Approfondimenti: La Scuola a prova di Privacy 2026. Qui, i punti chiave del vademecum aggiornato e le novità che ne sono conseguite, analizzando, in modo diffuso, gli aspetti innovativi che impattano, in modo diretto, sulle tematiche privacy nel mondo scolastico.
Indice
- Premessa
- 1. L’Intelligenza Artificiale in Ambito Scolastico: Tra AI Act e Tutela del Minore
- 1.1 La Classificazione del Rischio: perché la Scuola è “speciale”?
- 1.2 Il Divieto di riconoscimento delle emozioni (Emotion AI)
- 1.3 L’Obbligo di Sorveglianza Umana (Human-in-the-loop)
- 1.4 Trattamento Dati e “Minimizzazione”
- 1.5 Esempi Pratici di “Cosa fare” vs “Cosa evitare”
- 1.6 Conclusioni sul corretto utilizzo dell’IA in ambito scolastico
- 2. Vita scolastica, social media e messaggistica
- 3. Trasparenza, sicurezza e piano ispettivo 2026
- 4. Gestione Dati Personale Docente e GPS 2026: Il Parere Legale
- CONCLUSIONI GENERALI
Premessa
Il panorama della privacy scolastica ha subito aggiornamenti significativi tra la fine del 2025 e l’inizio del 2026; tale impulso lo si deve, principalmente, all’integrazione massiccia dell’Intelligenza Artificiale e, conseguentemente, alle nuove direttive del Garante per la Protezione dei Dati Personali.
Devono essere esaminati, pertanto, i punti chiave del vademecum aggiornato “La scuola a prova di privacy – Edizione 2025/2026” (che si allega al presente contributo), e le novità che ne sono conseguite, analizzando, in modo diffuso, gli aspetti innovativi che impattano, in modo diretto, sulle tematiche privacy nel mondo scolastico.
Tali innovazioni devono essere lette in coordinamento con i principi di cui all’art. 5 del Reg. UE 2016/679 (liceità, correttezza, trasparenza, minimizzazione e accountability), nonché con il nuovo quadro regolatorio europeo in materia di Intelligenza Artificiale (AI Act).
1. L’Intelligenza Artificiale in Ambito Scolastico: Tra AI Act e Tutela del Minore
L’ingresso dell’IA nelle scuole non ha costituito un semplice aggiornamento tecnologico, bensì un mutamento di paradigma giuridico. Nel 2026, l’istituzione scolastica non è più solo un “utente” di software, ma diventa un “deployer” (utilizzatore professionale) secondo l’AI Act europeo, con precise responsabilità civili e amministrative.
Tali responsabilità si traducono, in particolare, in obblighi di conformità preventiva, gestione del rischio e dimostrazione dell’accountability, anche ai sensi dell’art. 5, par. 2, Reg. UE 2016/679.
1.1 La Classificazione del Rischio: perché la Scuola è “speciale”?
Secondo il quadro normativo attuale, i sistemi di IA utilizzati nell’istruzione e nella formazione professionale sono classificati, nella maggior parte dei casi, come “Sistemi ad Alto Rischio” (High-Risk AI Systems).
In particolare, rientrano in tale categoria i sistemi utilizzati per la valutazione degli studenti, l’orientamento, l’accesso a percorsi formativi o la determinazione del percorso educativo (cfr. Allegato III AI Act).
Il legislatore ha optato per tale scelta in quanto l’IA può influenzare il percorso educativo e professionale di un individuo: un algoritmo di valutazione distorto potrebbe “etichettare” precocemente uno studente, limitandone le opportunità future.
La conseguenza legale di un simile approccio sta nel fatto che non è possibile adottare un software di IA solo perché “comodo” o “gratuito” ma, ogni scelta (adozione) deve essere preceduta da una verifica della conformità, oltre che da una valutazione interna.
Tale valutazione si concretizza, ove ricorrano i presupposti, nella redazione di una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) ai sensi dell’art. 35 Reg. UE 2016/679, nonché, in ambito AI Act, in una valutazione dell’impatto sui diritti fondamentali.
1.2 Il Divieto di riconoscimento delle emozioni (Emotion AI)
Questo è il punto di maggiore frizione etica e legale. Nel 2025-2026 si sono diffusi software capaci di analizzare tramite webcam se uno studente è attento, annoiato o confuso.
Il Garante e l’AI Act considerano tali sistemi generalmente vietati nei contesti educativi.
