Privacy a scuola, quando la burocrazia diventa un pericolo: le violazioni più frequenti segnalate dal Garante


La scuola è, suo malgrado, uno dei terreni più minati per la protezione dei dati personali. Se ne è accorto il Garante della privacy, che nella sua Relazione annuale ha dedicato un capitolo intero al mondo dell’istruzione, fotografando una realtà fatta di luci e ombre: da un lato, le innovazioni tecnologiche che avanzano (dall’intelligenza artificiale al curriculum digitale dello studente); dall’altro, una preoccupante diffusione di cattive prassi che mettono a rischio la riservatezza degli alunni più vulnerabili.

Minori “particolarmente vulnerabili”: perché servono tutele rafforzate

Il Garante parte da un principio che sembra scontato ma che, a giudicare dai fatti, non lo è affatto: i minori meritano una protezione speciale. Sono “persone fisiche vulnerabili”, spesso poco consapevoli dei rischi connessi al trattamento dei loro dati personali, e per questo necessitano di garanzie rafforzate.


Eppure, nel corso del 2025, l’Autorità ha dovuto intervenire in decine di casi in cui questa vulnerabilità è stata clamorosamente tradita. Non si tratta di episodi isolati, ma di violazioni sistematiche che riguardano soprattutto la diffusione di dati relativi alla salute e alla disabilità degli alunni.

Quando la burocrazia diventa un pericolo: le violazioni più frequenti

La casistica è vasta e, in molti casi, sconcertante per la sua banalità. Immaginate di essere il genitore di un bambino con disabilità e di scoprire che la scuola ha reso pubblico il suo Piano Educativo Individualizzato a tutti i genitori della classe. È successo davvero.

In un caso, il documento è finito sul registro elettronico visibile a tutti. In un altro, una circolare con le convocazioni del Gruppo di lavoro per l’inclusione è stata pubblicata sul sito web della scuola. Il Garante ha sanzionato gli istituti, ricordando che informazioni del genere – che rivelano lo stato di salute di un minore – possono essere comunicate solo ai genitori dello studente interessato, ai docenti della classe e ai professionisti coinvolti nel percorso terapeutico.

Ma la lista delle violazioni è molto più lunga. Prendiamo il caso di un asilo nido che aveva pubblicato sul proprio sito e su Google Maps decine e decine di immagini di bambini in momenti particolarmente delicati: durante il sonno, in mensa, al cambio del pannolino, durante i massaggi infantili. Il Garante ha parlato di un contrasto “non solo con la disciplina in materia di protezione dei dati personali, ma più radicalmente con l’assetto, anche a livello costituzionale, dei diritti fondamentali della persona”. Le sanzioni sono state pesanti.

O ancora: una cooperativa sociale, in vista di uno sciopero, aveva inviato a un comune un file Excel con l’elenco dei servizi integrativi non garantiti, riportando per ogni bambino informazioni dettagliatissime sulle disabilità, le patologie e le certificazioni possedute. Quel file, poi, è stato inoltrato a decine di scuole e, da lì, a cinquantatré genitori. Una fuga di dati a catena che ha esposto decine di minori a una diffusione incontrollata delle loro condizioni di salute.


E ancora: una scuola ha inviato una mail sugli adempimenti vaccinali di alcuni alunni a trentasette destinatari, lasciando tutti gli indirizzi in chiaro. Chi ha ricevuto il messaggio non solo ha visto le mail degli altri genitori, ma è venuto a conoscenza del fatto che i figli di questi ultimi non erano in regola con le vaccinazioni. Una comunicazione che, nelle intenzioni, era un semplice avviso, ma che nella pratica si è trasformata in una violazione della riservatezza di decine di famiglie.

Il rischio delle chat di classe e dei social network

Il mondo digitale offre nuove opportunità ma anche nuove insidie. Il Garante ha aggiornato il vademecum “La scuola a prova di privacy” proprio per aiutare dirigenti e docenti a districarsi tra le insidie del web. Una delle novità più significative riguarda le chat di classe: strumenti utilissimi per la comunicazione tra genitori, ma che possono trasformarsi in canali di diffusione illecita di dati personali. Il Garante ha chiarito che la creazione di chat da parte di genitori o rappresentanti di classe non è riconducibile all’attività istituzionale della scuola, ma questo non esonera gli istituti dal vigilare e dal fornire indicazioni chiare sull’uso corretto di questi strumenti.

