Il dato sanitario rappresenta tante cose a un medesimo tempo. Esso costituisce anzitutto una delle più penetranti fotografie della persona, nella misura in cui ne traccia la storia della salute fisica, psichica e sociale, e richiede dunque una gestione e una protezione adeguate al livello di intimità dell’informazione che esprime, prevenendone l’abuso in tutte le molteplici modalità in cui questo può avere luogo (commerciale, occupazionale, relazionale, politica). Al contempo, il dato sanitario rappresenta un presupposto e un veicolo insostituibile per qualsiasi intervento di tutela della salute: dalla notte dei tempi, il più semplice consulto medico impone una trasfusione di informazioni — se del caso, anche non verbale — dal paziente verso il medico. L’importanza del dato sanitario acquista però oggi un livello nuovo con gli sviluppi di tecnologie in grado di movimentare masse enormi di dati: a partire dall’espansione di internet e dalla massiva digitalizzazione dei servizi, è ora disponibile una mole senza precedenti di informazioni sanitarie. In questo senso, l’avvento dell’intelligenza artificiale si pone come l’ultimo capitolo di una parabola più lunga — per quanto pure asseritamente trasformativo, rivoluzionario, financo sconvolgente. E proprio al dato sanitario e alla sua valorizzazione tecnologica si deve giocoforza guardare oggi, con crescente speranza, per far fronte ai problemi di sostenibilità finanziaria dei sistemi sanitari, che in aggiunta agli elementi di difficoltà “naturale” — l’inesauribilità del bisogno sanitario e le nuove possibilità di cura aperte dalla ricerca scientifica — si confrontano oggi con le sfide dell’invecchiamento generale della popolazione e la conseguente crescita più che proporzionale nei costi dell’assistenza sanitaria.
Rispetto a questo ampio e complesso quadro politico-sociale, è lecito chiedersi che contributo possano realisticamente portare gli operatori del diritto, giudici e studiosi in primis? A parere di chi scrive, senz’altro il rafforzamento della certezza giuridica rappresenta un’opera e un obiettivo cruciale e ineludibile. È dunque sulla scorta di questa convinzione — ma non solo, come si dirà — che la pronuncia 27558 della prima sezione della Corte di Cassazione è salutata con favore, nella misura in cui contribuisce a una maggiore certezza in un quadro normativamente piuttosto frastagliato, e per ragioni intrinseche alla normativa sui dati personali e per la confusione tra i livelli decisionali che operano nel campo della tutela della salute: nazionale, regionale e aziendale. “Vittima” del problematico riparto di competenze in materia sanitaria è diventato infatti proprio quel Fascicolo sanitario elettronico (FSE) che, in teoria, avrebbe dovuto garantire, tra l’altro, l’interoperabilità dei dati sanitari delle diverse regioni e province autonome e che invece, come noto, sconta non solo gravi ritardi nell’adozione e nell’approvvigionamento — che dovrebbero forse stimolare l’esercizio di più penetranti poteri sostituivi dello Stato centrale, anche considerato il ruolo del FSE nel PNRR — ma anche problematiche difformità applicative nell’implementazione regionale.
Il contesto specifico della vicenda all’attenzione della Corte di Cassazione era abbastanza definito. In data 21 aprile 2021, l’Azienda Sanitaria dell’Alto Adige (ASDAA) notificava al Garante per la protezione dei dati personali un data breach sul FSE: gli utenti, infatti, una volta autenticati via SPID riuscivano ad accedere ai fascicoli di altri assistiti semplicemente inserendo il rispettivo codice fiscale, se conosciuto. All’esito dell’istruttoria, in data 1° marzo 2022 il Garante privacy sanzionava la Provincia Autonoma di Bolzano, in quanto titolare del trattamento, per non aver predisposto le condizioni idonee ad impedire l’accesso abusivo. Con successo, tuttavia, la Provincia Autonoma proponeva opposizione, accolta dal Tribunale di Bolzano sulla scorta di due fondamentali considerazioni: che dalle risultanze documentali l’ASDAA apparisse come effettivo titolare del trattamento in quanto avrebbe definito finalità e modalità di trattamento dei dati sanitari, arrivando altresì a individuare le imprese fornitrici del software necessario alla realizzazione dell’infrastruttura FSE; e che, a ritenere altrimenti responsabile del trattamento la Provincia, si sarebbe finito per contraddire altro provvedimento sanzionatorio, così attribuendosi la qualifica di titolare del trattamento contemporaneamente attribuita a due diversi soggetti — l’ASDAA e la Provincia.
