La scuola a prova di privacy: nuovo vademecum del Garante Privacy

Il sistema scolastico italiano è oggi il punto di convergenza di normative complesse, tecnologie pervasive e aspettative crescenti in materia di tutela dei dati personali. L’aggiornamento 2025 del vademecum del Garante “La scuola a prova di privacy” fotografa una realtà in cui la scuola non è più soltanto luogo di apprendimento, ma anche nodo di trattamento massivo di dati: dati comuni, categorie particolari, immagini, contenuti digitali, metadata generati da piattaforme, sistemi IA emergenti. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata.

1. Il nuovo vademecum

Il punto è semplice: la scuola oggi tratta molti più dati di quanti docenti e famiglie percepiscano, e spesso lo fa attraverso strumenti esterni che amplificano rischi, errori, responsabilità e poteri correttivi dell’Autorità.
L’aggiornamento del 2025 si muove lungo tre direttrici chiare:

• trasparenza e correttezza dei trattamenti,
• minimizzazione e sicurezza,
• limitazione della diffusione (e sovra-esposizione) online.

Il documento diventa così non solo una guida operativa ma una lente di valutazione indispensabile per dirigenti, DPO, docenti e famiglie. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.

2. Le basi giuridiche del trattamento: l’istruzione non chiede consenso (quasi mai)

Come ribadito nelle pagine 8–9 del vademecum, la scuola – pubblica o privata che sia – quando eroga istruzione e formazione agisce su basi giuridiche tipiche: norma di legge, compito di interesse pubblico, adempimento obblighi. Il consenso resta confinato alle attività non istituzionali (es. corsi extra, attività sportive opzionali, progetti non curricolari).
È un messaggio che dovrebbe essere ormai ovvio, eppure è uno dei malintesi più diffusi: la scuola non deve chiedere consenso per la gestione didattica, valutativa, amministrativa e organizzativa degli studenti, inclusi i trattamenti di dati particolari previsti da norme specifiche (disabilità, DSA, salute, inclusione, religione, ecc.).
Le scuole devono invece:

• predisporre informative comprensibili anche ai minori,
• documentare le finalità istituzionali,
• mantenere un registro dei trattamenti coerente e aggiornato,
• istruire adeguatamente il personale autorizzato.

Il documento del Garante torna a ricordarlo con fermezza, disinnescando la mitologia del “serve il consenso per tutto”.

3. Dati particolari degli alunni: quando, come e perché possono essere trattati

Alle pagine 10–11  viene ribadito un principio cruciale: le categorie particolari di dati possono essere trattate dalle scuole solo se previste dalla normativa di settore e per finalità istituzionali.
Gli esempi sono concreti:

• origine razziale ed etnica: solo per favorire l’integrazione;
• convinzioni religiose: per l’insegnamento della religione o delle attività alternative;
• stato di salute: per misure educative personalizzate, sicurezza, ausili, attività sportive, alimentazione, presenza di allergie;
• opinioni politiche: limitatamente agli organi di rappresentanza;
• dati penali: per garantire il diritto allo studio in casi particolari.

È interessante notare come il Garante sottolinei la desumibilità indiretta di certe informazioni (es. origine etnica da cognome o nazionalità): non è un dettaglio marginale, ma un invito a gestire con cautela anche le inferenze implicite, soprattutto in fase di pubblicazione online.

Potrebbero interessarti anche:

• Australia, social e minori: il divieto under-16 come esperimento legislativo globale?
• Le competenze digitali in Italia e le nuove prove INVALSI

4. Privacy dei docenti e personale ATA: la “trasparenza” non giustifica tutto

Le pagine 12–15 del vademecum ribadiscono un punto spesso ignorato: la privacy dei lavoratori scolastici è tutelata allo stesso livello di qualsiasi altro lavoratore pubblico.
Tra gli errori più frequenti:

• circolazione interna indiscriminata di informazioni sulle assenze;
• pubblicazione di provvedimenti disciplinari o dati sanitari nella bacheca del personale;
• invio di comunicazioni a mailing list troppo estese;
• acronimi e sigle che rivelano indirettamente motivazioni sensibili (es. permessi L.104).

Non è secondario: la violazione della privacy dei dipendenti costituisce spesso la parte più sanzionata dei procedimenti dell’Autorità.

5. Voti, esami e pubblicazione degli esiti: il confine tra trasparenza e diffusione illecita

Il Garante è netto: i voti non si pubblicano online. La pagina 27 del vademecum lo riafferma con chiarezza, richiamando anche atti precedenti.
Si possono pubblicare solo:

• esiti degli scrutini (“ammesso / non ammesso”),
• crediti scolastici,
• elenchi affissi fisicamente solo se non esiste registro elettronico

E non si possono mai pubblicare:

• riferimenti alle prove differenziate,
• informazioni su DSA o disabilità,
• dettagli non pertinenti (luogo e data di nascita, ecc.).

La ragione è tecnica, prima ancora che giuridica: la pubblicazione online è una forma di diffusione irreversibile, soggetta all’indicizzazione dei motori di ricerca.

