Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

le linee guida

Uso dei recapiti telefonici dei pazienti per gli screening: ecco le nuove regole privacy

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Con il provvedimento del 12 febbraio 2026, il Garante per la protezione dei dati ha approvato le linee guida a tutela dei pazienti. Ecco cosa potranno fare le aziende sanitarie per promuovere l’adesione a campagne di screening. Anche in assenza dell’informativa. Facciamo il punto

Pubblicato il 19 feb 2026
Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Direttiva NIS 2 in sanità; Garante privacy: le linee guida per l’uso dei recapiti telefonici dei pazienti per gli screening

Il provvedimento del 12 febbraio 2026 del Garante Privacy ha approvato le linee guida a tutela dei pazienti.

D’ora in avanti le aziende sanitarie potranno utilizzare i recapiti telefonici dei pazienti adulti, forniti in occasione di precedenti prestazioni sanitarie al fine di promuovere l’adesione a campagne di screening. Anche in assenza dell’informativa con indicazione espressa di tale finalità.

Ecco perché era un provvedimento atteso in ambito sanitario.

Accesso al dossier sanitario: cosa impariamo dalla sanzione privacy alla AOU Careggi

Nuove regole privacy per le campagne di screening dei pazienti

D’ora in poi il trattamento dei dati strettamente necessario alla promozione di programmi pubblici di prevenzione rientra tra le finalità di cura, diagnosi e assistenza sanitaria, purché siano rispettate garanzie adeguate.

L’Autorità Garante per la protezione dei dati, “viste le tante istanze pervenute in ordine alla possibilità di utilizzare i recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi alla popolazione target dei programmi di screening, con particolare riferimento a quelli oncologici, al fine di contattare gli interessati con modalità diverse da quelle dell’invito cartaceo trasmesso all’indirizzo postale” elabora un documento di indirizzo attraverso il quale fornisce indicazioni sull’uso dei recapiti telefonici – e quindi dati personali – di pazienti già presenti negli elenchi/archivi delle aziende sanitarie, cui inviare sms informativi sensibilizzandoli sulle campagne di screening, tanto a livello nazionale quanto regionale”.

Così esordisce il Garante nei preamboli del provvedimento in parola.

D’altra parte, come si legge testualmente in premessa all’allegato 1, più volte è stato sollevato “il tema relativo alla possibilità di utilizzare i recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi alla popolazione target dei programmi di screening”.

In particolare, con riferimento a quelli oncologici, e ciò al fine di (poter) contattare i pazienti/interessati con modalità diverse e alternative all’ormai obsoleto, invio cartaceo via posta.

I punti chiave delle linee guida

Partiamo dai principi. Anzitutto, la “limitazione delle finalità” (art. 5, par. 1, lett. b) a mente del quale i dati personali vanno raccolti per finalità esplicite, determinate e legittime. Non solo, il successivo trattamento deve risultare altresì compatibile con dette finalità.

Quindi, occorre effettuare un “delicato bilanciamento degli interessi pubblici e dei diritti coinvolti dal trattamento in esame, alla luce della normativa in materia di protezione dei dati personali”.

Solo così si potrà dire di aver agito correttamente, in costanza di accountability.
L’utilizzo dei dati dovrà inoltre essere tuttavia limitato alle sole campagne di
screening previste dalla normativa vigente, escludendo invece l’impiego dei recapiti raccolti nell’ambito di prestazioni caratterizzate da una particolare tutela dell’anonimato, come per esempio l’aborto, il parto in anonimato, le prestazioni per persone sieropositive o per vittime di violenza. Naturalmente, a massima tutela del paziente.

Infine, nel messaggio di invito allo screening dovrà essere chiaramente identificata l’azienda come mittente e dovranno essere altrettanto indicati esplicitamente il diritto di opposizione all’invio degli sms e le modalità, semplici e immediate, per esercitarlo (ex art. 21 GDPR).

Trattamento dati per finalità di screening

È certo che il trattamento dei dati effettuato per finalità di screening rientri nella deroga al divieto di trattamento ex art. 9, par. 2, lett. h) e par. 3 del Regolamento, secondo cui “i dati possono essere tratti (senza il consenso dell’interessato) se strettamente necessari alla finalità di diagnosi, assistenza o terapia sanitaria e se trattati da (o sotto) la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri”.

Di qui, il Garante arriva a concludere che “il trattamento dei dati strettamente necessario allo svolgimento di attività di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali, possa essere considerato compatibile con quello alla cura, anche tenuto conto delle ragionevoli aspettative degli interessati”.

Un passo importante, nel senso che in questo modo la finalità di cura/ prevenzione diventa il presupposto di legittimità per eccellenza, in questi casi.

Il principale rischio

Il principale rischio a causa dell’eventuale uso ulteriore dei dati di contatto del paziente per l’invio degli inviti allo screening, è da ricondurre alla possibilità che il messaggio di invito sia trasmesso ad un numero di telefono in uso a più soggetti” scrive il Garante.

Ciò significa in altri termini che, il messaggio potrebbe rivelare, per esempio,
che l’interessato abbia già ricevuto prestazioni sanitarie da parte dell’azienda sanitaria mittente; il che potrebbe determinare “rischi significativi” per l’interessato/paziente, specialmente con riguardo alle relative e annesse prestazioni.

Tutte le garanzie considerate adeguate

In punto misure di sicurezza occorrono, evidenzia il Garante, adeguate garanzie.

Queste ultime, per ottenerle occorre pur sempre fare un bilanciamento tra l’interesse pubblico sotteso al trattamento, e altri elementi come la natura dei dati trattati, la vulnerabilità degli interessati, i rischi specifici nonché il contesto.

Resta tuttavia ferma la facoltatività all’adesione a campagne di screening, tenuto conto delle ragionevoli aspettative dell’individuo/paziente/interessato.