Con una pronuncia fondata su di un unico assorbente motivo, la Suprema Corte ha cassato la sentenza del Tribunale, fornendo altresì una preziosa chiarificazione sulla responsabilità del trattamento del dato nell’FSE. Le norme di riferimento applicabili al caso di specie erano gli artt. 10 e 11 del d.P.C.M. 29 settembre 2015, n. 178 («Regolamento in materia di fascicolo sanitario elettronico») — attuativi dell’art. 12, comma 2, lett. a del d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 — in quanto ratione temporis non era applicabile l’art. 11, comma 4 del d.m. 7 settembre 2023 («Fascicolo sanitario elettronico 2.0»), che oggi con maggiore nettezza sancisce la responsabilità della «regione di assistenza» nella fase dell’accesso del cittadino al servizio e, specificatamente, dell’identificazione e dell’autenticazione informatica. Tuttavia, secondo la Corte, la responsabilità della Provincia era comunque inferibile dalla normativa previgente, laddove stabiliva quella che, con un certo grado di flessibilità concettuale, si poteva definire una titolarità del trattamento “a geometria variabile”, in quanto differenziata a seconda che l’utilizzo del dato fosse preordinato a finalità di prevenzione e cura (lett. a, d.l. 179/2012), di studio e ricerca (lett. b, d.l. 179/2012) o di programmazione e valutazione dell’assistenza (lett. c, d.l. 179/2012).
Posto infatti che l’ASDAA dovesse rispondere pienamente per le finalità di prevenzione e cura, oltre a non distinguere chiaramente nella sentenza cassata tra titolare e responsabile del trattamento, il giudice di merito avrebbe omesso di declinare la titolarità secondo le diverse funzioni del d.l. 179/2012, residuando così l’ipotesi che quelle violate dal data breach corrispondessero alle funzioni di predisposizione istituzionale del FSE facenti capo a regioni e province autonome. Da questo punto di vista, per un piano aspetto di gerarchia delle fonti, la produzione documentale considerata non poteva certo prendere il posto della valutazione della finalità in concreto stabilita per l’utilizzo del dato, come disposto dalle norme regolamentari e, mediatamente, legislative. Né emergente rilievo poteva in alcun modo darsi allo scenario di una possibile “doppia imputazione” del fatto a soggetti diversi per via di una simultanea titolarità del dato, considerato che proprio l’apparato normativo contemplava una simile possibilità, prevedendo una distinzione della responsabilità in base alle finalità perseguite. L’omissione del test sulla concreta individuazione del soggetto determinante le finalità e dei mezzi del trattamento assume quindi «rilievo decisivo» e impone l’annullamento della pronuncia impugnata.
Seppur riferita a una normativa in qualche modo ora rinnovata, la decisione del giudice supremo rappresenta comunque, in questo senso, un momento di importante chiarimento, nella misura in cui sottolineatura e asseverazione dei profili di responsabilità possono diventare uno sprono alle regioni e alle province autonome perché adempiano con maggiore diligenza e dovizia all’apprestamento del sistema FSE. In un tempo in cui l’architettura del regionalismo sanitario può legittimamente revocarsi in dubbio, le scelte dei legislatori territoriali possono verosimilmente fare la differenza per la tenuta o il superamento dell’attuale modello istituzionale della sanità italiana: vuoi per una “riduzione in pristino” nell’alveo del decentramento amministrativo, vuoi per una federalizzazione più autentica. Al tempo stesso, una simile opera non si presenta necessaria soltanto per elevare la qualità delle cure e la loro sostenibilità — prevenendo l’inappropriatezza — all’interno del servizio sanitario nazionale, ma risponde anche ad un’esigenza di portata eurounitaria, nel momento in cui la costruzione dello Spazio europeo dei dati sanitari (EHDS) si fonda proprio sulla interoperabilità dei dati sanitari degli Stati membri. Costituendo l’EHDS uno dei pilastri dell’Unione europea della salute, le “semplici” sorti del FSE possono a loro volta diventare decisive anche per il superamento del modello stato-centrico di sanità tuttora vigente in Europa, aprendo lo spazio per un’armonizzazione i cui ultimi beneficiari sarebbero, ad ogni buon conto, gli stessi cittadini europei. In questo senso, è possibile constare se, per un verso, la pronuncia in commento abbia in effetti contribuito alla realizzazione di un obiettivo evocato nella stessa sentenza — «l’importanza di individuare correttamente il titolare dei dati sanitari e il responsabile del trattamento, anche in vista dello svolgimento dei compiti che l’EHDS assegna loro» — residua invece, per l’altro, la responsabilità degli organi d’indirizzo politico, cui spetta il compito di assicurare «lo sviluppo di sistemi di gestione e di accesso ai dati che ne garantiscano le finalità istituzionali».
