Data breach costituito da accessi non autorizzati a seguito della vulnerabilità del software che gestiva l’accesso al fascicolo sanitario elettronico (FSE): a quale soggetto imputare la responsabilità? Al soggetto che materialmente tratta i dati o al soggetto che determina finalità e mezzi del trattamento? Al Servizio Sanitario locale o alla Regione/Provincia Autonoma?
Secondo l'Ordinanza della Cassazione prima sez.civile del 15.10.25 la responsabilità atterra sulla regione o provincia autonoma in quanto ente titolare del trattamento dei dati sanitari per finalità di governo del sistema sanitario ( ratione temporis vigenti: art.12, co. 2,4,6, DL 179/2012 ) sebbene non sia il soggetto che materialmente gestisce i dati. Scenario di riferimento Il caso in commento ci fa riflettere sul problema dell'individuazione del titolare del trattamento sia a livello generale sia nello specifico ambito dei dati sanitari : chi tratta materialmente i dati o chi determina mezzi e fini del trattamento? Quando si verifica un data breach nell'ambito dei dati sanitari allocati in architetture digitali come si determina chi dovrà risponderne? Il Garante Privacy è intervenuto più volte in materia al punto che il Decreto Ministeriale 7 settembre 2023 sul “Fascicolo Sanitario Elettronico 2.0” è stato elaborato dal legislatore in stretta collaborazione con questa Authority. Sempre quest'Ultima ha spinto la macchina normativa a differire e dilazionare i tempi di entrata in vigore del DM 7.09.23 segnalando le molte lacune degli enti nell'applicazione dello stesso. Si apprende dalla Newsletter n. 525 del 26 giugno 2024 che il Garante ha avviato istruttorie nei confronti di 18 regioni e 2 Province Autonome a causa delle “ numerose violazioni riscontrate nell'attuazione della nuova disciplina sul FSE 2.0, introdotta con il decreto del Ministero della salute del 7 settembre 2023 ” ( Garante Privacy, Newsletter n. 525 del 26 giugno 2024 “ FSE 2.0, Garante Privacy: al via procedimenti nei confronti di 18 Regioni e 2 Province autonome ” ). Il legislatore, così allertato, ha disposto un regime transitorio di applicazione della disciplina sul FSE 2 .0 con il Decreto 30.12.24 concedendo più tempo alle Amministrazioni Pubbliche per adeguarsi: prima fase applicativa entro il 31.03.25; seconda fase applicativa entro il 30.09.25; terza fase applicativa entro il 31.03.26. Il sistema del FSE 2.0 , semplificando per intendersi, attinge sia ai dati sanitari “in chiaro” trattabili unicamente per fini di cura dal Servizio Sanitario ( Cass. n.6067 del 06/03/2025 ) sia ai dati non “in chiaro” trattabili per fini di governo della macchina amministrativa digitale dalle Regioni o dalle Province Autonome . A seconda dell'uso primario (dati in chiaro) o dell'uso secondario (dati non in chiaro) cambiano i soggetti titolari del trattamento. Pertanto, quando un data breach si verifica nell'ambito dell'uso primario la responsabilità ricade sul soggetto che persegue la finalità di cura (Servizio Sanitario) mentre quando un data breach impinge l'uso secondario la responsabilità ricade sul soggetto che persegue la finalità di governo della macchina sanitaria digitale (Regioni o Province Autonome). Dunque, come concluso anche dagli Ermellini, per determinare chi risponda del data breach occorre individuare chi determina mezzi e finalità del trattamento senza fermarsi al soggetto che materialmente tratta i dati : «pertanto, in relazione al tipo di data breach che nella specie si è consumato, non si può prescindere dalla verifica di chi fosse il soggetto che persegue e determina le finalità e i mezzi del trattamento, nell'ambito del quale l'accesso abusivo si è verificato ». La distinzione tra uso primario e uso secondario si trova anche nel primo considerando del nuovo Regolamento UE 2025/327 “European Health Data Space” (EHDS) entrato in vigore il 26.03.25 con applicazione dal 26.03.27. Questo Regolamento vuole centrare l'obiettivo di “ istituire lo spazio europeo dei dati sanitari” per migliorare