L’accountability non è solo formalità, regolamenti e direttive: le misure devono essere attuate davvero.
La Corte dei conti di Bolzano, cone la sentenza n. 7/2026, ha stabilito che, allorquando un’azienda sanitaria dovesse essere sanzionata dall’Autorità Garante per la Protezione dei Dati Personali per violazioni nella gestione dei dati personali, il dirigente responsabile dell’area informatica può essere chiamato a rispondere personalmente del danno erariale.
L’azienda è stata oggetto del Provvedimento del 12 Dicembre 2024 per accessi abusivi al Dossier Sanitario Elettronico (DSE). In particolare, del personale sanitario formalmente autorizzato accedeva ai dossier di pazienti senza essere concretamente coinvolto nel relativo percorso di cura.
L’interessante conclusione della magistratura contabile chiarisce che la protezione dei dati personali sanitaria non può ridursi ad un sistema di deleghe formali, regolamenti interni e cabine di regia prive di reale capacità operativa. E se dovesse arrivare la sanzione dell’Autorità il dirigente competente non può sottrarsi dalle sue responsabilità. È questo il principio che emerge dalla sentenza destinata probabilmente ad incidere in maniera significativa non solo sul tema della responsabilità erariale conseguente alle sanzioni privacy irrogate dal Garante per la protezione dei dati personali, ma anche sulla nuova nozione di colpa grave introdotta dalla legge n. 1/2026
In pratica, il sistema informatico permetteva gli accessi abusivi perché si basava su autodichiarazioni e risultava privo di controlli/alert efficaci, nonostante la criticità fosse già emersa a opera delle ripetute segnalazioni da parte del referente privacy aziendale e del DPO che sollecitavano interventi correttivi. In questo contesto emerge la differenza sostanziale dei ruoli laddove in questi ultimi un mancava un concreto potere gerarchico o direttivo nei confronti della struttura informatica incaricata dell’implementazione tecnica delle misure di sicurezza.
In altri termini, la sentenza distingue con chiarezza tra funzione consultiva e funzione gestionale-operativa. Proprio per questo la Corte esclude la responsabilità sia del referente interno privacy che del DPO una volta che avevano adempiuto ai loro obblighi di consulenza, coordinamento e segnalazione.
Viene inoltre esclusa la responsabilità del Direttore generale dell’Azienda sanitaria, evidenziando che in presenza di una struttura organizzativa formalmente articolata e di figure tecniche specificamente incaricate della gestione privacy, il vertice amministrativo potesse ragionevolmente confidare nel corretto funzionamento dell’apparato interno.
Diversa, invece, la posizione del Direttore della Ripartizione informatica rispetto alla responsabilità erariale legata alla nuova disciplina sulla colpa grave introdotta dalla legge n. 1/2026. Ai sensi dell’articolo 1 della legge n. 20/1994, secondo cui la colpa grave coincide con la violazione manifesta delle norme applicabili, con l’inescusabilità della condotta e con la gravità dell’inosservanza. E proprio su questo i giudici contabili costruiscono il giudizio di responsabilità nei confronti del dirigente informatico, valorizzando la chiarezza degli obblighi organizzativi, le reiterate segnalazioni ricevute nel tempo e soprattutto la persistente inerzia operativa nonostante le criticità fossero note da anni.
La decisione rafforza dunque un principio centrale nel GDPR. L’accountability non si esaurisce nella produzione documentale o nella costruzione di assetti organizzativi formalmente corretti. Occorre invece dimostrare che le misure tecniche e organizzative siano state effettivamente implementate, monitorate e rese concretamente funzionanti nel tempo. Ed è probabilmente proprio questo il messaggio più severo della sentenza. In materia di protezione dei dati personali, soprattutto nel delicatissimo settore sanitario, la responsabilità erariale può colpire chi, pur avendo il potere di intervenire, lascia che le criticità restino irrisolte nonostante siano state evidenziate.
Massimo Bruno