Introduzione: il delicato equilibrio tra salute pubblica e riservatezza

Nell’era della sanità digitale, le Aziende Sanitarie dispongono di database dettagliati contenenti i recapiti telefonici dei pazienti, raccolti originariamente per finalità di cura. Una domanda sorge spontanea: è lecito utilizzare questi numeri per inviare SMS che invitano a campagne di screening oncologico o di prevenzione?

Il Garante per la protezione dei dati personali, con il provvedimento del 12 febbraio 2026, ha fornito risposte definitive, delineando le condizioni di liceità e le garanzie necessarie per bilanciare l’interesse pubblico alla salute con il diritto alla riservatezza dei pazienti.

Il principio di limitazione della finalità nel GDPR

Secondo il Regolamento UE 2016/679 (GDPR), i dati raccolti per uno scopo specifico (la cura del paziente) non dovrebbero essere utilizzati per finalità diverse. Tuttavia, il Garante ha stabilito che l’invio di comunicazioni per campagne di screening previste dalla legge è considerato “compatibile” con la finalità originaria di cura.

Questa compatibilità non è però assoluta: deve rispettare le ragionevoli aspettative dell’interessato e avvenire nel quadro di programmi sanitari pubblici strutturati. Non è dunque ammesso un uso indiscriminato dei recapiti per finalità promozionali o non strettamente legate alla prevenzione istituzionale.

I rischi della comunicazione via SMS

L’invio di un SMS presenta rischi specifici che il titolare del trattamento (l’Azienda Sanitaria) deve valutare con estrema attenzione.

In primo luogo, la riservatezza del destinatario, poiché un messaggio visualizzato sul display di un telefono condiviso o lasciato incustodito potrebbe rivelare a terzi che il destinatario è oggetto di attenzioni cliniche specifiche.

In secondo luogo, esistono categorie di dati che godono di una protezione rafforzata, difatti il Garante vieta l’uso di SMS per comunicazioni legate a interruzioni di gravidanza, sieropositività (HIV) o uso di sostanze stupefacenti, poiché il rischio di stigmatizzazione in caso di accesso non autorizzato al messaggio è troppo elevato.

Le garanzie obbligatorie per le Aziende Sanitarie

Per operare in un quadro di piena legittimità, le strutture sanitarie sono chiamate a implementare un set di misure tecniche e organizzative rigorose. Il primo pilastro di questa strategia risiede nel rafforzamento della trasparenza informativa: è essenziale che i modelli di informativa privacy siano puntualmente aggiornati, esplicitando che i recapiti conferiti per finalità di cura potranno essere utilizzati anche per veicolare comunicazioni inerenti ai programmi di prevenzione pubblica.

Sotto il profilo operativo, la compliance richiede una targetizzazione meticolosa dei flussi di dati. L’estrazione delle anagrafiche deve essere limitata esclusivamente alla popolazione target della specifica campagna — si pensi alle fasce d’età selezionate per lo screening mammografico — escludendo rigorosamente i pazienti minorenni, per i quali vigono tutele rafforzate. Parallelamente, la riconoscibilità del mittente assume un ruolo cruciale: l’Azienda Sanitaria deve essere immediatamente identificabile per scongiurare il rischio che comunicazioni di salute pubblica vengano confuse con tentativi di phishing o messaggi promozionali, garantendo così l’integrità della comunicazione.

Infine, la gestione del diritto di opposizione rappresenta il test definitivo per l’accountability della struttura. Il sistema deve garantire al cittadino la possibilità di esercitare l’opt-out in modo immediato, semplice e gratuito. In quest’ottica, l’implementazione di soluzioni tecniche che consentano di interrompere la ricezione dei messaggi attraverso una risposta diretta all’SMS (ad esempio, inviando un semplice “NO”) si configura come una best practice di riferimento.

Come redigere un SMS a norma: un esempio pratico

Il Garante suggerisce un modello di comunicazione che coniuga brevità e completezza informativa:

“Gentile utente, l’Azienda [Nome] La informa che i Suoi recapiti, forniti per finalità di cura, potranno essere usati per informarla su programmi sanitari pubblici di prevenzione. Maggiori dettagli sul nostro sito web. Se non desidera ricevere queste comunicazioni, risponda NO.”

Conclusioni: verso una prevenzione “Privacy-Friendly”

Le nuove Linee Guida rappresentano un passo avanti fondamentale per la sanità italiana. Consentono alle istituzioni di sfruttare la velocità degli SMS per salvare vite umane attraverso la prevenzione, garantendo al contempo che la tecnologia non diventi uno strumento di violazione della sfera privata.

Per le strutture sanitarie, la sfida è ora operativa: adeguare i propri sistemi gestionali e le proprie procedure interne per garantire che ogni messaggio inviato sia non solo utile, ma anche pienamente conforme alla legge.