l'uso primario dei dati sanitari ampliando il diritto di accesso e di controllo degli interessati e per favorire l'uso secondario dei dati sanitari (circolazione dei dati) per ricerca e innovazione, prevenzione e gestione di future pandemie e per lo sviluppo di sistemi omogenei di cartelle cliniche elettroniche ( European Health record system – EHR ) che renderanno più uniforme l'applicazione della disciplina in ogni zona dell'UE. Il caso La vicenda si sviluppa a seguito di accessi non autorizzati ai dati sanitari di alcuni cittadini da parte di esterni privi di qualsivoglia incarico. Il sistema elettronico richiedeva l'autenticazione tramite SPID e l'immissione del proprio codice fiscale per accedere al proprio FSE. Purtroppo, si è verificata una vulnerabilità del software per cui è stato possibile accedere anche ai dati sanitari altrui semplicemente immettendo il relativo codice fiscale. In sostanza non si attivava nessun blocco ove mancava la corrispondenza tra l'identità SPID entrata nel sistema e il codice fiscale da questa digitato. Il data breach è stato notificato il 21.04.21 dall'Azienda Sanitaria della Provincia Autonoma di Bolzano al Garante Privacy indicando le società informatiche fornitrici della piattaforma nominate responsabili esterni. Il Garante con nota del 1.03.2022 ha contestato la violazione alla Provincia Autonoma di Bolzano inquadrata quale titolare del trattamento correlato a quel determinato data breach. La Provincia Autonoma, ritenendo invece responsabile l'Azienda Sanitaria, ha impugnato il provvedimento di fronte al Tribunale di Bolzano che ha accolto l'opposizione. Così il Garante Privacy ha presentato ricorso per Cassazione con un unico motivo: violazione e falsa applicazione della legge con riferimento ai criteri di individuazione della figura del titolare del trattamento ex articolo 4, n.7) e 5, 25, 32 e 33 del Regolamento (UE) 2016/679. Il titolare del trattamento -sostiene il ricorrente«non è il soggetto che materialmente tratta detti dati, bensì il soggetto che determina le finalità e i mezzi del trattamento, essendo titolare del potere decisionale in materia ». Pertanto, occorre verificare nelle normative di riferimento sul FSE quale sia l'organismo investito di tale potere. Il quadro normativo di settore al momento della violazione era costituito dall' art.12, D.L. 179/2012 “Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale” e dal DPCM 178/2015 (Regolamento sul “Fascicolo Sanitario Elettronico”) oggi in alcuni punti sostituito dal D.M. 7 settembre 2023 sul “Fascicolo Sanitario Elettronico 2.0”. Il ricorrente individua nell'articolo 11, co. 4 del D.M. 7 settembre 2023 la base giuridica che investe la Provincia Autonoma del ruolo di titolare del trattamento: «4. T itolari dei trattamenti necessari a consentire l'identificazione e l'autenticazione informatica dell'assistito o di un suo delegato, l'accesso ai dati e documenti del FSE da parte dello stesso, nonché il relativo tracciamento, sono il Ministero della salute, limitatamente agli assistiti SASN, la regione di assistenza o il titolare del Portale nazionale FSE, per gli assistiti per i quali non risulta associata una RdA e che usano il predetto portale » . Il ragionamento del ricorrente viene accolto dagli Ermellini ma trovando fondamento giuridico nelle norme vigenti al tempo della violazione ( data breach notificato il 21.04.21) ovvero nell'art.12 DL 179/2012 ed in particolare nel comma 2 (finalità perseguite), nel comma 4 (finalità perseguite dal Servizio Sanitario e locale) e nel comma 6 (finalità perseguite dalle Regioni o dalle Province Autonome). L' art.12 DL 179/2012 co.2 individua le seguenti finalità: «lett. a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria ». L' art.12 DL 179/2012 co.4 assegna il perseguimento delle finalità sub lett. a) al Servizio Sanitario mentre il comma 6 assegna il perseguimento delle finalità sub lett. b) e c) alle Regioni o Province Autonome. Di conseguenza - concludono gli Ermellini - «poiché