La Cassazione e la Responsabilità del Titolare nel Caso del Fascicolo Sanitario Elettronico (FSE)

Categories: GiurisprudenzaPublished On: 13 Novembre 2025Last Updated: 13 Novembre 2025Tags: ,

Il Fascicolo Sanitario Elettronico (FSE) rappresenta uno strumento fondamentale per la gestione della salute, ma la sua complessità tecnica e normativa solleva questioni cruciali in caso di violazione dei dati. Una recente Ordinanza della Corte di Cassazione (Num. 27558 Anno 2025) offre un chiarimento essenziale sui criteri per l’individuazione del Titolare del trattamento (Data Controller) quando si verifica un data breach all’interno dei sistemi regionali.

Analizziamo i dettagli di questa controversia che ha visto contrapporsi il Garante per la Protezione dei Dati Personali e la Provincia Autonoma di Bolzano.

I Fatti: La Vulnerabilità del FSE in Alto Adige

La vicenda prende avvio il 21 aprile 2021, quando l’Azienda Sanitaria della Provincia Autonoma di Bolzano ha notificato al Garante una violazione dei dati personali. La violazione era dovuta a una vulnerabilità del servizio FSE che aveva consentito l’accesso non autorizzato ai documenti sanitari di alcuni assistiti.

La vulnerabilità era stata riscontrata nel software applicativo fornito da Dedalus Italia s.p.a., nell’ambito di un contratto stipulato con Informatica Alto Adige s.p.a. (“SIAG”), entrambe designate come responsabili del trattamento. Attraverso l’applicativo MY CIVIS, il portale ufficiale della pubblica amministrazione dell’Alto Adige, un utente autenticato tramite SPID poteva immettere codici fiscali di altri cittadini e accedere ai loro fascicoli.

Il Garante, con una nota dell’1.03.2022, ha ritenuto la Provincia autonoma di Bolzano titolare del trattamento correlato al data breach, notificandole la violazione.

Il Nodo Legale: Titolare vs. Responsabile

La Provincia autonoma di Bolzano ha proposto opposizione, sostenendo che la responsabilità dovesse ricadere sull’Azienda Sanitaria.

Il Tribunale di Bolzano aveva accolto l’opposizione, ritenendo l’Azienda Sanitaria il Titolare. Il Tribunale aveva basato questa conclusione sui compiti e poteri assegnati all’Azienda Sanitaria, ricavabili dal piano di progetto e dall’Atto di nomina di SIAG come Responsabile esterno. Inoltre, il Tribunale aveva evidenziato una presunta illegittimità del provvedimento del Garante per motivazione contraddittoria, in quanto la qualifica di titolare – che dovrebbe essere rivestita da un unico soggetto – era stata attribuita a soggetti diversi in provvedimenti scaturiti dal medesimo fatto (la Provincia in un caso, l’Azienda Sanitaria nell’altro).

Contro questa sentenza, l’Autorità Garante ha proposto ricorso per Cassazione.

La Posizione del Garante e il Riferimento al GDPR

Il ricorso del Garante lamentava la violazione e falsa applicazione delle norme del Regolamento (UE) 2016/679 (GDPR) relative all’individuazione del Titolare.

Secondo il GDPR (Art. 4, n. 7), il Titolare del trattamento è il soggetto che, “singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento di dati personali”. È il soggetto che detiene il potere decisionale in materia.

Il Garante ha sottolineato che:

  1. Il Titolare e il Responsabile sono due soggetti diversi con compiti e funzioni distinte, ma entrambi hanno responsabilità.
  2. L’attribuzione di compiti esecutivi a un Responsabile (come nel caso di SIAG e Dedalus) non fa venire meno la qualità di Titolare in capo a chi fornisce le istruzioni e dispone del potere decisionale.

L’Avvocatura dello Stato ha dedotto che il Tribunale avesse commesso un errore applicativo nel ritenere l’Azienda Sanitaria il Titolare.

Il Distinguo Fondamentale: Finalità di Cura vs. Procedure di Accesso

Il punto decisivo del ricorso, riconosciuto come fondato dalla Corte di Cassazione, si basa sulla distinzione delle finalità del trattamento previste dalla normativa nazionale (D.L. n. 179/2012 e D.P.C.M. n. 178/2015, ratione temporis vigenti).

Il FSE è istituito dalle Regioni e Province autonome e persegue specifiche finalità, che influenzano l’individuazione del Titolare:

  • Finalità di Cura (uso primario): Diagnosi, cura e riabilitazione (Art. 12, comma 2, lett. a). Per queste finalità, il Titolare è l’Azienda Sanitaria.
  • Finalità di Studio, Ricerca e Programmazione Sanitaria (uso secondario): Perseguite dalle Regioni e dalle Province autonome.

La Cassazione ha osservato che il data breach in questione non era stato determinato da un errore nell’erogazione delle prestazioni sanitarie o nell’associazione dei documenti (finalità di cura). Si trattava invece di un difetto nelle procedure di identificazione, autenticazione informatica e autorizzazione all’accesso ai dati del FSE.

Il quadro normativo di settore, anche il più recente (D.M. 7 settembre 2023, che in parte ha sostituito il D.P.C.M. n. 178/2015), riserva la titolarità dei trattamenti necessari a consentire l’identificazione e l’accesso ai dati del FSE in capo alla Regione/Provincia autonoma di assistenza.

