SMS e Screening: le nuove linee guida del Garante per le Aziende Sanitarie

Gentile Direttore,

La comunicazione digitale è diventata uno strumento imprescindibile per le Aziende Sanitarie che intendono raggiungere con efficacia la popolazione target delle campagne di prevenzione. L’SMS, nella sua apparente semplicità, rappresenta uno dei canali più diretti e capillari per invitare i cittadini a partecipare ai programmi di screening previsti dalla normativa. Ma l’efficienza comunicativa non può prescindere dalla correttezza giuridica: il trattamento dei dati personali per finalità che si estendono oltre quelle originarie richiede una base di legittimità solida, regole chiare e garanzie effettive per gli interessati. Con il Provvedimento del 12 febbraio 2026, il Garante per la protezione dei dati personali ha tracciato un perimetro preciso, individuando le misure di garanzia che le Aziende Sanitarie devono adottare per rendere lecito l’utilizzo dei recapiti telefonici dei pazienti nell’ambito delle campagne di screening. Si tratta di un intervento di grande rilevanza operativa che impone a Direttori Generali, Responsabili della Protezione dei Dati (RPD) e responsabili dei sistemi informativi sanitari una revisione attenta delle proprie prassi.

Il contesto: la tensione tra prevenzione e privacy

Le campagne di screening oncologico, metabolico e infettivologico costituiscono uno dei pilastri della medicina preventiva moderna. L’efficacia di questi programmi dipende, in larga misura, dalla capacità di raggiungere la popolazione target in modo tempestivo e personalizzato. Le Aziende Sanitarie dispongono, per effetto del rapporto di cura instaurato con i propri assistiti, di un patrimonio informativo considerevole: anagrafiche aggiornate, recapiti telefonici, indirizzi di posta elettronica. L’impulso a valorizzare questi dati per finalità di promozione alla salute è comprensibile e, in molti casi, lodevole sul piano della salute pubblica.

Tuttavia, il diritto alla protezione dei dati personali — sancito dal Regolamento (UE) 2016/679, il cosiddetto GDPR — pone un limite invalicabile: i dati raccolti per una determinata finalità non possono essere liberamente riutilizzati per scopi diversi, per quanto nobili essi siano. Questa tensione tra prevenzione sanitaria e privacy non è nuova, ma con la proliferazione dei canali digitali si è fatta più acuta. L’SMS, a differenza di una lettera cartacea, raggiunge il destinatario in modo istantaneo e pervasivo, e il suo utilizzo deve dunque essere disciplinato con altrettanta precisione.

Il Garante ha affrontato questa tensione con un approccio equilibrato: non ha vietato l’uso degli SMS per le campagne di screening, ma ha stabilito le condizioni rigorose entro le quali tale utilizzo è lecito. Il risultato è un sistema di regole che valorizza la prevenzione senza sacrificare i diritti degli interessati, e che chiede alle Aziende Sanitarie uno sforzo organizzativo e procedurale non trascurabile.

Il perimetro di applicazione

Prima di analizzare le singole misure di garanzia, è essenziale comprendere entro quali confini si muove il Provvedimento. Il Garante ha inteso disciplinare specificamente l’invio di SMS informativi finalizzati a promuovere l’adesione a campagne di screening da parte delle Aziende Sanitarie nei confronti dei propri assistiti. Non si tratta, dunque, di una regolamentazione generale delle comunicazioni sanitarie digitali, né di una disciplina applicabile indiscriminatamente a qualsiasi tipo di messaggio promozionale in ambito salute.

Il presupposto fondamentale è che i dati di contatto utilizzati siano stati originariamente acquisiti nell’ambito del rapporto di cura. È questo il fil rouge che attraversa l’intero Provvedimento: la relazione terapeutica tra il paziente e l’Azienda Sanitaria costituisce il contesto di raccolta dei dati e, al tempo stesso, il parametro rispetto al quale valutare la compatibilità di un utilizzo ulteriore. L’Azienda Sanitaria, in altri termini, non può attingere a qualsiasi archivio in proprio possesso, ma deve circoscrivere la propria azione ai recapiti che il paziente ha fornito specificamente per finalità di cura, diagnosi e prevenzione.