6. Comunicazioni scolastiche e circolari: il ritorno al principio di minimizzazione

Alle pagine 28–29 vengono chiariti errori ricorrenti:

• circolari che riportano nomi di studenti coinvolti in episodi disciplinari;
• note che includono condizioni di salute o situazioni familiari;
• elenchi di studenti BES, DSA, disabili allegati o pubblicati.

È un punto delicato: la scuola deve informare le famiglie, ma senza esporre minori vulnerabili. Il principio è quello già affermato dal GDPR: necessità, pertinenza, proporzionalità.

7. Mondo connesso, nuove tecnologie e rischi reali

La sezione dedicata alle tecnologie (pagg. 32–47) è probabilmente la più attuale e complessa del documento.
7.1. Intelligenza artificiale a scuola: opportunità e limiti
Il Garante si allinea alle nuove linee guida MIM-IA 2025 e al divieto – finalmente esplicitato – di utilizzare sistemi di riconoscimento delle emozioni.
Viene incoraggiato l’uso di dati sintetici, mentre si chiede rigore nella valutazione delle piattaforme esterne, soprattutto se cloud e non UE.
7.2. Cyberbullismo, sexting e revenge porn
Le pagine 34–35 propongono una lettura attualizzata: la scuola deve essere presidio educativo ma anche attivatore tempestivo delle tutele. È interessante come il Garante spinga a:

• segnalare subito,
• coinvolgere referenti e famiglie,
• attivare gli strumenti di rimozione rapida,
• ricordare la responsabilità penale per alcune condotte.

7.3. Smartphone, registrazioni e chat di classe
Tre verità giuridiche spesso tradite dalla prassi:

• Registrare per uso personale è lecito; diffondere è illecito.
• I genitori nelle recite possono filmare, ma non diffondere online senza consenso.
• Le chat di classe non sono trattamenti scolastici, ma gruppi privati soggetti comunque al GDPR.

La scuola non risponde delle chat, ma può e deve sconsigliarne l’uso istituzionale.

8. Pubblicazione online: errori che continuano a generare sanzioni

8. Pubblicazione online: errori che continuano a generare sanzioni
Dai provvedimenti 2014–2025 emerge un leitmotiv: le scuole pubblicano troppo, male e senza necessità.
Il vademecum dedica un’intera sezione (pagg. 50–61) a casi tipici:
8.1. Elenchi degli alunni per classe
Consentiti:

• via e-mail individuale per le classi prime;
• su registro elettronico per le altre;
• su tabellone fisico solo in assenza di strumenti digitali.

Il divieto più forte: nessuna pubblicazione sul sito istituzionale.
8.2. Graduatorie personale ATA e docenti
Dati ammessi: nome, cognome, punteggio, posizione.
Dati vietati: numeri di telefono, indirizzi, note sensibili.
8.3. Morosità mensa e trasporto scolastico
Sono tra le violazioni più frequenti:

• vietato pubblicare nomi degli studenti in ritardo nei pagamenti;
• vietato pubblicare elenchi beneficiari in fascia minima;
• vietati colori di buoni pasto che rivelano condizioni economiche;
• vietato pubblicare elenchi degli utenti dello scuolabus e relative fermate.

9. Videosorveglianza nelle scuole: la regola resta la proporzionalità

Alle pagine 64–65 si ribadisce che:

• si possono installare telecamere solo se indispensabili;
• non si possono riprendere aree non pertinenti;
• non si possono monitorare lavoratori senza gli accordi previsti dallo Statuto;
• gli asili e le scuole dell’infanzia richiedono cautele ancora maggiori.

È un punto politico oltre che giuridico: si sta discutendo da anni una revisione normativa, ma nel frattempo il Garante richiama principi generali che chiunque operi nel settore dovrebbe conoscere.

10. Conclusioni: la privacy scolastica come educazione civica applicata

Il vademecum 2025 non è un semplice aggiornamento tecnico. È una dichiarazione di intenti: la scuola deve diventare luogo di protezione attiva dei dati personali, non soltanto di trattamento.
Il messaggio è chiaro: il digitale non è un nemico, a patto che venga governato; l’IA non è un rischio, se accompagnata da limiti precisi; la trasparenza non è una giustificazione per la diffusione incontrollata.
La scuola è – o dovrebbe essere – il primo luogo in cui i cittadini imparano non solo matematica, storia e scienze, ma anche come proteggere la propria identità informativa.
E questo significa formare dirigenti, docenti e famiglie, dare strumenti concreti, evitare le scorciatoie e costruire competenze solide.
Se davvero vogliamo una cultura della protezione dei dati, dobbiamo iniziare da qui: dalle aule, dai registri elettronici configurati bene, dalle circolari scritte con criterio, dalle immagini gestite con responsabilità, dai dati particolari custoditi come si custodisce ciò che è fragile.
La privacy, insomma, non è un adempimento. È una forma di educazione, e la scuola – piaccia o no – è il suo primo laboratorio permanente.

Formazione in materia per professionisti

Master in Cybersecurity e compliance integrata
Il Master, giunto alla II edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla nuova regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e le linee guida e le ultime Determinazioni dell’ACN.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!