Più precisamente, tali sistemi risultano generalmente incompatibili con il quadro normativo europeo, in quanto riconducibili alle pratiche vietate o comunque ad alto rischio ai sensi dell’AI Act, specie nei contesti educativi e nei confronti di soggetti vulnerabili quali i minori.
La ratio di siffatta scelta sta nel fatto che il riconoscimento delle emozioni è considerato una violazione intrinseca della dignità umana. Sotto il profilo giuridico, tale criticità si collega alla tutela della dignità della persona (art. 1 Carta dei Diritti Fondamentali dell’UE) e ai principi di liceità, correttezza e proporzionalità del trattamento dei dati personali.
Lo studente ha il “diritto di non essere analizzato” nei propri stati d’animo profondi da una macchina, anche in considerazione del fatto che queste tecnologie possono essere viziate da bias culturali (non tutti esprimono la noia o la concentrazione allo stesso modo).
1.3 L’Obbligo di Sorveglianza Umana (Human-in-the-loop)
Un principio cardine del 2026 è che l’IA non può mai avere l’ultima parola, con la conseguenza che nel caso in cui un software di IA suggerisca un voto o una valutazione basata sull’analisi di un elaborato, il docente ha l’obbligo legale di revisionare il processo. In particolare, ciò si ricollega al divieto di decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o incidano significativamente sulla persona (art. 22 Reg. UE 2016/679), salvo specifiche eccezioni.
In caso di contestazione (es. ricorso al TAR per un voto), la scuola non può trincerarsi dietro ad un asserito (e non verificato) algoritmo (es. scusandosi rilevando che la decisione è interamente frutto dell’algoritmo), in quanto il docente deve sempre essere in grado di spiegare la logica dietro il risultato, garantendo la trasparenza (anche algoritmica). Ciò implica l’obbligo di fornire informazioni significative sulla logica utilizzata, nonché sulle conseguenze del trattamento, ai sensi degli artt. 13-15 Reg. UE 2016/679.
1.4 Trattamento Dati e “Minimizzazione”
L’uso di strumenti di IA in classe pone il problema dell’addestramento dei modelli.
Tutti gli interessati (docenti e personale scolastico) non dovrebbero mai inserire dati identificativi (nomi, cognomi, dettagli familiari) nei prompt delle IA commerciali in quanto quei dati, poi, saranno utilizzati dall’IA.
Tale cautela discende dal principio di minimizzazione dei dati (art. 5, par. 1, lett. c, Reg. UE 2016/679) e dalla necessità di evitare trattamenti non autorizzati o eccedenti rispetto alle finalità istituzionali.
La liceità del trattamento, nel contesto scolastico, si fonda generalmente sull’esecuzione di un compito di interesse pubblico (art. 6, par. 1, lett. e, Reg. UE 2016/679), e non sul consenso dell’interessato. L’eventuale riutilizzo dei dati da parte dei fornitori di servizi di IA, inoltre, dipende dalle condizioni contrattuali e dalle modalità tecniche del servizio, rendendo necessaria una preventiva valutazione del rapporto con il fornitore quale responsabile del trattamento. La nuova frontiera suggerita dal Garante è l’uso di dataset sintetici per le esercitazioni di data science, evitando di esporre i dati reali degli studenti a potenziali data breach o riutilizzi da parte delle Big Tech.
| Situazione | Comportamento Corretto (Lecito) | Comportamento a Rischio (Illecito) |
|---|---|---|
| Correzione compiti | Usare l’IA per individuare errori grammaticali ripetuti su testi anonimi. | Usare l’IA per assegnare automaticamente un voto finale senza revisione umana. |
| Orientamento | Usare chatbot per fornire informazioni burocratiche sui corsi universitari. | Usare l’IA per “predire” il successo di uno studente e sconsigliare certi percorsi. |
| Integrazione | Usare software di sintesi vocale o traduzione per studenti con BES/DSA. | Usare software che analizzano l’espressione facciale per valutare l’impegno. |
1.6 Conclusioni sul corretto utilizzo dell’IA in ambito scolastico
In conclusione, dal punto di vista legale, la scuola del 2026 deve dotarsi di un “Regolamento Interno sull’utilizzo dell’IA”: questo documento deve chiarire agli insegnanti quali strumenti sono autorizzati dal Titolare, anche dopo aver consultato il DPO (Responsabile Protezione Dati), e quali sono vietati perché non garantiscono i diritti dei minori. Tale regolamento dovrebbe altresì disciplinare: a) la classificazione dei sistemi di IA utilizzati, b) le procedure di valutazione del rischio (DPIA), c) i rapporti con i fornitori (responsabili del trattamento), d) le misure di sicurezza, e) le istruzioni operative per il personale e, f), le procedure di gestione dei data breach.
