Il riuso dei dati sanitari è al centro di un importante provvedimento adottato dal Garante Privacy, che affronta per la prima volta in modo sistematico la possibilità, per le aziende sanitarie, di utilizzare i recapiti telefonici già presenti nei propri archivi per invitare i pazienti a partecipare ai programmi di screening — aprendo a nuove opportunità operative nel rispetto del quadro normativo europeo sulla protezione dei dati.
Indice degli argomenti
Il principio di limitazione della finalità nel GDPR
Parliamo del Provvedimento n.79/2026, che tratta un tema innovativo e ancora non del tutto oggetto di approfondimento, quello del possibile riuso di dati già detenuti dal Titolare alla luce del principio di limitazione della finalità di cui alla lettera b) del paragrafo 1 dell’articolo 5 del GDPR, Regolamento UE 2016/679 (di seguito Regolamento).
Tale principio statuisce che i dati oggetto di trattamento devono essere ” raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali”.
Compatibilità del trattamento ulteriore: cosa valuta il titolare
Il considerando 50 del Regolamento specifica poi che il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti.
Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe però, dopo aver soddisfatto in via preliminare tutti i requisiti per la liceità del trattamento originario.
Deve inoltre tener conto di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare delle ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo, della natura dei dati personali, delle conseguenze dell’ulteriore trattamento previsto per gli interessati, e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento.
Le linee guida del Garante sull’uso dei recapiti telefonici nei programmi di screening
L’Autorità si è occupata della tematica del riuso dei dati, trattandola limitatamente all’ambito sanitario, adottando delle Linee guida in ordine alla possibilità di utilizzare i recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi alla popolazione target dei programmi di screening.
Tale ambito operativo risultava sino ad adesso fortemente limitato dalla necessità di acquisire da parte degli interessati un consenso specifico, così come previsto dalla vigente normativa all’uso dei dati di contatto per essere invitati a partecipare a campagne di prevenzione.
A tal proposito, visto che la lettera a) del paragrafo 1 dell’articolo 6 “Liceità del trattamento” del Regolamento dispone infatti che il trattamento dei dati personali è lecito, tra le altre possibili condizioni, se ” l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità e quindi in merito all’uso dei dati di contatto dell’interessato per finalità ulteriori”, il Garante ha ribadito sin dai primi anni di attività, che l’uso dei dati di contatto dell’interessato doveva essere limitato alle finalità espressamente indicate all’interessato.
L’esigenza sollevata dal Ministero della salute e il bilanciamento degli interessi
Il bisogno di utilizzare con maggiore facilità i recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi alla popolazione target dei programmi di screening, con particolare riferimento a quelli oncologici, al fine di contattare gli interessati con modalità diverse da quelle dell’invito cartaceo trasmesso all’indirizzo postale è stato più volte sollevato all’Autorità.
Tale esigenza, sollevata al Garante anche dal Ministero della Salute nell’ambito delle interlocuzioni avute in riferimento al parere rilasciato dall’Autorità con Provvedimento n. 749 del 18 dicembre 2025 sullo schema di decreto relativo all’avvio del programma pluriennale di screening su base nazionale nella popolazione pediatrica per l’individuazione degli anticorpi del diabete di tipo 1 e della celiachia, ha reso necessario effettuare un delicato bilanciamento degli interessi pubblici e dei diritti coinvolti dal trattamento in esame alla luce della normativa in materia di protezione dei dati personali al fine di adottare le Linee guida di carattere generale summenzionate.
Queste sono state trasmesse, considerato il loro rilevante valore, al Ministero della salute, alle Regioni e Province autonome e alla Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano, affinché siano rese note ai titolari del trattamento coinvolti, le aziende sanitarie territoriali.
I poteri del Garante e il richiamo alla Corte di Giustizia UE
Il Garante Privacy ha, tra gli altri compiti quello di promuovere la consapevolezza e la comprensione degli interessati l pubblico, dei titolari e dei responsabili del trattamento riguardo ai rischi, alle norme, alle garanzie, ai diritti e agli obblighi stabiliti dal Regolamento, così come stabilito nel relativo articolo 57.
Ha inoltre il potere, attribuitogli dall’articolo 154-bis “Poter” del Decreto Legislativo 196/2003 di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, anche per singoli settori e in applicazione dei principi di cui all’articolo 25 del Regolamento, ossia dei principi di privacy by design e di privacy by default, indicazioni che devono essere pubblicate in nella Gazzetta Ufficiale della Repubblica italiana e sul proprio sito internet istituzionale.
