NIS2 e fornitori critici: la supply chain è il nuovo perimetro di sicurezza
Aprile 14, 2026NIS2: pubblicate le regole operative ACN per classificare attività e servizi
Aprile 23, 2026
La pubblicazione di dati personali online senza consenso puo costare cara. In particolare, la pubblicazione dati personali online GDPR prevede tutele e sanzioni specifiche per chi viola la normativa. Eni spa ne ha avuto la prova: il Garante Privacy l’ha sanzionata con 96.000 euro. Il motivo? Eni ha pubblicato sul proprio sito un atto di citazione integrale. Quel documento conteneva nome, cognome, codice fiscale, data e luogo di nascita e indirizzo di residenza di dodici cittadini privati.
Pubblicazione dati personali online: cosa e successo
Il provvedimento e nato da una segnalazione di Greenpeace Onlus. L’atto di citazione riguardava una causa per presunta violazione dell’Accordo di Parigi sul clima. Tuttavia, i firmatari non avevano mai autorizzato la diffusione online delle proprie informazioni personali. Pertanto, il Garante ha dichiarato il trattamento illecito.
Inoltre, l’Autorita ha accertato la violazione dei principi di liceita, correttezza e trasparenza previsti dal GDPR. L’assenza di una valida base giuridica ha aggravato ulteriormente la posizione di Eni.
Il principio di minimizzazione: la regola che Eni non ha rispettato
Il GDPR impone il principio di minimizzazione dei dati. Questo significa che si possono usare solo i dati strettamente necessari per la finalita dichiarata. Nel caso di Eni, la comunicazione della propria posizione processuale non richiedeva di esporre il codice fiscale o l’indirizzo dei firmatari. Di conseguenza, l’oscuramento di quelle informazioni avrebbe reso il documento pienamente legittimo.
Le ragionevoli aspettative di riservatezza
Un aspetto chiave del provvedimento riguarda le aspettative legittime degli interessati. Anche se i firmatari avevano reso pubblici i propri nomi in altri contesti, non potevano aspettarsi la diffusione online di dati sensibili aggiuntivi da parte di una grande azienda. Il codice fiscale, la data di nascita e l’indirizzo di residenza espongono le persone a rischi concreti. Tra questi rientrano il furto di identita e utilizzi indebiti delle informazioni.
Cosa deve fare un’azienda prima di pubblicare documenti online?
Prima di pubblicare qualsiasi documento sul proprio sito, e necessario verificarne il contenuto. Occorre controllare che non siano presenti dati personali di terzi non necessari alle finalita della comunicazione. Inoltre, e consigliabile adottare una procedura interna di revisione dei documenti prima della pubblicazione. Infine, la formazione del personale su questi temi e un passo fondamentale.
GetSolution supporta le aziende nella revisione delle procedure di pubblicazione online e nella valutazione della conformita GDPR. Contattaci per una consulenza dedicata.