l' articolo 4 del GDPR individua il titolare del trattamento nel soggetto che «singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento di dati personali», rilievo decisivo ha la circostanza che il FSE è istituito dalle Regioni e dalle Province autonome, nonché l'attribuzione del perseguimento di specifiche finalità a questi enti. Pertanto, in relazione al tipo di data breach che nella specie si è consumato, non si può prescindere dalla verifica di chi fosse il soggetto che persegue e determina le finalità e i mezzi del trattamento, nell'ambito del quale l'accesso abusivo si è verificato ».
Presidente Tricomi - Relatore Russo Fatti di causa 1.- A.M. era stato dipendente di (OMISSIS) srl, con mansioni di macellaio, fino al (OMISSIS), quando era stato licenziato per motivi disciplinari (per aver simulato lo stato di malattia – contusione al polso sinistro – posto a giustificazione dell'assenza oppure avere tenuto comportamenti incompatibili con il predetto stato ovvero idonei a pregiudicare e/o ritardare la guarigione). L'A.M. impugnava il licenziamento dinanzi al Tribunale di Torre Annunziata, chiedendone la declaratoria di nullità e/o di inefficacia in quanto ritorsivo o discriminatorio o comunque di illegittimità per insussistenza del fatto e di giusta causa oppure in violazione dell'articolo 88 del contratto collettivo aziendale, al fine di ottenere l'ordine alla società di reintegrarlo nel posto di lavoro con tutte le conseguenze previste dall' articolo 18, co. 1 o 4, L. n. 300/1970 . 2.- Costituitasi in giudizio, la datrice di lavoro eccepiva la decadenza del lavoratore dall'impugnazione del licenziamento per aver depositato il ricorso giudiziario oltre il termine di 180 giorni dall'impugnativa stragiudiziale del 20/05/2020 e precisamente in data 19/11/2020 invece che entro il 16/11/2020, ultimo giorno utile. Nel merito contestava la fondatezza della domanda, di cui chiedeva il rigetto. 3.- A conclusione della fase c.d. sommaria introdotta dalla legge n. 92/2012 , il Tribunale, in accoglimento dell'eccezione di decadenza, dichiarava inammissibile la domanda. A seguito dell'opposizione del lavoratore, il Tribunale accoglieva l'istanza di rimessione in termini, espletava la prova testimoniale e, in accoglimento della domanda di accertamento dell'insussistenza del fatto, ai sensi dell' articolo 18, co. 4, L. n. 300/1970 ordinava la reintegrazione dell'opponente nel posto di lavoro e condannava la società a pagare l'indennità risarcitoria pari a 12 mensilità dell'ultima retribuzione globale di fatto (di euro 1.936,74). In particolare riteneva che i comportamenti descritti nella relazione investigativa (la guida di uno scooter di grosse dimensioni, la conduzione del cane a spasso, il reggere le buste della spesa con la mano sinistra colpita dall'infortunio) non fossero lesivi dello stato di salute, né idonei a pregiudicare o ritardare la guarigione del lavoratore, né vi fossero elementi dai quali desumere la mera simulazione dello stato di malattia. 4.- Con la sentenza indicata in epigrafe la Corte d'Appello rigettava il gravame interposto dalla società. Per quanto ancora rileva in questa sede, a sostegno della sua decisione la Corte territoriale affermava: a) ai fini della rimessione in termini, prima di verificare la non imputabilità del ritardo occorre verificare se sussisteva il requisito della tempestività dell'istanza intesa come immediatezza della reazione della parte al palesarsi della necessità di svolgere un'attività processuale ormai preclusa; b) nel caso in esame la tempestività sussiste, poiché l'istanza di rimessione in termini è stata formulata all'udienza del 27/01/2021, prima udienza utile successiva alla sollevata eccezione di controparte di intervenuta decadenza, in cui il lavoratore aveva allegato prova documentale della causa di forza maggiore (virus informatico) che aveva impedito il tempestivo deposito del ricorso; c) trattasi di un'istanza tempestiva, in quanto proposta dinanzi al giudice della fase