Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

governance e responsabilità

Accesso ai dati sanitari del FSE: gli errori che costano caro

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La conformità del FSE si misura sulla capacità di dimostrare chi accede ai dati sanitari, perché e con quali limiti. I principi di minimizzazione, accountability e privacy by design devono tradursi in scelte progettuali verificabili e controlli periodici sugli accessi

Pubblicato il 23 feb 2026
Paola Zanellati

Responsabile Protezione dei Dati – DPO Consulente Privacy

FSE2 e AI, vendita di farmaci online e privacy; oblio oncologico

L’ implementazione del Fascicolo Sanitario Elettronico, uno degli strumenti più avanzati per la gestione dei dati sanitari nel sistema sanitario nazionale, solleva questioni cruciali di governance, responsabilità e conformità al GDPR che richiedono risposte concrete, non solo formali.

Fascicolo e dossier sanitario col Gdpr, i passi da fare per scongiurare le sanzioni

Conformità formale e sostanziale: la vera sfida del trattamento dati sanitari

Quando si affronta il tema dei dati sanitari e del FSE, la prima distinzione che un approccio realmente consulenziale deve operare è quella tra conformità formale e conformità sostanziale.

In ambito sanitario, infatti, la mera adozione di informative, policy o dichiarazioni di principio non è sufficiente a garantire il rispetto del GDPR. Il trattamento dei dati relativi alla salute, per loro natura altamente invasivi, impone un livello di governo del dato che si misura nella capacità dell’organizzazione di dimostrare, in ogni momento, chi accede ai dati, perché vi accede, con quali limiti e con quali controlli successivi. È su questo piano che si gioca la reale tenuta del sistema, non sul rispetto meramente documentale degli obblighi.

Base giuridica del trattamento: oltre il consenso, la necessità clinica

Il GDPR colloca i dati sanitari tra le categorie particolari di dati personali, vietandone in via generale il trattamento e consentendolo solo in presenza di condizioni specifiche e tassative. Questa impostazione non è ideologica, ma funzionale: il legislatore europeo riconosce che il trattamento dei dati sanitari è necessario in determinati contesti, ma pretende che tale necessità sia rigorosamente circoscritta e sorvegliata. In sanità, la base giuridica del trattamento non è ordinariamente il consenso, bensì la necessità del trattamento per finalità di diagnosi, assistenza o terapia sanitaria e per la gestione dei sistemi e dei servizi sanitari, purché il trattamento sia svolto da soggetti vincolati al segreto professionale o a obblighi equivalenti di riservatezza.

Questo punto è centrale anche in ottica consulenziale, perché chiarisce che la liceità non nasce dalla firma di un modulo, ma dalla struttura del sistema e dalla correttezza delle sue regole operative.

FSE come ecosistema complesso: chi governa e con quali strumenti

Il Fascicolo Sanitario Elettronico rappresenta, sotto questo profilo, uno dei contesti più complessi di applicazione del GDPR. Non si tratta di un singolo trattamento, ma di un ecosistema che integra dati provenienti da molteplici soggetti, generati in momenti diversi, con finalità cliniche, organizzative e, in taluni casi, di programmazione sanitaria. La normativa italiana ha attribuito alle Regioni e Province autonome un ruolo centrale di titolari del trattamento per l’istituzione e la gestione del FSE, mentre le aziende sanitarie, le strutture accreditate e i professionisti operano all’interno di questo perimetro secondo modelli di autorizzazione e responsabilità definiti. In chiave consulenziale, ciò significa che la prima domanda da porsi non è “il FSE è conforme?”, ma “chi governa realmente il FSE e con quali strumenti di controllo?”.

Principio di minimizzazione: accessi calibrati sulla necessità clinica

La questione dell’accesso ai dati è il cuore della governance. Un errore frequente nelle organizzazioni sanitarie è considerare l’accesso come una conseguenza naturale del ruolo professionale: medico, infermiere, operatore sanitario, quindi accesso al fascicolo. Questa impostazione è incompatibile con il principio di minimizzazione sancito dall’articolo 5 del GDPR. L’accesso non può essere definito per categoria astratta di utenti, ma deve essere calibrato sulla concreta necessità informativa connessa all’episodio di cura. In termini pratici, ciò implica che il sistema deve essere progettato per consentire accessi selettivi, contestualizzati e temporalmente coerenti, evitando consultazioni generalizzate o preventive del fascicolo che non siano giustificate da un’esigenza clinica attuale.

