Titolare del trattamento FSE: chi è responsabile?

A seguito di un data breach che ha permesso l’accesso non autorizzato a Fascicoli Sanitari Elettronici, la Corte di Cassazione ha chiarito la figura del titolare del trattamento. L’ordinanza stabilisce che l’ente pubblico che istituisce il sistema e ne determina le finalità e i mezzi di accesso (in questo caso la Provincia Autonoma) è il titolare del trattamento per le attività di autenticazione e accesso, e quindi responsabile della violazione, distinguendo il suo ruolo da quello dell’Azienda Sanitaria, titolare per le finalità di cura.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 25 ottobre 2025 in Diritto Civile, Giurisprudenza Civile

Titolare del Trattamento nel Fascicolo Sanitario Elettronico: La Cassazione Fa Chiarezza

L’identificazione del titolare del trattamento dei dati personali è una questione cruciale per la corretta applicazione della normativa sulla privacy, specialmente in contesti complessi come la sanità digitale. Con una recente ordinanza, la Corte di Cassazione ha fornito un chiarimento fondamentale sulla ripartizione delle responsabilità in caso di data breach nel Fascicolo Sanitario Elettronico (FSE), stabilendo un principio cardine: la responsabilità segue il potere decisionale su finalità e mezzi del trattamento.

I Fatti di Causa: Una Vulnerabilità nel Sistema

Il caso nasce dalla notifica di un data breach da parte di un’Azienda Sanitaria locale. Una vulnerabilità in un applicativo software, portale ufficiale della pubblica amministrazione, consentiva a un utente, dopo essersi autenticato tramite identità digitale, di accedere ai fascicoli sanitari di altri cittadini semplicemente inserendo i loro codici fiscali.

L’Autorità Garante per la protezione dei dati personali, dopo aver esaminato il caso, ha individuato la Provincia Autonoma come titolare del trattamento e l’ha sanzionata. La Provincia, tuttavia, ha impugnato il provvedimento, sostenendo che la titolarità fosse dell’Azienda Sanitaria. Il Tribunale di primo grado ha accolto l’opposizione, annullando la sanzione. L’Autorità Garante ha quindi proposto ricorso per cassazione avverso tale decisione.

La Questione Giuridica: Chi Decide ‘Come’ e ‘Perché’?

Il cuore della controversia risiede nella corretta interpretazione della figura del titolare del trattamento secondo il GDPR. La Cassazione ricorda che il titolare non è chi materialmente tratta i dati, ma chi determina le finalità (il ‘perché’) e i mezzi (il ‘come’) del trattamento. Il ‘responsabile del trattamento’, invece, è un soggetto esterno che opera per conto e secondo le istruzioni del titolare.

Il Tribunale aveva erroneamente attribuito la titolarità all’Azienda Sanitaria basandosi su documenti operativi e contratti di fornitura del software. La Corte Suprema, invece, ha adottato un approccio normativo, analizzando le leggi che istituiscono e regolano il Fascicolo Sanitario Elettronico.

Le motivazioni della Cassazione: il Ruolo del Titolare del Trattamento

La Corte di Cassazione ha accolto il ricorso del Garante, cassando la sentenza del Tribunale. Le motivazioni si basano su un’analisi puntuale delle norme nazionali (in particolare il D.L. 179/2012) che disciplinano l’FSE.

Secondo la Corte, la normativa affida alle Regioni e alle Province Autonome il compito di istituire l’FSE, definendone le finalità generali (cura, prevenzione, ricerca, programmazione sanitaria). Di conseguenza, è proprio la Provincia Autonoma a determinare le finalità e i mezzi essenziali del trattamento, specialmente per quanto riguarda le procedure di identificazione, autenticazione e autorizzazione all’accesso. La violazione dei dati si era verificata proprio in questa fase, e non durante un trattamento per finalità di cura (di cui è titolare l’Azienda Sanitaria).

