Privacy e fascicolo sanitario elettronico: chiarita la titolarità del trattamento dei dati tra Provincia e Azienda Sanitaria
Introduzione al caso
Il Garante per la privacy ha proposto ricorso in Cassazione per dirimere una controversia sulla corretta individuazione dell’ente titolare del trattamento dei dati personali in relazione a un episodio di accesso abusivo al fascicolo sanitario elettronico (FSE) della Provincia Autonoma di Bolzano.
Con l’ordinanza n. 27558 del 15 ottobre 2025, la Corte di Cassazione ha stabilito che la Provincia Autonoma di Bolzano è il soggetto titolare del trattamento, ritenendola quindi responsabile della violazione dei dati sanitari, e non l’Azienda Sanitaria.
Il data breach nel fascicolo sanitario elettronico altoatesino
Il caso concreto riguarda un data breach derivante da una vulnerabilità informatica del software che gestiva l’accesso al FSE dell’Alto Adige.
A causa di questa vulnerabilità, un utente autenticato tramite SPID sul portale della pubblica amministrazione della Provincia di Bolzano poteva inserire i codici fiscali di altri cittadini ed accedere così ai loro fascicoli sanitari.
La violazione è stata notificata, ai sensi dell’art. 33 del GDPR, dall’Azienda Sanitaria della Provincia Autonoma di Bolzano al Garante per la protezione dei dati personali.
Le posizioni contrapposte: Garante e Provincia
Il Garante, ritenendo che la Provincia Autonoma di Bolzano fosse il titolare del trattamento, ha notificato a quest’ultima la violazione prevista dagli artt. 166, comma 5, del Codice Privacy e 58, par. 1, lett. d), del GDPR.
La Provincia di Bolzano ha proposto opposizione dinanzi al Tribunale di Bolzano, sostenendo che la titolarità del trattamento spettasse all’Azienda Sanitaria e che quest’ultima avesse affidato la gestione tecnica del sistema informatico a imprese esterne, in qualità di responsabili del trattamento.
Il Tribunale ha accolto il ricorso della Provincia, individuando l’Azienda Sanitaria come titolare del trattamento. Contro tale decisione, il Garante per la privacy ha proposto ricorso in Cassazione.
La decisione della Cassazione
La Suprema Corte ha accolto il ricorso del Garante, sottolineando che l’art. 12 del D.L. n. 179/2012 stabilisce che il FSE è istituito dalle Regioni e Province autonome, le quali determinano le finalità e i mezzi del trattamento.
Poiché il Regolamento (UE) 2016/679 (GDPR), all’art. 4, punto 7, definisce “titolare del trattamento” il soggetto che “determina le finalità e i mezzi del trattamento dei dati personali”, la Corte ha ritenuto che la Provincia Autonoma di Bolzano sia il titolare dei trattamenti collegati all’accesso e alla sicurezza del sistema informatico.
L’Azienda Sanitaria, invece, mantiene la titolarità solo per i trattamenti finalizzati alla cura e riabilitazione degli assistiti.
Il principio di diritto
In tema di fascicolo sanitario elettronico, è titolare del trattamento dei dati personali l’ente che ne determina le finalità e i mezzi di gestione e accesso informatico. In caso di accesso abusivo derivante da vulnerabilità del sistema informatico, la responsabilità ricade sulla Regione o Provincia autonoma che ha istituito il fascicolo e ne gestisce le modalità tecniche e organizzative.
FAQ finali
- Chi è il titolare del trattamento dei dati nel fascicolo sanitario elettronico?
È la Regione o la Provincia autonoma che istituisce e gestisce il FSE, determinandone finalità e mezzi, come previsto dall’art. 12 del D.L. 179/2012 e dal GDPR. - Qual è la responsabilità dell’Azienda Sanitaria?
L’Azienda Sanitaria è titolare solo dei trattamenti legati alla cura e riabilitazione dell’assistito, non delle procedure informatiche di autenticazione e accesso. - Cosa ha stabilito la Cassazione nel caso del FSE altoatesino?
La Cassazione (ord. n. 27558/2025) ha individuato la Provincia Autonoma di Bolzano come titolare del trattamento dei dati, ritenendola responsabile della violazione. - Qual è la norma europea di riferimento?
Il riferimento è il Regolamento (UE) 2016/679 – GDPR, integrato dal nuovo Regolamento UE 2025/327 – European Health Data Space (EHDS), che promuove l’uso sicuro e trasparente dei dati sanitari.