Diritto di oscuramento: garanzie effettive per il cittadino

Dal punto di vista del cittadino, le garanzie previste dalla normativa non sono meramente teoriche, ma devono tradursi in strumenti effettivi di controllo. Il diritto di oscuramento dei dati e dei documenti è un esempio emblematico. Non si tratta solo della possibilità di “nascondere” un referto, ma della capacità del sistema di rendere quell’oscuramento effettivo anche sul piano informativo, evitando che la sola presenza di un contenuto non visibile generi inferenze indebite. Questo aspetto, spesso sottovalutato nella progettazione dei sistemi informativi, è invece un indicatore chiave di maturità privacy: un FSE che consente di intuire l’esistenza di dati oscurati è formalmente conforme, ma sostanzialmente debole.

Il parere Garante n. 294/2022: uno spartiacque interpretativo

Un passaggio di particolare rilievo, che segna uno spartiacque nell’interpretazione privacy del Fascicolo Sanitario Elettronico, è rappresentato dal Parere reso dal Garante per la protezione dei dati personali al Ministero della Salute sullo schema di decreto attuativo del FSE, adottato con provvedimento n. 294 del 22 agosto 2022. In tale parere, l’Autorità ha svolto un’analisi estremamente puntuale delle implicazioni del nuovo modello di Fascicolo Sanitario Elettronico, evidenziando come l’ampliamento delle funzionalità e delle finalità del FSE, in particolare nell’ottica del potenziamento della sanità digitale e dell’interoperabilità dei sistemi, comporti un innalzamento significativo dei rischi per i diritti e le libertà fondamentali degli interessati. Il Garante ha chiarito che il Fascicolo Sanitario Elettronico non può essere concepito come un archivio sanitario generalizzato e permanentemente accessibile, ma deve rimanere uno strumento strettamente funzionale alla tutela della salute dell’assistito, nel rispetto dei principi di proporzionalità, necessità e minimizzazione sanciti dal GDPR.

Governance degli accessi: regole vincolanti e finalità distinte

Nel parere del 22 agosto 2022 l’Autorità ha posto particolare enfasi sulla governance degli accessi, sottolineando che l’estensione del perimetro soggettivo e funzionale del FSE deve essere accompagnata da regole chiare, tecnicamente implementate e giuridicamente vincolanti, capaci di impedire accessi indiscriminati o non giustificati ai dati sanitari.

In tale prospettiva, il Garante ha richiamato l’esigenza di distinguere nettamente tra le finalità di cura e assistenza sanitaria, che legittimano l’accesso ai dati, e le ulteriori finalità di sistema, come la programmazione, il monitoraggio o il governo della spesa sanitaria, che richiedono cautele rafforzate e, ove possibile, il ricorso a dati anonimizzati o pseudonimizzati. Il parere evidenzia come la mera previsione normativa delle finalità non sia sufficiente a garantire la conformità, se non è accompagnata da misure tecniche e organizzative idonee a tradurre tali limiti in regole operative effettive.

Diritti dell’assistito e privacy by design nel FSE

Un ulteriore profilo centrale affrontato dal Garante riguarda il ruolo dell’assistito e l’effettività dei suoi diritti. Nel parere n. 294/2022 viene ribadito che le facoltà riconosciute al cittadino, in particolare il diritto di oscuramento dei dati e dei documenti sanitari, devono essere garantite in modo sostanziale e non meramente formale. L’Autorità ha richiamato l’attenzione sulla necessità che i sistemi informativi siano progettati in modo tale da impedire qualsiasi forma di conoscibilità indiretta dei contenuti oscurati, valorizzando il principio di privacy by design come criterio imprescindibile nella progettazione e nell’evoluzione del FSE. Tale impostazione conferma che, nel giudizio del Garante, la conformità del Fascicolo Sanitario Elettronico non può essere valutata esclusivamente sulla base della legittimità astratta delle finalità perseguite, ma deve essere verificata alla luce dell’effettiva capacità del sistema di prevenire usi impropri, accessi eccedenti e trattamenti non necessari.

Accountability e responsabilizzazione del titolare del trattamento

Il parere assume inoltre un valore strategico perché chiarisce che l’implementazione del FSE richiede un approccio strutturato di responsabilizzazione del titolare del trattamento. Il Garante richiama implicitamente il principio di accountability, evidenziando come le amministrazioni e i soggetti coinvolti nella gestione del Fascicolo siano chiamati non solo a rispettare le regole, ma a dimostrare, anche ex post, la correttezza delle scelte organizzative e tecnologiche adottate. In questa prospettiva, la valutazione d’impatto sulla protezione dei dati, la definizione di modelli di autorizzazione granulari, la tracciabilità degli accessi e la predisposizione di controlli periodici non costituiscono adempimenti accessori, ma elementi essenziali di un sistema conforme.

