Privacy e Dati degli Studenti con l'AI: Guida GDPR per le Scuole — 2026

Le scuole italiane trattano ogni giorno dati personali di studenti minorenni: dalle valutazioni ai dati sanitari, dalle presenze ai comportamenti. Quando in questo trattamento entra l'intelligenza artificiale — sotto forma di piattaforme didattiche, chatbot, sistemi di valutazione automatica — si aggiungono complessità normative che il GDPR (Reg. UE 2016/679) regola in modo specifico.

Il GDPR si applica a qualsiasi trattamento di dati personali effettuato con strumenti automatizzati, inclusi i sistemi AI. Le scuole sono titolari del trattamento (data controller) e come tali sono responsabili di garantire che ogni strumento AI adottato rispetti i principi del regolamento: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

In Italia, il Garante per la Protezione dei Dati Personali ha emesso diverse indicazioni specifiche per le scuole, ribadendo che l'adozione di strumenti tecnologici nella didattica non esonera gli istituti dagli obblighi di tutela della privacy degli studenti, con particolare attenzione ai minori di 14 anni.

Il trattamento di dati personali di minori richiede cautele aggiuntive rispetto agli adulti. Il GDPR prevede che per i servizi della società dell'informazione offerti direttamente ai minori, il consenso sia valido solo se fornito da chi esercita la responsabilità genitoriale, fino al compimento dei 14 anni (in Italia, ai sensi dell'art. 2-quinquies del Codice Privacy). Sopra i 14 anni, il minore può prestare il proprio consenso.

Questo principio si applica concretamente all'adozione di strumenti AI a scuola: se una piattaforma AI raccoglie dati personali degli studenti (nome, età, performance, comportamento online), la scuola deve acquisire il consenso dei genitori per gli studenti under 14. Questo non significa che ogni uso di ChatGPT in classe richieda un modulo firmato: dipende da quali dati vengono effettivamente trasmessi alla piattaforma e come vengono trattati.

Una distinzione importante è tra strumenti usati in modalità anonima o pseudonima (dove non vengono trasmessi dati identificativi degli studenti) e strumenti che richiedono la creazione di account personali o che raccolgono dati di utilizzo associati all'identità dello studente. Nel primo caso, gli obblighi di consenso si riducono significativamente; nel secondo, è necessario informare famiglie e studenti e acquisire il consenso appropriato.

La Data Protection Impact Assessment (DPIA) è un processo di valutazione preventiva obbligatorio per i trattamenti ad alto rischio. Il GDPR (art. 35) richiede la DPIA quando il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone. Nel contesto scolastico con AI, la DPIA è obbligatoria in almeno tre scenari tipici.

Primo: uso di sistemi di profilazione sistematica degli studenti — ad esempio, piattaforme di apprendimento adattivo che costruiscono profili dettagliati dello studente nel tempo, combinando dati di performance, tempo di risposta, pattern di errore. Secondo: trattamento su larga scala di categorie particolari di dati — ad esempio, sistemi AI che elaborano dati sulla salute mentale o sulle difficoltà di apprendimento degli studenti. Terzo: sorveglianza sistematica di aree accessibili al pubblico — come sistemi di riconoscimento facciale per il controllo degli accessi.

La DPIA non è un documento che si compila una volta e si archivia: è un processo iterativo che va aggiornato se cambiano le caratteristiche del trattamento. Il DPO dell'istituto (o quello dell'Ufficio Scolastico Regionale, per gli istituti che non ne hanno uno proprio) deve essere coinvolto nella redazione e nel monitoraggio della DPIA.

Il Data Protection Officer (DPO), o Responsabile della Protezione dei Dati (RPD), è una figura obbligatoria per le scuole pubbliche italiane ai sensi del GDPR. Molte scuole si avvalgono di un DPO in forma associata, condiviso tra più istituti o nominato a livello di Ufficio Scolastico Regionale. Indipendentemente dalla modalità, il DPO deve essere consultato ogni volta che la scuola introduce strumenti AI che trattano dati personali degli studenti.

Il DPO non ha il ruolo di vietare o approvare l'adozione di strumenti: il suo compito è fornire consulenza, verificare la conformità, formare il personale e fungere da punto di contatto con il Garante. Se il DPO esprime riserve su uno strumento AI specifico, la scuola deve tenerne conto e documentare come ha gestito le indicazioni ricevute.

