Nota al provvedimento del Garante per la protezione dei dati personali del 4 dicembre 2025, Registro dei provvedimenti n. 725/2025 (doc. web n. 10209089).

Indice

• 1. Ricostruzione dei fatti
• 2. Inquadramento giuridico
• 3. Profili di illiceità del trattamento: l’errore dell’Istituto scolastico
• 4. Il comportamento conforme richiesto dall’ordinamento
  • 4.1. Quali sono i rischi legati alla pubblicazione di video scolastici sui social
  • 4.2 Come deve essere regolato il rapporto tra un istituto scolastico ed un influencer
  • 4.3 Come strutturare una liberatoria per gli esercenti la potestà genitoriale
• 5. Conclusioni
• 6. Protocollo operativo per la realizzazione di video e foto

1. Ricostruzione dei fatti

Il Provvedimento oggetto di analisi è originato da una violazione commessa da un istituto scolastico nell’ambito della gestione della privacy. L’Autorità, in sintesi, ha sanzionato la scuola per aver permesso a un influencer di pubblicare sui social media un video promozionale che ritraeva una studentessa, minorenne, senza un adeguato consenso da parte degli esercenti la potestà genitoriale.

Il Garante, nell’esaminare la vicenda e la relativa violazione, ha rilevato come l’informativa inizialmente fornita fosse troppo generica e non idonea a coprire la diffusione dei contenuti su piattaforme esterne per finalità pubblicitarie.
L’Authority, ancora, ha mosso critiche nel confronti dell’istituzione scolastica per non aver formalizzato il rapporto con il creator attraverso un contratto che lo designasse come responsabile del trattamento. Nonostante la successiva rimozione del video, l’Autorità ha imposto una sanzione sottolineando la necessità di una tutela rafforzata per i soggetti vulnerabili.

Questa decisione ribadisce l’importanza per gli enti pubblici di stabilire basi giuridiche rigorose prima di diffondere immagini di minori online.

2. Inquadramento giuridico

L’inquadramento giuridico del caso richiede un’analisi coordinata tra le disposizioni del Reg. UE 2016/679, la normativa nazionale di armonizzazione e i principi civilistici sulla tutela dell’immagine. Al centro della questione si pone il principio di liceità del trattamento, sancito dall’articolo 5 del Reg. UE 2016/679, il quale impone che ogni operazione sui dati personali avvenga nel rispetto di una base giuridica valida tra quelle elencate all’articolo 6 del medesimo Regolamento.

Nel caso di una pubblica amministrazione come un istituto scolastico, il trattamento è generalmente lecito se necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri; tuttavia, questa facoltà trova un limite invalicabile nell’attività di diffusione dei dati.

A tal proposito, il Codice Privacy (D.Lgs. 196/2003), come novellato dal D.Lgs. 101/2018, stabilisce all’articolo 2-ter che la diffusione di dati personali da parte di soggetti pubblici è ammessa esclusivamente quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento. Poiché la pubblicazione di immagini di minori sui social network per finalità promozionali non rientra tra i compiti istituzionali tipici della scuola definibili come “necessari”, l’unica base giuridica idonea per tale specifica finalità è il consenso informato degli esercenti la responsabilità genitoriale.

Tale consenso deve possedere i requisiti di specificità, libertà e inequivocabilità richiesti dall’articolo 7 del Reg. UE 2016/679, risultando radicalmente nullo un consenso “omnibus” o generico raccolto per finalità meramente didattiche e poi utilizzato per scopi di marketing istituzionale.

Sotto il profilo dei rapporti con terzi, l’inquadramento deve includere la disciplina dell’articolo 28 del Reg. UE 2016/679. Ogni qualvolta un titolare del trattamento (la scuola) affida a un soggetto esterno (l’influencer) il compito di trattare dati personali per suo conto, è obbligatorio procedere alla nomina di quest’ultimo quale responsabile del trattamento mediante un contratto o altro atto giuridico. Tale atto ha la funzione essenziale di vincolare il responsabile alle istruzioni del titolare, garantendo che le immagini non vengano utilizzate per scopi diversi da quelli pattuiti.