2. Vita scolastica, social media e messaggistica.
Nel 2026, il Garante ha ulteriormente stretto le maglie sulla diffusione di contenuti multimediali. La scuola non è più considerata un “luogo pubblico” dove tutto è condivisibile, ma un “ecosistema giuridicamente protetto”.
Tale qualificazione discende dal fatto che l’ambiente scolastico comporta un trattamento sistematico di dati personali riferiti a soggetti vulnerabili (minori), con conseguente applicazione rafforzata dei principi di protezione (artt. 5 e 24 Reg. UE 2016/679).
2.1 Riprese in ambito scolastico (Recite, Gite, Eventi)
La distinzione fondamentale risiede nella destinazione del contenuto, non nell’atto del riprendere. Più precisamente, rileva la distinzione tra trattamento per fini personali/domestici e trattamento destinato alla diffusione o comunicazione sistematica a terzi.
Con riferimento all’uso personale, i genitori e parenti in genere, hanno il diritto di scattare foto o registrare video durante eventi scolastici (recite, premiazioni), in quanto questo è considerato un trattamento per fini esclusivamente personali e domestici (art. 2 Reg. UE 2016/679). Si tratta, in particolare, dell’esclusione prevista dall’art. 2, par. 2, lett. c), del Regolamento, che sottrae tali trattamenti all’ambito di applicazione del Regolamento, purché non vi sia diffusione sistematica o accessibilità a un numero indeterminato di soggetti.
Il problema sorge con la pubblicazione su social media (es. Facebook, Instagram, TikTok etc.) o in gruppi WhatsApp aperti: non è corretto procedere alla diffusione in quanto, in linea generale, è richiesto il consenso degli esercenti la potestà genitoriale (salvo diverse basi giuridiche), con la conseguenza che la pubblicazione potrebbe esser considerata illecita.
Tale diffusione integra un trattamento di dati personali (immagini) che richiede una idonea base giuridica ai sensi dell’art. 6 Reg. UE 2016/679, nonché il rispetto dei principi di liceità, correttezza e limitazione della finalità. Nel caso di minori poi, la pubblicazione di immagini è generalmente ricondotta alla necessità di acquisire il consenso degli esercenti la responsabilità genitoriale, anche alla luce della particolare tutela rafforzata riconosciuta ai minori.
Gli insegnanti, inoltre, non possono pubblicare sui propri profili social personali foto o video degli alunni, se tali contenuti sono stati acquisiti nell’esercizio delle loro funzioni, ciò in quanto il docente agisce quale soggetto autorizzato al trattamento per conto del titolare (istituzione scolastica) e non può riutilizzare i dati per finalità personali, pena la violazione degli artt. 29 Reg. UE 2016/679 e 2 quaterdecies del Codice Privacy.
2.2 Le chat di classe (WhatsApp, Telegram e simili)
Nel 2026, la giurisprudenza e l’Authority hanno chiarito che detti strumenti non hanno natura istituzionale rilevando, quindi, che le “chat di classe” (genitori o studenti) non sono strumenti ufficiali dell’amministrazione scolastica con la conseguenza che la scuola non risponde dei dati scambiati in tali sedi.
I partecipanti, quindi, sono personalmente responsabili di ciò che pubblicano/condividono. La diffusione in chat di informazioni riservate (es. indicando le patologie di un determinato studente) configura una violazione della privacy che può portare a richieste di risarcimento danni. Tali condotte, invero, possono integrare, oltre alla violazione del GDPR, anche ipotesi di illecito civile (art. 2043 c.c.) e, nei casi più gravi, reati quali la diffamazione o il trattamento illecito di dati (art. 167 Codice Privacy).
I docenti dovrebbero evitare di partecipare a gruppi WhatsApp con genitori o studenti per mantenere la separazione tra vita privata e funzione pubblica e per prevenire “fughe di notizie”, o anche solo “errori”, non protette. Tale cautela risponde anche al principio di integrità e riservatezza del trattamento (art. 5, par. 1, lett. f, Reg. UE 2016/679) e agli obblighi di correttezza nell’esercizio della funzione pubblica.