Questa perimetrazione ha conseguenze pratiche immediate: i dati raccolti per finalità di ricerca scientifica, per adempimenti amministrativi o in contesti istituzionali diversi dall’erogazione di prestazioni sanitarie dirette non possono essere impiegati per l’invio di SMS di screening. Si tratta di una distinzione che richiede alle Aziende Sanitarie una mappatura accurata delle proprie banche dati e dei flussi di raccolta dei recapiti telefonici.

Le dieci misure di garanzia: analisi tecnica

Il cuore del Provvedimento è rappresentato dall’individuazione di dieci misure di garanzia che le Aziende Sanitarie devono rispettare per rendere lecito il trattamento. Non si tratta di adempimenti formali da spuntare su una checklist, ma di prescrizioni che incidono in profondità sull’organizzazione dei processi aziendali, sulle procedure informatiche e sulla cultura interna in materia di protezione dei dati. Di seguito un’analisi articolata di ciascuna misura.

1. L’aggiornamento dell’informativa: la base della trasparenza

Il primo e fondamentale adempimento richiesto dal Garante riguarda l’obbligo di aggiornare le informazioni rese agli interessati ai sensi dell’art. 13 GDPR. L’Azienda Sanitaria deve specificare, in modo chiaro e comprensibile, che i dati di contatto forniti dal paziente per finalità di cura potranno essere utilizzati anche per la promozione all’adesione a campagne di screening previste dalla legge.

Il principio di trasparenza — che il GDPR colloca tra i fondamenti del trattamento lecito — esige che l’interessato sia messo in grado di comprendere, già al momento della raccolta dei propri dati, l’intero spettro dei possibili utilizzi. Un’informativa che limiti la finalità del trattamento alla sola erogazione di prestazioni sanitarie dirette non è più sufficiente se l’Azienda intende inviare comunicazioni di invito a programmi di screening. L’aggiornamento dell’informativa è dunque un presupposto logico e giuridico per qualsiasi utilizzo ulteriore.

Sul piano pratico, questo significa rivedere i moduli di raccolta del consenso e di rilascio delle informazioni attualmente in uso, aggiornare le informative disponibili sui portali istituzionali e, soprattutto, garantire che ogni nuovo paziente riceva un’informativa già aggiornata. Per i pazienti già in carico, l’Azienda dovrà valutare le modalità più adeguate per comunicare la modifica delle finalità di trattamento, nel rispetto del principio di raggiungibilità dell’interessato. È altresì necessario che l’informativa aggiornata richiami espressamente il diritto di opposizione, che il Garante configura come una garanzia irrinunciabile a fronte dell’utilizzo ulteriore dei dati.

2. La limitazione alle campagne normative: liceità e perimetrazione

Il secondo punto introduce una condizione di liceità di natura oggettiva: l’utilizzo dei dati di contatto è consentito esclusivamente per campagne di screening previste dalla normativa nazionale o regionale, con riferimento alla sola popolazione target ivi indicata. Questa disposizione ha un duplice valore: da un lato delimita le finalità ammissibili, escludendo qualsiasi utilizzo promozionale non ancorato a una previsione normativa; dall’altro individua il criterio soggettivo di selezione dei destinatari. Sul versante della liceità, il richiamo alla normativa consente all’Azienda Sanitaria di fondare il trattamento su una base giuridica solida, riconducibile all’esecuzione di un compito di interesse pubblico. Le campagne di screening oncologico — come quelle per il tumore al seno, al collo dell’utero o al colon-retto — sono puntualmente disciplinate da atti normativi e piani sanitari che ne definiscono i destinatari, le modalità e gli obiettivi. L’invito tramite SMS si inserisce in questo quadro come strumento operativo di un programma già legittimato dalla legge.

Sul versante soggettivo, la limitazione alla popolazione target ha conseguenze dirette sulle procedure di selezione dei destinatari: l’Azienda non può inviare messaggi indiscriminatamente a tutti i propri assistiti, ma deve costruire liste di destinatari coerenti con i criteri demografici, clinici o di rischio individuati dalla normativa di riferimento. Questo richiede un’integrazione tra i sistemi informativi sanitari e le banche dati anagrafiche, nonché procedure di verifica che garantiscano la pertinenza della comunicazione.