3. Profili di illiceità del trattamento: l’errore dell’Istituto scolastico

L’errore fondamentale compiuto dall’istituto scolastico risiede, in prima istanza, nell’aver operato una sovrapposizione impropria tra diverse finalità di trattamento, ritenendo erroneamente che il consenso raccolto all’inizio dell’anno scolastico potesse coprire qualsiasi attività legata alla vita dell’istituto.

La scuola ha infatti utilizzato un’autorizzazione generica, originariamente destinata alla documentazione di attività didattiche o gite scolastiche, per legittimare una forma di comunicazione radicalmente diversa: la promozione pubblicitaria dell’offerta formativa tramite soggetti terzi e piattaforme social. Questa condotta viola il principio di limitazione delle finalità, poiché i genitori non erano stati debitamente informati del fatto che l’immagine dei propri figli sarebbe diventata parte integrante di una campagna di marketing digitale destinata a un pubblico potenzialmente illimitato.

Un ulteriore profilo di errore riguarda l’omessa valutazione dell’identificabilità della minore. La difesa della scuola si è basata sulla tesi secondo cui la ripresa della bambina, avvenuta mentre questa suonava il pianoforte di spalle, non costituisse una violazione in quanto il volto non era visibile.

Tuttavia, l’Autorità Garante ha fermamente smentito tale interpretazione, ribadendo che la nozione di dato personale non si limita al solo volto, ma comprende qualsiasi informazione che renda l’interessato identificabile, anche indirettamente. Nel contesto ristretto di una comunità scolastica, la combinazione di elementi quali l’abbigliamento, la corporatura, la particolare attività svolta e il luogo fisico consentono facilmente a compagni, insegnanti e conoscenti di risalire all’identità del minore, rendendo la pubblicazione sui social un atto di diffusione non autorizzato a tutti gli effetti.

Infine, l’istituto ha commesso una grave negligenza procedurale sotto il profilo della catena di responsabilità prevista dal Regolamento. Affidando le riprese e la successiva pubblicazione del video a un influencer esterno (seppur a titolo gratuito e mosso da intenti puramente collaborativi) la scuola ha di fatto ceduto il controllo su dati personali sensibili, come quelli dei minori, senza formalizzare alcun vincolo giuridico.

La mancata nomina del soggetto esterno quale responsabile del trattamento ha privato l’istituto del potere di vigilanza e di istruzione, lasciando che le immagini degli alunni venissero gestite secondo le logiche di pubblicazione e gli algoritmi dei profili social del professionista, in totale assenza di quelle garanzie di sicurezza e riservatezza che il Reg. UE 2016/679 impone tassativamente ai titolari del trattamento.

4. Il comportamento conforme richiesto dall’ordinamento

Per agire nel pieno rispetto della normativa sulla protezione dei dati, la scuola avrebbe dovuto adottare, in primo luogo, un approccio improntato alla trasparenza e alla specificità, distinguendo nettamente le attività amministrative e didattiche da quelle di comunicazione istituzionale e promozione.

Il comportamento corretto sarebbe consistito nella predisposizione di una nuova e separata informativa, dedicata esclusivamente alla realizzazione del video promozionale, che esplicitasse chiaramente la natura del progetto, l’identità dei soggetti coinvolti e, soprattutto, i canali social su cui il materiale sarebbe stato diffuso. Solo a fronte di un consenso esplicito e facoltativo, raccolto specificamente per questa finalità dagli esercenti la responsabilità genitoriale, l’istituto avrebbe potuto considerare lecita la ripresa e la pubblicazione delle immagini dei minori.

Sul piano organizzativo, inoltre, l’amministrazione scolastica avrebbe dovuto adempiere rigorosamente agli obblighi di natura contrattuale previsti dal Regolamento e, prima di consentire l’ingresso dell’influencer nei locali scolastici e l’inizio delle riprese, avrebbe dovuto formalizzare la nomina di quest’ultimo a responsabile del trattamento. Tale atto non è una mera formalità burocratica, ma lo strumento necessario per impartire istruzioni vincolanti sulle modalità di ripresa, sui tempi di conservazione dei file grezzi e sull’obbligo di non riutilizzare i contenuti per scopi personali o commerciali estranei alla collaborazione con la scuola. Attraverso questo documento, la scuola avrebbe mantenuto la “proprietà” e il controllo del dato, garantendo che l’influencer agisse solo come braccio operativo del titolare del trattamento.

