VEDI ANCHE Comunicato stampa del 18 febbraio 2026

[doc. web n. 10221629]

Provvedimento del 12 febbraio 2026 - Linee guida circa l’utilizzo dei recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi su campagne di screening nazionali o regionali

Registro dei provvedimenti
n. 79 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente e il dott. Agostino Ghiglia, componente e l’avv. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTE le istanze pervenute in ordine alla possibilità di utilizzare i recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi alla popolazione target dei programmi di screening, con particolare riferimento a quelli oncologici, al fine di contattare gli interessati con modalità diverse da quelle dell’invito cartaceo trasmesso all’indirizzo postale;

VISTO il principio della «limitazione della finalità», secondo cui i dati personali devono, da un lato, essere raccolti per finalità determinate, esplicite e legittime e, dall’altro, essere successivamente trattati in modo che non sia incompatibile con tali finalità (art. 5, par. 1, lett. b) del Regolamento);

VISTO il considerando 50 del Regolamento secondo cui il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto;

VISTA la sentenza CGUE causa C-77/2021 che, richiamando il citato considerando 50 del Regolamento, ha affermato che, laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, si deve tener conto, tra l’altro, in primo luogo, dell’eventuale esistenza di un nesso tra le finalità per le quali i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; in secondo luogo, del contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra gli interessati e il titolare del trattamento; in terzo luogo, della natura dei dati personali; in quarto luogo, delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati e, infine, in quinto luogo, dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto (punto 35);

CONSIDERATO che il trattamento dei dati effettuato per finalità di screening ricade nella deroga al divieto di trattamento di cui all’art. 9, par. 2, lett. h) e par. 3 del Regolamento, secondo cui i dati possono essere tratti (senza il consenso dell’interessato) se strettamente necessari alla finalità di diagnosi, assistenza o terapia sanitaria e se trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri;

RITENUTO che il trattamento dei dati strettamente necessario allo svolgimento di attività di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali possa essere considerato compatibile con quello alla cura anche tenuto conto delle ragionevoli aspettative degli interessati;

CONSIDERATO che il trattamento in esame pone come rischio specifico la possibilità che il messaggio di invito sia trasmesso ad un numero di telefono in uso a più soggetti, rivelando a terzi che l’interessato ha già ricevuto prestazioni sanitarie da parte dell’azienda sanitaria mittente, potendosi così determinare significativi rischi per l’interessato specie con riferimento a prestazioni in cui possono essere tratti dati c.d. a maggior tutela di anonimato;

CONSIDERATO il bilanciamento degli interessi pubblici e dei diritti coinvolti dal trattamento in esame si ritiene necessario che le aziende sanitarie che intendano utilizzare i dati di contatto dei pazienti, acquisiti nell’ambito di un percorso di cura per l’invio di SMS di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali, adottino delle specifiche misure a garanzia dei diritti degli interessati, tenuto conto delle loro ragionevoli aspettative e nel rispetto dei principi di necessità, proporzionalità, trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita;

CONSIDERATO che il Garante ha il compito di promuovere la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo ai rischi, alle norme, alle garanzie, ai diritti e agli obblighi stabiliti dal Regolamento (ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento) e, in quest’ottica, ha il potere di adottare linee guida di indirizzo riguardanti le misure tecniche e organizzative di attuazione dei principi del Regolamento, anche per singoli settori e in applicazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (ai sensi dell’art. 154-bis, comma 1, lett. a), del Codice);

RILEVATA l’esigenza di individuare misure di garanzia che le aziende sanitarie devono rispettare nell’utilizzare i dati di contatto dei pazienti acquisiti nell’ambito di un percorso di cura per l’invio di SMS di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali, in attuazione del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita, assicurando la conformità del trattamento ai principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza e limitazione della conservazione (art. 5, par. 1 lett. a), b), c), d) e e) e art. 25 del Regolamento);

RITENUTO di dover adottare “Linee guida circa l’utilizzo dei recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di sms informativi su campagne di screening nazionali o regionali”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO IL GARANTE

1) ai sensi dell’art. 154-bis, comma 1, lett. a), del Codice e dell’art. 57, par. 1, lett. d), del Regolamento, adotta le “Linee guida circa l’utilizzo dei recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di sms informativi su campagne di screening nazionali o regionali” (allegato 1, parte integrante del presente provvedimento);

2) dispone la trasmissione di copia del presente provvedimento al Ministero della salute, alle Regioni e Province autonome e alla Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano, affinché i suddetti principi siano resi noti ai titolari del trattamento coinvolti.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori 

_________

Linee guida circa l’utilizzo dei recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi su campagne di screening nazionali o regionali

1. Premessa.

È stato più volte sollevato all’Autorità il tema relativo alla possibilità di utilizzare i recapiti telefonici dei pazienti già presenti negli archivi delle aziende sanitarie per l’invio di SMS informativi alla popolazione target dei programmi di screening, con particolare riferimento a quelli oncologici, al fine di contattare gli interessati con modalità diverse da quelle dell’invito cartaceo trasmesso all’indirizzo postale.