2.3 Consenso dei Minori (La soglia dei 14 anni)
Un punto cruciale del 2026 riguarda la capacità di intendere e volere digitale, differenziando tra under ed over 14 anni. Nel primo caso per la pubblicazione di immagini o la creazione di profili legati ad attività scolastiche, è necessario il consenso di entrambi i genitori (o di chi esercita la responsabilità genitoriale).
Ciò in quanto il minore non ha la capacità giuridica di prestare autonomamente il consenso ai servizi della società dell’informazione. Nel secondo caso, invece, ai sensi del Codice Privacy italiano, il minore che ha compiuto 14 anni può prestare autonomamente il consenso al trattamento dei propri dati in relazione all’offerta diretta di servizi della società dell’informazione (art. 2-quinquies Codice Privacy, in attuazione dell’art. 8 Reg. UE 2016/679).
Per la pubblicazione di foto sui canali della scuola, tuttavia, un approccio prudenziale e tendente alla tutela del minore in età adolescenziale suggerisce, comunque, di raccogliere la firma congiunta (studente e soggetti esercenti la potestà genitoriale) per evitare contenziosi. Quanto testé riferito in ragione della diversa natura del trattamento (non sempre riconducibile ai servizi della società dell’informazione) e della posizione di particolare vulnerabilità del minore nel contesto scolastico.
2.4 Il fenomeno dello “sharenting” scolastico
Il Garante ha inserito nel vademecum 2025 un forte monito contro lo “sharenting” (la condivisione eccessiva di foto dei figli da parte dei genitori). Gli istituti scolastici, quindi, vengono invitati a includere nel “Patto di Corresponsabilità” regole specifiche che impegnino le famiglie a non diffondere immagini di compagni di classe dei propri figli, sensibilizzando sui rischi legati alla pedopornografia e al furto d’identità digitale. Tali misure rientrano nelle attività di prevenzione e responsabilizzazione previste dal principio di accountability e dalle funzioni educative dell’istituzione scolastica.
| Fattispecie | Qualifica Giuridica | Azione Corretta | Rischio giuridico / Norma coinvolta |
|---|---|---|---|
| Foto di gruppo sul sito web della scuola | Trattamento istituzionale | Necessaria autorizzazione specifica e informativa chiara | Artt. 6, 13 Reg. UE 2016/679 (liceità e trasparenza) |
| Genitore pubblica video recita su Facebook | Diffusione non autorizzata | Rimozione se presenti minori senza consenso | Art. 6 Reg. UE 2016/679 e diritto all’immagine |
| Docente invia compiti via WhatsApp | Uso improprio di canale non istituzionale | Utilizzo del registro elettronico o piattaforme ufficiali | Violazione principio di sicurezza (art. 5 e 32 Reg. UE 2016/679) |
| Video di bullismo ripreso in classe | Illecito penale e disciplinare | Segnalazione al Dirigente, eventuale coinvolgimento Autorità | Art. 167 Codice Privacy e profili penali |
| Condivisione voti in chat genitori | Diffusione dati personali | Evitare la condivisione; usare canali ufficiali | Violazione minimizzazione e riservatezza |
| Foto scattata da docente durante attività didattica e pubblicata su profilo personale | Trattamento illecito | Divieto di pubblicazione fuori da finalità istituzionali | Artt. 29 Reg. UE 2016/679 e 2-quaterdecies Codice Privacy |
Si evidenzia che, nella maggior parte dei casi, il rischio giuridico deriva non dall’acquisizione del dato, bensì dalla sua diffusione non autorizzata o eccedente rispetto alle finalità originarie del trattamento.
2.5 Conclusioni in relazione alla vita scolastica, social media e messaggistica
L’istituzione scolastica deve agire sempre alla stregua di un “educatore digitale”. Non basta vietare; occorre che l’informativa privacy firmata dalle famiglie e dagli studenti non sia un “modulo cieco”, ma un documento che spieghi chiaramente che la protezione dell’immagine del minore è un diritto particolarmente tutelato.
3. Trasparenza, sicurezza e piano ispettivo 2026
Nel 2026, il concetto di “scuola trasparente” deve convivere con quello di “scuola blindata” sotto il profilo informatico. Il Garante ha intensificato i controlli perché le istituzioni scolastiche gestiscono dati definiti “particolari” (salute, disabilità, orientamento religioso, situazioni familiari disagiate) su larga scala.
Tali dati rientrano nelle categorie particolari di cui all’art. 9 del Reg. UE 2016/679, il cui trattamento è soggetto a condizioni rafforzate di liceità e sicurezza.