sommaria, prima della declaratoria di inammissibilità della domanda; d) sussiste altresì l'impedimento non imputabile alla parte, trattandosi di virus informatico che la Corte di Cassazione ha ritenuto tale ( Cass. sez. un. n. 4135/2019 ; Cass. n. 29757/2019 ); e) nel caso in esame il difensore ha prodotto il rapporto di intervento tecnico della ditta (OMISSIS) da cui si evincono i fatti, le date e le modalità dell'intervento tecnico di “recupero” durato dal 16 novembre al 19 novembre 2020, imputabili a “cyberattacco mediante criptolocker che aveva reso inefficaci le protezioni perimetrali (firewall) e applicative (antivirus e antimalaware) presenti presso lo studio, rendendo inutilizzabili n. 4 pc e chiavetta firma digitale”; f) è diritto di chi agisce provvedere al deposito telematico degli atti entro la fine dell'ultima giornata utile per il deposito, senza potersi sindacare nel merito le ragioni di tale scelta; g) il fatto impeditivo si era manifestato nel pomeriggio del 16 novembre, sicché non sarebbe stato possibile il deposito cartaceo del ricorso, in ogni caso impedito dall'obbligo di deposito telematico degli atti introduttivi del giudizio, che costituiva la regola nel periodo emergenziale COVID-19 (articolo 83 d.l. n. 18/2020), vigente fino al termine (più volte prorogato) del 31 dicembre 2020; h) in quel periodo vigeva altresì il provvedimento n. 237/2020 dell'Ufficio di presidenza della Corte d'Appello di Napoli, che invitava tutti i magistrati del distretto “a valutare con sufficiente benevolenza eventuali richieste di rimessione in termini, tenuto anche conto delle notevoli difficoltà di accesso agli uffici giudiziari, a causa delle restrizioni connesse alla pandemia in atto”; i) nel merito, a seguito dell'infortunio sul lavoro verificatosi il 20/02/2020 (contusione mano e polso sinistro) vi fu prescrizione di riposo, ghiaccio e terapia medica al persistere dei sintomi con prognosi di sette giorni, come da referto ospedaliero, poi prorogati di ulteriori dieci giorni e ripresa del servizio al termine del periodo anzidetto in data 09/03/2020; j) il Tribunale ha valutato i comportamenti descritti nella relazione investigativa come non idonei a far presumere l'inesistenza della malattia e, dunque, una sua simulazione, né a pregiudicare o ritardare la guarigione o il rientro in servizio del lavoratore; k) tale convincimento è condiviso da questa Corte, sicché non sussiste la violazione dei generali doveri di correttezza e di buona fede, poiché il tipo di infortunio certificato non impediva lo svolgimento di attività quotidiane di ordinaria amministrazione, pur considerando che il lavoratore è mancino, bensì solo di quelle legate all'attività lavorativa di macellaio; l) non può applicarsi la tutela soltanto indennitaria ex articolo 18, co. 5, L. n. 300/1970 , poiché l'insussistenza del fatto contestato comprende anche l'ipotesi in cui il fatto sia sussistenza, ma sia privo del carattere di illiceità, come nel caso in esame. 5.- Avverso tale sentenza (OMISSIS) srl ha proposto ricorso per cassazione, affidato a tre motivi. 6.- A.M. ha resistito con controricorso. 7.- La Consigliera delegata dal Presidente ha formulato proposta di definizione accelerata ex articolo 380 bis c.p.c. 8.- La società ricorrente ha presentato tempestiva istanza di decisione. 9.- Il collegio si è riservata la motivazione nei termini di legge. Ragioni della decisione 1.- Con il primo motivo, proposto ai sensi dell' articolo 360, co. 1, n. 4), c.p.c. la società ricorrente lamenta “violazione e falsa applicazione” dell' articolo 132, co. 2, n. 4), e 153 c.p.c. per avere la Corte territoriale erroneamente ritenuta tempestiva l'istanza di rimessione in termini e sussistente l'impedimento dovuto a causa di forza maggiore. Il motivo è fondato per quanto di ragione. Questa Corte ha più volte affermato che l'istituto della rimessione in termini, ex articolo 153, co. 2, c.p.c. , presuppone che la parte incorsa nella decadenza per causa ad essa non imputabile si attivi con