Un comportamento virtuoso, infine, avrebbe richiesto l’applicazione concreta dei principi di privacy by design e by default, valutando criticamente la necessità di mostrare i volti o le figure degli studenti per raggiungere l’obiettivo promozionale. L’istituto avrebbe potuto optare per soluzioni meno invasive, come l’utilizzo di riprese d’ambiente in cui gli studenti non fossero riconoscibili, o l’impiego di tecniche di post-produzione per sfocare i volti e gli elementi identificativi. Qualora la partecipazione della minore fosse stata ritenuta essenziale, il comportamento corretto sarebbe stato quello di sottoporre il montaggio definitivo alla visione preventiva dei genitori, assicurandosi che la rappresentazione della figlia non ledesse la sua dignità o riservatezza prima che il video venisse consegnato alla viralità della rete.

4.1. Quali sono i rischi legati alla pubblicazione di video scolastici sui social

Ecco i principali rischi individuabili dall’analisi del provvedimento in commento:

• Assenza di una base giuridica idonea: per un soggetto pubblico come una scuola, la diffusione di dati personali (comprese le immagini degli studenti) è lecita solo se prevista da una norma di legge, di regolamento o da atti amministrativi generali. L’attività di promozione delle attività scolastiche, sebbene di interesse pubblico, non sempre costituisce una base giuridica sufficiente per la diffusione sui social, specialmente se effettuata tramite profili non istituzionali.
• Identificabilità degli studenti: anche se un alunno viene ripreso di spalle o in modo da non essere immediatamente riconoscibile in volto, il rischio di identificazione permane. Il Garante chiarisce che l’identificazione può avvenire indirettamente attraverso elementi di contesto come l’abbigliamento o l’ambiente circostante.
• Inadeguatezza del consenso: spesso le scuole utilizzano “liberatorie” generiche firmate all’inizio dell’anno. Tuttavia, se l’informativa riguarda solo attività didattiche o gite, il consenso non può essere considerato valido per la pubblicazione su profili social esterni o per finalità promozionali, poiché mancherebbe dei requisiti di trasparenza e specificità richiesti dal Regolamento (UE) 2016/679.
• Vulnerabilità dei minori: gli studenti, in quanto minori, godono di una protezione specifica poiché possono essere meno consapevoli dei rischi e delle conseguenze legati al trattamento dei loro dati. La pubblicazione di video che li riguarda può ledere il loro superiore interesse, che prevale spesso su finalità promozionali della scuola.
• Mancata nomina dei responsabili esterni: se la scuola si avvale di soggetti terzi per realizzare o diffondere i video (come un influencer), ha l’obbligo di disciplinare il rapporto con un contratto o un atto giuridico formale (ex art. 28 del Regolamento). In assenza di tale nomina e di istruzioni documentate, il trattamento risulta illecito.
• Sanzioni amministrative e d’immagine: le violazioni possono portare a sanzioni pecuniarie significative, che possono arrivare teoricamente fino a 20 milioni di euro (sebbene nel caso specifico siano state quantificate in 2.000 euro tenendo conto delle dimensioni dell’istituto). Inoltre, il Garante può disporre la pubblicazione del provvedimento sanzionatorio sul proprio sito web, con un conseguente danno d’immagine per la scuola.

4.2 Come deve essere regolato il rapporto tra un istituto scolastico ed un influencer

Il rapporto tra un istituto scolastico e un influencer, quando comporta il trattamento di dati personali degli studenti (come immagini o video), deve essere regolato seguendo rigorose prescrizioni normative per garantire la protezione della privacy.