3. Il divieto di utilizzo per finalità ulteriori: il principio di limitazione della finalità

Il terzo punto riafferma con forza uno dei principi cardine del GDPR: la limitazione della finalità. I dati di contatto acquisiti per invitare alle campagne di screening non possono essere successivamente utilizzati per scopi diversi — siano essi commerciali, promozionali o anche sanitari ma non rientranti nel perimetro delle campagne normative. Questa disposizione sembra ovvia, ma nella pratica operativa delle Aziende Sanitarie il rischio di contaminazione tra finalità diverse è tutt’altro che teorico.

Il principio di limitazione della finalità impone che, una volta definito l’obiettivo per cui i dati vengono raccolti o riutilizzati, tale obiettivo rimanga vincolante per tutta la durata del trattamento. L’Azienda Sanitaria che ha ottenuto il recapito telefonico di un paziente per invitarlo a uno screening mammografico non può poi utilizzare quel numero per comunicargli informazioni su altri servizi, anche se sanitari e anche se nell’interesse del paziente. Ogni nuova finalità richiede una nuova base giuridica, una nuova valutazione di compatibilità e, se del caso, un nuovo passaggio informativo verso l’interessato.

Operativamente, questa regola impone la creazione di liste di trattamento specifiche e segregate per ciascuna campagna di screening, con barriere organizzative e tecniche che impediscano la propagazione dei dati verso altri processi aziendali. Il Responsabile della Protezione dei Dati (RPD) dovrà verificare che le misure di separazione siano effettive e documentate.

4. La verifica dell’assenza di opposizione: il rispetto della volontà dell’interessato

Strettamente connessa ai punti precedenti è la quarta misura: l’utilizzo ulteriore dei dati è subordinato alla mancata opposizione già espressa dall’interessato circa l’impiego dei propri dati per finalità diverse da quelle originarie di cura. Il diritto di opposizione, riconosciuto dal GDPR, assume qui una funzione di filtro preliminare: prima di procedere all’invio degli SMS, l’Azienda Sanitaria deve consultare i propri archivi per verificare che il paziente non abbia già manifestato la propria contrari età a ricevere comunicazioni di questo tipo.

Questa verifica presuppone l’esistenza di un registro aggiornato delle opposizioni espresse dagli interessati, accessibile e interrogabile prima di ogni campagna. Non è sufficiente che il paziente abbia teoricamente la possibilità di opporsi: l’Azienda ha l’obbligo attivo di controllare che tale opposizione non sia già stata esercitata. Si tratta di un adempimento che richiede un’infrastruttura informatica adeguata e procedure operative precise, nonché un coordinamento tra i diversi uffici coinvolti nella gestione dei dati dei pazienti.

Il rispetto di questo obbligo è anche un elemento di correttezza sostanziale verso il paziente: ignorare un’opposizione già espressa non è solo una violazione tecnica del GDPR, ma una forma di inosservanza della volontà dell’interessato che può compromettere il rapporto di fiducia tra il paziente e l’Azienda Sanitaria.

5. La selezione dei dati utilizzabili: origine e destinazione

La quinta misura riguarda la qualificazione dei recapiti utilizzabili: possono essere impiegati solo i dati di contatto forniti dall’interessato esclusivamente per finalità di cura, diagnosi e prevenzione. Sono esplicitamente esclusi i recapiti raccolti per finalità di ricerca scientifica o per finalità amministrative. Questa disposizione impone una classificazione rigorosa delle fonti di acquisizione dei dati e una loro tracciabilità nel tempo.

Il principio sottostante è quello della coerenza tra il contesto originario di raccolta e il nuovo utilizzo: se il paziente ha fornito il proprio numero di telefono in occasione di una visita medica, nell’ambito del rapporto di cura, è ragionevole ritenere che un utilizzo ulteriore per finalità di promozione alla salute sia compatibile con le sue ragionevoli aspettative. Se invece il recapito è stato acquisito nell’ambito di uno studio clinico, in cui l’interessato ha partecipato a un progetto di ricerca con finalità diverse dall’assistenza diretta, il medesimo recapito non può essere riutilizzato senza una specifica base giuridica aggiuntiva.