Un caso emblematico: una scuola ha incaricato un influencer di realizzare un video promozionale all’interno dell’istituto. Nel video compariva un’alunna di spalle intenta a suonare il pianoforte. Il video è stato poi pubblicato sui profili social dell’influencer (Instagram, Facebook, TikTok). La scuola non aveva designato l’influencer come responsabile del trattamento, né aveva acquisito un consenso valido dai genitori. Il Garante ha sanzionato la scuola, ricordando che il “potere-dovere dei genitori di prestare o negare il consenso al trattamento dei dati personali dei minori incontra il limite del perseguimento del superiore interesse del minore medesimo” – e che questo interesse è certamente incompatibile con la pubblicazione di video per finalità promozionali su piattaforme social.

Intelligenza artificiale a scuola: le prime linee guida

Il 2025 segna anche un passaggio storico per il mondo della scuola: per la prima volta, il Ministero dell’istruzione e del merito ha adottato delle linee guida per l’introduzione dell’intelligenza artificiale nelle istituzioni scolastiche.

Un documento importante, che il Garante ha valutato positivamente, definendolo “uno dei primi esempi di documento di indirizzo da parte di un’amministrazione centrale verso le sue articolazioni periferiche”. Ma cosa prevedono esattamente queste linee guida?


Innanzitutto, pongono l’accento sulla centralità della persona e sulla tutela dei diritti fondamentali. Vietano esplicitamente le pratiche proibite dal regolamento europeo sull’IA, come il riconoscimento delle emozioni. Richiedono un rafforzamento della trasparenza nei confronti di studenti e famiglie, e impongono di utilizzare i dati personali solo dove strettamente indispensabile, preferendo, ove possibile, dati sintetici e configurazioni che impediscano la profilazione o il tracciamento degli studenti.

Il Garante, nel suo parere, ha però voluto ricordare che “spetta ai soggetti che svolgono attività di trattamento dei dati personali adottare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato”. In altre parole: le linee guida sono un punto di partenza, ma ogni istituto deve poi fare la sua parte, valutando i rischi specifici del proprio contesto e adottando le misure necessarie.

Il “Curriculum digitale” dello studente: una novità da gestire con cura

Un’altra novità significativa riguarda il curriculum della studentessa e dello studente. Il nuovo modello, che il Garante ha approvato con un parere favorevole, integra il precedente curriculum adottato nel 2020 e si compone di quattro parti.

La parte più delicata è la quarta, che riporta i livelli di apprendimento conseguiti nelle prove nazionali INVALSI. Proprio su questo punto, il Garante ha posto l’accento su un aspetto cruciale: le prove INVALSI non hanno finalità valutativa dei singoli studenti, ma sono uno strumento per valutare la qualità complessiva dell’offerta formativa. Di conseguenza, il curriculum non costituisce parte integrante del diploma: la sua allegazione è a discrezione dello studente, che può scegliere di acquisire la versione integrale o solo alcune sezioni.

Un dettaglio non secondario: il ministero, su suggerimento del Garante, ha previsto che il curriculum possa essere acquisito separatamente dal diploma. Questo significa che lo studente ha il pieno controllo su quali informazioni rendere pubbliche e a chi, un principio di autodeterminazione informativa che è il cuore stesso della protezione dei dati personali.


Un messaggio chiaro: la privacy non è un optional

Se c’è un filo rosso che attraversa tutti gli interventi del Garante nel mondo scolastico, è la consapevolezza che la protezione dei dati non è un adempimento burocratico, ma un pilastro della dignità della persona, soprattutto quando si tratta di minori.

Come si legge nella relazione, anche “un errore materiale” – la giustificazione più frequentemente addotta dalle scuole sanzionate – non basta a esimere il titolare del trattamento dalla propria responsabilità. La tecnologia, i registri elettronici, le piattaforme digitali sono strumenti potenti, ma il loro uso deve sempre essere guidato dal principio di minimizzazione: trattare solo i dati strettamente necessari, per il tempo strettamente necessario, e solo con le dovute garanzie.

La sfida, per le scuole, è quella di coniugare innovazione e tutela, consapevoli che la tecnologia, se non governata, rischia di trasformarsi da opportunità in minaccia per i diritti fondamentali delle nuove generazioni.

Leggi anche

Privacy a scuola: il Garante richiama l’attenzione su intelligenza artificiale, dati degli studenti e registro elettronico



#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Andrea Carlino

Source link

Di