In base a quanto stabilito dal Garante per la protezione dei dati personali, i punti fondamentali sono:

• Designazione come Responsabile del Trattamento: qualora la scuola incarichi un soggetto esterno (anche se si definisce influencer) per realizzare video o contenuti che ritraggono studenti, deve formalmente designarlo come “Responsabile del trattamento” ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (GDPR).
• Contratto o Atto Giuridico: Il rapporto non può basarsi su accordi informali, ma deve essere disciplinato da un contratto o altro atto giuridico che vincoli l’influencer al titolare del trattamento (la scuola).
• Contenuti minimi obbligatori dell’accordo: l’atto deve specificare dettagliatamente:
  • La materia disciplinata e la durata del trattamento;
  • La natura e la finalità del trattamento (ad esempio, promozione dell’istituto);
  • Il tipo di dati personali trattati e le categorie di interessati (studenti, docenti, ecc.);
  • Gli obblighi e i diritti della scuola.
• Istruzioni documentate: la scuola ha l’obbligo di impartire all’influencer istruzioni documentate e specifiche su come trattare i dati, ad esempio vietando riprese riconoscibili di minori o la diffusione di contenuti lesivi della loro dignità.
• Irrilevanza della gratuità: l’obbligo di regolamentare il rapporto e di procedere alla nomina di responsabile sussiste anche se l’attività dell’influencer è svolta a titolo gratuito e volontario, senza alcun corrispettivo economico.
• Garanzie di sicurezza: la scuola deve assicurarsi che l’influencer presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a tutela dei diritti degli interessati.

Infine, è fondamentale che la scuola non utilizzi liberatorie generiche. Il consenso dell’esercente la potestà genitoriale per l’uso di immagini deve essere specifico e informato: un consenso dato per finalità didattiche o per il sito web della scuola non autorizza automaticamente la pubblicazione di immagini sui canali social privati di un influencer per finalità promozionali.

4.3 Come strutturare una liberatoria per gli esercenti la potestà genitoriale

Sulla base del provvedimento del Garante Privacy, una liberatoria per i genitori non può essere un documento generico o preventivo, ma deve riflettere i requisiti di trasparenza, specificità e informazione richiesti dal Reg. UE 2016/679.

Una liberatoria per risultare lecita deve contenere:

• Informativa chiara e dettagliata: prima di raccogliere il consenso, la scuola deve fornire un’informativa che spieghi esattamente come verranno utilizzati i dati. Non è sufficiente indicare genericamente “attività didattica” se poi il video ha finalità diverse.
• Specificità delle finalità: Il consenso deve essere prestato per scopi ben definiti e, quindi, è necessario distinguere chiaramente tra:
  • Finalità didattiche e di documentazione (es. cartelloni interni, giornalini scolastici, formazione dei docenti);
  • Finalità promozionali (es. video per favorire le iscrizioni scolastiche), le quali richiedono un’attenzione maggiore poiché potrebbero non coincidere con il superiore interesse del minore.
• Indicazione precisa dei canali di diffusione: La liberatoria deve elencare i mezzi su cui verranno pubblicati i contenuti; se un’autorizzazione menziona solo il sito web, essa non copre la pubblicazione sui social network, ciò a maggior ragione nel caso in cui tali profili non sono riconducibili direttamente all’istituto ma a soggetti terzi.
• Identificabilità e contesto: la scuola deve chiarire se le riprese permetteranno l’identificazione, anche indiretta, dell’alunno (ad esempio tramite abbigliamento o ambiente), poiché la diffusione di immagini di un minore richiede basi giuridiche rigorose.
• Informazioni sui soggetti coinvolti: se la scuola si avvale di soggetti esterni (come un influencer o un videomaker), la liberatoria dovrebbe idealmente informare i genitori che tali soggetti operano sotto le istruzioni della scuola e sono stati nominati responsabili del trattamento.
• Manifestazione del consenso libera e inequivocabile: Il modulo deve permettere ai genitori di esprimere la propria volontà in modo attivo e distinto per ogni finalità, evitando autorizzazioni “a pacchetto” che includano trattamenti molto diversi tra loro.

È importante ricordare che i minori godono di una protezione specifica per la loro vulnerabilità e, pertanto, ogni consenso deve essere valutato alla luce del loro superiore interesse, che prevale sulle esigenze promozionali della scuola. Analogamente l’influencer non è autorizzato a pubblicare i video sui propri canali social.