Nei casi prospettati è stato precisato che, al momento della raccolta originaria dei dati relativi al contatto telefonico, gli interessati potrebbero non essere stati informati della possibilità di utilizzare i dati di recapito anche per finalità di prevenzione.

Tale esigenza, sollevata anche nell’ambito delle interlocuzioni avute con il Ministero della salute con riferimento al parere sullo schema di decreto recante “Disposizioni per l'avvio del programma pluriennale di screening su base nazionale nella popolazione pediatrica per l'individuazione degli anticorpi del diabete di tipo 1 e della celiachia” adottato il 18 dicembre 2025 (doc. web n. 10213952), rende necessario effettuare un delicato bilanciamento degli interessi pubblici e dei diritti coinvolti dal trattamento in esame alla luce della normativa in materia di protezione dei dati personali.

2. Principi in materia di protezione dei dati personali

Ai sensi dell’art. 5, par. 1, lette. b) del Regolamento, che enuncia il principio della «limitazione della finalità», i dati personali devono, da un lato, essere raccolti per finalità determinate, esplicite e legittime e, dall’altro, essere successivamente trattati in modo che non sia incompatibile con tali finalità.

Il considerando 50 del Regolamento specifica poi che il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.

In merito all’uso dei dati di contatto dell’interessato per finalità ulteriori, il Garante, sin dai primi anni di attività, ha ribadito che l’uso dei dati di contatto dell’interessato deve essere limitato alle finalità espressamente indicate all’interessato (provvedimento del 14.2.2013, doc. web n. 2339462 e provvedimento dell’8 marzo 2007, doc. web n. 1390910 e più recentemente nei provvedimenti sopra citati).

Con specifico riferimento all’invio di SMS, si ricorda inoltre il provvedimento in materia di propaganda elettorale e comunicazione politica - 18 aprile 2019 (doc. web n. 9105201), secondo cui l’invio di messaggi elettorali da parte di Enti, associazioni ed organismi è ammissibile unicamente se tali finalità e le modalità di contatto utilizzabili (ad es. sms, e-mail, etc.) siano previste espressamente nello statuto o nell´atto costitutivo e siano state rese note agli interessati nell’informativa di cui all´art. 13 del Regolamento.

Più recentemente, con riferimento alla comunicazione dell’avvenuto rilascio della certificazione verde Covid-19 via SMS, l’Autorità ha prescritto che l’interessato ricevesse dalla Piattaforma nazionale-DGC attraverso un messaggio di posta elettronica o un SMS un codice univoco autorizzativo per il recupero della certificazione verde, denominato AUTHCODE. In tal caso, potevano essere utilizzati solo i dati di contatto forniti in occasione della prenotazione o della somministrazione del vaccino (parere sul DPCM di attuazione della piattaforma nazionale DGC per l'emissione, il rilascio e la verifica del Green Pass - 9 giugno 2021, doc. web n. 9668064).

Al riguardo, la sentenza CGUE causa C-77/2021, richiamando il citato considerando 50 del Regolamento, ha affermato che, laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, si deve tener conto, tra l’altro, in primo luogo, dell’eventuale esistenza di un nesso tra le finalità per le quali i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; in secondo luogo, del contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra gli interessati e il titolare del trattamento; in terzo luogo, della natura dei dati personali; in quarto luogo, delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati e, infine, in quinto luogo, dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto (punto 35).

Ciò premesso, si rappresenta che l’Ufficio ha più volte ritenuto che il trattamento dei dati effettuato per finalità di screening rientri nella deroga al divieto di trattamento di cui all’art. 9, par. 2, lett. h) e par. 3 del Regolamento, secondo cui i dati possono essere tratti (senza il consenso dell’interessato) se strettamente necessari alla finalità di diagnosi, assistenza o terapia sanitaria e se trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri.

Si ritiene pertanto che le attività di trattamento svolte in esecuzione delle prestazioni sanitarie di screening ricadano nella fattispecie sopra descritta di cui all’art. 9, par. 2, lett. h) e par. 3 del Regolamento.

Con riferimento al caso di specie, si pone la questione relativa alla compatibilità delle finalità alla luce, come ricordato dal Regolamento e dalla citata giurisprudenza, degli specifici rischi degli interessati legati alla natura dei dati e al contesto del trattamento (art. 5, par. 1, lett. b) del Regolamento).

Al riguardo, alla luce del considerando 50 e della richiamata sentenza, si ritiene che il trattamento dei dati strettamente necessario allo svolgimento di attività di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali possa essere considerato compatibile con quello alla cura, anche tenuto conto delle ragionevoli aspettative degli interessati.

