top of page
Cerca

Fascicolo Sanitario Elettronico e Data Breach

  • 14 gen
  • Tempo di lettura: 2 min

Con l’Ordinanza n. 27558 del 15 ottobre 2025, la Corte di Cassazione, I sezione civile, è intervenuta su un tema cruciale per la digitalizzazione della sanità e la protezione dei dati personali.


La controversia trae origine da un data breach verificatosi all’interno del sistema informativo del FSE, determinato da una vulnerabilità applicativa che consentiva l’accesso indebito ai dati sanitari di terzi da parte di utenti legittimamente autenticati.


Il punto centrale della questione riguardava la corretta imputazione soggettiva della titolarità del trattamento, con conseguente attribuzione della responsabilità per la violazione.


La Cassazione ribadisce un principio fondamentale del diritto europeo della protezione dei dati richiamando l’art. 4, n. 7 del GDPR: Titolare del trattamento è il soggetto che determina le finalità e i mezzi del trattamento dei dati personali, indipendentemente dall’esecuzione materiale delle operazioni di trattamento.

Muovendo da tale presupposto, la Corte chiarisce che:

- Regioni e province autonome in quanto enti istitutivi del FSE e responsabili della sua architettura, delle modalità di accesso e delle misure di sicurezza, devono qualificarsi come titolari del trattamento;

-Le Aziende sanitarie assumono la titolarità esclusivamente per i trattamenti funzionali delle attività di diagnosi, cura e assistenza sanitaria, ma non per la gestione complessiva del sistema FSE;

- L’affidamento di attività tecniche a soggetti terzi o a strutture operative interne non incide sulla titolarità che resta ancorata al potere decisionale sostanziale.


Questa ordinanza assume rilevo non solo in chiave interpretativa, ma anche operativa, in quanto:

rafforza il concetto della natura sostanziale del ruolo del titolare del trattamento;

delimita in modo più netto i ruoli tra enti pubblici, strutture sanitarie e fornitori IT;

incide sulla distribuzione delle responsabilità in caso di violazione dei dati sanitari, settore caratterizzato dal trattamento di categorie particolari di dati ex art. 9 GDPR.


La Cassazione conferma che, nel governo dei sistemi digitali complessi della pubblica amministrazione, la titolarità del trattamento costituisce una responsabilità giuridica primaria. Nel contesto della sanità digitale, l’ordinanza in esame rappresenta un significativo richiamo alla necessità di una chiara governance dei dati, coerente con i principi di accountability, privacy by design e sicurezza del trattamento.

 
 
bottom of page