Il Garante della Privacy interviene sull’invio di SMS ai pazienti per informarli dei programmi di screening.
Anche se ciascuno di noi mira a tutelare la propria salute e quindi è propenso a non andare troppo per il sottile nel ricevere informazioni utili, il Garante della Privacy mette dei paletti al trattamento dei dati nei casi di invio di SMS per l’informazione su programmi di screening.
In buona sostanza la questione riguarda la possibilità che, in compliance con la normativa sulla PRIVACY, le Aziende sanitarie possano servirsi dei recapiti telefonici comunicati dai pazienti, al fine di informarli dei programmi di screening (in particolare quelli di stampo oncologico).
Finalità del trattamento dei dati
Uno dei principi fondamentali del GDPR 679/16 da tenere presente, consiste nel trattamento dei dati raccolti, in linea con le finalità per le quali essi sono stati rilasciati.
Se il titolare dei dati (nel caso di cui si tratta sono le Aziende sanitarie),volesse procedere a un trattamento dei dati dei pazienti di cui è in possesso, per finalità affini e ulteriori a quelle originarie, potrà farlo tenuto conto:
- della liceità del trattamento originario;
- dell’esistenza di una connessione tra la finalità originaria del trattamento dei dati, e quella successiva;
- del contesto in cui i dati personali sono stati a suo tempo raccolti, particolarmente in ordine al rapporto tra gli interessati (i pazienti) e il titolare del trattamento (l’Azienda sanitaria);
- della natura dei dati personali;
- delle conseguenze che riveste l’ulteriore trattamento dei dati, per gli interessati;
- che esistano garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento.
Considerazioni del garante della privacy
Il Garante della privacy tenuto conto:
- dell’equilibrio da contemperare tra gli interessi pubblici e i diritti degli interessati in ordine alle loro aspettative nella veste di pazienti;
- che il trattamento strettamente necessario dei dati, finalizzati alla promozione di programmi sanitari pubblici di prevenzione, è compatibile con quello della cura;
- che esiste il rischio che il messaggio SMS sia inviato ad un numero di telefono in uso a più soggetti, cosi rivelando a terzi la notizia che l’interessato ha già ricevuto prestazioni dall’azienda sanitaria.
Conclude che l’Azienda sanitaria:
– aggiorna l’informativa da rilasciare agli interessati, per comunicare che i dati utili al contatto, rilasciati all’atto della somministrazione delle prestazioni sanitarie per finalità di cura, diagnosi e prevenzione, potranno essere utilizzati anche (ma esclusivamente) per promuovere l’adesione a campagne di screening derivanti da leggi nazionali e regionali;
– deve inviare il messaggio promozionale d’invito, da un recapito telefonico o comunque un identificatore riconducibile alla struttura stessa;
– deve utilizzare dati di contatto che siano esatti e aggiornati;
– nel messaggio promozionale dell’iniziativa siano indicate le modalità con le quali accedere all’informativa (con molta probabilità il sito web dell’azienda);
– NON potrà utilizzare i dati utili al contatto rilasciati all’atto della somministrazione di prestazioni diverse da cura, diagnosi e prevenzione (es. prestazioni prestate a persone sieropositive);
– NON potrà procedere all’ulteriore trattamento dei dati, se l’interessato ha già espresso la sua opposizione al trattamento dei dati personali (fermo restando che potrà farlo anche successivamente).
Conclusioni del garante della privacy
Alla fine il Garante della Privacy col Provvedimento 79/12.2.2026:
- suggerisce alle aziende sanitarie un testo da inviare agli interessati;
- a tutela dei pazienti, adotta appropriate “Linee guida per l’invio di messaggi informativi tramite sms da parte della aziende sanitarie“ (contenute nel Provvedimento stesso);
- dispone che il provvedimento sia trasmesso al Ministero della Salute e altri.
Per saperne di più:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10221629
Giuseppina Spanò – Centro Studi CGN