Sul punto, merita tuttavia evidenziare poi che l’esame delle segnalazioni e dei reclami pervenuti negli ultimi anni pone l’attenzione su un principale rischio dovuto all’eventuale uso ulteriore dei dati di contatto del paziente per l’invio degli inviti allo screening da ricondurre alla possibilità che il messaggio di invito sia trasmesso ad un numero di telefono in uso a più soggetti. Il messaggio potrebbe infatti rivelare che l’interessato ha già ricevuto prestazioni sanitarie da parte dell’azienda sanitaria mittente. Ciò potrebbe determinare significativi rischi per l’interessato specie con riferimento a prestazioni in cui possono essere tratti dati c.d. a maggior tutela di anonimato.

3. Garanzie ritenute adeguate da adottare nel trattamento originario e nell'ulteriore trattamento previsto.

In tal senso, nel bilanciare l’interesse pubblico sotteso al trattamento, la natura dei dati trattati, la vulnerabilità degli interessati, nonché i rischi specifici sopra richiamati e il contesto del trattamento, ferma restando la facoltatività all’adesione alle campagne di screening e tenuto conto delle ragionevoli aspettative dell’interessato, si individuano le seguenti misure di garanzia da rispettare nell’utilizzare i dati di contatto dei pazienti acquisiti nell’ambito di un percorso di cura per l’invio di SMS di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali (art. 5, par. 1 lett. a), b), c), d) e e) e art. 25 del Regolamento):

1. l’azienda sanitaria aggiorna le informazioni da fornire agli interessati, al fine di specificare che i dati di contatto forniti in occasione delle prestazioni sanitarie (finalità di cura) possono essere utilizzati anche ed esclusivamente per finalità di promozione all’adesione a programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali, fermo restando il diritto di opposizione dell’interessato (art. 5, par. 1 lett. a) e art. 13 del Regolamento);

2. l’utilizzo dei predetti dati è limitato all’avvio di campagne di screening previste dalla normativa di settore, nazionale o regionale, con riferimento alla sola popolazione target ivi indicata (art. 5, par. 1 lett. a), b) e c) del Regolamento);

3. i predetti dati di contatto non sono utilizzati per finalità ulteriori rispetto a quella dell’invito alle campagne di screening sopra descritte, nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità (art. 5, par. 1 lett. a) e b) e art. 25 del Regolamento);

4. l’uso ulteriore è subordinato alla mancata opposizione già espressa dall’interessato circa l’utilizzo dei dati di contatto per finalità diverse da quelle per le quali li aveva forniti al titolare;

5. possono essere utilizzati solo i dati di contatto di pazienti adulti forniti dall’interessato esclusivamente per finalità di cura, diagnosi e prevenzione e non anche per altre finalità specifiche (es. ricerca scientifica o finalità amministrative) (art. 5, par. 1 lett. b) e art. 25 del Regolamento);

6. non possono essere utilizzati i dati di contatto rilasciati dagli interessati in occasione di prestazioni sanitarie in cui sono trattati dati a maggior tutela di anonimato (interruzione di gravidanza, parto in anonimato, prestazioni dei consultori, prestazioni a persone sieropositive, prestazioni a vittime di atti di violenza sessuale o di pedofilia o a persone che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool) (art. 5, par. 1 lett. b) e art. 25 del Regolamento);

7. possono essere utilizzati solo i dati di contatto che abbiano superato un vaglio di esattezza e aggiornamento anche temporale escludendo quelli meno recenti (art. 5, par. 1 lett. d) e e) e art. 25 del Regolamento);

8. nel messaggio di invito allo screening – inviato da una numerazione telefonica o un identificatore del mittente (c.d. alias) che sia riconducibile all’azienda sanitaria promotrice – è necessario indicare le modalità (ad es. mediante richiamo a documenti presenti sul sito web aziendale) con le quali sono fornite le informazioni di cui agli artt. 13 e seguenti del Regolamento (art. 5, par. 1 lett. a) del Regolamento);

9. nel messaggio di invito allo screening è espressamente indicato il diritto di opposizione all’invio di messaggi di promozione alle campagne di prevenzione e le modalità (agevoli) con cui esercitarlo;

10. è necessario istruire i soggetti autorizzati coinvolti nel trattamento in esame in merito agli specifici aspetti di protezione dei dati personali (art. 29 del Regolamento e art. 2 quaterdecies del Codice).

Al fine di facilitare l’applicazione delle predette misure, a titolo esemplificativo, si propone l’invio del seguente messaggio prima dell’utilizzo dei dati di contatto degli interessati nell’ambito di campagne di screening:

“Gentile utente, l’Azienda XY, La informa che i Suoi recapiti telefonici, forniti in passato per finalità di cura, potranno essere utilizzati esclusivamente per informarla sui programmi sanitari pubblici di prevenzione basati su leggi nazionali e regionali condotti dall’Azienda. L’informativa completa è disponibile sul sito web dell’Azienda. Se non desidera ricevere ulteriori comunicazioni in tal senso, può rispondere in qualunque momento a questo messaggio scrivendo ‘NO’”.