Privacy e governance dei dati digitali del Fascicolo Sanitario Elettronico, responsabile la Provincia

La Corte di Cassazione ha accolto il ricorso del Garante per la protezione dei dati personali, stabilendo che la Provincia Autonoma di Bolzano è titolare del trattamento dei dati sanitari nell’ambito del Fascicolo Sanitario Elettronico (FSE).

La decisione ribalta la precedente sentenza del Tribunale di Bolzano e segna un passaggio cruciale nella definizione delle responsabilità istituzionali in materia di sicurezza informatica e governance dei dati sanitari.

Un precedente giuridico che impatta direttamente sull’evoluzione delle smart city e sulla fiducia digitale dei cittadini.

La vicenda, un Data Breach che ha scosso il sistema

Nel 2021 un grave data breach aveva coinvolto il sistema FSE dell’Alto Adige, consentendo l’accesso non autorizzato ai documenti sanitari di diversi assistiti.

La vulnerabilità risiedeva nel website ufficiale della pubblica amministrazione, dove, malgrado l’autenticazione SPID, era possibile inserire il codice fiscale di altri cittadini e accedere ai loro dati.

Il Garante Privacy ha ritenuto la Provincia Autonoma di Bolzano responsabile del trattamento, tuttavia il Tribunale locale aveva inizialmente attribuito la titolarità all’Azienda Sanitaria.

La Cassazione, con l’ordinanza del 15 ottobre 2025, ha chiarito il quadro normativo.

Chi decide è responsabile

La Corte ha stabilito che il titolare del trattamento è il soggetto che determina le finalità e i mezzi del trattamento, come previsto dal Regolamento (UE) 2016/679 (GDPR).

Nel caso del FSE, la Provincia ha istituito il sistema e ne ha definito le modalità di accesso e autenticazione, quindi risulta titolare del trattamento per le attività che hanno cagionato la violazione.

L’ordinanza evidenzia che pure se l’Azienda Sanitaria gestisce i dati per finalità di cura, la responsabilità per l’accesso e la sicurezza informatica ricade sulla Provincia.

Un passaggio importante per comprendere la governance dei dati sanitari digitali.

Implicazioni per le smart city e l’EHDS

La decisione giunge in un momento cruciale, con l’entrata in vigore del nuovo Regolamento Europeo 2025/237 (EHDS), il quale promuove l’utilizzo primario e secondario dei dati sanitari per ricerca, innovazione e prevenzione.

L’ordinanza in disamina rafforza la necessità di una gestione trasparente e sicura dei dati sanitari, elemento fondamentale per l’evoluzione delle smart city e per la fiducia dei cittadini nei servizi digitali.

Il principio di diritto

Il principio di diritto ricavabile dall’ordinanza della Corte di Cassazione, I Sezione Civile, n. 27558/2025, può essere così formulato:

“Ai sensi dell’art. 4, par. 7, del Regolamento (UE) 2016/679 (GDPR), è titolare del trattamento dei dati personali il soggetto che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento, anche se l’esecuzione tecnica è affidata ad altri soggetti. In materia di Fascicolo Sanitario Elettronico (FSE), la titolarità del trattamento dei dati relativi alle procedure di identificazione, autenticazione e accesso compete alla Regione o Provincia autonoma che ha istituito il sistema, e non all’Azienda Sanitaria, la cui titolarità si limita ai trattamenti effettuati per finalità di cura.”

Questo principio chiarisce che la responsabilità giuridica per i trattamenti di dati personali non si fonda sull’esecuzione materiale del trattamento, bensì sulla titolarità delle decisioni afferenti a finalità e mezzi, con particolare riferimento alla governance pubblica dei sistemi digitali sanitari.

Sicurezza, trasparenza, responsabilità

La Cassazione ha ribadito che la sicurezza informatica non è solo una questione tecnica, bensì pure giuridica e istituzionale.

Le pubbliche amministrazioni hanno l’onere di garantire sistemi robusti e procedure chiare, in quanto la protezione dei dati personali è un diritto fondamentale e una condizione essenziale per l’innovazione digitale.

L’ordinanza del 15 ottobre rappresenta un precedente importante per tutte le Regioni e Province italiane che gestiscono il FSE.

In un’epoca in cui la digital health è al centro delle politiche pubbliche, definire con precisione le responsabilità è cruciale per costruire un ecosistema digitale sicuro, efficiente e rispettoso dei diritti.