Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

La scuola a prova di privacy: nuovo vademecum del Garante Privacy

L’aggiornamento 2025 del vademecum del Garante “La scuola a prova di privacy” fotografa una scuola che è nodo di trattamento massivo di dati

Scarica PDF Stampa

Il sistema scolastico italiano è oggi il punto di convergenza di normative complesse, tecnologie pervasive e aspettative crescenti in materia di tutela dei dati personali. L’aggiornamento 2025 del vademecum del Garante “La scuola a prova di privacy” fotografa una realtà in cui la scuola non è più soltanto luogo di apprendimento, ma anche nodo di trattamento massivo di dati: dati comuni, categorie particolari, immagini, contenuti digitali, metadata generati da piattaforme, sistemi IA emergenti. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata.

Indice

1. Il nuovo vademecum


Il punto è semplice: la scuola oggi tratta molti più dati di quanti docenti e famiglie percepiscano, e spesso lo fa attraverso strumenti esterni che amplificano rischi, errori, responsabilità e poteri correttivi dell’Autorità.
L’aggiornamento del 2025 si muove lungo tre direttrici chiare:

  • trasparenza e correttezza dei trattamenti,
  • minimizzazione e sicurezza,
  • limitazione della diffusione (e sovra-esposizione) online.

Il documento diventa così non solo una guida operativa ma una lente di valutazione indispensabile per dirigenti, DPO, docenti e famiglie. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.

VOLUME

NIS 2 ed Evoluzione della Cybersicurezza Nazionale

Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.

 

Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025

34.20 €

Scopri di più

2. Le basi giuridiche del trattamento: l’istruzione non chiede consenso (quasi mai)


Come ribadito nelle pagine 8–9 del vademecum, la scuola – pubblica o privata che sia – quando eroga istruzione e formazione agisce su basi giuridiche tipiche: norma di legge, compito di interesse pubblico, adempimento obblighi. Il consenso resta confinato alle attività non istituzionali (es. corsi extra, attività sportive opzionali, progetti non curricolari).
È un messaggio che dovrebbe essere ormai ovvio, eppure è uno dei malintesi più diffusi: la scuola non deve chiedere consenso per la gestione didattica, valutativa, amministrativa e organizzativa degli studenti, inclusi i trattamenti di dati particolari previsti da norme specifiche (disabilità, DSA, salute, inclusione, religione, ecc.).
Le scuole devono invece:

  • predisporre informative comprensibili anche ai minori,
  • documentare le finalità istituzionali,
  • mantenere un registro dei trattamenti coerente e aggiornato,
  • istruire adeguatamente il personale autorizzato.

Il documento del Garante torna a ricordarlo con fermezza, disinnescando la mitologia del “serve il consenso per tutto”.

3. Dati particolari degli alunni: quando, come e perché possono essere trattati


Alle pagine 10–11  viene ribadito un principio cruciale: le categorie particolari di dati possono essere trattate dalle scuole solo se previste dalla normativa di settore e per finalità istituzionali.
Gli esempi sono concreti:

  • origine razziale ed etnica: solo per favorire l’integrazione;
  • convinzioni religiose: per l’insegnamento della religione o delle attività alternative;
  • stato di salute: per misure educative personalizzate, sicurezza, ausili, attività sportive, alimentazione, presenza di allergie;
  • opinioni politiche: limitatamente agli organi di rappresentanza;
  • dati penali: per garantire il diritto allo studio in casi particolari.

È interessante notare come il Garante sottolinei la desumibilità indiretta di certe informazioni (es. origine etnica da cognome o nazionalità): non è un dettaglio marginale, ma un invito a gestire con cautela anche le inferenze implicite, soprattutto in fase di pubblicazione online.

Potrebbero interessarti anche:

4. Privacy dei docenti e personale ATA: la “trasparenza” non giustifica tutto


Le pagine 12–15 del vademecum ribadiscono un punto spesso ignorato: la privacy dei lavoratori scolastici è tutelata allo stesso livello di qualsiasi altro lavoratore pubblico.
Tra gli errori più frequenti:

  • circolazione interna indiscriminata di informazioni sulle assenze;
  • pubblicazione di provvedimenti disciplinari o dati sanitari nella bacheca del personale;
  • invio di comunicazioni a mailing list troppo estese;
  • acronimi e sigle che rivelano indirettamente motivazioni sensibili (es. permessi L.104).

Non è secondario: la violazione della privacy dei dipendenti costituisce spesso la parte più sanzionata dei procedimenti dell’Autorità.

5. Voti, esami e pubblicazione degli esiti: il confine tra trasparenza e diffusione illecita


Il Garante è netto: i voti non si pubblicano online. La pagina 27 del vademecum lo riafferma con chiarezza, richiamando anche atti precedenti.
Si possono pubblicare solo:

  • esiti degli scrutini (“ammesso / non ammesso”),
  • crediti scolastici,
  • elenchi affissi fisicamente solo se non esiste registro elettronico

E non si possono mai pubblicare:

  • riferimenti alle prove differenziate,
  • informazioni su DSA o disabilità,
  • dettagli non pertinenti (luogo e data di nascita, ecc.).

La ragione è tecnica, prima ancora che giuridica: la pubblicazione online è una forma di diffusione irreversibile, soggetta all’indicizzazione dei motori di ricerca.

6. Comunicazioni scolastiche e circolari: il ritorno al principio di minimizzazione


Alle pagine 28–29 vengono chiariti errori ricorrenti:

  • circolari che riportano nomi di studenti coinvolti in episodi disciplinari;
  • note che includono condizioni di salute o situazioni familiari;
  • elenchi di studenti BES, DSA, disabili allegati o pubblicati.

