Il Garante per la protezione dei dati personali, con provvedimento dello scorso 12 febbraio 2026, ha pubblicato le Linee guida circa l’utilizzo dei recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi su campagne di screening nazionali o regionali.

Prima di procedere all’inquadramento delle misure indicate dal Garante, occorre fare le seguenti premesse di carattere generale:

1. innanzitutto, il provvedimento mira a garantire il principio della “limitazione della finalità” del trattamento dei dati personali (art. 5, par. 1 lett. b del Regolamento (UE) 2016/679 -GDPR-), ai sensi del quale i dati devono essere raccolti per finalità determinate, esplicite e legittime e, successivamente, trattati compatibilmente con tali finalità (art. 5, par. 1, lett. b) GDPR). Si ricordi che, al fine di verificare la compatibilità dell’ulteriore finalità di trattamento con quella originaria, il titolare del trattamento dovrebbe verificare: la sussistenza di un nesso tra le finalità, il contesto di raccolta (tenendo in considerazione anche le ragionevoli aspettative dell’interessato e la relazione con il titolare del trattamento), la natura dei dati (soprattutto nel caso di dati particolari ex artt. 9 e 10 GDPR ), le possibili conseguenze per gli interessati derivanti dall’ulteriore trattamento el’esistenza di garanzie adeguate;
2. secondo l’orientamento costante del Garante, l’uso dei dati di contatto dell’interessato per finalità ulteriori deve essere limitato alle sole finalità espressamente indicate all’interessato;
3. l’Autorità per la protezione dei dati personali ritiene che il trattamento strettamente necessario allo svolgimento di attività di promozione all’adesione a programmi sanitari pubblici di prevenzione, basati su leggi nazionali e regionali, possa essere considerato compatibile con quello per finalità di cura (tenuto conto anche delle ragionevoli aspettative degli interessati) e, pertanto, ai sensi dell’art. 9, par. 2, lett. h) e par. 3 del GDPR, eseguito senza il consenso dell’interessato.

Ciò detto, il Garante ha evidenziato la necessità di bilanciare gli interessi pubblici (l’uso dei dati di contatto per eseguire campagne di screening) ei diritti degli interessati, tenendo altresì conto dei rischi specifici sopportati da questi ultimi quali, a mero titolo esemplificativo, la possibilità che l’SMS di invito per lo screening possa essere trasmesso a un numero telefonico in uso a più terzi, così rivelando illegittimamente informazioni riservate e sensibili dell’interessato (il fatto di essersi sottoposto a determinate cure presso la struttura sanitaria mittente).

Pertanto, ferma la facoltatività all’adesione alle campagne di screening e tenuto conto delle ragionevoli aspettative dell’interessato, il Garante attraverso le Linee Guida del 12 febbraio scorso ha individuato alcune misure di garanzia che le Aziende sanitarie sono tenute a osservare e qui di seguito sintetizzate:

• aggiornamento delle informazioni: l’Azienda sanitaria deve specificare agli interessati che i dati di contatto forniti per finalità di cura possono essere utilizzati anche esclusivamente per finalità di promozione all’adesione a campagne di prevenzione previste da leggi nazionali e regionali. Resta fermo il diritto di opposizione dell’interessato;
• limitazione del trattamento ulteriore dei dati dicontatto esclusivamente per campagne di screening previste dalla normativa di settore, nazionale o regionale, con riferimento alla sola popolazione target ivi indicata;
• divieto di utilizzo dei dati di contatto per finalità differenti e ulteriori;
• verifica dell’eventuale opposizione già espressa dall’interessato per l’utilizzo dei propri dati di contatto per finalità diverse da quelle di cura;
• limitazione della natura dei dati: solo i dati di contatto di pazienti adulti forniti esclusivamente per finalità di cura, diagnosi e prevenzione e non anche per altre finalità specifiche (es. ricerca scientifica o finalità amministrative);
• divieto di trattamento dei dati di contatto rilasciati dagli interessati in occasione di prestazioni sanitarie aventi ad oggetto dati a maggior tutela di anonimato (es. interruzione di gravidanza, prestazioni a persone sieropositive, prestazioni a vittime di atti di violenza sessuale);
• controllo dell’esattezza e aggiornamento dei dati di contatto (es.escludere i dati meno recenti);
• contenuto minimo essenziale del messaggio di invito allo screening: numerazione telefonica o identificatore del mittente riconducibile all’azienda sanitaria promotrice, modalità (anche richiamando documenti presenti sul sito web) con le quali è fornita l’informativa estesa di cui agli artt. 13 e seguenti del GDPR, diritto di opporsi all’invio di messaggi di promozione alle campagne di prevenzione, con le relative modalità agevoli per l’esercizio (si evidenzia che le Linee Guida offrono un modello esemplificativo di messaggio che le Aziende sanitarie possono seguire e al quale si fa espresso rinvio);
• istruzione dei soggetti autorizzati coinvolti nel trattamento in esame.

In conclusione, le Linee Guida del 12 febbraio 2026 rappresentano un prezioso strumento operativo per le Aziende Sanitarie che operano nell’ambito delle campagne di screening nazionali o regionali.