3.1 Il Piano Ispettivo 2026: quali i controlli dell’Autorità Garante?
L’Autorità ha inserito le scuole tra i soggetti prioritari per le ispezioni nel corso del 2026; gli ispettori (spesso coadiuvati dal Nucleo Speciale Privacy della Guardia di Finanza) verificano:
Data Breach (Violazioni di dati)
Verrà verificata la corretta gestione di eventuali data breach e la corretta tenuta del relativo registro interno delle violazioni (l’istituto scolastico, invero, deve tenere un registro interno dei data breach, quale misura di accountability). Ai sensi degli artt. 33 e 34 Reg. UE 2016/679, la violazione deve essere notificata all’Autorità di controllo entro 72 ore e, nei casi più gravi, comunicata anche agli interessati.
Nomine a Responsabile (Art. 28 Reg. UE 2016/679)
Verifica del corretto aggiornamento dei contratti con i fornitori del Registro Elettronico, della piattaforma Cloud (Google/Microsoft) e di altri servizi, al fine di verificare che i fornitori garantiscano che i dati siano trattati conformemente al GDPR. Tali soggetti operano quali responsabili del trattamento e devono essere nominati mediante atto scritto conforme all’art. 28 Reg. UE 2016/679. Si rammenta, ancora, che in caso di trasferimento di dati verso Paesi terzi, devono essere rispettate le condizioni di cui agli artt. 44 e ss. Reg. UE 2016/679 (es. decisioni di adeguatezza o clausole contrattuali standard).
Conservazione dei dati
Il principio di limitazione della conservazione (art. 5, par. 1, lett. e, Reg. UE 2016/679) impone che i dati siano conservati per un arco di tempo non superiore a quello necessario alle finalità del trattamento. Devono inoltre essere previste misure di archiviazione e accesso selettivo, in coerenza con la normativa archivistica pubblica.
3.2 Il Limite invalicabile della “Trasparenza”
Un errore comune è confondere la “Trasparenza Amministrativa” (D.Lgs. 33/2013) con la pubblicità totale: la trasparenza deve essere sempre bilanciata con il diritto alla protezione dei dati personali, secondo i principi di proporzionalità e minimizzazione.
Pubblicazione Graduatorie e Liste
È lecito pubblicare graduatorie di merito (es. ammissione a licei musicali o classi a numero chiuso), ma mai con l’indicazione di benefici di legge legati a condizioni di svantaggio (es. Legge 104, fasce ISEE basse, esenzioni mensa). In tali casi, l’eventuale pubblicazione deve avvenire mediante anonimizzazione o pseudonimizzazione dei dati, evitando qualsiasi riferimento a categorie particolari di dati (art. 9 Reg. UE 2016/679).
Bacheca della Scuola
L’affissione fisica o digitale di elenchi con i voti degli scrutini è ammessa, ma non deve contenere dati particolari. Il “giudizio” o la nota disciplinare non sono mai pubblici. La diffusione dei voti deve avvenire nel rispetto del principio di minimizzazione e limitazione della diffusione, privilegiando strumenti riservati (es. registro elettronico).
Albo Pretorio
I provvedimenti pubblicati all’Albo (es. nomine docenti) devono essere anonimizzati se contengono riferimenti a stati di salute o procedimenti penali. La pubblicazione deve rispettare i limiti temporali di visibilità e le Linee guida del Garante in materia di pubblicazione online di atti e documenti amministrativi.
3.3 La Sicurezza Informatica (Cybersecurity) nel 2026
L’istituzione scolastica è un bersaglio primario per il ransomware. Dal punto di vista legale, la mancata adozione di misure minime di sicurezza potrebbero configurarsi profili di responsabilità a carico del Dirigente Scolastico. Ai sensi dell’art. 32 Reg. UE 2016/679, il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative adeguate al rischio, tra cui la cifratura, la resilienza dei sistemi e la capacità di ripristino dei dati.
Autenticazione a due fattori (2FA)
Nel 2026 è considerata una misura “minima” e obbligatoria per l’accesso al Registro Elettronico da parte dei docenti. Tale misura rientra tra le best practice di sicurezza ed è coerente con il principio di protezione dei dati fin dalla progettazione (privacy by design).
Back-up
La scuola deve dimostrare di avere procedure di back-up offline per garantire la continuità didattica in caso di blocco dei sistemi. Tali misure sono funzionali a garantire la disponibilità e l’integrità dei dati, come richiesto dall’art. 32 Reg. UE 2016/679.