tempestività e, cioè, in un termine ragionevolmente contenuto e rispettoso del principio della durata ragionevole del processo ( Cass. ord. n. 4034/2025 ; Cass. ord. n. 22342/2021 ; Cass. ord. n. 25289/2020 ). E, come si evince dalle stesse pronunzie ricordate dai Giudici del reclamo ( Cass. n. 23561/2011 ; Cass. n. 6102/2019 ), questa Corte di legittimità ha precisato che la tempestività – ossia l'immediatezza della reazione della parte colpita da decadenza – va valutata rispetto al momento in cui è maturata la decadenza (nella specie 16/11/2020), di cui abbia avuto consapevolezza la parte o il suo difensore. In sostanza la rimessione in termini richiede l'immediatezza della reazione rispetto al palesarsi della necessità di svolgere quell'attività processuale ormai preclusa ( Cass. n. 19290/2016 ; Cass. n. 23561/2011 ); da tanto deriva che essa non può essere condizionata o in qualche modo rapportata alla eventuale proposizione della eccezione di decadenza della controparte. Inoltre, neppure può dirsi sempre tempestiva, come viceversa mostra di ritenere la sentenza impugnata, l'istanza anteriore alla decisione di improcedibilità, perché allora sarebbe sempre tempestiva purché anteriore a quella decisione di rito, in tal modo restando preclusa al giudice per ciò solo la valutazione della tempestività dell'istanza, che invece il legislatore gli riserva. La Corte territoriale non si è conformata alle indicazioni del giudice di legittimità avendo mostrato di ancorare la verifica dei presupposti della rimessione in termini a elementi a tal fine ininfluenti in quanto estrinseci alla disciplina dell'istituto ed alle esigenze ad essa sottese riconducibili in definitiva al canone costituzionale della ragionevole durata del processo ex articolo 111 Cost. . A tanto consegue la cassazione con rinvio della decisione al fine di una rinnovata valutazione del requisito della tempestività dell'istanza di rimessione in termini avanzata dal difensore del lavoratore alla luce del seguente principio di diritto: “ai fini della rimessione in termini il requisito essenziale della tempestività dell'istanza della parte colpita dalla decadenza va valutato rispetto al momento in cui si è palesata la necessità di svolgere quell'attività processuale ormai preclusa ed alla consapevolezza acquisita dalla parte, a prescindere dalle eccezioni eventualmente sollevate a riguardo dalla controparte”. Alla Corte di merito spetterà, poi, trarne le conseguenze in ordine alle varie domande (reintegratoria e indennitario-risarcitoria) proposte dal lavoratore. 2.- Con il secondo motivo, senza indicarne la sussunzione in uno di quelli a critica vincolata imposti dall' articolo 360, co. 1, c.p.c. , la ricorrente lamenta “violazione e falsa applicazione” dell' articolo 2697 c.c. per avere la Corte territoriale omesso ogni pronunzia sull'istanza di una consulenza tecnica d'ufficio di tipo informatico per accertare la fondatezza della ragione ostativa addotta dal lavoratore nell'istanza di rimessione in termini. Con il terzo motivo, proposto ai sensi dell' articolo 360, co. 1, n. 3), c.p.c. la ricorrente lamenta violazione degli articolo 111 Cost. , 132 c.p.c., 118 disp.att.c.p.c. per difetto di motivazione circa la valutazione delle prove inerenti al merito dell'addebito disciplinare. L'esame dei motivi secondo e terzo resta assorbito dall'accoglimento del primo motivo. Alla Corte di rinvio è demandato il regolamento delle spese del giudizio di legittimità. 3.- Sussistendo i presupposti di legge, dispone che in caso di diffusione dovrà essere omessa l'indicazione delle generalità e degli altri dati identificativi del controricorrente, ai sensi dell' articolo 52 d.lgs. n. 196/2003 . P.Q.M. La Corte accoglie il primo motivo, dichiara assorbiti il secondo ed il terzo; cassa la sentenza impugnata in relazione al motivo accolto e rinvia alla Corte d'Appello di Napoli, in diversa composizione, alla quale è demandato il regolamento delle spese anche del presente giudizio di legittimità.