La scuola italiana è entrata in un territorio in cui ogni gesto lascia un’impronta digitale. Compiti caricati al volo su una piattaforma, chat di classe che rimbalzano foto e informazioni personali, modulistica online che chiede più del necessario, smartphone che riprendono ciò che non dovrebbe uscire dall’aula: la quotidianità scolastica è diventata un sistema esposto, spesso senza che chi lo vive ne percepisca la portata. Le prassi nate per comodità si trasformano in canali di rischio, mentre l’uso di strumenti sempre più sofisticati affonda radici in abitudini che nessuno ha aggiornato per tempo.
In questo scenario, dove velocità e informalità superano i confini normativi, la protezione dei dati non è più un tema confinato agli uffici. È entrata nei corridoi, nelle chat dei genitori, nei dispositivi degli studenti, nelle procedure del personale. Ed è su questo terreno, segnato da disallineamenti crescenti, che il Garante interviene con la nuova edizione del vademecum “La scuola a prova di privacy”, un documento che amplia e aggiorna le indicazioni del 2023 per riportare la scuola a un equilibrio tra innovazione e responsabilità, individuando ciò che può essere trattato e ciò che oggi rappresenta un’esposizione strutturale.
La catena delle responsabilità: cosa compete a chi
Il vademecum parte da un punto fermo: senza un’informativa chiara e leggibile, anche per gli studenti più giovani, l’intero sistema si indebolisce. Finalità del trattamento, basi giuridiche, strumenti adottati, tempi di conservazione e diritti degli interessati devono essere esplicitati senza zone d’ombra. Non è un passo burocratico, ma il presupposto che consente a chi interagisce con la scuola di sapere quali dati vengono raccolti e per quale motivo.
Dentro questo schema si colloca il nodo decisivo: la responsabilità è del dirigente scolastico. È lei/lui, come titolare del trattamento, a determinare il perimetro reale di ciò che la scuola può fare con i dati. Decide quali piattaforme utilizzare, quali figure sono autorizzate ad accedervi, quali misure di sicurezza implementare, quali procedure aggiornare quando cambia la tecnologia. Se emergono violazioni (informazioni sanitarie che circolano tra docenti, motivazioni delle assenze riprodotte in modo improprio, dati sindacali divulgati senza necessità) il punto di responsabilità istituzionale ricade sul dirigente, che risponde per primo della correttezza dei processi.
Il personale scolastico, docente e amministrativo, opera come soggetto autorizzato: può trattare dati solo entro le istruzioni ricevute. Fuori da quel perimetro, la responsabilità individuale diventa diretta. Accanto a loro agisce il Responsabile della protezione dei dati (RPD/DPO), con compiti di consulenza e vigilanza ma senza potere decisionale: non sostituisce il dirigente, non lo alleggerisce, non assume il peso del trattamento.
Un capitolo specifico riguarda i fornitori di piattaforme digitali -registro elettronico, gestionali, servizi cloud- che operano come responsabili esterni. Devono rispettare le istruzioni della scuola e garantire misure tecniche adeguate. Se sbagliano, rispondono della loro parte, ma sempre dentro un quadro che resta definito dal dirigente.
Il vademecum si sofferma anche sulle responsabilità di genitori e studenti quando operano al di fuori dei canali istituzionali: una foto condivisa in una chat privata, un video diffuso senza consenso, un audio registrato durante una lezione ricadono sotto la responsabilità personale di chi li diffonde. Non possono essere attribuiti alla scuola e, in alcuni casi, possono generare conseguenze civili o penali.
Il testo interviene poi sul trattamento dei dati sensibili. Informazioni su salute, convinzioni religiose, origini o situazioni personali possono essere raccolte solo quando indispensabili e fondate su norme precise. L’Autorità cita casi concreti: dati sanitari necessari per il Piano Educativo Individualizzato e il Piano Didattico Personalizzato, indicazioni religiose per garantire attività alternative all’iinsegnamento della religione cattolica, informazioni sulle origini per favorire programmi di integrazione. Anche le iscrizioni vengono richiamate: non devono contenere domande superflue, ancora presenti in molte modulistiche locali.
