Cassazione Civile - Sez. I - ordinanza n. 27558/2025
Fascicolo sanitario elettronico, in caso di data breach va individuato il titolare effettivo del trattamento

Poiché l'art. 4 del GD.P.R. individua il titolare del trattamento nel soggetto che singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento di dati personali, rilievo decisivo ha la circostanza che il FSE è istituito dalle Regioni e dalle Province autonome, nonché l'attribuzione del perseguimento di specifiche finalità a questi enti. Pertanto, in relazione al tipo di data breach che si è consumato, non si può prescindere dalla verifica di chi fosse il soggetto che persegue e determina le finalità e i mezzi del trattamento, nell'ambito del quale l'accesso abusivo si è verificato.