Con il Provvedimento n. 79 del 12 febbraio 2026, il Garante Privacy ha dato il via libera — a precise condizioni — all’invio di SMS agli assistiti per invitarli a partecipare ai programmi di screening oncologico e di prevenzione. Una svolta attesa da anni dalle aziende sanitarie, ma che impone un percorso di adeguamento concreto e immediato.
Il problema che tutti conoscevano
Le ASL e le Aziende Ospedaliere conservano nei propri archivi i numeri di telefono dei pazienti, raccolti nel corso delle visite e delle prestazioni sanitarie. Per anni si è posto il dubbio: è lecito usare quei numeri per inviare un SMS di invito allo screening per il tumore al seno, al colon o alla cervice uterina?
La risposta non era scontata. Il GDPR impone che i dati vengano utilizzati soltanto per le finalità per cui sono stati raccolti. Un numero di telefono fornito al momento di un’ecografia non era stato dato per ricevere messaggi di prevenzione. Risultato: molte ASL preferivano non rischiare, affidandosi alla sola lettera cartacea, con costi elevati e tassi di adesione spesso deludenti.
La risposta del Garante: sì, ma con regole precise
Il Garante ha riconosciuto che inviare un SMS per una campagna di screening rientra in un uso compatibile con quello originario dei dati, perché la prevenzione è parte integrante del rapporto di cura. Un paziente che si è affidato alla sua ASL per curarsi può ragionevolmente attendersi di essere ricontattato dalla stessa struttura per tutelare la propria salute.
Ma l’apertura non è incondizionata. Il Garante ha definito dieci misure obbligatorie che ogni azienda sanitaria deve rispettare prima di avviare qualsiasi invio.
Le regole da rispettare: i punti chiave
- Aggiornare l’informativa privacy in tutti i punti di contatto con il paziente, specificando che il numero di telefono potrà essere usato anche per le campagne di screening.
- Usare i dati solo per campagne previste dalla legge (nazionale o regionale), rivolte alla sola popolazione target indicata dalla normativa.
- Rispettare le opposizioni già espresse: se un assistito ha detto “no”, non può essere contattato.
- Escludere i dati legati a prestazioni riservate: IVG, parto in anonimato, consultori, HIV, dipendenze, vittime di violenza. Questi numeri non possono mai essere usati.
- Utilizzare solo dati aggiornati: i recapiti obsoleti vanno esclusi.
- Il mittente dell’SMS deve essere riconoscibile come l’azienda sanitaria, con indicazione di come esercitare il diritto di opposizione (es. rispondere “NO”).
- Formare il personale coinvolto nel trattamento.
Esempio di SMS suggerito dal Garante
“Gentile utente, l’Azienda XY La informa che i Suoi recapiti telefonici, forniti in passato per finalità di cura, potranno essere utilizzati esclusivamente per informarla sui programmi sanitari pubblici di prevenzione condotti dall’Azienda. L’informativa completa è disponibile sul sito web dell’Azienda. Se non desidera ricevere ulteriori comunicazioni in tal senso, può rispondere in qualunque momento a questo messaggio scrivendo ‘NO'”.
Cosa devono fare subito le ASL
Le linee guida sono operative da subito. Non è previsto un periodo transitorio. Chi vuole avviare campagne SMS deve già essere in regola. In concreto, il lavoro da fare riguarda: l’aggiornamento delle informative, la verifica dei sistemi informativi (che devono saper escludere i dati delle prestazioni riservate), la gestione delle opposizioni e l’aggiornamento dei contratti con i fornitori di servizi di messaggistica.
⚠ ATTENZIONE: una delle misure più impegnative sul piano tecnico è la segregazione dei dati di contatto acquisiti in occasione di prestazioni a maggior tutela di anonimato. In molti sistemi informativi sanitari, questo livello di granularità non esiste ancora. Adeguarsi richiede interventi specifici sulle applicazioni gestionali.
Il ruolo del DPO
Il Data Protection Officer della struttura sanitaria è la figura chiamata a coordinare l’intero percorso di adeguamento: dalla revisione delle informative alla DPIA, dalla formazione del personale alla negoziazione dei contratti con i fornitori. Il provvedimento del Garante trasforma un tema spesso vissuto come ostacolo burocratico in un’opportunità concreta per migliorare la governance del dato paziente e, in ultima analisi, l’efficacia delle campagne di prevenzione.