QUESTA PASSWORD SARÀ VALIDA FINO AL 30/04/2026

Privacy negli Istituti Scolastici Italiani: Quadro Normativo e Applicazione Pratica

Privacy negli Istituti Scolastici Italiani

Quadro Normativo, Obblighi e Casistica Applicativa

2026 GDPR Compliance

Punti Chiave

Tutela dati personali e immagini in ambiente scolastico

Sanzioni fino a 20 milioni di euro o 4% del fatturato per violazioni GDPR

Videosorveglianza, pubblicazione online, registri elettronici

Introduzione

La privacy negli istituti scolastici italiani è regolata principalmente dal GDPR, dal Codice Privacy e dal decreto ePrivacy, con orientamenti chiave forniti dal Vademecum "La scuola a prova di privacy" (ed. 2025) del Garante Privacy.

Le scuole devono bilanciare finalità istituzionali (senza consenso) e attività non istituzionali (con consenso mirato), garantendo trasparenza, minimizzazione dei dati e sicurezza.

Casi Critici

• Videosorveglianza solo in aree ad alto rischio, mai spogliatoi o aule di asili nido
• Pubblicazione online immagini: consenso specifico richiesto, sanzioni fino a €10.000+
• Uso di IA: valutazione d'impatto obbligatoria

Diritti e Obblighi

• Diritti di studenti, famiglie e personale ampiamente tutelati
• Obblighi organizzativi: nomina DPO, registro trattamenti, procedure sicurezza
• Formazione continua del personale obbligatoria

1. Normativa e Quadro Giuridico di Riferimento

1.1 Fonti Primarie

1.1.1 Regolamento UE 2016/679 (GDPR)

Il Regolamento Generale sulla Protezione dei Dati (GDPR) rappresenta il cardine normativo per il trattamento dei dati personali in tutti gli istituti scolastici italiani. Applicabile dal 25 maggio 2018, il GDPR ha introdotto un paradigma basato sulla responsabilizzazione (accountability) e sulla tutela dei diritti fondamentali.

Sanzioni per Violazioni

Il GDPR prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo per le violazioni più gravi. Nel settore educativo, si applicano tutele rafforzate per i minori, considerati soggetti vulnerabili.

Fascia d'Età Minori

L'articolo 8 stabilisce che per i servizi della società dell'informazione offerti direttamente a minori, il trattamento è lecito solo se il minore ha almeno 16 anni. L'Italia ha fissato tale limite a 14 anni.

Approccio Proattivo

Il GDPR impone alle scuole di adottare un approccio proattivo, integrando la privacy by design e la privacy by default nelle procedure e nei sistemi informativi.

1.1.2 Decreto Legislativo 196/2003 (Codice Privacy)

Il Codice in materia di protezione dei dati personali, introdotto con il D.Lgs. 196/2003 e profondamente modificato dal D.Lgs. 101/2018 di adeguamento al GDPR, integra il quadro normativo europeo con disposizioni specifiche per il contesto italiano.

Deroga Ricerca Scientifica

L'articolo 110-bis introduce una deroga per la ricerca scientifica e statistica, prevedendo che il Garante possa autorizzare il trattamento ulteriore di dati personali, anche di categorie speciali, quando l'informazione degli interessati risulti impossibile o comporti uno sforzo sproporzionato.

1.1.3 Decreto Legislativo 73/2009 (ePrivacy)

Il D.Lgs. 73/2009, recante attuazione della direttiva 2002/58/CE (ePrivacy), assume rilevanza nel contesto scolastico per quanto riguarda le comunicazioni elettroniche, l'uso di cookie e tecnologie di tracciamento, e la sicurezza delle reti informatiche.

Cookie e Tracciamento

Le scuole devono ottenere il consenso informato per l'installazione di cookie non strettamente necessari sui siti web istituzionali.

Piattaforme Digitali

Per le scuole che utilizzano piattaforme di apprendimento a distanza o applicazioni mobile, è richiesta una valutazione di conformità specifica.

1.2 Fonti Secondarie e Linee Guida

1.2.1 Vademecum "La scuola a prova di privacy" (edizione 2025)

Il Vademecum "La scuola a prova di privacy", pubblicato dal Garante per la protezione dei dati personali il 27 novembre 2025, rappresenta il documento di riferimento più aggiornato e autorevole per la gestione della privacy negli istituti scolastici italiani.

