Responsabilità della provincia per il data breach di dati sanitari nel fascicolo sanitario elettronico

Corte di Cassazione civile, Sez. I, ordinanza del 15 ottobre 2025 n. 27558

Nel quadro del Fascicolo Sanitario Elettronico (FSE), le Regioni e le Province autonome, in quanto enti preposti all’istituzione del sistema e competenti a determinarne finalità, struttura e mezzi, rivestono la qualifica di titolari del trattamento. Le Aziende sanitarie locali, pur provvedendo agli adempimenti operativi inerenti alla gestione quotidiana dei dati, all’alimentazione dei fascicoli e alla regolazione degli accessi, si configurano invece quali meri responsabili designati, operanti sulla base delle istruzioni impartite dal titolare. Ne discende che, anche in ipotesi di violazione dei dati personali, la responsabilità giuridica permane integralmente in capo al titolare, il quale conserva l’esclusivo potere decisionale in ordine alle modalità del trattamento, oltre alla facoltà, nonché al dovere, di emanare direttive vincolanti nei confronti del responsabile e di vigilare sul corretto adempimento dei compiti delegati.

***

Nel contesto del Fascicolo Sanitario Elettronico (FSE), le Regioni e le Province autonome, in quanto istituiscono il sistema e ne definiscono finalità e mezzi, assumono la qualifica di titolari del trattamento, mentre le Aziende sanitarie locali, pur gestendo quotidianamente i dati e l’accesso ai fascicoli, svolgono il ruolo di meri responsabili delegati. Ne consegue che, in caso di data breach, la responsabilità permane in capo al titolare, che conserva il potere decisionale su finalità e mezzi del trattamento e mantiene la facoltà di impartire direttive al responsabile. In un contesto regolatorio in continua evoluzione - dal GDPR al recente Regolamento (UE) 2025/237 sullo Spazio europeo dei dati sanitari (EHDS) - il principio enunciato dalla Corte permette, dunque, di chiarire la delimitazione delle responsabilità nella gestione dei sistemi di autenticazione e delle credenziali di accesso, stabilendo che l’attribuzione operativa di compiti al soggetto delegato non trasferisce né attenua la titolarità, così definendo un quadro certo di responsabilità per tutte le parti coinvolte.

Il Regolamento (UE) 2016/679 (GDPR), entrato pienamente in vigore nel maggio 2018, costituisce la pietra angolare della disciplina europea in materia di protezione dei dati. L’articolo 4 del Regolamento, in particolare, fornisce un’elencazione delle definizioni in materia, individuando il titolare del trattamento come il soggetto che determina le finalità e i mezzi del trattamento, ossia colui che esercita il potere decisionale in merito alle modalità e agli obiettivi del trattamento dei dati.

Il responsabile del trattamento, invece, è definito come la persona o l’ente che effettua la gestione dei dati per conto del titolare e sulla base delle sue istruzioni. La rilevanza sostanziale di tale distinzione risiede nel fatto che il primo assume una responsabilità diretta per le scelte relative al trattamento, mentre il secondo è tenuto a rendere conto esclusivamente in caso di inosservanza delle istruzioni ricevute. Anche l’articolo 33 del GDPR, che disciplina l’obbligo di notifica delle violazioni dei dati personali, si inserisce in questo quadro, prevedendo che sia il titolare a comunicare l’evento al Garante entro settantadue ore dal momento in cui ne sia venuto a conoscenza.

Sullo sfondo di tale disciplina si colloca l’evoluzione più recente del diritto europeo in materia di dati sanitari, rappresentata dal Regolamento (UE) 2025/237 sullo European Health Data Space (EHDS), destinato ad applicarsi con decorrenza dal 2027, che conferma in pieno le definizioni del GDPR perseguendo finalità che si inseriscono nella stessa logica di tutela e valorizzazione del dato sanitario. Il nuovo Regolamento, infatti, mira a garantire un utilizzo sicuro e strutturato dei dati sanitari, sia per finalità di cura che per scopi di ricerca, prevenzione e innovazione, ponendo ancora più in evidenza la necessità di una chiara ripartizione delle responsabilità tra i soggetti coinvolti nella gestione dei sistemi informativi sanitari.

Accanto alla normativa europea, la vicenda in esame impone l’analisi anche del quadro interno che disciplina il c.d. Fascicolo Sanitario Elettronico. Il FSE, all’epoca dei fatti disciplinato dal D.L. n. 179/2012 e dal D.P.C.M. n. 178/2015, è individuale e costituisce l’insieme dei dati e documenti digitali di tipo sanitario - referti, ricette, lettere di dimissione, ecc. - e socio-sanitario generati da eventi clinici presenti e passati riguardanti l’assistito, compresi quelli relativi a prestazioni erogate al di fuori del Servizio Sanitario Nazionale. È istituito dalle Regioni e Province autonome nel rispetto della normativa sulla protezione dei dati personali, e persegue diverse finalità quali la prevenzione, diagnosi, cura e riabilitazione, lo studio e la ricerca scientifica in campo medico, biomedico ed epidemiologico, la programmazione sanitaria, la verifica della qualità delle cure e la valutazione dell’assistenza sanitaria. Le finalità di cura e riabilitazione sono perseguite dai soggetti del Servizio Sanitario Nazionale, dai servizi socio-sanitari regionali e dagli esercenti le professioni sanitarie, mentre le finalità di ricerca, programmazione e valutazione sono perseguite dalle Regioni, dalle Province autonome e dai Ministeri competenti.

Secondo la richiamata normativa, la titolarità dei trattamenti dei dati sanitari contenuti nel FSE era attribuita alle Aziende Sanitarie, ma limitatamente alle finalità di cura, mentre le attività relative all’identificazione degli utenti, alla loro autenticazione e all’autorizzazione all’accesso ai documenti clinici erano di competenza esclusiva delle Regioni o delle Province autonome, cui spettava la gestione delle piattaforme informatiche utilizzate per rendere accessibile il FSE. Questa impostazione è stata successivamente confermata dal D.M. 07.09.2023 che, all’articolo 11, ribadisce la titolarità regionale o provinciale dei trattamenti strettamente connessi all’accesso informatico.

Nella fattispecie in esame la Corte ha inteso chiarire che la richiamata disciplina legislativa e regolamentare non può essere derogata da documenti interni o da atti organizzativi che adottino criteri differenti per l’individuazione del titolare del trattamento. Ai fini della titolarità, invero, ciò che assume rilievo è la determinazione delle finalità e dei mezzi del trattamento, secondo quanto stabilito dalle norme applicabili, e non anche la mera ripartizione dei compiti operativi definita dagli enti coinvolti. Difatti, anche qualora soggetti diversi siano incaricati dell’esecuzione materiale delle attività di trattamento o della gestione di specifici flussi informativi, essi operano comunque sotto la direzione e il controllo del titolare, che rimane l’unico soggetto responsabile della conformità alle disposizioni normative in materia di protezione dei dati personali. In altre parole, la titolarità non si fraziona in funzione delle mansioni operative o degli organigrammi interni, ma resta ancorata alla capacità di determinare autonomamente le finalità e i mezzi del trattamento.

Continua su Responsabilità e Risarcimento - Il Mensile, 5 gennaio 2026, n. 53 - p. 4
* di Avv. Gianfilippo Chiricozzi - Junior Associate BLB Studio Legale

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più