Il caso analizzato riguarda un grave data breach nel Fascicolo Sanitario Elettronico (FSE) della Provincia Autonoma di Bolzano, dove una vulnerabilità del software ha consentito a utenti autenticati via SPID di accedere ai dati sanitari di altri cittadini inserendo semplici codici fiscali. La vicenda ha portato a un confronto sulla titolarità del trattamento dei dati e sulle responsabilità in materia di sicurezza.
La Corte di Cassazione, richiamando il GDPR e la normativa sul FSE, ha stabilito che la titolarità non è unica ma “funzionale”: varia cioè in base alla finalità del trattamento. Le Aziende sanitarie sono titolari per le attività di cura, mentre Regioni e Province autonome lo sono per la gestione dell’infrastruttura, dell’architettura del FSE e delle procedure di autenticazione e accesso.
Poiché la violazione riguardava l’accesso al sistema e non l’uso clinico dei dati, la responsabilità è stata attribuita alla Provincia, tenuta a garantire misure tecniche e organizzative adeguate ai sensi degli articoli 25 e 32 del GDPR. La sentenza evidenzia inoltre che più soggetti possono essere sanzionati per lo stesso incidente, ciascuno per la propria area di competenza.
Questa interpretazione assume particolare rilievo alla luce dello sviluppo dello Spazio Europeo dei Dati Sanitari, che richiederà una definizione ancora più precisa dei ruoli e delle misure di sicurezza.
