Il sistema scolastico italiano rappresenta attualmente un crocevia di normative complesse, tecnologie pervasive e crescenti aspettative riguardo alla tutela dei dati personali. L’aggiornamento 2025 del vademecum del Garante “La scuola a prova di privacy” illustra una realtà in cui la scuola è diventata non solo un luogo di apprendimento, ma anche un centro di trattamento di dati: dati comuni, categorie particolari, immagini, contenuti digitali e metadata generati da piattaforme, nonché sistemi di intelligenza artificiale emergenti.
1. Il nuovo vademecum
La scuola oggi gestisce molti più dati di quanto percepito da docenti e famiglie, utilizzando spesso strumenti esterni che amplificano i rischi e le responsabilità. L’aggiornamento 2025 si articola su tre direttrici fondamentali:
- trasparenza e correttezza dei trattamenti,
- minimizzazione e sicurezza,
- limitazione della diffusione (e sovra-esposizione) online.
Pertanto, il documento diviene una guida operativa e una lente di valutazione preziosa per dirigenti, DPO, docenti e famiglie.
2. Le basi giuridiche del trattamento: l’istruzione non chiede consenso (quasi mai)
Come evidenziato nel vademecum, la scuola, sia pubblica che privata, opera su basi giuridiche specifiche: norma di legge, compito di interesse pubblico, adempimento obblighi. Il consenso è richiesto solo nelle attività non istituzionali (es. corsi extra, attività sportive opzionali). È fondamentale chiarire che la scuola non deve richiedere consenso per gestire didattica e attività amministrative.
- predisporre informative comprensibili anche ai minori,
- documentare le finalità istituzionali,
- mantenere un registro dei trattamenti coerente e aggiornato,
- istruire adeguatamente il personale autorizzato.
Il Garante ribadisce l’importanza di disinnescare il mito secondo cui sarebbe necessario il consenso per ogni operazione.
3. Dati particolari degli alunni: quando, come e perché possono essere trattati
Il principio fondamentale è che le categorie particolari di dati possono essere trattate solo se previste dalla normativa di settore e per finalità istituzionali.
- origine razziale ed etnica: per favorire l’integrazione;
- convinzioni religiose: per l’insegnamento della religione o attività alternative;
- stato di salute: per misure educative personalizzate;
- opinioni politiche: limitatamente agli organi di rappresentanza;
- dati penali: per garantire il diritto allo studio in casi particolari.
È fondamentale considerare anche la desumibilità indiretta di certe informazioni, invitando ad un uso cauto delle inferenze durante le pubblicazioni.
4. Privacy dei docenti e personale ATA: la “trasparenza” non giustifica tutto
Il vademecum chiarisce che la privacy dei lavoratori della scuola deve essere tutela in modo paritetico rispetto ad altri lavoratori pubblici. Gli errori frequenti includono:
- circolazione interna di informazioni sulle assenze;
- pubblicazione di provvedimenti disciplinari;
- invio di comunicazioni a mailing list estese;
- acronimi e sigle rivelanti motivazioni sensibili.
La violazione della privacy in questi ambiti rappresenta spesso soggetto di sanzioni da parte delle autorità competenti.
5. Voti, esami e pubblicazione degli esiti: il confine tra trasparenza e diffusione illecita
Il Garante chiarisce: i voti non possono essere pubblicati online, ma possono esserlo solo i seguenti esiti:
- esiti degli scrutini (“ammesso / non ammesso”),
- crediti scolastici,
- elenchi affissi fisicamente solo se non esiste registro elettronico.
Non possono mai essere pubblicati:
- riferimenti a prove differenziate,
- informazioni su DSA o disabilità,
- dati non pertinenti (luogo e data di nascita).
La ragione è tecnico-giuridica: la pubblicazione online è una forma di diffusione irreversibile, soggetta a indicizzazione da parte dei motori di ricerca.
6. Comunicazioni scolastiche e circolari: il ritorno al principio di minimizzazione
Si chiariscono errori comuni nelle comunicazioni scolastiche:
- circolari contenenti nomi di studenti in episodi disciplinari;
- note che includono condizioni di salute;
- elenchi di studenti BES, DSA, disabili.
La scuola deve informare le famiglie mantenendo un equilibrio per non esporre i minori vulnerabili, seguendo i principi di necessità, pertinenza, proporzionalità.
7. Mondo connesso, nuove tecnologie e rischi reali
La sezione dedicata alle tecnologie presenta sfide attuali.
7.1. Intelligenza Artificiale a scuola: Il Garante sottolinea il divieto di utilizzare sistemi di riconoscimento delle emozioni, incoraggiando l’uso di dati sintetici e prudenza nella valutazione delle piattaforme esterne.
7.2. Cyberbullismo, sexting e revenge porn
La scuola deve garantire un attivo presidio educativo, includendo:
- segnalazione immediata,
- coinvolgimento di referenti e famiglie,
- attivazione di misure di rimozione rapida.
7.3. Smartphone e registrazioni
Si ribadisce che:
- Registrare per uso personale è lecito; diffondere è illecito.
- I genitori possono filmare, ma non condividere online senza consenso.
- Le chat di classe non sono trattamenti scolastici, ma rimangono soggette al GDPR.
8. Pubblicazione online: errori che continuano a generare sanzioni
8. Pubblicazione online: rischi ricorrenti
Numerosi provvedimenti sottolineano errori nella pubblicazione da parte delle scuole. Ecco alcuni casi tipici:
8.1. Elenchi alunni
Consentiti solo via e-mail individuale o sulla piattaforma di registro elettronico.
8.2. Graduatorie personale
Consentiti: nome, cognome, punteggio; vietati: numeri telefonici, indirizzi.
8.3. Morosità mensa
È severamente vietato pubblicare informazioni sui ritardi nei pagamenti.
9. Videosorveglianza nelle scuole: la regola resta la proporzionalità
Si ribadisce che:
- installazione di telecamere solo se necessarie;
- non riprendere aree non pertinenti;
- necessarie cautele per asili e scuole dell’infanzia.
10. Conclusioni: la privacy scolastica come educazione civica applicata
Il vademecum 2025 non si limita a un aggiornamento tecnico, ma rappresenta una chiara dichiarazione di intenti: la scuola deve diventare un luogo di protezione attiva dei dati personali. La digitalizzazione deve essere governata, e l’IA deve essere regolamentata. La scuola è il primo ambiente dove si apprende non solo il sapere accademico, ma anche come proteggere la propria identità informativa.