L’Autorità ha al riguardo ritenuto rilevante fare riferimento anche a quanto indicato dalla Corte di Giustizia dell’UE nella Sentenza del 20 ottobre 2022 relativamente alla Causa C 77/21 in tema di compatibilità del trattamento ulteriore di dati con le finalità della raccolta iniziale.
La Corte di Giustizia nel proprio pronunciamento ha a sua volta richiamato il Considerando 50 del Regolamento, affermando che, nel caso in cui il trattamento di dati per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri, Il titolare deve tener conto, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, innanzitutto dell’eventuale esistenza di un nesso tra le finalità per le quali i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto.
I criteri di compatibilità fissati dalla sentenza della CGUE
Ma deve anche tener conto del contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra gli interessati e il titolare del trattamento, della natura dei dati personali, delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati e, infine, dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.
Il trattamento dei dati di screening e la compatibilità con la finalità di cura
Con riferimento al caso di specie, si pone la questione relativa alla compatibilità delle finalità alla luce, come ricordato dal Regolamento e dalla citata giurisprudenza, degli specifici rischi degli interessati legati alla natura dei dati e al contesto del trattamento.
Per quanto riguarda le attività di trattamento di dati relativi allo screening, quindi ai programmi sanitari pubblici di prevenzione, di esclusiva competenza delle aziende sanitarie territoriali, queste sono ovviamente tra quelle che beneficiano della deroga al divieto di trattamento indicata dall’articolo 9, paragrafo 2, lettera h) e paragrafo 3 del Regolamento, secondo cui i dati possono essere trattati senza il consenso dell’interessato nel caso in cui siano strettamente necessari alla finalità di diagnosi, assistenza o terapia sanitaria e siano trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale.
Al riguardo, alla luce del considerando 50 e della richiamata sentenza, l’Autorità ha ritenuto che il trattamento dei dati strettamente necessario allo svolgimento di attività di promozione all’adesione dei suindicati programmi sanitari pubblici di prevenzione possa essere considerato, se relativo a iniziative basate esclusivamente su leggi nazionali e regionali, compatibile con quello alla cura, anche tenuto conto delle ragionevoli aspettative degli interessati.
I rischi concreti: dalla riservatezza ai dati a maggior tutela dell’anonimato
Relativamente a tali aspettative è da evidenziare che nelle molte segnalazioni e reclami che gli interessati hanno avanzato all’Autorità negli ultimi anni relativamente alle campagne promozionali relative agli screening è stato lamentato un uso ulteriore e scorretto dei dati di contatto del paziente.
Questi, non aggiornati o verificati, sono stati usati per l’invio degli inviti allo screening trasmesso ad un numero di telefono in uso a più soggetti, caso in cui il messaggio ha persino rivelato che l’interessato aveva già ricevuto prestazioni sanitarie da parte dell’azienda sanitaria mittente, con conseguenti significativi rischi di violazione della riservatezza in riferimento a prestazioni in cui, ad esempi, sono trattati dati c.d. a maggior tutela dell’anonimato.
Questi ultimi sono i dati relativi alle interruzione di gravidanza, parto in anonimato, prestazioni dei consultori, prestazioni a persone sieropositive, prestazioni a vittime di atti di violenza sessuale o di pedofilia o a persone che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool.
Le misure di garanzia nelle linee guida: dall’aggiornamento dei dati alla trasparenza
Quindi il Garante nell’elaborare le più volte citate Linee guida ha dovuto soddisfare l’esigenza di individuare misure di garanzia che le aziende sanitarie devono rispettare nell’utilizzare i dati di contatto dei pazienti acquisiti nell’ambito di un percorso di cura per l’invio di SMS di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali, in attuazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, assicurando la conformità del trattamento ai principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza e limitazione della conservazione.
Pertanto ha dovuto operare un attento bilanciamento degli interessi pubblici e dei diritti coinvolti dal trattamento in esame ed individuare delle specifiche misure di sicurezza tecnica ed organizzativa a garanzia dei diritti degli interessati che le aziende sanitarie che intendano utilizzare i dati di contatto dei pazienti acquisiti nell’ambito di un percorso di cura per l’invio di SMS di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali devono adottare.
L’Autorità ha tenuto conto delle loro ragionevoli aspettative e nel rispetto dei principi di necessità, proporzionalità, trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita, di cui agli articoli 5 e 25 del Regolamento.
Il catalogo delle misure specifiche individuate dall’Autorità
Nel bilanciare l’interesse pubblico sotteso al trattamento, il Garante ha quindi individuato una serie misure di garanzia da rispettare al fine di evitare violazioni dei dati personali e lesioni dei diritti degli interessati.
Queste dovranno essere assicurate in ogni azienda sanitaria attraverso apposite misure tecniche ed organizzative di carattere adeguato che il titolare dovrà individuare.
Le relative scelte dovrebbero essere fatte avvalendosi in particolare del contributo proattivo del proprio Responsabile della Protezione dei dati o DPO che, sulla base delle specifiche competenze, potrà fornire le indicazioni necessarie a tutelare i diritti degli interessati nel trattamento originario e nell’ulteriore trattamento dei dati di contatto dei pazienti acquisiti nell’ambito di un percorso di cura per l’invio di SMS di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali, tenendo presente la particolare natura dei dati trattati, vista anche la vigente definizione di dato di salute, la vulnerabilità degli interessati, nonché i rischi specifici sopra richiamati e la facoltatività all’adesione alle campagne di screening.
Tra le misure di garanzia individuate dall’Autorità nelle Linee guida alle quali il titolare deve dare seguito, anche attraverso una apposita valutazione preliminare di impatto ai sensi dell’articolo 35 del Regolamento, possiamo citare le seguenti:
- Misure di delimitazione del contesto operativo: le Linee guida si applicano soltanto per consentire il riuso dei dati di contatto forniti in occasione delle prestazioni sanitarie. Quindi solo se questi sono stati rilasciati per finalità di cura, diagnosi e prevenzione e non anche per altre finalità specifiche, come ad esempio per la ricerca scientifica o finalità amministrative o certificatorie. I dati di contatto possono essere usati solo per l’avvio di campagne di screening previste dalla normativa di settore, nazionale o regionale, con riferimento alla sola popolazione target ivi indicata;
- Misure di aggiornamento o implementazione delle informazioni rilasciate agli interessati e di gestione dei loro diritti. Gli interessati dovranno infatti essere edotti sul possibile riuso delle loro informazioni di contatto e sulla possibilità di opporsi espressamente a tale attività di trattamento, anche attraverso procedure di output di facile attivazione;
- Misure di delimitazione degli interessati ai quali sono applicabili le Linee guida: possono essere usati i dati relativi solo agli interessati maggiorenni, che comunque non devono essere stati rilasciati in occasione di prestazioni sanitarie in cui sono trattati dati a maggior tutela di anonimato;
- Misure di selezione e validazione dei dati di contatto da utilizzare: le Linee guida infatti prescrivono che possano essere usati solo i dati di contatto che abbiano superato un vaglio di esattezza e aggiornamento anche temporale escludendo quelli meno recenti;
- Misure di formazione e trasparenza: il Titolare è tenuto ad istruire i soggetti autorizzati coinvolti nel trattamento in esame in merito agli specifici aspetti di protezione dei dati personali ai sensi degli articoli 29 del Regolamento e 2-quaterdecies del Decreto Legislativo 196/2003 ed a indicare agli interessati le modalità, anche attraverso il proprio sito web aziendale con le quali poter esercitare il diritto di opposizione all’invio di messaggi di promozione alle campagne di prevenzione.
Il ruolo strategico del DPO e il sistema di accountability aziendale
In sintesi l’azienda sanitaria per poter gestire le misure indicate dall’Autorità nelle Linee guida, vero strumento di semplificazione degli adempimenti e delle possibili rigidità del vigente quadro normativo per una buona promozione delle campagne di prevenzione dovrà comunque adottare tutta una serie di accorgimenti ed adempimenti che richiedono scelte attente e organizzazione dedicata.
Tutto ciò dovrà, così come previsto dagli articoli 5, 24 e 38 del Regolamento, essere documentato dall’azienda sanitaria nel proprio sistema interno di accountability, la cui cabina di regia vede l’indispensabile presenza e coinvolgimento del Responsabile o DPO, supporto dedicato, indipendente e strategico per l’innovazione sanitaria, il cui contributo è necessario perché il titolare possa adottare quanto necessario a rispettare i diritti degli interessati e a trattarne i dati nella piena conformità normativa.
