Fascicoli Sanitari elettronici esposti: quando il sistema di gestione è debole, i dati non sono al sicuro
Share
La disciplina della protezione dei dati personali, fondata sul Regolamento (UE) 2016/679 (GDPR), individua nel "titolare del trattamento" la figura chiave su cui ricadono le principali responsabilità. L'articolo 4, punto 7, del GDPR definisce il titolare come: «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento di dati personali».
Il titolare si distingue dal "responsabile del trattamento", che è invece il soggetto che tratta i dati "per conto del titolare". Questa distinzione è fondamentale, poiché il titolare ha la responsabilità generale su qualsiasi trattamento di dati personali effettuato direttamente o da altri per suo conto, ed è tenuto a mettere in atto misure adeguate ed efficaci per garantire e dimostrare la conformità al Regolamento.
La Vicenda Oggetto dell'Ordinanza della Cassazione
Il caso esaminato dalla Suprema Corte trae origine da una notifica di violazione di dati personali (c.d. data breach) trasmessa dall'Azienda Sanitaria della Provincia Autonoma di Bolzano al Garante per la protezione dei dati personali. La violazione consisteva in un accesso non autorizzato ai fascicoli sanitari di alcuni assistiti, reso possibile da una vulnerabilità applicativa del software fornito da una società terza. In pratica, un utente autenticatosi tramite SPID al portale della pubblica amministrazione locale poteva, inserendo codici fiscali di altri cittadini, accedere ai loro FSE.
Il Garante, ritenendo che la Provincia Autonoma di Bolzano fosse il titolare del trattamento per le attività connesse all'accesso al FSE, ha emesso un provvedimento sanzionatorio nei suoi confronti. La Provincia ha proposto opposizione, sostenendo che la titolarità fosse da attribuire all'Azienda sanitaria, tesi accolta in prima istanza dal Tribunale di Bolzano. Il Garante ha quindi proposto ricorso per cassazione.
Il Principio di Diritto: la Titolarità Funzionale basata sulle Finalità
La Corte di Cassazione, accogliendo il ricorso del Garante, ha stabilito un principio di diritto fondamentale per l'ecosistema della sanità digitale. La Corte ha chiarito che l'individuazione del titolare del trattamento non può essere statica, ma deve basarsi su un'analisi funzionale, volta a identificare quale soggetto "determina le finalità e i mezzi" per ogni specifico trattamento.
La normativa di settore, in particolare l'art. 12 del D.L. n. 179/2012 e il D.P.C.M. n. 178/2015 (vigente all'epoca dei fatti), si rivela decisiva. Tale normativa stabilisce che il FSE è "istituito dalle Regioni e Province autonome". Questo atto di "istituzione" conferisce a tali enti un ruolo primario nella determinazione delle finalità generali e dei mezzi essenziali del sistema.
La Corte, seguendo l'impostazione del Garante, ha operato una distinzione basata sulle diverse finalità del FSE, come individuate dalla legge:
1. Finalità di cura: Per i trattamenti effettuati per finalità di "prevenzione, diagnosi, cura e riabilitazione" (art. 12, comma 2, lett. a) del D.L. n. 179/2012), la titolarità è attribuita ai soggetti del Servizio Sanitario Nazionale, e quindi alle Aziende sanitarie, che prendono in cura l'assistito. In questo ambito, l'Azienda sanitaria determina le modalità con cui i dati vengono utilizzati per curare il paziente.
2. Finalità di governo e ricerca: Per le finalità di "programmazione sanitaria, verifica delle qualità delle cure" e "studio e ricerca scientifica" (lett. b) e c)), la titolarità è attribuita alle Regioni e Province autonome, nonché ai Ministeri competenti.
3. Gestione dell'infrastruttura e dell'accesso: La Corte ha stabilito che i trattamenti necessari a consentire l'identificazione, l'autenticazione informatica e l'accesso al FSE da parte dell'assistito rientrano nella sfera di titolarità della Regione o Provincia autonoma. Questo perché è l'ente regionale/provinciale che, istituendo il FSE, ne definisce l'architettura, le modalità di accesso e le misure di sicurezza a livello di sistema.
Nel caso di specie, il data breach non era legato a un errore nel trattamento dei dati per finalità di cura (es. un referto associato al paziente sbagliato), ma a una vulnerabilità nelle procedure di autenticazione e autorizzazione all'accesso. Di conseguenza, la responsabilità per la mancata adozione di misure di sicurezza adeguate a prevenire tale rischio ricade sul soggetto titolare di quello specifico trattamento, ovvero la Provincia Autonoma di Bolzano. La Corte ha inoltre evidenziato come questa interpretazione trovi conferma nella normativa successiva (D.M. 7 settembre 2023), che assegna esplicitamente alla Regione/Provincia autonoma la titolarità dei trattamenti per l'identificazione e l'accesso al FSE.
Le Responsabilità del Titolare in Materia di Sicurezza
Una volta individuato il titolare del trattamento, su di esso incombono precisi obblighi in materia di sicurezza, come previsto dagli artt. 25 ("Protezione dei dati fin dalla progettazione e per impostazione predefinita") e 32 ("Sicurezza del trattamento") del GDPR. Il titolare deve mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che includono la capacità di "assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento".
La giurisprudenza e i provvedimenti del Garante sono costanti nell'affermare che il titolare ha l'obbligo di:
· Adottare misure idonee a prevenire accessi non consentiti e trattamenti illeciti, specialmente in ambito sanitario dove si trattano dati sensibili.
· Gestire correttamente le credenziali di autenticazione, evitando, ad esempio, l'uso promiscuo o la mancata disattivazione di credenziali di personale non più operativo.
· Identificare e correggere le vulnerabilità dei sistemi informatici utilizzati, predisponendo, se necessario, profili di accesso differenziati o impartendo istruzioni specifiche agli incaricati.
· In caso di violazione, notificare l'evento all'autorità di controllo senza ingiustificato ritardo e, se la violazione presenta un rischio elevato per gli interessati, comunicarla anche a questi ultimi.
La mancata adozione di tali misure, che porti a una comunicazione illecita di dati sanitari, costituisce una violazione dei principi di base del trattamento e comporta la responsabilità del titolare.
Conclusioni e Implicazioni Future
L'ordinanza della Cassazione n. 27558/2025 chiarisce che la titolarità del trattamento dei dati nell'ambito del FSE non è monolitica, ma va ripartita funzionalmente in base alle finalità perseguite. La Regione/Provincia autonoma è titolare per quanto concerne l'infrastruttura, la governance del sistema e le procedure di accesso, mentre l'Azienda sanitaria è titolare per l'utilizzo dei dati a fini di cura.
Questo approccio comporta un modello di responsabilità condivisa, dove più soggetti possono essere chiamati a rispondere, anche per lo stesso incidente, ciascuno per la violazione degli obblighi rientranti nella propria sfera di competenza. La Corte ha infatti precisato che non è contraddittorio sanzionare più soggetti, dato che lo stesso GDPR prevede la possibilità di contitolarità del trattamento.
Questa sentenza assume un'importanza cruciale non solo per dirimere le controversie attuali, ma anche in prospettiva futura, considerando le evoluzioni normative come l'istituzione dello Spazio Europeo dei Dati Sanitari (EHDS), che amplificherà l'uso primario e secondario dei dati sanitari, rendendo ancora più essenziale una chiara e corretta individuazione dei ruoli e delle responsabilità di tutti gli attori del sistema.