I limiti fissati dal Garante
Il Garante interviene sulle pratiche che più facilmente sfuggono al controllo nel passaggio dal cartaceo al digitale. La pubblicazione dei voti viene confinata all’area riservata del registro elettronico, escludendo tabelloni, elenchi pubblici, siti web e qualunque forma di comunicazione che ne estenda la diffusione oltre i destinatari legittimi. Le prove differenziate degli studenti con disabilità o Dsa non devono comparire in spazi accessibili alla classe, nemmeno in forma allusiva.
L’insegnante conserva libertà nello sviluppo delle attività didattiche, ma deve evitare che la condivisione di elaborati personali esca dal contesto educativo o permetta l’identificazione di studenti vulnerabili. La stessa cautela vale per le comunicazioni interne. Una circolare che riporta informazioni familiari o sanitarie, anche senza nome esplicito, può esporre uno studente se il contesto rende riconoscibile il destinatario.
Sul fronte delle pubblicazioni online il vademecum interviene con indicazioni che modificano prassi molto diffuse: niente composizione delle classi sui siti istituzionali, graduatorie ridotte ai soli dati indispensabili, divieto di pubblicare elenchi relativi a mensa, trasporti o contributi economici. Con la permanenza dei contenuti digitali, la logica della bacheca fisica non è più applicabile: ciò che finisce in rete tende a restare, anche quando il suo ciclo di utilità è esaurito.
Dove la privacy pesa di più
Il documento dedica una parte consistente alla gestione delle informazioni sanitarie, segnalando che la loro diffusione, anche solo attraverso un linguaggio impreciso, può produrre conseguenze gravi. Non devono essere pubblicate, né inserite in circolari o documenti condivisi con destinatari non autorizzati. La scuola deve assicurare che solo le figure strettamente coinvolte possano accedere ai dati relativi a Piano Educativo Individualizzato, Piano Didattico Personalizzato o certificazioni diagnostiche.
Il Garante richiama anche il tema delle piattaforme digitali: l’uso di sistemi non configurati correttamente, o gestiti da fornitori esterni senza controlli adeguati, può esporre dati estremamente sensibili. Gli istituti sono sollecitati a valutare con attenzione la struttura dei propri processi interni e la sicurezza degli strumenti utilizzati.
In questa area, la non conformità non è solo un problema amministrativo. Riguarda direttamente studenti per cui ogni informazione non protetta può generare effetti a lungo termine, incidendo su relazioni sociali e percorsi scolastici.
Quando il digitale entra in classe
Le chat di classe rappresentano uno dei punti più critici. Non sono strumenti istituzionali, non sono controllate dalla scuola e non garantiscono tracciabilità né protezione dei dati. La condivisione di foto e informazioni personali richiede sempre il consenso degli interessati, e il Garante invita gli istituti a non utilizzarle per comunicazioni ufficiali, indicando il registro elettronico come unico canale idoneo.
Gli smartphone restano un fattore di rischio costante. Possono essere usati solo per fini personali, rispettando i diritti altrui. Registrare una lezione o una conversazione senza permesso può generare responsabilità disciplinari e, in alcune situazioni, anche penali. Le registrazioni consentite per studio individuale non possono circolare oltre tale scopo.
Il capitolo sui rischi online affronta cyberbullismo, sexting e revenge porn. In presenza di contenuti lesivi, gli studenti devono avvisare immediatamente la scuola, mentre gli istituti devono richiedere ai gestori delle piattaforme la rimozione del materiale e, se necessario, attivare procedure formali verso le autorità.
Il documento interviene anche sullo sharenting: non riguarda solo l’uso improprio di foto, ma la costruzione involontaria di un’identità digitale del minore che sfugge rapidamente al controllo delle famiglie. L’intelligenza artificiale entra con indicazioni specifiche. Il Garante, nel parere alle Linee guida del Ministero dell’Istruzione, vieta sistemi di riconoscimento delle emozioni, raccomanda l’uso di dati sintetici e chiede valutazioni preventive sull’impatto degli strumenti di Ai adottati dalle scuole. È un passaggio strategico, destinato a incidere su prassi che si stanno diffondendo senza una riflessione consolidata.
La videosorveglianza chiude il quadro: telecamere ammesse solo per esigenze di sicurezza, non per monitorare attività didattiche. Negli spazi interni devono essere attive esclusivamente fuori dall’orario scolastico, con cartelli ben visibili posizionati prima delle aree riprese.
—
Famiglia
content.lab@adnkronos.com (Redazione)