La Cassazione ha chiarito che il FSE può avere plurimi titolari a seconda delle finalità perseguite. Per le attività di accesso e gestione infrastrutturale del sistema, il titolare del trattamento è l’ente che lo ha istituito e ne ha definito le regole. Per le attività di cura, diagnosi e riabilitazione, la titolarità ricade sui singoli soggetti del Servizio Sanitario Nazionale. La responsabilità per il data breach va quindi imputata a chi aveva il potere e il dovere di garantire la sicurezza dei mezzi di accesso, ovvero la Provincia.

Conclusioni: Implicazioni Pratiche della Decisione

Questa ordinanza ha importanti implicazioni pratiche:

1. Responsabilità basata sul potere decisionale: Gli enti pubblici che istituiscono sistemi digitali complessi non possono delegare la loro responsabilità di titolari per quanto riguarda la definizione delle regole fondamentali di funzionamento e sicurezza, anche se l’esecuzione tecnica è affidata a terzi.
2. Analisi funzionale della titolarità: La qualifica di titolare del trattamento non è monolitica ma va determinata in base alla specifica attività di trattamento in cui si è verificato l’incidente di sicurezza.
3. Rafforzamento dell’accountability: La decisione riafferma il principio di accountability del GDPR, secondo cui chi ha il potere decisionale finale su finalità e mezzi del trattamento è anche il primo responsabile della protezione dei dati personali degli interessati.

Chi è il titolare del trattamento per il Fascicolo Sanitario Elettronico (FSE)?
La titolarità dipende dalla specifica finalità del trattamento. Secondo la Corte, l’ente che istituisce l’FSE e ne determina le regole generali di funzionamento e accesso (es. Regione o Provincia Autonoma) è il titolare per queste attività. L’Azienda Sanitaria, invece, è titolare per i trattamenti di dati effettuati per finalità di cura.

In caso di un data breach dovuto a un difetto nel sistema di accesso all’FSE, chi è responsabile?
La responsabilità ricade sul soggetto che ha definito le finalità e i mezzi di quel specifico trattamento, ovvero il sistema di accesso e autenticazione. Nel caso esaminato, la Corte ha individuato tale soggetto nella Provincia Autonoma, in quanto ente che ha istituito l’FSE e le sue regole di accesso, e non nell’Azienda Sanitaria che lo utilizza per scopi di cura.

È possibile che esistano più titolari del trattamento per lo stesso FSE?
Sì. La sentenza chiarisce che il ruolo di titolare non è necessariamente unico. Possono coesistere diversi titolari per diverse finalità. Un ente pubblico può essere titolare per l’infrastruttura e le regole generali, mentre le singole strutture sanitarie sono titolari per l’uso dei dati al fine di erogare prestazioni mediche.

Testo del provvedimento

Ordinanza di Cassazione Civile Sez. 1 Num. 27558 Anno 2025

Civile Ord. Sez. 1 Num. 27558 Anno 2025

Presidente: COGNOME NOME

Relatore: COGNOME NOME

Data pubblicazione: 15/10/2025

ORDINANZA

sul ricorso iscritto al n. 20281/2024 R.G. proposto da : RAGIONE_SOCIALE, in persona del legale rappresentante pro tempore, elettivamente domiciliato in INDIRIZZO, presso l’RAGIONE_SOCIALE (P_IVA) che lo rappresenta e difende -ricorrente- contro

RAGIONE_SOCIALE, in persona del Presidente pro tempore rappresentato e difeso da ll’avvocato COGNOME NOME (CODICE_FISCALE) unitamente agli avvocati COGNOME NOME NOMECODICE_FISCALE), COGNOME NOME

(CODICE_FISCALE), NOME (CODICE_FISCALE) -controricorrente- avverso la SENTENZA del TRIBUNALE RAGIONE_SOCIALE n. 368/2024 depositata il 21/06/2024.

Udita la relazione svolta nella camera di consiglio del 11/09/2025 dal Consigliere COGNOME NOME COGNOME.