È un punto delicato: la scuola deve informare le famiglie, ma senza esporre minori vulnerabili. Il principio è quello già affermato dal GDPR: necessità, pertinenza, proporzionalità.

7. Mondo connesso, nuove tecnologie e rischi reali


La sezione dedicata alle tecnologie (pagg. 32–47) è probabilmente la più attuale e complessa del documento.
7.1. Intelligenza artificiale a scuola: opportunità e limiti
Il Garante si allinea alle nuove linee guida MIM-IA 2025 e al divieto – finalmente esplicitato – di utilizzare sistemi di riconoscimento delle emozioni.
Viene incoraggiato l’uso di dati sintetici, mentre si chiede rigore nella valutazione delle piattaforme esterne, soprattutto se cloud e non UE.
7.2. Cyberbullismo, sexting e revenge porn
Le pagine 34–35 propongono una lettura attualizzata: la scuola deve essere presidio educativo ma anche attivatore tempestivo delle tutele. È interessante come il Garante spinga a:

  • segnalare subito,
  • coinvolgere referenti e famiglie,
  • attivare gli strumenti di rimozione rapida,
  • ricordare la responsabilità penale per alcune condotte.

7.3. Smartphone, registrazioni e chat di classe
Tre verità giuridiche spesso tradite dalla prassi:

  • Registrare per uso personale è lecito; diffondere è illecito.
  • I genitori nelle recite possono filmare, ma non diffondere online senza consenso.
  • Le chat di classe non sono trattamenti scolastici, ma gruppi privati soggetti comunque al GDPR.

La scuola non risponde delle chat, ma può e deve sconsigliarne l’uso istituzionale.

8. Pubblicazione online: errori che continuano a generare sanzioni


8. Pubblicazione online: errori che continuano a generare sanzioni
Dai provvedimenti 2014–2025 emerge un leitmotiv: le scuole pubblicano troppo, male e senza necessità.
Il vademecum dedica un’intera sezione (pagg. 50–61) a casi tipici:
8.1. Elenchi degli alunni per classe
Consentiti:

  • via e-mail individuale per le classi prime;
  • su registro elettronico per le altre;
  • su tabellone fisico solo in assenza di strumenti digitali.

Il divieto più forte: nessuna pubblicazione sul sito istituzionale.
8.2. Graduatorie personale ATA e docenti
Dati ammessi: nome, cognome, punteggio, posizione.
Dati vietati: numeri di telefono, indirizzi, note sensibili.
8.3. Morosità mensa e trasporto scolastico
Sono tra le violazioni più frequenti:

  • vietato pubblicare nomi degli studenti in ritardo nei pagamenti;
  • vietato pubblicare elenchi beneficiari in fascia minima;
  • vietati colori di buoni pasto che rivelano condizioni economiche;
  • vietato pubblicare elenchi degli utenti dello scuolabus e relative fermate.

9. Videosorveglianza nelle scuole: la regola resta la proporzionalità


Alle pagine 64–65 si ribadisce che:

  • si possono installare telecamere solo se indispensabili;
  • non si possono riprendere aree non pertinenti;
  • non si possono monitorare lavoratori senza gli accordi previsti dallo Statuto;
  • gli asili e le scuole dell’infanzia richiedono cautele ancora maggiori.

È un punto politico oltre che giuridico: si sta discutendo da anni una revisione normativa, ma nel frattempo il Garante richiama principi generali che chiunque operi nel settore dovrebbe conoscere.

10. Conclusioni: la privacy scolastica come educazione civica applicata


Il vademecum 2025 non è un semplice aggiornamento tecnico. È una dichiarazione di intenti: la scuola deve diventare luogo di protezione attiva dei dati personali, non soltanto di trattamento.
Il messaggio è chiaro: il digitale non è un nemico, a patto che venga governato; l’IA non è un rischio, se accompagnata da limiti precisi; la trasparenza non è una giustificazione per la diffusione incontrollata.
La scuola è – o dovrebbe essere – il primo luogo in cui i cittadini imparano non solo matematica, storia e scienze, ma anche come proteggere la propria identità informativa.
E questo significa formare dirigenti, docenti e famiglie, dare strumenti concreti, evitare le scorciatoie e costruire competenze solide.
Se davvero vogliamo una cultura della protezione dei dati, dobbiamo iniziare da qui: dalle aule, dai registri elettronici configurati bene, dalle circolari scritte con criterio, dalle immagini gestite con responsabilità, dai dati particolari custoditi come si custodisce ciò che è fragile.
La privacy, insomma, non è un adempimento. È una forma di educazione, e la scuola – piaccia o no – è il suo primo laboratorio permanente.

Formazione in materia per professionisti


Master in Cybersecurity e compliance integrata
Il Master, giunto alla II edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla nuova regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e le linee guida e le ultime Determinazioni dell’ACN.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Ti interessano questi contenuti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
La prima sanzione europea a X sotto il DSA: 120 milioni di euro e un messaggio molto chiaro

Il 5 dicembre 2025 la Commissione europea ha imposto a X una sanzione per violazione di tre obblighi…

Luisa Di Giacomo 09/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Australia, social e minori: il divieto under-16 come esperimento legislativo globale?

L’Australia introduce il divieto assoluto ai social per gli under-16: un esperimento legislativo glo…

Luisa Di Giacomo 05/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Chat control: gli sviluppi più recenti e le novità introdotte

Dopo l’ampio dibattito sulla proposta originaria nota come “Chat Control”, gli ultimi mesi hanno seg…

Luisa Di Giacomo 02/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Conservazione dei dati biometrici: la Corte UE chiarisce i limiti

La Corte UE si pronuncia su raccolta e conservazione dei dati biometrici e genetici da parte della p…

Lorena Papini 24/11/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;