Quella del 2019 sarà ricordata come una “calda” estate, in cui il termometro delle sanzioni – tra annunciate e comminate – sulla base del Regolamento (UE) 2016/679 (il “Regolamento” o “GDPR”) ha superato la vertiginosa quota 380 (mln di Euro), dando avvio a una nuova stagione della privacy. Passando in rassegna da ovest a est i principali provvedimenti dalle supervisory authority di pressoché tutti gli Stati membri – con particolare attenzione ai monster cases verificatisi in Francia e Regno Unito e ad alcuni dei casi che hanno impegnato il nostro Garante per la protezione dei dati personali – il presente contributo intende offrire una panoramica per quanto più possibile aggiornata dell’attività sanzionatoria e dell’approccio fatto proprio dalle diverse autorità di controllo nell’applicare i principi previsti dal GDPR, facendo emergere come a distanza di 15 mesi dalla sua piena applicabilità sia arrivata ormai l’ora per le aziende – a prescindere dall’industry di riferimento – di “fare i conti” con quello che è stato il proprio percorso di adeguamento. Le vicende degli ultimi mesi sono infatti una chiara dimostrazione dell’intenzione delle autorità garanti di volersi avvalere degli incisivi poteri riconosciuti loro dal GDPR e devono fungere da monito per chi pensava che quella della protezione dei dati personali sarebbe stata una partita giocata solo tra supervisory authorities, da un lato, e giganti tecnologici o mostri sacri delle telecomunicazioni, dall’altro.