni derivino dalla stessa attività o omissione che costituisce una violazione pertinente del presente regolamento;

    d) le dimensioni, il fatturato annuo e la quota di mercato dell'operatore che ha commesso la violazione;

    e) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione;

    f) il grado di cooperazione con le autorità nazionali competenti al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

    g) il grado di responsabilità dell'operatore tenendo conto delle misure tecniche e organizzative attuate;

    h) il modo in cui le autorità nazionali competenti sono venute a conoscenza della violazione, in particolare se e in che misura è stata notificata dall'operatore;

    i) il carattere doloso o colposo della violazione;

    j) l'eventuale azione intrapresa dall'operatore per attenuare il danno subito dalle persone interessate.

  8. Ciascuno Stato membro può prevedere norme che dispongano in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

  9. A seconda dell'ordinamento giuridico degli Stati membri, le norme in materia di sanzioni amministrative pecuniarie possono essere applicate in modo tale che le sanzioni pecuniarie siano inflitte dalle autorità giudiziarie nazionali competenti o da altri organismi, quali applicabili in tali Stati membri. L'applicazione di tali norme in tali Stati membri ha effetto equivalente.

  10. L'esercizio dei poteri attribuiti dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell'Unione e nazionale, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

  11. Gli Stati membri riferiscono annualmente alla Commissione in merito alle sanzioni amministrative pecuniarie inflitte nel corso dell'anno, in conformità del presente articolo, e a eventuali controversie o procedimenti giudiziari correlati.

Articolo 100

  1. Il Garante europeo della protezione dei dati può infliggere sanzioni amministrative pecuniarie alle istituzioni, agli organi e agli organismi dell'Unione che rientrano nell'ambito di applicazione del presente regolamento. Nel decidere se infliggere una sanzione amministrativa pecuniaria e nel determinarne l'importo in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e si tiene quanto segue in debita considerazione:

    a) la natura, la gravità e la durata della violazione e delle sue conseguenze, tenendo in considerazione la finalità del sistema di IA interessato, nonché se del caso, il numero di persone interessate e il livello del danno da esse subito;

    b) il grado di responsabilità dell'istituzione, dell'organo o dell'organismo dell'Unione, tenendo conto delle misure tecniche e organizzative da essi attuate;

    c) qualsiasi azione intrapresa dall'istituzione, dall'organo o dall'organismo dell'Unione per attenuare il danno subito dalle persone interessate;

    d) il grado di cooperazione con il Garante europeo della protezione dei dati al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, compreso il rispetto delle misure precedentemente disposte dal Garante europeo della protezione dei dati nei confronti dell'istituzione, dell'organo o dell'organismo dell'Unione interessato in relazione allo stesso tema;

    e) eventuali precedenti violazioni analoghe commesse dall'istituzione, dall'organo o dall'organismo dell'Unione;

    f) il modo in cui il Garante europeo della protezione dei dati è venuto a conoscenza della violazione, in particolare se e in che misura è stata notificata dall'istituzione, dall'organo o dall'organismo dell'Unione;

    g) il bilancio annuale dell'istituzione, dell'organo o dell'organismo dell'Unione.

  2. La non conformità al divieto delle pratiche di IA di cui all'articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 1 500 000 EUR.

  3. La non conformità del sistema di IA ai requisiti o agli obblighi a norma del presente regolamento, diversi da quelli previsti all'articolo 5, è soggetta a sanzioni amministrative pecuniarie fino a 750 000 EUR.

  4. Prima di adottare qualsiasi decisione a norma del presente articolo, il Garante europeo della protezione dei dati dà all'istituzione, all'organo o all'organismo dell'Unione oggetto del procedimento avviato dal Garante europeo della protezione dei dati l'opportunità di esprimersi in merito all'eventuale violazione. Il Garante europeo della protezione dei dati basa le sue decisioni solo sugli elementi e le circostanze in merito ai quali le parti interessate sono state poste in condizione di esprimersi. Gli eventuali ricorrenti sono strettamente associati al procedimento.

  5. Nel corso del procedimento sono pienamente garantiti i diritti di difesa delle parti interessate. Esse hanno diritto d'accesso al fascicolo del Garante europeo della protezione dei dati, fermo restando l'interesse legittimo delle persone fisiche o delle imprese alla tutela dei propri dati personali o segreti aziendali.

  6. I fondi raccolti mediante l'imposizione di sanzioni pecuniarie in forza del presente articolo contribuiscono al bilancio generale dell'Unione. Le sanzioni pecuniarie non pregiudicano l'effettivo funzionamento dell'istituzione, dell'organo o dell'organismo dell'Unione sanzionato.

  7. Il Garante europeo della protezione dei dati notifica annualmente alla Commissione le sanzioni amministrative pecuniarie da esso inflitte a norma del presente articolo e qualsiasi controversia o procedimento giudiziario che ha avviato.

Articolo 101

  1. La Commissione può infliggere ai fornitori di modelli di IA per finalità generali sanzioni pecuniarie non superiori al 3 % del fatturato mondiale annuo totale dell'esercizio precedente o a 15 000 000 EUR, se superiore, ove essa rilevi che il fornitore, intenzionalmente o per negligenza:

    a) ha violato le pertinenti disposizioni del presente regolamento;

    b) non ha ottemperato a una richiesta di documento o di informazioni a norma dell'articolo 91 o ha fornito informazioni inesatte, incomplete o fuorvianti;

    c) non ha ottemperato a una misura richiesta a norma dell'articolo 93;

    d) non ha messo a disposizione della Commissione l'accesso al modello di IA per finalità generali o al modello di IA per finalità generali con rischio sistemico al fine di effettuare una valutazione a norma dell'articolo 92.

    Nel determinare l'importo della sanzione pecuniaria o della penalità di mora, si tengono in considerazione la natura, la gravità e la durata della violazione, tenendo debitamente conto dei principi di proporzionalità e di adeguatezza. La Commissione tiene conto anche degli impegni assunti in conformità dell'articolo 93, paragrafo 3, o assunti nei pertinenti codici di condotta in conformità dell'articolo 56.

  2. Prima di adottare la decisione a norma del paragrafo 1, la Commissione comunica le sue constatazioni preliminari al fornitore del modello di IA per finalità generali o del modello di IA e gli dà l'opportunità di essere ascoltato.

  3. Le sanzioni pecuniarie inflitte in conformità del presente articolo sono effettive, proporzionate e dissuasive.

  4. Le informazioni in merito alle sanzioni pecuniarie inflitte a norma del presente articolo sono altresì comunicate al consiglio per l'IA, se del caso.

  5. La Corte di giustizia dell'Unione europea ha competenza giurisdizionale anche di merito per esaminare le decisioni mediante le quali la Commissione ha fissato una sanzione pecuniaria a norma del presente articolo. Essa può estinguere, ridurre o aumentare la sanzione pecuniaria inflitta.

  6. La Commissione adotta atti di esecuzione contenenti modalità dettagliate per i procedimenti e garanzie procedurali in vista dell'eventuale adozione di decisioni a norma del paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.