Conformità sostanziale e difendibile: la lezione del parere 294/2022

Nel suo complesso, il parere n. 294/2022 rappresenta una chiave di lettura fondamentale per comprendere l’approccio dell’Autorità garante al Fascicolo Sanitario Elettronico: un approccio che non nega l’importanza strategica dello strumento per il Servizio Sanitario, ma ne condiziona lo sviluppo al rispetto rigoroso dei principi del GDPR e alla capacità delle amministrazioni di governare il dato sanitario con logiche di selettività, controllo e trasparenza. Per chi opera in ambito sanitario, il parere costituisce quindi un riferimento imprescindibile non solo sul piano interpretativo, ma anche come guida operativa per la progettazione e la gestione del FSE in un’ottica di conformità sostanziale e difendibile.

Tracciabilità degli accessi come strumento di accountability

Un altro elemento decisivo è la tracciabilità degli accessi. In ambito consulenziale, la tracciabilità non va intesa come un adempimento tecnico isolato, ma come uno strumento di accountability. Ogni accesso al Fascicolo Sanitario Elettronico deve poter essere ricostruito in modo affidabile, indicando chi ha consultato i dati, quando e in quale contesto. Ma la tracciabilità diventa una vera garanzia solo se è accompagnata da controlli periodici, analisi delle anomalie e procedure di gestione degli accessi impropri. Un sistema che registra tutto ma non verifica nulla non è un sistema conforme, perché non è in grado di prevenire né di correggere comportamenti illeciti o impropri.

Il ruolo del Garante: indirizzo contro l’iper-accessibilità

In questo quadro, il ruolo del Garante per la protezione dei dati personali assume una funzione di indirizzo sostanziale. I provvedimenti, i pareri e le linee guida dell’Autorità mostrano una costante attenzione non tanto alla liceità astratta del FSE, quanto alle sue modalità concrete di funzionamento.

L’Autorità ha più volte ribadito che il Fascicolo Sanitario Elettronico non può trasformarsi in uno strumento di sorveglianza permanente del cittadino, né in un archivio indiscriminatamente accessibile. L’approccio del Garante è chiaramente orientato alla prevenzione del rischio di “iper-accessibilità” del dato sanitario, che rappresenta una delle principali minacce alla tutela effettiva della riservatezza.

DPIA e integrazione della protezione dati nei processi sanitari

Applicare il GDPR in sanità, e in particolare al FSE, richiede quindi un salto di qualità organizzativo. Non è sufficiente nominare un DPO o adottare policy standard. È necessario integrare la protezione dei dati nei processi decisionali, clinici e tecnologici. Questo significa, ad esempio, che ogni evoluzione del sistema informativo sanitario, ogni integrazione con nuove piattaforme, ogni ampliamento delle funzionalità del FSE deve essere preceduto da un’analisi dei rischi e, nei casi previsti, da una valutazione d’impatto sulla protezione dei dati.

La DPIA, in questo contesto, non è un esercizio teorico, ma uno strumento di governo che consente di individuare criticità strutturali prima che si traducano in violazioni.

Accessi privilegiati: governo rigoroso dei poteri amministrativi

Un tema particolarmente sensibile, spesso fonte di criticità in sede ispettiva, riguarda gli accessi “privilegiati”, in particolare quelli riconducibili a figure tecniche e amministrative. In qualunque infrastruttura complessa esistono soggetti con poteri elevati sul sistema, ma in ambito sanitario tali poteri devono essere rigorosamente governati. Il GDPR non impone l’impossibilità tecnica dell’accesso, ma pretende che l’accesso sia giustificato, tracciato, limitato e sottoposto a controlli rafforzati. In termini consulenziali, questo si traduce nella necessità di definire procedure chiare per gli accessi eccezionali, di separare le funzioni tecniche da quelle cliniche e di evitare che la posizione amministrativa si traduca, di fatto, in una consultazione libera dei dati sanitari.

Gestione degli incidenti: procedure di incident response strutturate

Un ulteriore aspetto spesso sottovalutato riguarda la gestione degli incidenti di sicurezza. Nel trattamento dei dati sanitari, una violazione non è mai “minore”. L’accesso non autorizzato o la diffusione indebita di informazioni cliniche può produrre danni significativi e duraturi per l’interessato. Per questo motivo, un sistema conforme deve prevedere procedure di incident response strutturate, capaci di attivarsi rapidamente, valutare l’impatto, notificare l’Autorità quando necessario e comunicare agli interessati nei casi più gravi. Anche qui, la differenza tra compliance formale e sostanziale emerge nella capacità dell’organizzazione di dimostrare come reagisce, non solo cosa dichiara.