FATTI DI CAUSA

In data 21 aprile 2021 l’RAGIONE_SOCIALE ha trasmesso all’Autorità Garante per la protezione dei dati personali (ai sensi RAGIONE_SOCIALE‘art. 33 del Regolamento (UE) 2016/679) una notifica di violazione dei dati personali, riguardante l’accesso non autorizzato ai documenti RAGIONE_SOCIALE di alcuni assistiti determinato dalla vulnerabilità del RAGIONE_SOCIALEo relativo al Fascicolo RAGIONE_SOCIALE elettronico (in acronimo, FSE).

RAGIONE_SOCIALE indicava quali responsabili del trattamento dei dati personali la società RAGIONE_SOCIALE (‘RAGIONE_SOCIALE‘) -designata quale responsabile del trattamento nel 2010 -e RAGIONE_SOCIALE -designata anch’essa responsabile del trattamento nel 2018 -nell’ambito del contratto stipulato con RAGIONE_SOCIALE per conto RAGIONE_SOCIALE‘RAGIONE_SOCIALE per la fornitura RAGIONE_SOCIALEe componenti software RAGIONE_SOCIALE‘attuale piattaforma per la realizzazione del FSE.
Si evidenziava così una vulnerabilità applicativa del software fornito da RAGIONE_SOCIALE, poiché attraverso l’applicativo MY CIVIS, portale ufficiale RAGIONE_SOCIALE pubblica amministrazione RAGIONE_SOCIALE‘RAGIONE_SOCIALE RAGIONE_SOCIALE, l’utente, pur dovendosi autenticare tramite SPID, poteva immettere successivamente codici fiscali di altri cittadini e accedere ai loro fascicoli.

Con nota RAGIONE_SOCIALE‘1.03.2022 (doc. 10) il Garante ha notificato la violazione di cui agli artt. 166, comma 5, del Codice e 58, par. 1, lett. d), del Regolamento UE alla RAGIONE_SOCIALE RAGIONE_SOCIALE di RAGIONE_SOCIALE ritenendola titolare del trattamento di dati personali correlato al data breach .

La RAGIONE_SOCIALE RAGIONE_SOCIALE di RAGIONE_SOCIALE ha quindi proposto opposizione sostenendo che le finalità e i mezzi del trattamento

svolto mediante la piattaforma impiegata per la realizzazione del FSE fossero stati determinati dall’RAGIONE_SOCIALE -con affidamento RAGIONE_SOCIALE‘esecuzione tecnica a fornitori del settore (RAGIONE_SOCIALE e RAGIONE_SOCIALE) – alla quale quindi si sarebbe dovuta imputare la titolarità e dunque la responsabilità del trattamento.

Il Tribunale di RAGIONE_SOCIALE ha accolto l’opposizione ritenendo che titolare del trattamento fosse l’RAGIONE_SOCIALE e non la RAGIONE_SOCIALE, rilevando che nel provvedimento il soggetto sanzionato era individuato come «Amministrazione RAGIONE_SOCIALE», ritenuta una «espressione oscura» e ritenendo: a) che i compiti che il Regolamento (UE) citato assegna al titolare del trattamento si rispecchiano nei compiti e nei poteri assegnati all’RAGIONE_SOCIALE ricavabili, in primis, dal piano di progetto e in particolare a pag. 30, Modulo E – voce ‘Sicurezza e privacy’, cui si rimanda (doc. 16 di parte opponente), nonché dall’Atto di nomina di Responsabile esterno del Trattamento dei dati RAGIONE_SOCIALE azienda RAGIONE_SOCIALE dd. 11.5.2010 (doc. 18 di parte opponente) e la delibera RAGIONE_SOCIALE Giunta RAGIONE_SOCIALEle n. 949 dd. 18.9.2018 (doc. 22 di parte opponente) avente per oggetto la ‘Realizzazione del Fascicolo RAGIONE_SOCIALE elettronico (FSE) in RAGIONE_SOCIALE RAGIONE_SOCIALE‘, cui integralmente si rimanda; b) che lRAGIONE_SOCIALERAGIONE_SOCIALE, in qualità di titolare ha individuato quale responsabile del trattamento (esternalizzando questi compiti) le imprese che hanno fornito il software; c) che il provvedimento opposto risulta illegittimo per carenza di motivazione se considerato singolarmente e per motivazione contraddittoria se confrontato ad altro provvedimento sanzionatorio scaturito dal medesimo fatto, ove a soggetti diversi – ovvero all’opponente nel primo caso e all’RAGIONE_SOCIALE RAGIONE_SOCIALE nell’altro -viene attribuita la medesima qualifica di titolare del trattamento,
che può essere rivestita da un unico soggetto, integrando pertanto vizio RAGIONE_SOCIALE‘atto riconducibile all’eccesso di potere.