Nuova Era Digitale

La scuola non è più soltanto luogo di apprendimento, ma anche "nodo di trattamento massivo di dati: dati comuni, categorie particolari, immagini, contenuti digitali, metadata generati da piattaforme, sistemi IA emergenti".

Nuove Tecnologie

Sezioni dedicate all'intelligenza artificiale, al registro elettronico, alle chat di classe, all'uso degli smartphone, e alla videosorveglianza.

Approccio Pedagogico

La privacy è considerata "non come un vincolo, ma come una dimensione strutturale della vita educativa".

Trasparenza Educativa

"La trasparenza è il primo atto educativo": la scuola deve spiegare come e perché raccoglie e usa i dati, con linguaggio accessibile anche ai minori.

1.2.2 Linee guida del Garante Privacy per il settore educativo

Vademecum Social Privacy 2025

Il "Vademecum Social Privacy", anch'esso aggiornato nel 2025, fornisce indicazioni specifiche per l'uso dei social media nell'ambito scolastico. La pubblicazione di immagini di studenti minori sui profili social delle scuole richiede un consenso mirato, distinto e specifico.

Linee guida 3/2019 su Videosorveglianza

Adottate il 29 gennaio 2020 dal Comitato europeo per la protezione dei dati, forniscono criteri interpretativi uniformi in materia di videosorveglianza, applicabili in tutti gli Stati membri dell'Unione Europea.

1.2.3 Provvedimenti e pareri specifici dell'Autorità Garante

Caso Asilo Nido – Novembre 2025

Il Garante ha sanzionato un asilo nido con una multa di 10.000 euro per l'installazione di telecamere senza le adeguate garanzie e per la pubblicazione online di foto di bambini in situazioni particolarmente sensibili (sonno, pasti, cambio pannolino, massaggio infantile).

Applicato anche il divieto definitivo di trattamento con ordinanza di cancellazione dei dati. [311]

Caso Scuola Media – Febbraio 2026

Il Garante ha irrogato un'ammenda di oltre 10.000 euro a una scuola per aver pubblicato immagini di studenti sui social media senza aver ottenuto il consenso mirato richiesto, confermando che il consenso generico all'iscrizione non è sufficiente.

1.3 Principi Fondamentali Applicabili

1.3.1 Principio di liceità, correttezza e trasparenza

Il principio di liceità, correttezza e trasparenza, enunciato all'articolo 5, paragrafo 1, lettera a) del GDPR, impone che il trattamento dei dati personali avvenga solo in presenza di una base giuridica valida, in modo corretto rispetto alle aspettative degli interessati, e con informazione chiara e accessibile.

Trasparenza Educativa

Il Vademecum 2025 sottolinea che "non tutto debba passare per il consenso": chiedere un consenso che la scuola non ha realmente bisogno di chiedere rischia di trasformarlo in un "simulacro giuridico, un atto solo apparente".

Al contrario, riconoscere che molte attività di trattamento si fondano sulla legge e sull'interesse pubblico aiuta le famiglie a orientarsi e tutela anche la scuola, che non deve "travestire da scelta ciò che scelta non è".

1.3.2 Principio di minimizzazione dei dati

Il principio di minimizzazione, previsto dall'articolo 5, paragrafo 1, lettera c) del GDPR, richiede che i dati personali siano "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati".

Esempi Applicativi

• Limitazione informazioni nelle circolari
• Riduzione dati richiesti per iscrizione
• Selezione mirata destinatari comunicazioni

Divieti Specifici

È vietata la pubblicazione di elenchi di alunni su siti istituzionali. Sono consentite modalità alternative come email individuali, registro elettronico, o bacheca fisica.

Criticità Comuni

Il Vademecum 2025 evidenzia come frequentemente le scuole richiedano dati non pertinenti o superflui rispetto alle finalità istituzionali.

1.3.3 Principio di accuratezza

I dati personali devono essere "esatti e, se necessario, aggiornati", con l'obbligo di adottare ogni misura ragionevole per garantire la rettifica tempestiva di dati inesatti.