FSE come sistema di fiducia: visione integrata e sostenibilità

Dal punto di vista della governance complessiva, il Fascicolo Sanitario Elettronico deve essere considerato non come un progetto IT, ma come un sistema di fiducia. La fiducia del cittadino non si costruisce solo garantendo l’accesso alle informazioni sanitarie, ma assicurando che tale accesso avvenga nel rispetto della dignità e della riservatezza della persona. Questo richiede una visione integrata che coinvolga direzione strategica, area sanitaria, area IT e funzione privacy in un dialogo continuo, orientato non alla semplice conformità normativa, ma alla sostenibilità del sistema nel tempo.

Progettazione verificabile: dalla norma alle scelte operative

Per rendere concreti i principi giuridici e organizzativi fin qui richiamati, è utile tradurre il quadro normativo del GDPR e le indicazioni dell’Autorità Garante in scelte di progettazione verificabili. La tabella che segue ha una funzione consulenziale: non si limita a riepilogare gli obblighi normativi, ma individua le aree critiche di governance del Fascicolo Sanitario Elettronico, collegando ciascuna di esse al principio GDPR di riferimento, alla corretta impostazione progettuale e ai rischi concreti che emergono in assenza di tali presidi. In questo modo, la tabella può essere letta sia come strumento di autovalutazione per il titolare del trattamento, sia come griglia di controllo utile in sede di audit interno, di DPIA o di verifica ispettiva, consentendo di misurare il livello di conformità sostanziale del sistema rispetto ai requisiti di protezione dei dati personali.

Tabella di governance FSE: principi, scelte e presidi

Progettazione di un sistema FSE: principi, scelte e presidi

Area di governancePrincipio GDPR di riferimentoScelta progettuale correttaRischio se assente
Modello di accessoArt. 5.1.c (minimizzazione)Accesso ai dati basato su necessità clinica attuale, non su ruolo astrattoConsultazioni generalizzate e non giustificabili
AutorizzazioniArt. 25 (privacy by design)Profili di accesso granulari, differenziati per contesto ed episodio di curaIper-accessibilità del fascicolo
TracciabilitàArt. 5.2 e 24 (accountability)Logging completo, non alterabile, con controlli periodiciTracciabilità solo formale, inefficace
Controlli sugli accessiArt. 32 (sicurezza)Analisi ex post degli accessi anomali e procedure di escalationImpossibilità di individuare abusi
Accessi privilegiatiArt. 32 + art. 2-septies Codice PrivacyAccessi tecnici eccezionali, motivati e tracciatiUso improprio di privilegi amministrativi
Oscuramento datiArt. 25 GDPROscuramento effettivo + non conoscibilità indirettaInferenze su dati sensibili
InformativaArt. 13 GDPRInformativa specifica FSE, coerente con flussi realiTrasparenza solo apparente
Ruolo dell’assistitoArt. 12–22 GDPRAccesso ai log, esercizio diritti, deleghe controllatePerdita di fiducia nel sistema
DPIAArt. 35 GDPRValutazione d’impatto come strumento di governo, non formaleRischi strutturali non intercettati
Incident responseArt. 33–34 GDPRProcedure data breachGestione improvvisata degli incidenti

Dalla conformità alla dimostrazione: la maturità del sistema sanitario digitale

In conclusione, un approccio consapevole al tema dei dati sanitari e del Fascicolo Sanitario Elettronico impone di spostare l’attenzione dalla domanda “siamo conformi?” alla domanda “siamo in grado di dimostrare, in ogni momento, che l’accesso ai dati è legittimo, necessario e controllato?”. Il GDPR e la normativa italiana non ostacolano la sanità digitale, ma ne condizionano lo sviluppo a un livello elevato di responsabilizzazione. È in questa responsabilizzazione, più che nei singoli adempimenti, che si misura la maturità

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Z
Paola Zanellati
Responsabile Protezione dei Dati – DPO Consulente Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • accordi di condivisione minacce cyber; fornitori mercati online cyberwarfare basata su IA cybersicurezza delle pubbliche amministrazioni IA e criminalità organizzata; cybersecurity 2026

  • la guid

    Accordi di condivisione delle minacce cyber: come usarli per Nis2 e Dora

    30 Lug 2025

    di Luigi Martino, Oreste Pollicino e Flavia Scarpellini

    Condividi
  • chatcontrol sorveglianza

  • il dibattito

    ChatControl, rischio sorveglianza di massa? Che ne pensate?

    01 Dic 2025

    di Alessandro Longo

    Condividi
  • fascicolo sanitario elettronico

  • il quadro completo

    Fascicolo Sanitario Elettronico, cos'è, a che serve e come attivarlo

    24 Giu 2025

    di Anna Francesca Pattaro

    Condividi
0
Lascia un commento, la tua opinione conta.x