Avverso la predetta sentenza ha proposto ricorso per cassazione l’Autorità Garante per la protezione dei dati personali, affidandosi a un motivo. La RAGIONE_SOCIALE ha svolto difese con controricorso. Entrambe le parti hanno depositato memoria.

RAGIONI DELLA DECISIONE

1. -Con il primo e unico motivo del ricorso si lamenta la violazione e falsa applicazione di norma di diritto ex art. 360 n. 3 c.p.c., con riferimento ai criteri di individuazione RAGIONE_SOCIALE figura del titolare del trattamento in base alle disposizioni degli artt. 4, n.7) e 5, 25, 32 e 33 del Regolamento (UE) 2016/679. L’Avvocatura RAGIONE_SOCIALEo Stato deduce che sulla base del Regolamento (UE) 2016/679 il titolare del trattamento dei dati personali non è il soggetto che materialmente tratta detti dati, bensì il soggetto che determina le finalità e i mezzi del trattamento, essendo titolare del potere decisionale in materia. Rileva che l’art. 4 del Regolamento n. 2016/679/UE ( General Data Protection Regulation , in acronimo GDPR) definisce il titolare del trattamento dei dati personali al punto 7, nei termini che seguono: « titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il RAGIONE_SOCIALEo o altro organismo che, singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto RAGIONE_SOCIALE‘Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto RAGIONE_SOCIALE‘Unione degli Stati membri»; definisce quindi al punto 8 il « responsabile del trattamento » nei seguenti termini : «la persona fisica o giuridica, l’autorità pubblica, il RAGIONE_SOCIALEo o altro
organismo che tratta dati personali per conto del titolare del trattamento».

Titolare e responsabile sono dunque due soggetti diversi con diversi compiti e funzioni ma entrambi hanno RAGIONE_SOCIALEe responsabilità (art. 82) perché il titolare del trattamento dei dati personali risponde direttamente per le proprie scelte in materia di trattamento dei dati personali, mentre i soggetti che abbiano ricevuto istruzioni dal titolare rispondono solo se abbiano agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Si deduce quindi che l’attribuzione ad un soggetto diverso di compiti propri del titolare del trattamento dei dati personali non comporta affatto, come ha ritenuto il Tribunale di RAGIONE_SOCIALE, il venir meno RAGIONE_SOCIALE qualità di titolare del trattamento dei dati personali e l’attribuzione di tale qualità al soggetto che ha ricevuto l’attribuzione di tali compiti, in quanto il titolare resta comunque l’unico soggetto a disporre del potere decisionale sulla materia ed a fornire le istruzioni sull’operato del responsabile. Lamenta l’errore del Tribunale che nell’individuare la RAGIONE_SOCIALE come titolare ha falsamente applicato le disposizioni degli artt. 4, n. 7) e 5, 25, 32 e 33 del Regolamento.
La titolarità dei trattamenti effettuati attraverso il FSE è, infatti, espressamente prevista dal quadro normativo di settore (art. 12, D.L. n. 179/2012 e D.P.C.M. n. 178/2015, all’epoca dei fatti vigente, oggi in parte sostituito dal D.M. 7 settembre 2023) Gli artt. 10 e 11 del D.P .C.M. n. 178/2015, all’epoca dei fatti vigente, attribuivano all’RAGIONE_SOCIALE RAGIONE_SOCIALE solo la titolarità dei trattamenti dei dati e documenti presenti nel FSE effettuati per le finalità di cui all’articolo 12, comma 2, lettera a) del D.L. n. 179/2012 (finalità di cura) e non anche quelli relativi alle procedure di identificazione e autenticazione informatica al FSE.
Nel caso di specie, invece, si tratta dei trattamenti effettuati nelle procedure di identificazione e autenticazione informatica, nonché di autorizzazione all’accesso alle risorse (dati e documenti) di cui è titolare la RAGIONE_SOCIALE. A riprova di ciò rappresenta che nel Regolamento n. 2016/679/UE, che ha in parte abrogato il D.P.C.M. n. 178/2015, la titolarità dei trattamenti necessari a consentire l’identificazione, l’autenticazione informatica e l’accesso ai dati e documenti del FSE da parte RAGIONE_SOCIALEo stesso è in capo alla RAGIONE_SOCIALE (art. 11, comma 4 del D.M. 7 settembre 2023). Deduce che le attività di trattamento con riferimento alle quali si è verificata la violazione dei dati personali, a seguito RAGIONE_SOCIALE quale è stato adottato il provvedimento oggetto di impugnazione, rientrano nella sfera di titolarità RAGIONE_SOCIALE RAGIONE_SOCIALE RAGIONE_SOCIALE di RAGIONE_SOCIALE e non anche RAGIONE_SOCIALE RAGIONE_SOCIALE. Il data breach non risulta, infatti, essere stato determinato da un’errata identificazione RAGIONE_SOCIALE‘assistito al momento RAGIONE_SOCIALE‘erogazione RAGIONE_SOCIALEe prestazioni RAGIONE_SOCIALEe o da una scorretta associazione dei metadati ai documenti RAGIONE_SOCIALE presenti nel FSE.
2. -Il motivo è fondato.