Applicazioni: dati anagrafici, valutazioni, recapiti famiglie

1.3.4 Principio di integrità

I dati personali devono essere trattati in modo da garantirne un'adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti.

Misure: firewall, antivirus, crittografia, profili accesso

1.3.5 Accountability

Il titolare del trattamento deve "essere in grado di dimostrare" la conformità ai principi del GDPR attraverso documentazione e procedure organizzative.

Strumenti: registro trattamenti, DPIA, POS, formazione

2. Basi Giuridiche del Trattamento nei Contesti Scolastici

2.1 Attività Istituzionali

2.1.1 Adempimento di obblighi legali (art. 6.1.c GDPR)

Per la stragrande maggioranza delle attività di trattamento dati nelle scuole, la base giuridica è rappresentata dall'adempimento di obblighi legali, di cui all'articolo 6, paragrafo 1, lettera c) del GDPR.

Nessun Consenso Richiesto

Il Vademecum 2025 ribadisce con forza che per le attività istituzionali "il consenso non è quasi mai richiesto", essendo il trattamento già legittimato da obblighi legali o dall'esercizio di pubblici poteri.

Attività Coperte

• Tenuta registri di classe e lezione
• Raccolta dati anagrafici per iscrizione
• Comunicazione dati a uffici scolastici
• Gestione assenze e frequenza

Natura Pubblicistica

La posizione dello studente e della famiglia non è assimilabile a quella di un semplice contraente, ma è caratterizzata da elementi di soggezione all'autorità pubblica.

2.1.2 Esercizio di pubblici poteri (art. 6.1.e GDPR)

La base giuridica dell'esercizio di pubblici poteri si applica quando il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Attività Tipiche

• Valutazione apprendimenti e certificazione competenze
• Adozione provvedimenti disciplinari
• Organizzazione inclusione scolastica
• Gestione graduatorie

Caratteristiche

L'esercizio di pubblici poteri presuppone la capacità del titolare del trattamento di incidere sulla sfera giuridica degli interessati con atti unilaterali.

2.1.3 Interesse pubblico rilevante (art. 9.2.g GDPR per dati sensibili)

Per il trattamento di dati di categorie particolari (dati sensibili), l'articolo 9, paragrafo 2, lettera g) del GDPR prevede una deroga al divieto generale quando il trattamento è "necessario per ragioni di interesse pubblico rilevante".

Categoria di dati	Finalità consentite	Limitazioni
Dati sanitari	PEI, PDP, attività sportive, viaggi, allergie	Accesso limitato, divieto diffusione
Dati disabilità	Trasporto scolastico, ausili, sostegno	Nessuna pubblicazione online
DSA/BES	Strumenti compensativi, misure dispensative	Prove differenziate mai in pubblico
Convinzioni religiose	Organizzazione attività alternative IRC	Nessuna discriminazione

2.2 Attività Non Istituzionali

2.2.1 Necessità di consenso esplicito e specifico

Per le attività che eccedono la missione istituzionale della scuola, il GDPR richiede l'individuazione di una base giuridica alternativa, che frequentemente si identifica nel consenso dell'interessato.

Problema della Libertà del Consenso

Il Garante Privacy ha ripetutamente evidenziato che il consenso non può essere considerato libero quando il rifiuto comporta conseguenze negative per lo studente, come l'esclusione da attività educative rilevanti. [311]

Attività che Richiedono Consenso

• Corsi extracurriculari
• Attività promozionali
• Partecipazione a progetti opzionali
• Pubblicazione immagini su social media

Requisiti del Consenso

Deve essere libero, specifico, informato e inequivocabile. Deve essere prestato con azione positiva e può essere revocato in qualsiasi momento.

2.2.2 Distinzione tra consenso generale e consenso mirato

Una distinzione operativa di grande rilevanza pratica è quella tra consenso generale e consenso mirato. Il consenso generico, spesso richiesto all'atto dell'iscrizione scolastica, non costituisce una base giuridica valida per trattamenti che presentano specifiche criticità.

