Introduzione
La Corte di Cassazione, con l’ordinanza n. 27558 del 15 ottobre 2025, ha posto un punto fermo in una delle questioni più complesse del diritto dei dati personali: chi è il vero titolare del trattamento dei dati nel Fascicolo Sanitario Elettronico (FSE)?
La decisione nasce da un caso concreto, in cui un grave data breach aveva esposto informazioni sanitarie di cittadini della Provincia di Bolzano. La vulnerabilità del software, fornito da una società esterna, aveva permesso a utenti non autorizzati di accedere ai fascicoli di altri assistiti. Dopo l’intervento del Garante per la protezione dei dati, la disputa è arrivata fino alla Cassazione, che ha chiarito una volta per tutte il principio fondamentale: il titolare del trattamento non è chi gestisce tecnicamente i dati, ma chi ne determina le finalità e i mezzi.
La titolarità del trattamento nel Fascicolo Sanitario Elettronico
La Corte ha stabilito che, nel caso del FSE, la titolarità appartiene alla Regione o Provincia autonoma, e non alla singola Azienda sanitaria. Questo perché la normativa di settore – in particolare il D.L. 179/2012 e il D.P.C.M. 178/2015 – attribuisce alle amministrazioni regionali il potere di definire obiettivi, strumenti e modalità del FSE, comprese le procedure di autenticazione e sicurezza informatica.
Le Aziende sanitarie, invece, sono titolari solo per i trattamenti effettuati a fini di cura, ossia per la gestione diretta del rapporto con il paziente. Ne deriva una distinzione fondamentale tra:
- Uso “primario” – trattamento dei dati a fini di cura e assistenza sanitaria.
- Uso “secondario” – trattamento per finalità di programmazione, ricerca o gestione sanitaria.
Questa distinzione comporta una pluralità di titolari a seconda della finalità perseguita, rafforzando l’esigenza di chiarezza nei rapporti interistituzionali e nei contratti con i fornitori.
Il principio di effettività e la responsabilità sostanziale
La Cassazione ha valorizzato il principio di effettività: non basta un atto amministrativo o un contratto per designare un titolare del trattamento, ma serve un potere decisionale reale e concreto. In altre parole, chi decide “perché” e “come” i dati vengono trattati è il soggetto che ne porta la responsabilità giuridica.
Questo principio impedisce alle pubbliche amministrazioni di scaricare la colpa di un incidente informatico su soggetti tecnici o fornitori. La responsabilità del trattamento, quindi, resta in capo all’ente pubblico che determina le finalità del sistema informativo sanitario. La sentenza sottolinea anche l’importanza di rivedere le prassi contrattuali con i gestori informatici: le istruzioni ai responsabili esterni devono essere precise, documentate e controllabili, in linea con l’articolo 28 del GDPR.
Il contesto europeo e l’impatto del Regolamento EHDS
La decisione della Cassazione si colloca in un momento di evoluzione normativa a livello europeo, segnato dall’adozione del nuovo Regolamento sull’European Health Data Space (EHDS). Questo Regolamento mira a promuovere un uso sicuro, trasparente e interoperabile dei dati sanitari tra gli Stati membri, definendo con chiarezza le responsabilità dei diversi attori coinvolti.
In tale contesto, l’individuazione del titolare del trattamento rappresenta un tassello essenziale per garantire fiducia, sicurezza e governance dei dati sanitari. L’ordinanza n. 27558/2025 anticipa il modello di governance che l’Europa intende adottare: una gestione dei dati fondata su poteri effettivi e responsabilità chiare, capace di coniugare innovazione, sicurezza e trasparenza.
Conclusioni: la privacy come strumento di buona amministrazione
La lezione che emerge dalla Cassazione è chiara: la protezione dei dati sanitari non è solo una questione di cybersecurity, ma di buona amministrazione. La privacy non limita l’azione pubblica, ma la qualifica, perché impone trasparenza, responsabilità e competenza nell’uso della tecnologia.
Governare il dato significa esercitare una responsabilità istituzionale verso i cittadini, assicurando che la tecnologia resti uno strumento di cura e non una minaccia per la fiducia nel sistema sanitario digitale.