2.1. -In via preliminare è opportuno precisare che al caso in esame si applica, quanto alle definizioni di responsabile del trattamento e titolare del trattamento, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR), entrato in vigore il 25 maggio 2018. Nella legislazione RAGIONE_SOCIALE vengono poi in applicazione l’art.12 del D.L. 18 ottobre 2012, n.179, conv. con mod. dalla legge 17 dicembre 2012, n.221, e il DPCM 29 settembre 2015, n.178, recante il Regolamento in materia di fascicolo RAGIONE_SOCIALE elettronico ( ratione temporis vigenti).
Nelle more è stato approvato anche il nuovo Regolamento UE 2025/237 ( European Healt Data Space , in acronimo RAGIONE_SOCIALE) entrato in vigore il 26 marzo 2025, (con applicazione prevista a partire dal 26 marzo 2027) che conferma le definizioni di titolare del trattamento e responsabile del trattamento già date dal GDPR. Per quanto qui di interesse può rilevarsi che il nuovo Regolamento UE persegue tre finalità sinteticamente esposte nel primo considerando: in primo luogo garantire l’uso primario dei dati RAGIONE_SOCIALE migliorando l’accesso RAGIONE_SOCIALEe persone fisiche ai loro dati RAGIONE_SOCIALE elettronici e il controllo su tali dati, ma anche favorire l’uso secondario dei dati RAGIONE_SOCIALE per la realizzazione RAGIONE_SOCIALE‘interesse collettivo a fini di ricerca, innovazione, prevenzione e risposta alle minacce RAGIONE_SOCIALEe, nonché migliorare il funzionamento del mercato interno per quanto riguarda lo sviluppo, la commercializzazione e l’uso di sistemi di cartelle cliniche elettroniche. Queste finalità sono già in certa misura immanenti nella legislazione RAGIONE_SOCIALE in tema di fascicolo RAGIONE_SOCIALE elettronico, ma è evidente che l’esperienza pandemica ha portato a una nuova consapevolezza sulla funzione sociale dei dati RAGIONE_SOCIALE, e sulla necessità di bilanciare il diritto soggettivo alla riservatezza del dato con la necessità di disporre di un accesso tempestivo ai dati RAGIONE_SOCIALE a fini di prevenzione e cura. Da qui l’importanza di individuare correttamente il titolare dei dati RAGIONE_SOCIALE e il responsabile del trattamento, anche in vista RAGIONE_SOCIALEo svolgimento dei compiti che l’RAGIONE_SOCIALE assegna loro, nonché lo sviluppo di sistemi di gestione e di accesso ai dati che ne garantiscano le finalità istituzionali.
2.2 -La presente controversia riguarda specificamente la individuazione del titolare del trattamento, essendo pacifico che si è verificato un data breach a causa di una specificità vulnerabilità del software che gestiva l’accesso al fascicolo