Le Conclusioni della Corte di Cassazione

La Corte ha censurato la sentenza del Tribunale di Bolzano per non aver correttamente distinto tra Titolare e Responsabile e per non aver tenuto conto della normativa interna (D.L. 179/2012 e D.P.C.M. 178/2015) che individua i Titolari in base alle funzioni specifiche. Rilievo decisivo ha la circostanza che il FSE sia istituito dalle Regioni e Province autonome e che l’accesso abusivo si sia verificato nell’ambito delle procedure che rientrano nella loro sfera di controllo e determinazione delle finalità e dei mezzi.

Di conseguenza, le attività di trattamento relative all’identificazione e all’autenticazione, in riferimento alle quali si è verificata la violazione, rientravano nella sfera di titolarità della Provincia autonoma di Bolzano.

La Corte ha inoltre precisato che non è di per sé contraddittorio individuare due soggetti da sanzionare, poiché lo stesso Regolamento UE consente che i Titolari del trattamento possano essere più soggetti nel caso in cui più enti determinino congiuntamente finalità e mezzi del trattamento.

Il ricorso è stato accolto, e la sentenza impugnata è stata cassata, rinviando gli atti al Tribunale di Bolzano per un nuovo esame.

Questo caso sottolinea l’importanza cruciale, soprattutto in vista dell’entrata in vigore di normative europee come il nuovo Regolamento UE 2025/237 (European Health Data Space – EHDS), di individuare con precisione il Titolare dei dati sanitari, garantendo che i sistemi di gestione e accesso ai dati ne assicurino le finalità istituzionali e la sicurezza.

Total Views: 790Daily Views: 4

Ultimi articoli

Related Posts

La Legge 149/2025 e l’Impegno Nazionale per Contrastare l’Obesità
La Legge 149/2025 e l’Impegno Nazionale per Contrastare l’Obesità
Gallery

La Legge 149/2025 e l’Impegno Nazionale per Contrastare l’Obesità

18 Dicembre 2025|0 Comments
La Cronistoria dell’Intramoenia: L’Evoluzione Normativa e i Principi Fondamentali Fissati dalla Corte Costituzionale
La Cronistoria dell’Intramoenia: L’Evoluzione Normativa e i Principi Fondamentali Fissati dalla Corte Costituzionale
Gallery

La Cronistoria dell’Intramoenia: L’Evoluzione Normativa e i Principi Fondamentali Fissati dalla Corte Costituzionale

5 Dicembre 2025|0 Comments
Responsabilità Sanitaria e Difesa nel Processo Penale: La Svolta Storica della Corte Costituzionale (Sentenza 170/2025)
Responsabilità Sanitaria e Difesa nel Processo Penale: La Svolta Storica della Corte Costituzionale (Sentenza 170/2025)
Gallery

Responsabilità Sanitaria e Difesa nel Processo Penale: La Svolta Storica della Corte Costituzionale (Sentenza 170/2025)

26 Novembre 2025|0 Comments
Il DDl 2575 sulla Disforia di Genere nei Minori
Il DDl 2575 sulla Disforia di Genere nei Minori
Gallery

Il DDl 2575 sulla Disforia di Genere nei Minori

6 Ottobre 2025|0 Comments
Cosa prevede il DDL 1146 sull’intelligenza artificiale in sanità
Cosa prevede il DDL 1146 sull’intelligenza artificiale in sanità
Gallery

Cosa prevede il DDL 1146 sull’intelligenza artificiale in sanità

1 Settembre 2025|0 Comments
DPCM del 25 giugno 2025 in Gazzetta Ufficiale: poteri sostitutivi liste attesa
DPCM del 25 giugno 2025 in Gazzetta Ufficiale: poteri sostitutivi liste attesa
Gallery

DPCM del 25 giugno 2025 in Gazzetta Ufficiale: poteri sostitutivi liste attesa

20 Agosto 2025|0 Comments
DDL 1517, obbligo di psicoterapia per l’indagato presso il Servizio Sanitario Nazionale
DDL 1517, obbligo di psicoterapia per l’indagato presso il Servizio Sanitario Nazionale
Gallery

DDL 1517, obbligo di psicoterapia per l’indagato presso il Servizio Sanitario Nazionale

6 Agosto 2025|0 Comments
Sentenza storica a Napoli: Gli psicologi possono dirigere i Centri di Salute Mentale
Sentenza storica a Napoli: Gli psicologi possono dirigere i Centri di Salute Mentale
Gallery

Sentenza storica a Napoli: Gli psicologi possono dirigere i Centri di Salute Mentale

23 Luglio 2025|0 Comments
Ecco il DDL 1587 del Sen. Mario Occhiuto sullo Psicologo Scolastico
Ecco il DDL 1587 del Sen. Mario Occhiuto sullo Psicologo Scolastico
Gallery

Ecco il DDL 1587 del Sen. Mario Occhiuto sullo Psicologo Scolastico

22 Luglio 2025|0 Comments
TSO e Diritti Fondamentali: La Corte Costituzionale Riscrive le Garanzie per i Pazienti
TSO e Diritti Fondamentali: La Corte Costituzionale Riscrive le Garanzie per i Pazienti
Gallery

TSO e Diritti Fondamentali: La Corte Costituzionale Riscrive le Garanzie per i Pazienti

4 Giugno 2025|0 Comments