Per le Aziende Sanitarie, questa regola impone una verifica della propria architettura informativa: i sistemi gestionali devono essere in grado di tracciare non solo il dato in sé, ma anche il contesto e le finalità per cui è stato raccolto. Laddove questa tracciabilità non esista, l’Azienda dovrà astenersi dall’utilizzo di quei recapiti, applicando un principio di cautela che il Garante colloca alla base di un trattamento corretto.

6. L’esclusione delle prestazioni ad alta tutela dell’anonimato: la protezione dei soggetti vulnerabili

La sesta misura è forse la più delicata sul piano dei diritti fondamentali: non possono essere utilizzati i dati di contatto rilasciati in occasione di determinate prestazioni sanitarie specificamente elencate dal Garante, per le quali il legislatore ha riconosciuto un interesse prevalente alla tutela dell’anonimato dell’interessato. Si tratta delle seguenti categorie di prestazioni: interruzione di gravidanza, parto in anonimato, prestazioni erogate dai consultori, prestazioni a persone sieropositive, prestazioni a vittime di violenza sessuale o pedofilia, prestazioni a persone che fanno uso di sostanze stupefacenti, psicotrope o alcool.

Questa elencazione riflette una scelta legislativa consolidata: per determinate categorie di soggetti e di condizioni di salute, la riservatezza non è solo un diritto soggettivo, ma una condizione necessaria affinché l’interessato possa accedere alle cure senza temere conseguenze nella propria sfera personale, lavorativa o sociale. L’utilizzo dei recapiti acquisiti in questi contesti, anche per finalità apparentemente neutre come l’invito a uno screening, potrebbe comportare un rischio di rivelazione indiretta di informazioni altamente sensibili.

Sul piano operativo, questa regola impone una segmentazione delle banche dati dei pazienti che tenga conto non solo della tipologia di dato, ma anche del contesto clinico in cui è stato raccolto. I sistemi informativi delle Aziende Sanitarie devono essere in grado di identificare e segregare i recapiti associati a prestazioni ad alta tutela dell’anonimato, impedendone l’utilizzo in qualsiasi processo che non sia direttamente connesso all’erogazione della prestazione stessa. Si tratta di un intervento tecnico significativo, che deve essere pianificato e documentato nell’ambito del Registro dei Trattamenti.

7. La verifica di esattezza e aggiornamento dei dati: qualità e responsabilità

Il settimo punto richiama il principio di esattezza dei dati, anch’esso espressamente sancito dal GDPR: possono essere utilizzati solo i recapiti la cui accuratezza, esattezza e aggiornamento siano stati correttamente verificati. Questa disposizione ha un doppio fondamento: giuridico, in quanto il trattamento di dati inesatti viola il principio di qualità dei dati; pratico, in quanto l’invio di SMS a numeri non più attivi o non più riferibili all’interessato può esporre informazioni sanitarie a soggetti non autorizzati.

Il rischio di un utilizzo di recapiti obsoleti non è trascurabile in un contesto sanitario: un numero di cellulare che il paziente ha dismesso e che è stato riassegnato a un’altra persona potrebbe veicolare messaggi contenenti riferimenti — anche indiretti — alla condizione di salute del precedente intestatario. Anche un SMS apparentemente generico come un invito a uno screening mammografico può, in determinate circostanze, rivelare l’appartenenza del destinatario a una categoria di soggetti sottoposti a sorveglianza sanitaria.

Le Aziende Sanitarie devono pertanto dotarsi di procedure periodiche di verifica e aggiornamento dei recapiti presenti nelle proprie banche dati, prevedendo meccanismi di confronto con fonti esterne affidabili e modalità di segnalazione delle variazioni da parte degli stessi interessati. La data di ultima verifica del recapito dovrebbe essere tracciata nel sistema, in modo da consentire una valutazione dell’affidabilità del dato al momento dell’utilizzo.