RAGIONE_SOCIALE elettronico. Pertanto, è infondata la eccezione di inammissibilità del ricorso proposta da parte controricorrente, secondo la quale il ricorso costituirebbe una richiesta di rivalutazione dei fatti di causa. Nel ricorso non si chiede di rivalutare i fatti di causa ma di verificare se è corretta la individuazione del titolare del trattamento dei dati RAGIONE_SOCIALE in base alla normativa europea e alla normativa RAGIONE_SOCIALE interna vigente, considerando che esso va tenuto distinto dal responsabile del trattamento; si tratta quindi, come correttamente espone l’Avvocatura, di una censura per violazione ed erronea applicazione di norme di diritto.
3. -L’istituzione del fascicolo RAGIONE_SOCIALE elettronico trova la sua disciplina nell’art.12 del D.L. 18 ottobre 2012, n.179, conv. con mod. dalla legge 17 dicembre 2012, n.221, e nel D.P.C.M. 29 settembre 2015, n.178, recante il Regolamento in materia di fascicolo RAGIONE_SOCIALE elettronico.

Il fascicolo RAGIONE_SOCIALE elettronico (FSE) è individuale e riguarda il singolo assistito; è costituito dall’insieme dei dati e documenti digitali di tipo RAGIONE_SOCIALE e RAGIONE_SOCIALE –RAGIONE_SOCIALE generati da eventi clinici presenti e trascorsi che riguardano l’assistito, riferiti anche alle prestazioni erogate al di fuori del RAGIONE_SOCIALE RAGIONE_SOCIALE RAGIONE_SOCIALE. Il FSE è istituito dalle Regioni e RAGIONE_SOCIALE RAGIONE_SOCIALE nel rispetto RAGIONE_SOCIALE normativa vigente in materia di protezione dei dati personali, secondo le previsioni di cui all’art.12 cit. e persegue plurime e specifiche finalità, come individuate al comma 2 RAGIONE_SOCIALEo stesso art.12 che nel testo ratione temporis vigente così le esplicita: a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione RAGIONE_SOCIALE, verifica RAGIONE_SOCIALEe qualità RAGIONE_SOCIALEe cure e valutazione RAGIONE_SOCIALE‘RAGIONE_SOCIALE RAGIONE_SOCIALE. I soggetti che possono utilizzare il FSE mutano a seconda RAGIONE_SOCIALE
finalità perseguite, così come mutano la qualità dei dati accessibili per il trattamento e le condizioni per il trattamento.

Le finalità di prevenzione, diagnosi, cura e riabilitazione (lettera a) sono perseguite dai soggetti del RAGIONE_SOCIALE e da tutti gli esercenti le professioni RAGIONE_SOCIALEe che prendono in cura l’assistito secondo le modalità di accesso da parte di ciascuno dei predetti soggetti e da parte degli esercenti le professioni RAGIONE_SOCIALEe, nonché nel rispetto RAGIONE_SOCIALEe misure di sicurezza definite ai sensi del comma 7.

Le finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico (lettera b) e programmazione RAGIONE_SOCIALE, verifica RAGIONE_SOCIALEe qualità RAGIONE_SOCIALEe cure e valutazione RAGIONE_SOCIALE‘RAGIONE_SOCIALE RAGIONE_SOCIALE (lettera c) sono perseguite dalle Regioni e dalle RAGIONE_SOCIALE RAGIONE_SOCIALE, nonché dal RAGIONE_SOCIALE e dal RAGIONE_SOCIALE RAGIONE_SOCIALE salute nei limiti RAGIONE_SOCIALEe rispettive competenze attribuite dalla legge.