Tipo di consenso	Caratteristiche	Ambito di validità
Consenso generale	Richiesto all'iscrizione, finalità multiple non specificate	Solo attività istituzionali ordinarie, low-risk
Consenso mirato	Specifico per finalità, modalità, tempi, destinatari	Attività non istituzionali, pubblicazione immagini, ricerca

Sanzioni per Uso Improprio

La giurisprudenza del Garante ha sanzionato ripetutamente le scuole che hanno utilizzato un consenso generico per finalità che avrebbero richiesto un consenso mirato.

2.2.3 Revoca del consenso e conseguenze

L'articolo 7, paragrafo 3 del GDPR attribuisce all'interessato il diritto di revocare il consenso in qualsiasi momento, con la stessa facilità con cui è stato prestato.

Effetti della Revoca

• Non pregiudica la liceità del trattamento precedente
• Impone la cessazione immediata del trattamento
• Richiede la cancellazione dei dati non più necessari

Gestione Critica

Per la pubblicazione di immagini online, la scuola deve non solo cessare ogni ulteriore pubblicazione, ma anche adoperarsi per la rimozione dei contenuti già diffusi.

2.3 Trattamento di Dati di Categorie Particolari

2.3.1 Dati relativi alla salute

Il trattamento di dati relativi alla salute degli studenti rappresenta una delle sfide più delicate per le scuole, richiedendo l'equilibratura di esigenze di tutela della salute e sicurezza con il rispetto della riservatezza.

Allergie Alimentari

La scuola può trattare informazioni per organizzare il servizio di mensa in sicurezza, ma deve limitare la diffusione al personale strettamente necessario.

Patologie Croniche

I dati devono essere trattati esclusivamente per la predisposizione dei piani educativi individualizzati, con accesso riservato al personale autorizzato.

Divieto Assoluto

È vietata qualsiasi diffusione – anche involontaria – di dati sanitari, come la pubblicazione online di circolari contenenti nomi di studenti con disabilità.

2.3.2 Dati relativi a DSA e BES

I Disturbi Specifici dell'Apprendimento (DSA) e i Bisogni Educativi Speciali (BES) costituiscono una categoria di dati particolarmente sensibili, il cui trattamento richiede cautele specifiche.

Divieto Assoluto di Pubblicazione

Il Vademecum 2025 ribadisce il divieto assoluto di pubblicazione online di circolari o documenti che identifichino studenti con DSA o BES.

Accesso Limitato

I dati devono essere trattati esclusivamente per finalità di inclusione scolastica, con accesso limitato ai docenti curriculari, docenti di sostegno, e figure professionali coinvolte.

Prove Differenziate

Le "prove differenziate" per studenti con DSA non devono mai comparire nei tabelloni pubblici o in documenti accessibili indiscriminatamente.

2.3.3 Dati relativi a situazioni familiari particolari

Il trattamento di dati relativi a situazioni familiari particolari, quali separazioni, affidamenti, procedure di tutela, o condizioni socio-economiche disagiate, richiede una valutazione caso per caso della pertinenza e della necessità del trattamento.

Principio di Minimizzazione

Raccogliere tali informazioni solo quando strettamente necessarie per garantire il benessere dello studente e l'efficacia dell'azione educativa.

Comunicazioni Sicure

Le comunicazioni scolastiche devono evitare riferimenti che possano identificare studenti coinvolti in situazioni familiari problematiche.

Gestione Conflitti

In caso di conflitto tra i genitori, la scuola deve attenersi alle disposizioni dell'autorità giudiziaria, evitando di prendere posizione e garantendo la neutralità.

3. Diritti degli Interessati

3.1 Diritti degli Studenti e delle Famiglie

3.1.1 Diritto all'informazione (art. 13-14 GDPR)

Il diritto all'informazione, disciplinato dagli articoli 13 e 14 del GDPR, costituisce il presupposto fondamentale per l'esercizio effettivo di tutti gli altri diritti riconosciuti dalla normativa.

Informative per Minori

Il Vademecum 2025 sottolinea che l'informativa deve essere comprensibile anche per i minori, tenendo conto della loro età e del loro grado di maturità.

Informazioni Obbligatorie

• Identità e contatti del titolare
• Finalità del trattamento e base giuridica
• Destinatari o categorie di destinatari
• Periodo di conservazione

Diritti dell'Interessato

• Esistenza dei diritti (accesso, rettifica, cancellazione)
• Diritto di reclamo al Garante
• Processo decisionale automatizzato
• Contatti del RPD/DPO

3.1.2 Diritto di accesso (art. 15 GDPR)

L'interessato ha diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati.