5. Conclusioni

La decisione dell’Autorità Garante, in conclusione, mette in luce la necessità di un cambio di paradigma all’interno delle istituzioni scolastiche, che non possono più considerare la gestione dei dati personali dei minori come un adempimento puramente burocratico.

Il provvedimento chiarisce che la missione educativa della scuola non giustifica deroghe ai principi di autodeterminazione informativa e di proporzionalità; al contrario, proprio la natura vulnerabile degli interessati impone un rigore superiore. La sanzione dell’ammonizione, seppur non pecuniaria, funge da monito per tutti gli istituti affinché si dotino di procedure interne robuste, capaci di distinguere tra le finalità istituzionali obbligatorie e le attività promozionali facoltative, che richiedono tutele rafforzate.

L’analisi del caso conferma inoltre che la tecnologia e i nuovi linguaggi della comunicazione, come l’utilizzo di influencer e social media, devono necessariamente integrarsi con il quadro giuridico del Reg. UE 2016/679. La protezione dei dati non deve essere percepita come un ostacolo alla modernizzazione dell’offerta formativa, bensì come la condizione essenziale per garantirne la legittimità e la sicurezza.

In definitiva, il provvedimento ribadisce che l’immagine di un minore non è un bene liberamente disponibile per finalità di marketing e che il controllo del titolare del trattamento deve restare saldo lungo tutta la filiera, dalla raccolta del consenso fino alla pubblicazione finale, per evitare che la ricerca di visibilità digitale si traduca in una lesione dei diritti fondamentali dell’individuo.

6. Protocollo operativo per la realizzazione di video e foto

Azioni Preliminari Obbligatorie (Compliance Step-by-Step)

Ogni progetto multimediale deve seguire questo iter autorizzativo:

1. Verifica del DPO: Sottoporre il progetto al Data Protection Officer prima dell’inizio delle riprese.
2. Specificità delle liberatorie: Non utilizzare mai la liberatoria “generica” firmata a inizio anno. È necessario un modulo ad hoc per ogni specifico evento o campagna promozionale.
3. Aggiornamento social media policy: L’Istituto deve dotarsi di un regolamento interno che vieti espressamente la pubblicazione di contenuti scolastici su profili privati.
4. Verifica piattaforme: Accertarsi che i canali di destinazione siano esclusivamente quelli istituzionali (es. account ufficiale della scuola).

 

Pratiche Errate (Sanzionabili)	Pratiche Corrette (DPO Compliant)
Pubblicazione su profili personali di influencer o docenti.	Pubblicazione esclusivamente su canali ufficiali dell'Istituto.
Liberatoria generica "per attività didattiche" usata per marketing.	Consenso granulare con opzione specifica per la promozione social.
Accordi verbali con video-maker o influencer "volontari".	Nomina formale a Responsabile del Trattamento ex Art. 28.
Affidamento sulla ripresa "di spalle" come tecnica di anonimato.	Valutazione del rischio di identificazione tramite contesto/oggetti.
Mancata cancellazione dei file "grezzi" (raw footage).	Obbligo contrattuale di distruzione dei file non montati.

Checklist di Autocontrollo per Dirigenti e DPO

Prima di autorizzare la messa online di un video, il Dirigente deve poter spuntare ogni voce:

• Consenso granulare: È stato acquisito un consenso che distingue tra sito web istituzionale e social network?
• Rispetto art. 38: L’informativa evidenzia la specifica vulnerabilità dei minori e i rischi dei social (scraping, permanenza dei dati)?
• Nomina Art. 28: Il creatore di contenuti ha firmato l’atto di nomina come Responsabile?
• Canale istituzionale: È confermato che il video NON apparirà su profili personali di terzi?
• Check identificabilità: È stato verificato che elementi di contesto (strumenti musicali, targhe, trofei) non rendano identificabili alunni per i quali non c’è consenso?
• Diritto all’oblio: Esiste una procedura per rimuovere il video entro 24 ore dalla revoca del consenso di un solo genitore?

LINK UTILI

• REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI
• VISITA LA SEZIONE CITTADINANZA DIGITALE E PRIVACY