Muovendo dalla premessa secondo cui “[u]na delle innovazioni più importanti del GDPR è in vero costituita dalla maggiore accuratezza del sistema sanzionatorio, ed è stato lo stesso GDPR – coi criteri imposti dall’art. 83 – a porre un argine alla discrezionalità delle Autorità garanti per i dati personali ai fini della determinazione delle sanzioni da comminare in concreto”, con la pronuncia in oggetto i giudici di legittimità hanno evidenziato che: (i) l’art. 83 del GDPR prevede e disciplina le condizioni generali per infliggere sanzioni amministrative pecuniarie stabilendo una regola preliminare imputata alla rilevanza del caso singolo, sicché ogni autorità di controllo deve provvedere affinché le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del regolamento siano “in ogni singolo caso” effettive, proporzionate e dissuasive; (ii) in caso di violazione, con dolo o colpa, di varie disposizioni del GDPR rispetto allo stesso trattamento o a trattamenti collegati, il totale della sanzione non deve superare “l’importo specificato per la violazione più grave”, e in questa prospettiva, ai fini dell’art. 83, il GDPR stabilisce due tipologie di sanzioni amministrative pecuniarie, entrambe innanzi tutto determinate in una somma variabile fino a [un importo] massimo […] a seconda che vi sia stata una delle violazioni enumerate al par. 4 o una di quelle enumerate al par. 5; in entrambe le condizioni è prevista alternativamente, per il caso di imprese, una sanzione proporzionale […], ma solo “se superiore” rispetto alla sanzione edittale variabile entro il massimo assoluto; ne segue che il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta.