Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

le linee guida

SMS di screening, la svolta del Garante: 10 regole pratiche per le ASL

Home Sanità digitale
Partecipa al dibattito
Indirizzo copiato

Il Garante privacy ammette l’uso secondario dei numeri dei pazienti per SMS informativi su screening pubblici. Le linee guida fissano criteri di compatibilità, limiti d’uso e un sistema di garanzie operative per le aziende sanitarie

Pubblicato il 20 feb 2026
Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli

Fascicolo Sanitario Elettronico (1) Protezione dati nella ricerca clinica ehds Sanità e digitale PSN e sanità calcolatori multimodali di rischio oncologico dossier sanitario e privacy Dati sanitari e IA sms screening sanitario

L’uso secondario dei dati sanitari entra in una nuova fase: il Garante privacy riconosce la legittimità dell’impiego dei recapiti telefonici già presenti negli archivi delle aziende sanitarie per inviare SMS informativi sulle campagne di screening, a precise condizioni e con garanzie operative puntuali.

Sms di screening sanitario: cosa consente il GDPR

Il provvedimento del Garante

Il provvedimento è il n. 79 del 12 febbraio 2026 (doc. web n. 10221629), con cui il Garante per la protezione dei dati personali ha adottato le “Linee guida circa l’utilizzo dei recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi su campagne di screening nazionali o regionali”.

Si tratta di un provvedimento di notevole portata sistematica, attraverso il quale l’Autorità riconosce, espressamente, la legittimità dell’uso secondario dei dati di contatto dei pazienti (raccolti originariamente per finalità di cura) per promuovere l’adesione a programmi pubblici di prevenzione.

La rilevanza del documento va però ben oltre il tema (pur importante) dello screening, aprendo le porte a possibili ulteriori trattamenti per uso secondario e spiegando come porli in essere.

Si potrebbe obiettare che l’istituto esiste da sempre e che quindi non è una grande novità, ma chi lavora in questo settore e soprattutto in ambito sanitario sa che in Italia l’uso secondario è sempre stato utilizzato pochissimo, in quanto percepito come uno strumento “pericoloso” e non visto “di buon occhio” dal Garante.

Quindi è proprio il cambio di prospettiva del nostro Garante (aiutato dall’evoluzione giurisprudenziale della Corte di Giustizia dell’Unione Europea, in particolare nella causa C-77/2021) che segna la vera novità ed un punto di discontinuità rispetto all’atteggiamento tradizionalmente restrittivo in questo ambito.

Il provvedimento stabilisce poi – e ben vengano – un articolato sistema di garanzie che le aziende sanitarie sono tenute ad implementare prima di avviare qualsiasi campagna di contatto via SMS.

Il presente contributo analizza il contesto normativo e giurisprudenziale che ha reso possibile questa apertura, le condizioni e le misure operative prescritte, e le implicazioni pratiche per i titolari del trattamento nel settore sanitario pubblico.

Il contesto e l’intervento del Garante sull’uso secondario dei dati sanitari

Il tema dell’uso dei recapiti telefonici dei pazienti per finalità di prevenzione sanitaria non è nuovo nel dibattito giuridico italiano. Le aziende sanitarie locali, le AUSL e le strutture ospedaliere hanno da tempo nei propri archivi gestionali un patrimonio informativo di enorme valore per la salute pubblica: numeri di telefono, indirizzi e-mail, recapiti di ogni tipo, acquisiti nel corso degli anni in occasione delle più svariate prestazioni sanitarie erogate ai cittadini.

La domanda che queste strutture si sono poste — e che hanno più volte sottoposto all’Autorità — è apparentemente semplice: è possibile utilizzare quei recapiti telefonici per chiamare o inviare un SMS per finalità sanitarie collegate o che inviti il paziente a partecipare a uno screening oncologico o a un programma di prevenzione previsto dalla legge?

La risposta tradizionale del Garante è stata, fino ad oggi, orientata alla cautela ritenendo che l’uso dei dati di contatto per finalità diverse da quelle per cui erano stati raccolti richiedesse una specifica previsione informativa e, nei casi più delicati, il consenso dell’interessato o comunque una base normativa ad hoc (si veda provvedimento del 14 febbraio 2013 (doc. web n. 2339462) e quello dell’8 marzo 2007 (doc. web n. 1390910).

L’esigenza concreta che ha portato a questo mutamento è emersa con particolare chiarezza in occasione delle interlocuzioni avute con il Ministero della Salute nell’ambito del parere sullo schema di decreto recante “Disposizioni per l’avvio del programma pluriennale di screening su base nazionale nella popolazione pediatrica per l’individuazione degli anticorpi del diabete di tipo 1 e della celiachia”, adottato il 18 dicembre 2025 (doc. web n. 10213952).

Programmi di screening di questa portata — rivolti a popolazioni target definite dalla legge e orientati alla diagnosi precoce di patologie di rilevanza pubblica — richiedono strumenti di contatto efficaci e capillari.

L’invito cartaceo tradizionale, inviato all’indirizzo postale, presenta grandi limiti: costi elevati, tassi di ricezione non garantiti, impossibilità di raggiungere chi ha cambiato residenza.

La comunicazione via SMS, invece, è immediata, economica e largamente diffusa anche tra le fasce di popolazione più anziane, che sono spesso quelle maggiormente interessate dai programmi di screening oncologico.

La questione non è di poco conto dal punto di vista della salute pubblica. In Italia, infatti, la partecipazione ai programmi di screening organizzato — per il tumore della mammella, del collo dell’utero, del colon-retto — è ancora lontana dalle soglie ottimali indicate dalla letteratura scientifica internazionale.

Migliorare i tassi di adesione significa intercettare patologie in fase precoce, riducendo la mortalità e i costi del sistema sanitario. Lo strumento del contatto telefonico diretto, se gestito nel rispetto della normativa privacy, può rappresentare un alleato prezioso per raggiungere questo obiettivo.

Tuttavia, la domanda giuridica restava aperta: si tratta di un uso compatibile con la finalità originaria di raccolta dei dati? E se sì, a quali condizioni?

Il quadro normativo e l’uso secondario dei dati sanitari nel GDPR

Come già accennato sopra il GDPR non vieta tout court l’uso secondario dei dati personali, ma ne disciplina le condizioni con precisione. L’art. 5, par. 1, lett. b) enuncia il principio di limitazione della finalità stabilendo che i dati devono essere “raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità”.

    Il considerando 50 del GDPR sviluppa poi questa previsione con maggiore dettaglio, indicando i criteri che il titolare del trattamento deve considerare per valutare la compatibilità di un ulteriore trattamento con la finalità originaria.

    Tali criteri includono: ogni nesso tra le finalità originarie e quelle dell’ulteriore trattamento previsto; il contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato; la natura dei dati personali; le conseguenze dell’ulteriore trattamento previsto per gli interessati; e l’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.

    Per i dati sanitari — che rientrano nelle categorie particolari di cui all’art. 9 GDPR — il regime è ulteriormente specificato: il trattamento è consentito, senza il consenso dell’interessato, quando è strettamente necessario per finalità di diagnosi, assistenza o terapia sanitaria, sempre che i dati siano trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale (art. 9, par. 2, lett. h) e par. 3 GDPR).

    Il quadro normativo italiano però all’art. 2-sexies del Codice Privacy prevede che il trattamento di categorie particolari di dati da parte di soggetti pubblici sia consentito quando è necessario per motivi di interesse pubblico rilevante e nel rispetto di atto normativo nazionale o comunitario, o di atto di amministrazione generale specifico (con ampia previsione dei profili di protezione dei dati).

    Da qui, ovviamente, molti dubbi sull’uso secondario.

    La svolta della CGUE e l’uso secondario dei dati sanitari

    La svolta giurisprudenziale: la sentenza CGUE nella causa C-77/2021
    La svolta del Garante però valorizza una recente sentenza della Corte di Giustizia dell’Unione Europea nella causa C-77/2021, pronunciata il 20 ottobre 2022.

    Il test di compatibilità in cinque passaggi

    Molto in sintesi
    La causa riguardava una controversia tra una società ungherese (Digi Távközlési és Szolgáltató Kft.) e l’Autorità di controllo ungherese per la protezione dei dati personali.

    Il cuore della questione era se il trattamento dei dati personali dei clienti per una finalità diversa da quella per cui erano stati originariamente raccolti — nel caso specifico, la migrazione di un database clienti per finalità di verifica e pulizia degli archivi — fosse compatibile con il principio di limitazione della finalità sancito dall’art. 5 GDPR.

    La Corte, nel formulare la propria risposta, ha elaborato un test in cinque passaggi per verificare la compatibilità di un ulteriore trattamento con la finalità originaria, quando tale trattamento non sia basato né sul consenso dell’interessato né su una base normativa specifica.

    I cinque criteri identificati dalla Corte (al punto 35 della sentenza) sono:

    • primo, l’eventuale esistenza di un nesso tra le finalità per le quali i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
    • secondo, il contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra gli interessati e il titolare del trattamento;
    • terzo, la natura dei dati personali;
    • quarto, le possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
    • quinto, l’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.

    La Corte ha dunque chiarito che il criterio della compatibilità tra finalità deve essere valutato in modo concreto e contestuale, non attraverso un’analisi formale e astratta.

    Non è sufficiente constatare che la finalità secondaria non era menzionata nell’informativa originaria: occorre verificare se, alla luce di tutti gli elementi sopra indicati, il trattamento ulteriore si ponga in contraddizione con le ragionevoli aspettative dell’interessato e con i principi del GDPR.

    Il Garante italiano ha fatto propria questa impostazione e l’ha applicata al contesto specifico delle campagne di screening sanitario, giungendo alla conclusione che il trattamento dei dati di contatto dei pazienti per finalità di promozione alla prevenzione sanitaria pubblica può considerarsi compatibile con la finalità originaria di cura, purché siano rispettate le garanzie che il provvedimento individua con puntualità.

    Il decalogo del Garante sull’uso secondario dei dati sanitari

    Le condizioni e le garanzie: il decalogo operativo del Garante
    Ovviamente ci sono dei limiti. Ma bene venga che è il Garante stesso che spiega cosa devono fare le ASL.

    Aggiornamento dell’informativa e trasparenza

    1. Aggiornamento dell’informativa (art. 5, par. 1, lett. a) e art. 13 GDPR). L’azienda sanitaria deve aggiornare le informazioni fornite agli interessati, specificando che i dati di contatto acquisiti nell’ambito delle prestazioni sanitarie (finalità di cura) potranno essere utilizzati anche ed esclusivamente per finalità di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali. L’aggiornamento deve essere reso noto con modalità adeguate e deve fare menzione esplicita del diritto di opposizione dell’interessato. Questa misura risponde all’esigenza di trasparenza verso i pazienti e consente all’azienda di “sanare” retroattivamente l’eventuale lacuna informativa presente al momento della raccolta originaria dei dati.

    Ambito, base legale e divieti di estensione

    1. Limitazione alle campagne previste dalla normativa di settore (art. 5, par. 1, lett. a), b) e c) GDPR). L’utilizzo dei dati di contatto è ammesso esclusivamente per le campagne di screening previste dalla normativa nazionale o regionale, con riferimento alla sola popolazione target ivi indicata. Non è dunque consentito estendere l’uso dei recapiti a campagne promosse su base volontaria dall’azienda sanitaria o a iniziative di prevenzione non supportate da una specifica base normativa di settore. La base legale dell’attività di screening deve essere identificabile e verificabile.
    1. Divieto di usi ulteriori (art. 5, par. 1, lett. a) e b) e art. 25 GDPR). I dati di contatto non possono essere utilizzati per finalità ulteriori rispetto a quella dell’invito alle campagne di screening. È espressamente escluso, quindi, il loro impiego per finalità di ricerca scientifica, attività amministrative, comunicazioni commerciali o qualsiasi altro scopo che esuli dalla promozione alla prevenzione sanitaria pubblica. Questo vincolo di destinazione è corollario diretto del principio di limitazione della finalità.

    Opposizione e platea dei destinatari

    1. Rispetto dell’opposizione già espressa
      L’uso ulteriore è subordinato alla mancata opposizione già espressa dall’interessato circa l’utilizzo dei dati di contatto per finalità diverse da quelle per le quali li aveva forniti al titolare. Se il paziente ha in precedenza manifestato la propria opposizione all’uso dei propri recapiti per comunicazioni ulteriori rispetto alla cura, tale opposizione deve essere rispettata e impedisce qualsiasi utilizzo dei dati per le campagne di screening.
    1. Limitazione ai pazienti adulti e ai dati forniti per finalità sanitarie dirette (art. 5, par. 1, lett. b) e art. 25 GDPR). Possono essere utilizzati solo i dati di contatto di pazienti adulti, forniti dall’interessato esclusivamente per finalità di cura, diagnosi e prevenzione. Sono espressamente esclusi i dati forniti per altre finalità specifiche, come la ricerca scientifica o le finalità amministrative. Questa misura riflette l’esigenza di mantenere un nesso diretto tra la relazione paziente-struttura sanitaria e l’uso del recapito.

    Prestazioni ad alta tutela e minimizzazione del rischio

    1. Esclusione dei recapiti acquisiti in occasione di prestazioni ad alta tutela dell’anonimato (art. 5, par. 1, lett. b) e art. 25 GDPR). Non possono essere utilizzati i dati di contatto rilasciati dagli interessati in occasione di prestazioni sanitarie in cui sono trattati dati a maggior tutela di anonimato quali: interruzione di gravidanza, parto in anonimato, prestazioni dei consultori, prestazioni a persone sieropositive, prestazioni a vittime di atti di violenza sessuale o di pedofilia, prestazioni a persone che fanno uso di sostanze stupefacenti, psicotrope e alcool. Per queste categorie, il rischio che il messaggio SMS riveli a terzi — che potrebbero avere accesso al dispositivo — la relazione del paziente con quella specifica struttura sanitaria è talmente elevato da escludere qualsiasi uso ulteriore del recapito, indipendentemente dalla finalità perseguita.

    Accuratezza dei dati, mittente e opt-out

    1. Verifica di esattezza e aggiornamento dei dati (art. 5, par. 1, lett. d) e e) e art. 25 GDPR). Possono essere utilizzati solo i dati di contatto che abbiano superato un vaglio di esattezza e aggiornamento temporale, escludendo quelli meno recenti. Le aziende sanitarie devono implementare procedure di verifica e pulizia degli archivi prima di avviare le campagne di invio SMS, al fine di garantire che i recapiti siano ancora nella disponibilità dell’interessato. Questa misura risponde in modo diretto al principale rischio specifico identificato dal Garante: la possibilità che un numero di telefono non più in uso all’interessato sia stato assegnato a un’altra persona, con conseguente divulgazione a terzi di informazioni sanitarie riservate.
    1. Identificazione dell’azienda sanitaria mittente (art. 5, par. 1, lett. a) GDPR)
      Il messaggio di invito allo screening deve essere inviato da una numerazione telefonica o un identificatore del mittente (cosiddetto alias) riconducibile all’azienda sanitaria promotrice. Il destinatario deve poter immediatamente identificare chi lo sta contattando e in quale veste. L’anonimizzazione del mittente non è consentita, in quanto impedirebbe all’interessato di esercitare consapevolmente i propri diritti.
    1. Indicazione del diritto di opposizione e modalità di esercizio
      Il messaggio di invito allo screening deve indicare espressamente il diritto di opposizione all’invio di messaggi di promozione alle campagne di prevenzione e le modalità — che devono essere semplici e immediate — con cui esercitarlo. Il Garante non tollera che il meccanismo di opt-out sia complesso, oneroso o comunque tale da scoraggiare di fatto l’esercizio del diritto. Il testo di esempio proposto nel provvedimento include l’opzione di rispondere “NO” al messaggio ricevuto.

    Persone autorizzate e accountability

    1. Formazione dei soggetti autorizzati (art. 29 GDPR e art. 2-quaterdecies del Codice Privacy)
      È necessario istruire i soggetti autorizzati coinvolti nel trattamento in merito agli specifici aspetti di protezione dei dati personali rilevanti per le campagne di screening. Il personale che gestisce gli archivi, che seleziona i destinatari degli SMS e che presidia il canale di comunicazione deve essere adeguatamente formato e consapevole dei limiti e delle condizioni prescritte dal Garante.

    Dalle linee guida alle attività operative per l’uso secondario dei dati sanitari

    Adesso la sfida passa alle Aziende Sanitarie che dovranno: fare la ricognizione degli archivi di recapiti telefonici disponibili; aggiornare il registro dei trattamenti, procedere all’aggiornamento dell’informativa resa agli interessati (specificando la possibilità di utilizzo dei recapiti per le campagne di screening); predisporre un sistema efficiente per la ricezione e la gestione delle opposizioni degli interessati; formare il personale coinvolto nelle attività di trattamento; predisporre in maniera corretta le singole campagne di screening con identificazione corretta del mittente; gestire bene la documentazione: in applicazione del principio di accountability di cui all’art. 5, par. 2 GDPR, l’azienda deve essere in grado di dimostrare in qualsiasi momento di aver rispettato tutte le prescrizioni del Garante.

    Conclusioni sull’uso secondario dei dati sanitari e il bilanciamento dei diritti

    Conclusioni
    Il provvedimento del Garante del 12 febbraio 2026 merita di essere letto non solo come un documento tecnico di compliance, ma come un segnale di maturità del sistema italiano di protezione dei dati personali, dove l’Autorità ha dimostrato di saper bilanciare, con criterio e senza cedimenti sul piano delle garanzie, due valori fondamentali del nostro ordinamento: il diritto alla protezione dei dati personali e il diritto alla salute, declinato nella sua dimensione collettiva e preventiva.

    Il richiamo esplicito alla sentenza CGUE nella causa C-77/2021 è un elemento di grande rilevanza sistematica: il Garante non elabora una soluzione ad hoc per il caso degli SMS di screening, ma applica un metodo — il test di compatibilità in cinque criteri elaborato dalla Corte di Giustizia — che potrà essere utilizzato per valutare altri scenari di uso secondario dei dati sanitari nell’interesse pubblico.

    In una prospettiva più ampia, questo provvedimento contribuisce a costruire un quadro normativo più maturo per la salute digitale in Italia.

    L’uso intelligente dei dati già presenti negli archivi del sistema sanitario — nel rispetto della normativa privacy e con le garanzie adeguate — è una delle leve più potenti a disposizione del Servizio Sanitario Nazionale per migliorare i tassi di diagnosi precoce e ridurre il peso delle patologie evitabili.

    Il Garante ha indicato la via: alle aziende sanitarie il compito di percorrerla con la dovuta attenzione.

    @RIPRODUZIONE RISERVATA

    Valuta la qualità di questo articolo

    La tua opinione è importante per noi!

    S
    Silvia Stefanelli
    Studio Legale Stefanelli & Stefanelli
    Seguimi su

    Leggi anche:

    guest

    0 Commenti
    Più recenti
    Più votati
    Inline Feedback
    Vedi tutti i commenti

    Argomenti

    Canali

    Con o Senza – Galaxy AI per il business

    Tutti
    PA digitale
    AI per il lavoro
    Mobile security
    Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
    Tecnologie
    PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
    Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
    La soluzione
    Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
    Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
    La soluzione
    Mobile Security by design: una sicurezza nativa e integrata nell’hardware
    Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
    Scenari
    Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
    Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
    Tecnologie
    Con o senza AI? L’intelligent workplace direttamente sullo smartphone
    Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
    Tecnologie
    PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
    Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
    La soluzione
    Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
    Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
    La soluzione
    Mobile Security by design: una sicurezza nativa e integrata nell’hardware
    Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
    Scenari
    Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
    Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
    Tecnologie
    Con o senza AI? L’intelligent workplace direttamente sullo smartphone

    InnovAttori

    Vedi tutti gli approfondimenti >

    Articoli correlati

    • Cup online, regione per regione appIO sanità formazione digitale in sanità GenAI in sanità; diagnosi precoce;cdss LLM in medicina ia in sanità IA generativa in sanità dossier sanitario elettronico privacy dei dati sanitari prima copia gratuita dei dati in cartella clinica

    • sanità digitale

      Dossier sanitario elettronico: errori da non fare per evitare sanzioni

      09 Dic 2025

      di Fiorella Armani e Filomena Polito

      Condividi
    • dati sanitari condivisione (1) spazio europeo dati sanitari

    • ricerca e innovazione

      Governance dei dati sanitari: il ruolo incrociato di EHDS e DGA

      30 Lug 2025

      di Diego Fulco

      Condividi
    • cybersicurezza in sanità Meta fisco italiano audit sicurezza informatica ia nella cybersecurity medico competente GDPR ideah OAIS 2025 e Zero-Trust; truffa criptovalute; protectUE; hacker etico; Gestione degli incidenti informatici e sicurezza cybersecurity sanitaria cybersecurity Italia 2025

    • sanità digitale

      Cyberattacchi agli ospedali: difendere i dati per salvare vite

      03 Nov 2025

      di Ryan Witt

      Condividi
    0
    Lascia un commento, la tua opinione conta.x