Aggiornamento dell’informativa

L’azienda sanitaria è tenuta ad aggiornare le informative, onde specificare che i dati di contatto forniti in occasione delle prestazioni sanitarie possono essere utilizzati anche ed esclusivamente per finalità di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali – cd attività di screening, fermo restando il diritto di opposizione dell’interessato [ex artt. 5, par. 1 lett. a), 13 GDPR].

Finalità ben determinate

Circa le informative, l’utilizzo dei predetti dati è limitato all’avvio di campagne di screening previste dalla normativa di settore, nazionale o regionale, con riferimento alla sola popolazione target indicata [ex art. 5, par. 1 lett. a), b) e c) GDPR].

Divieto di utilizzo

I dati di contatto non sono utilizzati per finalità ulteriori rispetto a quella dell’invito alle campagne di screening, nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità [ex artt. 5, par. 1 lett. a) e b), 25 GDPR].

Mancata opposizione

L’uso ulteriore dei dati è possibile purché il paziente/interessato non si sia precedentemente o già opposto al trattamento dei suoi dati per finalità diverse da quelle per le quali li aveva forniti.

Dati di contatto utilizzabili e quelli vietati

Si possono utilizzare solo i dati di contatto dei pazienti adulti esclusivamente per finalità di cura, diagnosi e prevenzione e non anche per altre finalità specifiche (per esempio, ricerca scientifica o finalità amministrative) [ex artt. 5, par. 1 lett. b), 25 GDPR].

Non possono essere invece in alcun modo utilizzati i dati di contatto rilasciati dagli interessati in occasione di prestazioni sanitarie nelle quali sono trattati dei dati, in funzione di una maggior tutela dell’anonimato (come per esempio, i dati che riguardano l’interruzione di gravidanza, il parto in anonimato, le prestazioni dei consultori, o quelle a persone sieropositive, ovvero quelle a vittime di atti di violenza sessuale, pedofilia o a persone che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool) [ex artt. 5, par. 1 lett. b), 25 GDPR].

Ancora, possono essere utilizzati soltanto i dati di contatto che abbiano superato un vaglio di esattezza e aggiornamento anche temporale, escludendo quelli meno recenti [ex artt. 5, par. 1 lett. d) e e), 25 GDPR].

Modalità operative già dal messaggio di invito e diritto di opposizione

Nel messaggio di invito allo screening – inviato da una numerazione telefonica o un identificatore del mittente “cd alias”, riconducibile all’azienda sanitaria promotrice – occorre indicare le modalità di contatto come, per esempio, mediante richiamo a documenti presenti sul sito web aziendale, con le quali sono fornite le informazioni [ex artt. art. 5, par. 1 lett. a),13 GDPR].

Da ultimo, nel messaggio “promozionale” occorre espressamente indicare il diritto di opposizione [ex art. 21 GDPR] all’invio di messaggi di promozione alle campagne di prevenzione e le modalità con cui poterlo esercitare.

Esempio di testo: informativa breve pre sms

Occorre infine istruire i soggetti autorizzati coinvolti nel trattamento in esame in merito agli specifici aspetti di protezione dei dati personali e quindi correttamente nominarli ai sensi e per gli effetti di cui all’art. 29 GDPR in combinato disposto all’art. 2 quaterdecies del Cod. Privacy.

Onde facilitare l’applicazione delle misure, l’Autorità propone infine un modello di testo l’invio del seguente messaggio prima dell’utilizzo dei dati di contatto degli interessati nell’ambito di campagne di screening: “Gentile utente, l’Azienda XY, La informa che i Suoi recapiti telefonici, forniti in passato per finalità di cura, potranno essere utilizzati esclusivamente per informarla sui programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali condotti dall’Azienda. L’informativa completa è disponibile sul sito web dell’Azienda. Se non desidera ricevere ulteriori comunicazioni in tal senso, può rispondere in qualunque momento a questo messaggio scrivendo ‘NO’”.

Diagnosi precoci e diritti

Alla domanda se l’ASL può contattare sul cellulare per invitare a fare lo screening (?), da oggi possiamo rispondere in senso affermativo.

Si tratta di un’evoluzione importante per la sistematica della medicina preventiva nel nostro Paese, in termini di protezione dati.

Non si tratta certo né deve essere vissuta come una invasione della sfera privata, anzi. L’intento è altro: rendere più efficace la lotta contro patologie gravi, grazie a diagnosi precoci.

In questo modo, il diritto alla privacy in accezione evoluta viene perfettamente bilanciato con l’esigenza collettiva di garantire cure tempestive a tutta la popolazione adulta, semplificando però la comunicazione tra medico e paziente.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Windows 10 aggiornamenti di sicurezza

  • soluzioni di sicurezza

    Windows 10, un anno di update di sicurezza anche dopo la fine del supporto: approfittiamone

    25 Giu 2025

    di Paolo Tarsitano

    Condividi
  • Laptop Farming: come la Corea del Nord sfruttava i lavori da remoto negli Usa

  • nuove minacce

    KoSpy: il nuovo spyware nordcoreano nell’app store Android

    19 Mar 2025

    di Laura Teodonno, Chiara Benso e Michela Ciotti

    Condividi
  • Pianificare il disaster recovery: strategie e soluzioni

  • soluzioni data center

    Pianificare il disaster recovery: strategie e soluzioni

    13 Mar 2025

    di Alessia Valentini

    Condividi
  • La legge italiana sulla space economy

  • L'APPROFONDIMENTO

    La legge italiana sulla space economy: resilienza e sicurezza come obblighi

    10 Mar 2025

    di Alessia Valentini

    Condividi
0
Lascia un commento, la tua opinione conta.x