Gestione Password
È vietata la pratica di condividere le password di segreteria o l’uso di password “standard” (es. nome della scuola e anno). La gestione delle credenziali deve avvenire secondo policy interne formalizzate, con attribuzione individuale e tracciabilità degli accessi.
3.4 Videosorveglianza e controllo accessi
Molte scuole hanno installato telecamere intelligenti: la finalità deve esser limitata esclusivamente alla sicurezza del patrimonio e incolumità fisica. È esclusa qualsiasi finalità di controllo a distanza dell’attività lavorativa, salvo quanto previsto dalla normativa lavoristica (art. 4 Statuto dei Lavoratori – es. le immagini non possono essere usate per controllare se un docente arriva in ritardo).
Deve essere presente l’informativa breve (il cartello) e deve essere disponibile l’informativa estesa in segreteria e presso i locali scolastici, ciò in conformità agli artt. 12 e 13 Reg. UE 2016/679 e alle Linee guida del Garante in materia di videosorveglianza.
Solo il Dirigente o un delegato formale può visionare i filmati, e solo in caso di reato o incidente documentato. L’accesso, quindi, deve essere tracciato e limitato ai soggetti autorizzati, nel rispetto del principio di necessità e proporzionalità.
3.5 Esempi di accountability
Il principio di accountability impone all’istituzione scolastica non solo di rispettare la normativa in materia di protezione dei dati personali, ma anche di essere in grado di dimostrare, in ogni momento, la conformità dei trattamenti effettuati (art. 5, par. 2, Reg. UE 2016/679). Tale principio si traduce nella predisposizione di un sistema documentale e organizzativo idoneo a tracciare le decisioni, le responsabilità e le misure adottate.
A titolo esemplificativo:
| Attività | Prova di Accountability | Riferimento normativo |
|---|---|---|
| Chi tratta i dati? | Registro dei trattamenti aggiornato e costantemente revisionato | Art. 30 Reg. UE 2016/679 |
| I dati sono protetti? | Valutazione dei rischi informatici e misure di sicurezza adottate | Artt. 32 e 24 Reg. UE 2016/679 |
| Sono stati valutati i rischi elevati? | Eventuale DPIA documentata e aggiornata | Art. 35 Reg. UE 2016/679 |
| Il personale è formato? | Verbali di formazione e istruzioni operative formalizzate | Artt. 29 e 39 Reg. UE 2016/679 |
| I fornitori sono conformi? | Contratti e nomine a responsabile del trattamento | Art. 28 Reg. UE 2016/679 |
| Gli interessati sono informati? | Informative privacy chiare, aggiornate e accessibili | Artt. 13-14 Reg. UE 2016/679 |
| Il sito web è conforme? | Privacy policy e cookie policy aggiornate | Direttiva ePrivacy e Reg. UE 2016/679 |
| Come si gestiscono le violazioni? | Registro dei data breach e procedure di notifica | Artt. 33-34 Reg. UE 2016/679 |
L’assenza di tali elementi documentali costituisce uno dei principali indicatori di non conformità rilevati in sede ispettiva dall’Autorità Garante. La scuola, pertanto, deve adottare un approccio strutturato e proattivo, fondato su procedure formalizzate e costantemente aggiornate, al fine di garantire la tracciabilità delle attività di trattamento e la gestione del rischio.
3.6 Conclusione
In sintesi, la trasparenza non deve mai diventare sovraesposizione. La scuola del 2026 vince la sfida della privacy se riesce a dimostrare (principio di Accountability) di aver fatto tutto il possibile per proteggere i dati, documentando ogni scelta tecnica e organizzativa. Quanto rilevato, quindi, implica la predisposizione di un sistema documentale completo (registro dei trattamenti, DPIA, policy interne, nomine, procedure di sicurezza) idoneo a dimostrare la conformità alla normativa vigente.
4. Gestione Dati Personale Docente e GPS 2026: Il Parere Legale
Nel 2026, la gestione dei dati dei docenti ha raggiunto un livello di complessità senza precedenti a causa dell’automazione delle procedure di reclutamento e della digitalizzazione dei fascicoli personali. Tali trattamenti si inseriscono nell’ambito delle funzioni istituzionali della Pubblica Amministrazione e trovano la propria base giuridica nell’art. 6, par. 1, lett. e), Reg. UE 2016/679 (esecuzione di un compito di interesse pubblico).