Questa Corte ha già precisato quali sono i limiti per il trattamento «in chiaro» dei dati personali inseriti nel FSE, consentito solo per finalità di prevenzione, diagnosi, cura e riabilitazione RAGIONE_SOCIALE‘assistito stesso (Cass. n.6067 del 06/03/2025).

4. -Ciò premesso, si osserva che la sentenza impugnata, così come censurato dall’Avvocatura RAGIONE_SOCIALEo Stato, non applica correttamente l’art.4 del GDPR per varie ragioni: a)in primo luogo non distingue chiaramente tra titolare del trattamento e responsabile del trattamento; b) non tiene conto di quali sono i soggetti che in base alla normativa interna determinano le finalità e i mezzi del trattamento di dati personali; c)non tiene conto né RAGIONE_SOCIALEe disposizioni del D.L. 179/2012 (art. 12) né del D.P.C.M. 29 settembre 2015, n. 178 (Regolamento in materia di fascicolo RAGIONE_SOCIALE elettronico), che individuano i titolari del
trattamento dati del FSE secondo le funzioni specifiche; d) esamina atti quali il «Piano di Progetto» e l’«Atto di nomina del Responsabile» non esplicitando in motivazione né la loro natura né la loro funzione e per quale ragione essi prevarrebbero -in tesi -su norme di legge e regolamentari.

5. -Il giudice di merito non tiene conto che l’art. 12 del citato D.L. 179/2012, convertito in legge, dispone che il FSE è istituito dalle Regioni RAGIONE_SOCIALE, per le finalità di cui sopra si è detto, alcune RAGIONE_SOCIALEe quali pertinenti all’uso primario dei dati, altre all’uso secondario. In relazione a queste finalità è lo stesso art. 12 che individua quali sono i soggetti che le perseguono. Esso infatti prevede infatti che le finalità di cui alla lettera a) del comma 2 (diagnosi cura e riabilitazione) sono perseguite dai soggetti del RAGIONE_SOCIALE e da tutti gli esercenti le professioni RAGIONE_SOCIALEe secondo le modalità di accesso previste e con le relative misure di sicurezza, mentre le finalità di cui alle lettere b) e c) sono perseguite dalle Regioni e dalle RAGIONE_SOCIALE RAGIONE_SOCIALE, nonché dal RAGIONE_SOCIALE e dal RAGIONE_SOCIALE RAGIONE_SOCIALE salute nei limiti RAGIONE_SOCIALEe rispettive competenze.
5.1. -Di conseguenza poiché l’art. 4 del GDPR individua il titolare del trattamento nel soggetto che « singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento di dati personali» , rilievo decisivo ha la circostanza che il FSE è istituito dalle Regioni e dalle RAGIONE_SOCIALE, nonché l’attribuzione del perseguimento di specifiche finalità a questi enti. Pertanto, in relazione al tipo di data breach che nella specie si è consumato, non si può prescindere dalla verifica di chi fosse il soggetto che persegue e determina le finalità e i mezzi del trattamento , nell’ambito del quale l’accesso abusivo si è verificato.
Infine, deve osservarsi che non è di per sé contraddittorio individuare due soggetti da sanzionare posto che lo stesso regolamento UE indica che i titolari del trattamento possono essere anche più soggetti in quanto possono essere più i soggetti che determinano le finalità e i mezzi del trattamento stesso.

Ne consegue, in accoglimento del ricorso la cassazione RAGIONE_SOCIALE sentenza impugnata e il rinvio al Tribunale di RAGIONE_SOCIALE, in composizione monocratica con magistrato diverso, per un nuovo esame e per la liquidazione RAGIONE_SOCIALEe spese anche del giudizio di legittimità.

P.Q.M.

accoglie il ricorso cassa la sentenza impugnata e rinvia al Tribunale di RAGIONE_SOCIALE in composizione monocratica con magistrato diverso, per un nuovo esame e per la liquidazione RAGIONE_SOCIALEe spese anche del giudizio di legittimità

Così deciso in Roma, il 11/09/2025.

Il Presidente NOME COGNOME

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.