La pubblicazione online di documenti giudiziari può trasformarsi in un rischio legale quando coinvolge dati personali non adeguatamente protetti. Ciò emerge dalla recente decisione del Garante per la protezione dei dati personali, che riporta al centro del dibattito il delicato equilibrio tra trasparenza, comunicazione aziendale e diritto alla riservatezza. 

Una sanzione di 96.000 euro è stata irrogata nei confronti di Eni S.p.A. per aver pubblicato sul proprio sito l’atto di citazione relativo a un contenzioso climatico promosso nel 2023 da Greenpeace, ReCommon e dodici individui. 

Il documento era accessibile online senza alcun oscuramento e riportava diverse categorie di dati personali ai sensi dell’art. 4, par. 1, del Regolamento (UE) 2016/679, tra cui nominativi, date e luoghi di nascita, codici fiscali e indirizzi di residenza. A seguito della pubblicazione, gli interessati hanno presentato una segnalazione al Garante, denunciando la violazione della normativa in materia di protezione dei dati.

Nel corso del procedimento, Eni ha sostenuto che la pubblicazione fosse giustificata dal legittimo interesse (art. 6, par. 1, lett. f) GDPR), ritenendola necessaria per difendere la propria reputazione e fornire una rappresentazione trasparente dei fatti in risposta alla campagna mediatica legata al contenzioso, sottolineando anche che parte delle informazioni era già di dominio pubblico. Tuttavia, l’istruttoria ha evidenziato come la diffusione integrale dell’atto non fosse strettamente necessaria rispetto a tali finalità, che avrebbero potuto essere perseguite con modalità meno invasive, ad esempio mediante l’oscuramento dei dati personali.

Nel respingere le argomentazioni della società, l’Autorità ha ribadito che il ricorso al legittimo interesse richiede la presenza congiunta di tre condizioni: un interesse effettivo, la necessità del trattamento e un adeguato bilanciamento con i diritti e le libertà degli interessati. In questo caso, il requisito della necessità è stato escluso, anche alla luce del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), GDPR. È stato inoltre attribuito rilievo alle ragionevoli aspettative degli interessati, i quali, pur avendo reso pubblici i propri nominativi, non potevano prevedere la diffusione online di ulteriori dati identificativi e riservati.

Nel determinare l’ammontare della sanzione, il Garante ha tenuto conto di diversi fattori, tra cui l’assenza di una valida base giuridica, la durata della diffusione, il numero limitato di soggetti coinvolti e la natura dei dati trattati, ma anche elementi attenuanti quali la cooperazione della società e le misure correttive adottate tempestivamente per conformare il trattamento al GDPR.

Il caso evidenzia, inoltre, i rischi connessi a forme di “trasparenza totale” non selettiva. Come sottolineato in dottrina, la tutela della reputazione aziendale non può giustificare la diffusione indiscriminata di dati personali, specie in presenza di alternative meno lesive. In tale prospettiva, la condotta appare in contrasto con i principi di accountability e privacy by design” che impongono una valutazione preventiva dell’impatto del trattamento. 

Il provvedimento chiarisce in modo concreto l’applicazione degli artt. 5 e 6 GDPR, riaffermando la centralità dei principi di necessità, proporzionalità e tutela delle aspettative degli interessati.