Se arriva la multa, paga il dirigente.
Di Stefano Manzelli
Accessi facili ai dossier sanitari dei pazienti con sanzione del Garante. Il conto alla fine lo paga anche il dirigente informatico. La Corte dei conti di Bolzano, con la sentenza n. 7/2026, mette un punto fermo in materia di danno erariale da sanzioni privacy. Il DPO e i referenti che segnalano i problemi possono essere assolti, mentre rischia chi aveva il concreto potere di intervenire e non lo ha fatto. La vicenda nasce dalla sanzione da 75 mila euro inflitta dal Garante privacy all’Azienda sanitaria dell’Alto Adige per accessi abusivi ai dossier sanitari elettronici. In pratica, operatori sanitari formalmente autorizzati riuscivano comunque a consultare dati di pazienti non seguiti direttamente nel percorso di cura. Alla base del problema vi era un sistema costruito su semplici autodichiarazioni degli utenti e privo di efficaci controlli automatici sugli accessi anomali.
La Procura contabile ha quindi contestato un danno erariale derivante dal pagamento della sanzione privacy, chiedendo di individuare le responsabilità interne all’azienda sanitaria. La Corte assolve infatti la referente privacy aziendale, evidenziando come la stessa, insieme alla DPO, avesse più volte segnalato le criticità del sistema informatico e richiesto interventi correttivi. Mancavano però reali poteri gerarchici sulla struttura tecnica incaricata di modificare il dossier sanitario elettronico. Esclusa anche la responsabilità del direttore generale dell’Azienda Sanitaria Locale. Secondo i giudici, il vertice amministrativo poteva ragionevolmente confidare nella struttura privacy e nei dirigenti incaricati della gestione operativa del sistema.
Diversa invece la posizione del dirigente della ripartizione informatica. La Corte sottolinea che proprio tale figura aveva competenze di coordinamento, pianificazione e supervisione sull’intero sistema informativo aziendale e avrebbe dovuto attivarsi concretamente per eliminare le criticità già evidenziate dal Garante e dalla cabina di regia privacy. Molto significativo infine il passaggio con cui i giudici chiariscono che un dirigente non può difendersi sostenendo di non avere competenze tecniche operative dirette.