Nella pratica, molti DPO scolastici non hanno competenze approfondite di AI, il che può rendere difficile la valutazione di strumenti innovativi. In questi casi, è utile che la scuola si doti di un referente interno con competenze tecniche (spesso il Referente per l'Innovazione Digitale o il Responsabile del Piano Digitale) che supporti il DPO nella valutazione tecnica degli strumenti.

Non esiste una lista ufficiale di strumenti AI 'approvati' per l'uso scolastico: la conformità GDPR dipende dalle specifiche modalità di utilizzo e dalle garanzie contrattuali offerte dal fornitore. Esistono però criteri chiari per valutare la conformità di uno strumento prima di adottarlo.

I criteri principali sono: server location (i dati degli studenti devono essere trattati in UE o in paesi con livello di protezione adeguato riconosciuto dalla Commissione Europea, oppure con garanzie contrattuali adeguate come le Standard Contractual Clauses); disponibilità di un DPA (Data Processing Agreement) — il contratto di trattamento dati richiesto dall'art. 28 GDPR; politica di retention dei dati (per quanto tempo vengono conservati i dati degli studenti); e uso dei dati per l'addestramento dei modelli (i dati degli studenti non devono essere usati per addestrare modelli AI senza consenso esplicito).

I grandi fornitori enterprise (Microsoft, Google, OpenAI per tier business) offrono versioni dei propri strumenti con DPA standard e con garanzie specifiche per il settore education. Queste versioni sono generalmente più adatte all'uso scolastico rispetto agli account gratuiti personali, che spesso non offrono garanzie GDPR equivalenti. ScuolaTech guida le scuole nella valutazione di questi strumenti nell'ambito dei percorsi formativi per dirigenti e docenti.

Ogni volta che la scuola introduce strumenti AI che trattano dati personali degli studenti, deve aggiornare l'informativa privacy (art. 13 GDPR) e comunicarla a studenti e famiglie. L'informativa deve essere chiara, in linguaggio comprensibile, e deve specificare: quali dati vengono raccolti, per quale finalità, per quanto tempo vengono conservati, chi li tratta (inclusi i sub-responsabili, cioè i fornitori degli strumenti AI), e quali sono i diritti degli interessati.

Per gli strumenti AI, un elemento spesso trascurato è l'indicazione delle logiche sottostanti ai processi automatizzati. Se uno strumento AI prende decisioni che riguardano gli studenti — o anche solo li supporta significativamente — l'informativa deve contenere informazioni significative sulla logica del sistema e le possibili conseguenze. Questo requisito deriva dall'art. 22 GDPR sul diritto a non essere soggetti a decisioni automatizzate.

Molte scuole aggiornano l'informativa una volta all'anno, all'inizio del nuovo anno scolastico. Con la rapida evoluzione degli strumenti AI, questa cadenza potrebbe non essere sufficiente: è opportuno aggiornare l'informativa ogni volta che viene introdotto uno strumento significativamente nuovo, senza aspettare settembre.

Una delle questioni più complesse riguarda i trasferimenti di dati verso paesi extra-UE, rilevante per tutti gli strumenti AI di provider americani (OpenAI, Google, Microsoft, Meta). Il GDPR permette questi trasferimenti solo in presenza di garanzie adeguate: decisione di adeguatezza della Commissione Europea, Standard Contractual Clauses (SCC), o norme vincolanti d'impresa (BCR).

Dopo la sentenza Schrems II del 2020 e l'accordo EU-US Data Privacy Framework del 2023, la situazione è diventata più chiara per i provider americani aderenti al framework. Tuttavia, il framework è oggetto di contestazioni legali periodiche, e le scuole dovrebbero verificare la situazione aggiornata al momento dell'adozione di ogni strumento. I provider seri documentano il meccanismo di trasferimento utilizzato nella propria documentazione GDPR.

Per i dati particolarmente sensibili (dati sanitari degli studenti, dati su disabilità o difficoltà di apprendimento), il trasferimento extra-UE richiede ulteriori cautele. In questi casi, la scelta di strumenti AI con server localizzati in UE è fortemente preferibile, anche se può comportare un accesso a funzionalità ridotte rispetto alle versioni globali.