Ogni volta che il Garante per la protezione dei dati personali pubblica un aggiornamento, si apre per le scuole un’opportunità preziosa: non solo comprendere cosa viene regolato, ma soprattutto cogliere quali strumenti e indicazioni concrete vengono offerte per rafforzare una gestione responsabile e virtuosa del digitale.
Il vademecum 2025 "La scuola a prova di privacy", diffuso in questi giorni, rappresenta proprio questo: uno sforzo consapevole di orientare il mondo scolastico italiano verso una pratica digitale consapevole, responsabile, centrata sul principio che la riservatezza è un diritto fondamentale della persona.
Il documento parte da una osservazione rilevante: "il sistema educativo rappresenta una risorsa preziosa per il nostro Paese" e "la necessità di riaffermare quotidianamente, anche in ambito scolastico, quei principi di civiltà e rispetto, come la riservatezza e la dignità della persona".
In un contesto dove l'innovazione tecnologica sta trasformando i processi formativi — dai tablet ai sistemi di messaggistica, dal registro elettronico all'intelligenza artificiale — la domanda fondamentale è come governo questa trasformazione senza perdere di vista il primato della persona.
Il vademecum inizia con un'affermazione diretta: tutte le scuole hanno l'obbligo di far conoscere agli interessati — studenti, famiglie, docenti — come vengono trattati i loro dati personali. Il linguaggio dell'informativa deve essere facilmente comprensibile anche dai minori e deve specificare che le finalità perseguite rimangono limitate esclusivamente al perseguimento delle funzioni istituzionali per assicurare il diritto all'istruzione.
Qui emerge una questione concreta: la trasparenza non è uno slogan, è una responsabilità operativa. In pratica, ogni istituto scolastico è chiamato a spiegare con chiarezza a studenti e famiglie i principi che orientano il trattamento dei dati personali. Allo stesso tempo, la diffusione di questi dati non può avvenire solo perché una disposizione amministrativa lo consente, ma unicamente quando esiste una finalità didattica o gestionale legittima, definita e proporzionata.
Il Garante sottolinea che "tutte le scuole possono trattare i dati personali degli studenti, anche relativi a categorie particolari, funzionali all'attività didattica e formativa, per il perseguimento di specifiche finalità istituzionali quando espressamente previsto dalla normativa di settore". Questo significa che il trattamento dei dati a scuola non è lasciato all'improvvisazione: risponde a basi giuridiche precise, stabilite dalla normativa scolastica.
Tra le novità più rilevanti del vademecum figura il capitolo dedicato all'intelligenza artificiale. Il Ministero dell'Istruzione ha avviato l'integrazione di servizi di IA all'interno della Piattaforma Unica, con l'obiettivo dichiarato di semplificare i processi organizzativi e migliorare i processi formativi di apprendimento. Si tratta di un riconoscimento importante: l'IA può rappresentare una risorsa educativa genuina, capace di rendere le esperienze formative più inclusive e accessibili in linea con i bisogni di ciascuno studente.
Ma il Garante ha posto guardrail precisi. Le Linee guida per l'introduzione dell'Intelligenza Artificiale nelle Istituzioni scolastiche, che il Garante ha revisionato, pongono l'accento sulle garanzie rivolte a tutela dei diritti e delle libertà fondamentali. In particolare:
sono vietate le pratiche volte al riconoscimento delle emozioni;
i dati personali riferibili a studenti e docenti devono essere utilizzati solamente ove strettamente indispensabili;
si preferisce l'utilizzo di dati sintetici.
Queste indicazioni rispecchiano una consapevolezza importante: l'IA è strumento potente, e per questo richiede supervisione attenta. Non si tratta di ostacolare l'innovazione, piuttosto di guidarla con criteri di responsabilità.
Uno dei settori dove il vademecum sviluppa indicazioni più concrete riguarda la gestione della vita digitale dello studente. Prendiamo il registro elettronico: il documento chiarisce che il suo impiego è previsto da disposizioni normative specifiche. Il rapporto con il fornitore del servizio — un elemento che riguarda direttamente le piattaforme come ClasseViva di Spaggiari — deve essere disciplinato attraverso contratto o altro atto giuridico, al fine di impartire al fornitore, in qualità di responsabile del trattamento, le necessarie istruzioni.
Questo significa che non basta una piattaforma digitale qualsiasi. Il fornitore deve: operare come responsabile del trattamento su mandato della scuola; garantire la sicurezza dei dati affidati; assicurare che i dati trattati rimangano utilizzati solamente per finalità didattiche; mettere in atto misure tecniche e organizzative per prevenire che informazioni su singoli studenti siano messe a disposizione di terzi non autorizzati.
Le funzionalità del registro elettronico, quando adeguatamente configurate, consentono condivisione di materiali didattici, realizzazione di webinar e videolezioni, dialogo tra docenti, studenti e famiglie, limitando il ricorso a piattaforme che offrono servizi molti ulteriori, non sempre specificamente rivolti alla didattica. È una osservazione che tocca il cuore della questione: la frammentazione degli strumenti digitali comporta rischi di dispersione dei dati e di perdita di controllo.
Quanto alle chat di classe — quei gruppi WhatsApp o Telegram creati da genitori e rappresentanti — il Garante chiarisce che si tratta di autonomi comportamenti privati, dei quali la scuola non è tenuta a rispondere. Tuttavia, i componenti delle chat rimangono tenuti al rispetto della normativa sulla protezione dei dati personali: è bene limitare l'utilizzo delle chat per comunicazioni ufficiali, privilegiando invece strumenti deputati a ciò, come il registro elettronico.