8. L’identificabilità del mittente: trasparenza nella comunicazione

L’ottava misura attiene alle caratteristiche formali dell’SMS inviato: il messaggio deve provenire da una numerazione telefonica o da un alias (identificatore del mittente) chiaramente riconducibile all’Azienda Sanitaria promotrice. Inoltre, l’SMS deve indicare le modalità per accedere all’informativa completa, ad esempio attraverso un rimando al sito web aziendale.

Questa disposizione è strettamente connessa al principio di trasparenza: l’interessato ha il diritto di sapere, immediatamente e senza ambiguità, chi gli sta inviando un messaggio che riguarda la propria salute. L’utilizzo di numerazioni anonime o di alias generici non riconducibili all’Azienda — prassi purtroppo diffusa anche per ragioni di convenienza tecnica — non è compatibile con le garanzie richieste dal Garante.

La prescrizione relativa al rimando all’informativa completa è altrettanto significativa: un SMS è per definizione un formato limitato, che non consente di riportare per esteso tutte le informazioni dovute ai sensi dell’art. 13 GDPR. Il Garante ha trovato un equilibrio pragmatico: l’SMS deve contenere l’indicazione del mittente e il riferimento a dove trovare l’informativa completa, tipicamente il sito istituzionale dell’Azienda. Questo implica che le Aziende Sanitarie debbano pubblicare e mantenere aggiornata una sezione del proprio sito dedicata all’informativa per i destinatari degli SMS di screening.

9. L’indicazione del diritto di opposizione nell’SMS: facilità di esercizio e rispetto della volontà

La nona misura si occupa di un elemento che deve essere necessariamente presente nel testo dell’SMS: l’indicazione esplicita del diritto dell’interessato di opporsi all’invio di futuri messaggi di promozione, accompagnata dall’indicazione delle modalità — che il Garante qualifica come agevoli — per esercitarlo. Questa prescrizione si inserisce nell’alveo del principio di responsabilizzazione (accountability): non è sufficiente che il diritto esista in astratto; esso deve essere esercitabile in concreto, con modalità che non richiedano all’interessato uno sforzo sproporzionato.

Sul piano tecnico, le Aziende Sanitarie devono predisporre canali di opposizione che siano effettivamente accessibili e funzionanti: un numero telefonico dedicato, un indirizzo di posta elettronica, una sezione del portale del paziente o, ove tecnicamente possibile, una risposta diretta all’SMS stesso. La parola chiave è agevolezza: il meccanismo di opposizione deve essere comprensibile anche per un paziente anziano o con bassa alfabetizzazione digitale, e deve produrre effetti certi e documentabili.

Questo punto si collega direttamente alla quarta misura (verifica dell’assenza di opposizione): l’opposizione espressa tramite i canali indicati nell’SMS deve essere tempestivamente registrata nel sistema e resa disponibile per le verifiche preventive delle campagne future. Si crea così un ciclo virtuoso tra l’indicazione del diritto e il suo rispetto effettivo, che costituisce uno degli elementi più qualificanti del modello proposto dal Garante.

10. La formazione dei soggetti autorizzati: il fattore umano nella compliance

La decima e ultima misura riguarda la formazione del personale coinvolto nel trattamento: è necessario istruire i soggetti autorizzati sugli specifici aspetti di protezione dei dati personali relativi a questa attività. Il Garante riconosce, con questa prescrizione, che la compliance non è solo una questione di procedure e sistemi informatici, ma dipende in misura determinante dalla consapevolezza e dalla preparazione delle persone che operano all’interno dell’organizzazione.

La formazione richiesta non è generica: deve essere specifica, cioè calibrata sulle caratteristiche particolari del trattamento in questione. Il personale che gestisce le campagne di screening deve comprendere perché alcune categorie di recapiti non possono essere utilizzate, cosa significa verificare l’assenza di opposizione, come funziona il sistema di identificazione del mittente e quali sono le conseguenze di un utilizzo non conforme. Una formazione superficiale o standardizzata non soddisfa i requisiti del Provvedimento.

