Agile Compliance
Ilaria Logiurato

Linee guida 12 febbraio 2026: uso dei recapiti telefonici per screening sanitario. Cosa devono fare ora le aziende sanitarie?

Il Garante Privacy ha pubblicato il Provvedimento n. 10221629 con le nuove Linee guida sull’utilizzo dei recapiti telefonici per finalità di prevenzione e screening sanitario.

Il principio è chiaro:

L’uso dei numeri di cellulare per campagne di prevenzione è lecito, ma solo nel rispetto rigoroso delle regole sulla protezione dei dati sanitari.

Per le aziende sanitarie, la questione non è solo “si può fare?”, ma:

Come va strutturato correttamente il trattamento?

È lecito contattare l’assistito senza nuovo consenso?

Sì, a determinate condizioni.

Il Garante chiarisce che l’utilizzo del numero di telefono raccolto in occasione di una visita o di un esame può essere considerato compatibile con l’invio di inviti a programmi di prevenzione pubblica (es. screening oncologici).

Non è necessario un nuovo consenso esplicito se:

  • la finalità rientra nella medicina preventiva;
  • il trattamento è effettuato da professionisti sanitari;
  • la base giuridica è correttamente individuata ai sensi dell’art. 9 GDPR;
  • l’attività rientra nei compiti di interesse pubblico in ambito sanitario.

Tuttavia, la compatibilità non elimina gli obblighi di accountability.

Cosa cambia nell’informativa privacy?

Le strutture sanitarie devono:

  • specificare chiaramente che i recapiti potranno essere utilizzati per finalità di prevenzione e screening;
  • indicare la base giuridica del trattamento;
  • spiegare modalità e diritti di opposizione.

L’informativa deve essere aggiornata, chiara e facilmente accessibile.

Obblighi operativi per le ASL e le strutture sanitarie

Il Provvedimento introduce indicazioni molto concrete.

Identificazione chiara del mittente

Gli SMS devono:

  • provenire da un alias identificabile dell’azienda sanitaria;
  • contenere un link a informazioni estese.

Verifica preventiva dei recapiti

Prima dell’invio:

  • il numero deve essere aggiornato e verificato;
  • devono essere ridotti i rischi di invio a soggetti errati.

Questo punto è centrale in ottica data breach.

Contenuto del messaggio

Il testo:

  • non deve contenere dettagli clinici espliciti;
  • non deve includere informazioni che possano ledere la dignità dell’interessato.

Il messaggio deve limitarsi all’invito allo screening, senza riferimenti patologici.

Divieti espressi

È vietato utilizzare SMS per screening legati a prestazioni ad “anonimato rafforzato”, tra cui:

  • IVG
  • HIV
  • dipendenze
  • vittime di violenza
  • parto in anonimato

Qui il rischio per la dignità e la riservatezza è considerato troppo elevato.

Diritto di opposizione: opt-out effettivo

L’interessato deve poter dire “no” in modo semplice e immediato.

Esempi:

  • link diretto nell’SMS;
  • parola chiave per disiscrizione.

Non sono ammesse procedure complesse o dilatorie.

Il vero tema di compliance: rischio data breach

Per le aziende sanitarie il punto più delicato non è la base giuridica, ma la gestione operativa.

I rischi principali:

  • invio al numero sbagliato;
  • errori nei database;
  • mancata segmentazione delle liste;
  • assenza di procedure di controllo;
  • mancata valutazione preventiva del rischio.

Il provvedimento, di fatto, richiama le strutture a una governance più rigorosa dei dati di contatto.

Il Garante non introduce un divieto, ma una responsabilità.

Le campagne di prevenzione via SMS sono uno strumento utile per la salute pubblica, ma:

senza procedure solide, il rischio non è solo reputazionale. È sanzionatorio.

Per le aziende sanitarie, il 2026 segna un passaggio chiave:
dalla comunicazione sanitaria informale a una comunicazione strutturata, tracciabile e compliant.