4.1 La trasparenza nelle GPS e nelle graduatorie d’istituto
Il diritto alla privacy del docente deve bilanciarsi con il diritto alla trasparenza degli altri controinteressati (es. colleghi che aspirano allo stesso posto). Tale bilanciamento deve avvenire nel rispetto dei principi di proporzionalità, minimizzazione e limitazione della finalità (art. 5 Reg. UE 2016/679), nonché della normativa sulla trasparenza amministrativa.
È legittima la pubblicazione delle graduatorie (GPS e d’Istituto) contenenti nome, cognome, punteggio e posizione. Questo permette il controllo sociale sulla correttezza delle assegnazioni. La pubblicazione deve tuttavia limitarsi ai dati strettamente necessari alla finalità di trasparenza, evitando qualsiasi eccedenza.
Devono essere assolutamente oscurati i dati di contatto (numero di telefono privato, indirizzo email personale) e, soprattutto, i titoli di riserva o precedenza legati a condizioni di salute (es. Legge 104/92, invalidità). Tali informazioni rientrano nelle categorie particolari di dati personali (art. 9 Reg. UE 2016/679) e non possono essere oggetto di diffusione.
La pubblicazione integrale di un decreto di esclusione che riporti dettagli su patologie o carichi pendenti non ostativi costituisce una violazione grave del GDPR, esponendo il Ministero o l’istituzione scolastica a rimedi giurisdizionali (finanche richieste di risarcimento). Tale condotta può integrare una violazione degli artt. 5 e 9 Reg. UE 2016/679, nonché un illecito civile ai sensi dell’art. 82 del medesimo regolamento (diritto al risarcimento del danno).
4.2 Data Retention (Tempi di conservazione)
I dati dei docenti non più in servizio devono essere conservati secondo il massimario di scarto dell’amministrazione scolastica. Trattenere documenti sensibili oltre i termini previsti (es. vecchi certificati medici di supplenti brevi di anni fa) è un illecito per violazione del principio di limitazione della conservazione. Ai sensi dell’art. 5, par. 1, lett. e, Reg. UE 2016/679 devono essere adottate procedure di cancellazione o anonimizzazione dei dati non più necessari.
4.3 Le piattaforme di reclutamento e l’interoperabilità
Le GPS 2026 utilizzano sistemi di interoperabilità tra banche dati (Ministero dell’Istruzione, INPS, Casellario Giudiziale). Tali scambi di dati configurano trattamenti interconnessi tra titolari pubblici e devono avvenire nel rispetto dei principi di liceità e sicurezza del trattamento. Il docente, all’atto dell’aggiornamento GPS, deve ricevere un’informativa chiara su quali enti scambieranno i suoi dati. L’informativa deve rispettare i requisiti degli artt. 13 e 14 Reg. UE 2016/679, indicando anche le categorie di destinatari e le finalità del trattamento.
In caso di errore dell’algoritmo o della banca dati (es. mancato riconoscimento di un titolo), il docente ha il diritto (Art. 16 Reg. UE 2016/679) di ottenere la rettifica tempestiva senza che ciò pregiudichi la sua posizione in graduatoria. Tale diritto deve essere garantito mediante procedure accessibili e tempestive, in coerenza con i principi di correttezza e aggiornamento dei dati (art. 5, par. 1, lett. d, Reg. UE 2016/679).
4.4 Smart working e sorveglianza del personale
Un tema caldo del 2026 riguarda l’uso dei dispositivi forniti dalla scuola per l’attività amministrativa o didattica dei docenti: resta ferma l’applicazione dell’art. 4 dello Statuto dei Lavoratori. La scuola non può utilizzare il registro elettronico o le piattaforme cloud per monitorare costantemente la produttività del docente (es. minuti trascorsi online o orari di inserimento voti) a fini disciplinari, salvo casi di gravi anomalie documentate. Se il docente usa il proprio PC per caricare i voti, la scuola deve fornire linee guida rigide sulla sicurezza (antivirus, blocco schermo, divieto di salvataggio password nel browser) per evitare che dati degli studenti finiscano in mani terze in caso di furto del dispositivo privato. Tali misure devono essere formalizzate in policy interne e accompagnate da attività di formazione del personale. L’istituzione scolastica, in qualità di titolare del trattamento, resta comunque responsabile della sicurezza dei dati trattati anche su dispositivi personali.