Sul piano organizzativo, questo impone all’Azienda Sanitaria di strutturare un programma formativo dedicato, che coinvolga non solo i tecnici informatici e gli amministrativi, ma anche il personale clinico che può essere coinvolto nella validazione delle liste di destinatari o nella gestione delle opposizioni. La documentazione della formazione erogata — con evidenza dei contenuti, dei partecipanti e delle date — è un elemento essenziale di accountability che il Garante può richiedere in sede di ispezione o di procedimento sanzionatorio.

Implicazioni pratiche per le Aziende Sanitarie

Il Provvedimento del Garante non è una dichiarazione di principio: è un insieme di prescrizioni operative che richiedono interventi concreti e misurabili. Per le Aziende Sanitarie, l’impatto si manifesta su almeno quattro livelli distinti: quello giuridico-documentale, quello informatico, quello organizzativo e quello formativo.

Sul piano giuridico-documentale, l’Azienda deve aggiornare l’informativa resa agli interessati, rivedere i moduli di raccolta dei recapiti, predisporre o aggiornare il Registro dei Trattamenti con l’inserimento della nuova attività di trattamento connessa all’invio di SMS di screening, e verificare che il contratto con eventuali fornitori esterni del servizio di invio SMS includa tutte le clausole richieste dalla disciplina in materia di responsabili del trattamento.

Sul piano informatico, i sistemi gestionali devono essere in grado di: classificare i recapiti per finalità di raccolta, identificare e segregare quelli associati a prestazioni ad alta tutela dell’anonimato, registrare e interrogare il registro delle opposizioni, tracciare la data di ultima verifica dell’esattezza del dato, e generare liste di destinatari che rispettino tutti i criteri di selezione previsti dal Provvedimento. Si tratta di funzionalità che in molti casi richiedono modifiche ai sistemi esistenti o l’implementazione di moduli aggiuntivi.

Sul piano organizzativo, l’Azienda deve definire procedure operative chiare per la gestione delle campagne di screening via SMS, che stabiliscano le responsabilità, i flussi di approvazione e i controlli da eseguire prima di ogni invio. Il Responsabile della Protezione dei Dati (RPD) deve essere coinvolto nella validazione di queste procedure e nel monitoraggio della loro applicazione nel tempo.

Sul piano formativo, infine, l’Azienda deve strutturare un programma di aggiornamento specifico per tutto il personale coinvolto, documentando i contenuti erogati e le attestazioni di partecipazione. La formazione deve essere periodicamente rinnovata, anche in considerazione del turnover del personale e dell’evoluzione normativa.

Conclusioni: trasparenza e formazione come pilastri della compliance

Il Provvedimento del Garante del 12 febbraio 2026 rappresenta un contributo prezioso alla definizione di un quadro normativo coerente e praticabile per l’utilizzo delle tecnologie digitali di comunicazione in ambito sanitario. La sua adozione non deve essere vissuta dalle Aziende Sanitarie come un aggravio burocratico, ma come un’opportunità per strutturare in modo professionale e sostenibile un’attività — quella della comunicazione preventiva — destinata a crescere di importanza nei prossimi anni.

Il filo conduttore che attraversa tutte e dieci le misure di garanzia è la trasparenza: trasparenza verso il paziente su come vengono usati i suoi dati, trasparenza nelle procedure interne di selezione e verifica, trasparenza nei confronti del Garante attraverso la documentazione delle scelte adottate. La trasparenza non è un valore astratto: è la condizione che rende possibile un utilizzo sostenibile dei dati personali nel tempo, senza esporre l’Azienda a rischi reputazionali o sanzionatori.

Le Aziende che sapranno cogliere queste sfide — adeguando i propri sistemi informativi, rivedendo le procedure operative, formando il personale e aggiornando l’informativa — potranno continuare a utilizzare gli SMS come strumento efficace di promozione della salute, nel rispetto dei diritti di tutti i propri assistiti. Quelle che non si adegueranno, invece, rischieranno non solo sanzioni amministrative, ma anche la perdita di quel bene fondamentale che è la fiducia dei pazienti.

Nadia Martini, Head of Data protection, Cybersecurity & Innovation – Rödl