Il documento dedica attenzione specifica ai dati cosiddetti "particolari" — quelli che rivelano origini razziali ed etniche, convinzioni religiose, stato di salute, opinioni politiche. Questi dati possono essere trattati dalla scuola per finalità specifiche e riconosciute: ad esempio, gli istituti scolastici possono utilizzare i dati sullo stato di salute per l'adozione di specifiche misure di sostegno o per la gestione di assenze per malattia.
Ma il Garante insiste: le istituzioni scolastiche devono prestare particolare attenzione a non diffondere, anche per mero errore materiale, dati relativi alla salute. Non è consentito, ad esempio, pubblicare online una circolare contenente i nomi degli studenti con disabilità. Occorre limitare la conoscenza di questi dati ai soli soggetti legittimati dalla normativa scolastica — docenti, genitori, operatori sanitari che congiuntamente devono predisporre il piano educativo individualizzato.
Analogamente, per i voti: gli esiti degli scrutini devono essere resi disponibili nell'area riservata del registro elettronico, accessibile con credenziali personali ai singoli studenti o alle loro famiglie. Una volta pubblicati, i voti rischiano di rimanere in rete per un tempo indefinito e possono essere utilizzati da soggetti estranei alla comunità scolastica, determinando un'ingiustificata violazione del diritto alla riservatezza dei minori, con possibili ripercussioni anche sullo sviluppo della loro personalità.
Qui sorge una domanda centrale: chi garantisce che questi principi si traducano in pratica? Nel momento in cui una scuola affida il registro elettronico a un fornitore esterno, la responsabilità della protezione dei dati non scompare, si trasloca e si condivide.
Il Garante specifica che il personale amministrativo e i docenti, autorizzati a trattare i dati per conto della scuola, devono essere istruiti anche in merito alle specifiche funzionalità del registro elettronico, al fine di prevenire che informazioni su singoli studenti siano messe a disposizione di terzi non autorizzato.
Questo significa che la piattaforma digitale ha una responsabilità strutturale: le funzionalità devono essere configurate in modo tale da prevenire l'accesso incontrollato. I dati degli studenti con disabilità, dei ragazzi con DSA, delle situazioni familiari delicate non devono essere messi casualmente a disposizione di chi accede al registro.
Serve architettura della privacy, non solo adempimento formale.
Inoltre, il Garante richiede attenzione specifica alle questioni inerenti la sicurezza e la protezione dei dati affidati a piattaforme per la didattica a distanza. Hosting ubicato in Italia o presso provider certificati, cifratura dei dati in transito e a riposo, log che tracciano ogni accesso, autenticazione a più livelli, conformità GDPR certificata: questi non sono optional. Sono presupposti della responsabilità.
Il vademecum affronta anche il fenomeno dello "sharenting" — la condivisione compulsiva di foto e informazioni sui figli da parte dei genitori. Il documento ricorda che postare foto e video di diversi momenti della vita dei minori contribuisce a definire l'immagine e la reputazione online, e ciò che viene pubblicato online rischia di non restare più sotto il nostro controllo.
Qui viene proposta una pedagogia dell'accortezza: rendere irriconoscibile il viso del minore, limitare le impostazioni di visibilità, evitare di creare account social dedicati al minore, leggere e comprendere le informative sulla privacy dei social network. Si riconosce che i genitori hanno diritti, ma anche responsabilità nei confronti della dignità futura dei loro figli.
Il vademecum conclude offrendo una prospettiva integrata: il Garante non mira a sostituirsi all’attività di indirizzo né ai poteri correttivi, ma intende mettere a disposizione delle scuole uno strumento snello e operativo, che le aiuti a orientare le proprie scelte e a garantire il massimo livello possibile di tutela dei dati delle persone che crescono, studiano e lavorano nel mondo scolastico.
Questo implica una distribuzione di responsabilità:
La scuola deve comprendere che la digitalizzazione non è questione tecnica disgiunta dalla pedagogia. Significa che nella scelta di una piattaforma, nel modo in cui si configura, nella formazione del personale, nelle informative alle famiglie, la protezione della privacy rimane un elemento centrale della proposta formativa.
Le famiglie devono comprendere che il diritto dei minori alla riservatezza non compete solo alla scuola. È una responsabilità condivisa, che inizia anche dalle scelte consapevoli di cosa condividere online, di come educare i ragazzi all'uso critico degli strumenti digitali.
I fornitori di tecnologie devono riconoscere che vendere una piattaforma digitale non significa "fornire software". Significa assumere la responsabilità di garante della protezione dei dati di milioni di studenti, genitori, docenti. Significa dare priorità alla sicurezza, alla conformità normativa, alla trasparenza nelle politiche di trattamento.
Gli studenti stessi, infine, devono acquisire consapevolezza che le proprie azioni in rete producono effetti per un tempo indefinito e in contesti talvolta imprevedibili. Il vademecum ricorda che troppi ragazzi, insultati, discriminati, vittime di cyberbullismo, soffrono conseguenze concrete. È una questione educativa che va oltre la norma: riguarda la costruzione di una cittadinanza digitale responsabile.
Il vademecum 2025 rappresenta uno sforzo significativo: traduce i principi astratti del GDPR, del Codice della Privacy, della normativa scolastica italiana in indicazioni operative concrete. Offre risposte a decine di questioni pratiche che le scuole affrontano quotidianamente. Per questo motivo ha valore: non è una restrizione, è un orientamento.
La scuola italiana si sta trasformando in entità digitale. Questa trasformazione offre opportunità straordinarie — personalizzazione dell'apprendimento, inclusione dei ragazzi con disabilità, accesso a risorse educative infinite. Richiede al contempo responsabilità comune: una scuola dove la tecnologia amplifica le opportunità didattiche senza ledere la dignità e la riservatezza di chi vi studia e vi insegna.
Questo è ciò che il Garante chiede. È ciò che merita di essere fatto.