Termini

Le richieste devono essere evase entro un mese, prorogabile di due mesi per richieste complesse.

3.1.3 Diritto di rettifica (art. 16 GDPR)

L'interessato ha diritto di ottenere senza ingiustificato ritardo la rettifica dei dati personali inesatti e l'integrazione dei dati incompleti.

Tracciabilità

Le rettifiche devono essere tracciabili, documentando data, autore e motivazione.

3.1.4 Diritto alla cancellazione ("diritto all'oblio")

Il "diritto all'oblio" consente di ottenere la cancellazione dei dati in presenza di specifiche condizioni.

Limitazioni

I dati nei registri ufficiali, pagelle, atti di esame costituiscono documenti di interesse storico-amministrativo e non possono essere cancellati.

3.1.5 Diritto di limitazione del trattamento

L'interessato può ottenere la limitazione del trattamento in specifiche circostanze, come la contestazione dell'esattezza dei dati.

Applicazioni

Può essere invocato in situazioni di contestazione delle valutazioni o dei provvedimenti disciplinari.

3.1.6 Diritto alla portabilità dei dati

Consente di ricevere in un formato strutturato i dati personali forniti e di trasmetterli a un altro titolare.

Contesti Applicativi

Piattaforme di e-learning, servizi digitali, trasferimento portfolio digitale.

3.1.7 Diritto di opposizione

L'interessato può opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali.

Applicazione Limitata

Presenta un'applicazione limitata per i trattamenti basati su obblighi legali, ma trova piena applicazione per il marketing diretto.

3.2 Diritti del Personale Docente e ATA

3.2.1 Tutela della privacy nel rapporto di lavoro

La privacy del personale docente e ATA è tutelata allo stesso livello di qualsiasi altro lavoratore, con specifiche attenzioni derivanti dalla natura pubblica del rapporto di lavoro.

Violazioni Ricorrenti

• Circolazione interna indiscriminata di informazioni sulle assenze del personale
• Pubblicazione di provvedimenti disciplinari o dati sanitari nella bacheca del personale
• Invio di comunicazioni a mailing list eccessivamente estese

3.2.2 Limiti alla circolazione di informazioni sulle assenze

La gestione delle assenze del personale scolastico richiede un equilibratura tra esigenze di organizzazione del servizio e tutela della riservatezza.

Trattamento Dati Sensibili

Le informazioni sulle assenze, in particolare quando riconducibili a motivazioni sanitarie o a fruizione di permessi legge 104/1992, devono essere trattate con le cautele previste per i dati sensibili.

Accesso Limitato

Accesso limitato al personale direttamente interessato alla gestione del servizio. Vietato l'uso di acronimi che possano rivelare indirettamente le motivazioni (es. "permessi L.104").

3.2.3 Protezione dei dati sanitari e disciplinari

I dati sanitari e i provvedimenti disciplinari del personale scolastico costituiscono informazioni particolarmente sensibili, il cui trattamento richiede misure di sicurezza rafforzate.

Dati Sanitari

Devono essere trattati nel rispetto della normativa sulla privacy e della disciplina dello Statuto dei Lavoratori, che prevede specifiche garanzie per la tutela della salute.

Provvedimenti Disciplinari

Devono essere gestiti con la massima riservatezza, accessibili solo al personale direttamente coinvolto nella procedura, e non possono essere oggetto di comunicazioni che ledano la dignità del lavoratore.

3.3 Esercizio dei Diritti per i Minori

3.3.1 Capacità del minore di esercitare autonomamente i diritti

Il GDPR non stabilisce un'età precisa per l'esercizio autonomo dei diritti da parte dei minori. In Italia, non esiste una norma specifica che fissa l'età per l'esercizio autonomo dei diritti di protezione dei dati.

Approccio Progressivo

Per gli studenti delle scuole secondarie di secondo grado, si ritiene generalmente che abbiano la capacità di comprendere le informazioni fornite e di esercitare in modo autonomo i propri diritti, anche se spesso con il coinvolgimento dei genitori.

