Screening sanitari via SMS: cosa cambia con le nuove linee guida del Garante (e cosa devono fare le aziende)

Screening sanitari via SMS: cosa cambia con le nuove linee guida del Garante (e cosa devono fare le aziende)

Inviare un SMS per ricordare un esame di screening può sembrare una pratica semplice. In realtà, dal punto di vista privacy, è tutt’altro che banale.

Con il provvedimento del 12 febbraio 2026, il Garante per la protezione dei dati personali ha chiarito quando e come le aziende sanitarie possono utilizzare gli SMS per contattare i cittadini, introducendo nuove regole operative.

Il tema è stato approfondito da Nadia Martini (Head of Data protection, Cybersecurity & Innovation – Rödl) su Quotidiano Sanità, che ha analizzato implicazioni e criticità per il settore.

Perché gli SMS sono così importanti (ma anche rischiosi)

Gli SMS sono uno degli strumenti più efficaci per aumentare l’adesione agli screening:

  • arrivano direttamente al paziente
  • hanno tassi di apertura altissimi
  • permettono comunicazioni rapide e mirate

Ma proprio per questo sono anche più invasivi rispetto ad altri canali.

E qui entra in gioco il GDPR: utilizzare i dati di contatto per finalità diverse da quelle originarie (es. cura) non è sempre consentito.

Cosa dice il Garante: non è vietato, ma serve metodo

Il Garante non blocca l’uso degli SMS, ma introduce un principio chiave:
👉 non basta che la finalità sia “utile”, deve essere anche giuridicamente corretta

In concreto, le aziende sanitarie devono verificare:

  • qual è la base giuridica del trattamento
  • se la finalità è compatibile con quella per cui i dati sono stati raccolti
  • se gli utenti sono stati informati in modo trasparente
  • quali misure organizzative sono state adottate

Il vero problema: molte aziende non sono pronte

Qui sta il punto critico.

Nella pratica, molte strutture:

  • utilizzano database costruiti nel tempo senza una mappatura aggiornata
  • non hanno procedure formalizzate per campagne di comunicazione sanitaria
  • gestiscono gli invii SMS tramite fornitori esterni senza adeguate verifiche

👉 Risultato: rischio concreto di non conformità GDPR, anche in presenza di finalità legittime.

Cosa cambia davvero per chi gestisce la privacy in sanità

Le nuove linee guida non sono solo teoria. Impattano direttamente su:

  • DPO
  • direzioni sanitarie
  • responsabili IT
  • uffici comunicazione

E richiedono un cambio di approccio:
👉 passare da una gestione “operativa” a una gestione strutturata e documentata della compliance

Come mettersi in regola (senza bloccare le attività)

Adeguarsi è possibile, ma serve un approccio sistematico. In particolare:

  • revisione delle informative privacy
  • analisi delle basi giuridiche
  • mappatura dei flussi di dati
  • verifica dei fornitori (es. piattaforme SMS)
  • definizione di procedure interne

Vuoi capire se la tua struttura è compliant?

Se gestisci dati sanitari o campagne di screening, questo è il momento giusto per fare un check.

👉 Sul portale okprivacy.it supportiamo aziende sanitarie e organizzazioni complesse nel:

  • verificare la conformità GDPR
  • strutturare processi e documentazione
  • ridurre il rischio sanzionatorio

Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti

Torna al blog