| Tipologia Dato | Livello di Protezione | Modalità di Gestione |
|---|---|---|
| Punteggio GPS | Basso (Pubblico) | Pubblicazione all’Albo online. |
| Certificati Medici / 104 | Altissimo (Particolare) | Accesso limitato, nessuna pubblicazione online. |
| IBAN per stipendio | Alto (Finanziario) | Cifratura nel database di segreteria. |
| Posta Elettronica Istituzionale | Medio | Uso esclusivo per fini d’ufficio; informativa su policy di backup. |
4.5 Conclusioni
La gestione dei dati nel 2026 richiede che la scuola non sia solo un “passacarte”, ma un custode consapevole. La violazione della privacy di un docente non è solo un danno al singolo, ma mina la fiducia nell’intera istituzione scolastica. In tale contesto, il principio di accountability impone alla scuola di poter dimostrare in ogni momento la conformità dei trattamenti, attraverso documentazione, procedure e controlli interni.
L’istituzione scolastica, quindi, deve promuovere una cultura della protezione dei dati personali, attraverso attività di sensibilizzazione rivolte a famiglie, studenti e personale, al fine di prevenire comportamenti illeciti o inconsapevoli. L’utilizzo dei social media e degli strumenti di messaggistica deve essere ricondotto a regole chiare e formalizzate, preferibilmente inserite nel Regolamento di Istituto e nel Patto di Corresponsabilità educativa.
Particolare attenzione deve essere posta alla distinzione tra sfera privata e istituzionale, evitando commistioni che possano determinare trattamenti non autorizzati o perdita di controllo sui dati personali. La scuola, infine, deve garantire che ogni trattamento di dati personali sia riconducibile a una base giuridica adeguata e sia effettuato nel rispetto dei principi di liceità, correttezza, minimizzazione e sicurezza, potendo dimostrare in ogni momento la conformità alla normativa vigente (principio di accountability).
CONCLUSIONI GENERALI
L’analisi condotta evidenzia come il sistema scolastico, alla luce delle evoluzioni normative e tecnologiche intervenute tra il 2025 e il 2026, sia oggi chiamato ad un profondo ripensamento delle modalità di gestione dei dati personali.
L’integrazione dell’Intelligenza Artificiale, la crescente digitalizzazione dei processi amministrativi e didattici, nonché l’uso diffuso di strumenti di comunicazione informale (social media e piattaforme di messaggistica), determinano un significativo aumento dei rischi per i diritti e le libertà degli interessati, imponendo un approccio strutturato, consapevole e proattivo alla protezione dei dati.
In tale contesto, l’istituzione scolastica assume una duplice funzione:
- da un lato, titolare del trattamento, tenuto a garantire la conformità alle disposizioni del Regolamento (UE) 2016/679;
- dall’altro, ed al tempo stesso, presidio educativo, chiamato a promuovere una cultura della legalità digitale nei confronti di studenti, famiglie e personale.
Dall’esame dei diversi ambiti trattati emerge un elemento comune: il passaggio da una gestione formale della privacy ad una gestione sostanziale e documentata, fondata sul principio di accountability. Non è più sufficiente rispettare la normativa, ma è necessario dimostrare, in modo sistematico, la correttezza delle scelte organizzative, tecniche e giuridiche adottate.
Particolare rilievo assume, inoltre, la tutela dei minori, rispetto ai quali ogni trattamento deve essere improntato a criteri di massima cautela, soprattutto nei contesti di diffusione online delle informazioni e nell’utilizzo di tecnologie emergenti. Parallelamente, la gestione dei dati del personale docente richiede un costante bilanciamento tra esigenze di trasparenza amministrativa e tutela della riservatezza, evitando fenomeni di sovraesposizione o trattamenti eccedenti.
Ne consegue che l’istituzione scolastica è chiamata ad evolvere da semplice centro di gestione di dati a organizzazione consapevole del rischio, capace di:
- a) adottare regolamenti interni chiari e aggiornati (in particolare sull’uso dell’IA e degli strumenti digitali);
- b) strutturare procedure di controllo, monitoraggio e gestione delle violazioni;
- c) garantire la formazione continua del personale;
- d) implementare misure tecniche e organizzative adeguate al rischio;
- e) assicurare la tracciabilità e la documentazione di ogni attività di trattamento.
In definitiva, la protezione dei dati personali nel contesto scolastico non rappresenta un mero adempimento normativo, ma costituisce un elemento essenziale della qualità del servizio pubblico offerto. Una gestione corretta, trasparente e responsabile dei dati rafforza la fiducia nei confronti dell’istituzione scolastica e contribuisce alla tutela effettiva dei diritti fondamentali degli individui coinvolti.