3.3.2 Ruolo dei genitori o esercenti la potestà genitoriale

Per i minori che non hanno ancora sviluppato la capacità di esercitare autonomamente i propri diritti, i diritti sono esercitati dai titolari della responsabilità genitoriale.

Diritti dei Genitori

• Accesso ai dati dei figli minori
• Richiesta rettifica o cancellazione
• Opposizione al trattamento
• Revoca del consenso

Superiore Interesse del Minore

L'esercizio dei diritti da parte dei genitori deve sempre avvenire nel rispetto del superiore interesse del minore. Il Garante ha chiarito che il consenso dei genitori non può prevalere sul superiore interesse del minore. [311]

3.3.3 Valutazione del superiore interesse del minore

In tutte le decisioni relative ai minori, incluso l'esercizio dei diritti in materia di protezione dei dati, deve prevalere il superiore interesse del minore.

Caso Pratico: Asilo Nido 2025

Il provvedimento del Garante del 2025 relativo all'asilo nido illustra chiaramente questo principio: la pubblicazione di immagini di bambini in situazioni intime è stata ritenuta illegittima nonostante il consenso dei genitori, proprio perché in contrasto con il superiore interesse dei minori.

4. Obblighi delle Scuole

4.1 Adempimenti Organizzativi

4.1.1 Nomina del Responsabile della Protezione dei Dati (RPD/DPO)

L'articolo 37 del GDPR impone la nomina di un Responsabile della Protezione dei Dati (RPD, o Data Protection Officer – DPO) quando il trattamento è effettuato da un'autorità pubblica o da un ente pubblico.

Obbligo per le Scuole

Le scuole, in quanto istituzioni pubbliche, sono tenute a nominare un RPD, che può essere un dipendente interno o un soggetto esterno, purché dotato di competenze professionali specifiche.

Requisiti del RPD

• Competenze professionali specifiche in materia di protezione dei dati
• Indipendenza e autonomia decisionale
• Conoscenza del settore educativo
• Capacità di consulenza e formazione

Funzioni Principali

• Informazione e consulenza per titolare e dipendenti
• Controllo del rispetto del GDPR
• Parere sulla valutazione d'impatto
• Cooperazione con l'autorità di controllo
• Punto di contatto per l'autorità

4.1.2 Redazione del Registro delle attività di trattamento

Il registro delle attività di trattamento è lo strumento fondamentale per la documentazione della conformità al GDPR e per l'attuazione del principio di accountability.

Informazione richiesta	Descrizione	Esempio applicativo scolastico
Nome e dati di contatto del titolare	Identificazione del responsabile	Dirigente scolastico, dati anagrafici e PEC
Finalità del trattamento	Scopo perseguito	Gestione iscrizioni, tenuta registri, valutazione
Categorie di interessati e di dati	Soggetti e tipologie di informazioni	Studenti (dati anagrafici, valutazioni, assenze)
Categorie di destinatari	A chi sono comunicati i dati	Ufficio scolastico regionale, Ministero, famiglie
Trasferimenti a paesi terzi	Eventuali trasferimenti extra-UE	Piattaforme cloud con server all'estero
Termini di conservazione	Durata del trattamento	10 anni per documenti valutativi, 5 per registri
Misure di sicurezza	Descrizione generale delle salvaguardie	Crittografia, controllo accessi, backup

4.1.3 Adozione di Procedure Operative Standardizzate (POS)

Le Procedure Operative Standardizzate (POS) costituiscono lo strumento con cui le scuole traducono i principi e gli obblighi della normativa privacy in regole concrete di comportamento per il personale.

Importanza delle POS

Il Vademecum 2025 insiste sulla necessità per le scuole di "costruire una governance chiara, definendo ruoli, istruzioni e controlli", evidenziando come "l'idea che ciascun docente 'decida' liberamente quali dati raccogliere e come gestirli è non solo imprecisa, ma potenzialmente dannosa".

Aree da Coprire

• Gestione iscrizioni
• Tenuta registri elettronici
• Comunicazioni con le famiglie
• Pubblicazione dati e immagini
• Gestione richieste degli interessati
• Gestione violazioni dati personali

Requisiti delle POS

• Chiare e accessibili
• Aggiornate periodicamente
• Comunicate a tutto il personale
• Prevedere formazione periodica
• Dimostrare adozione misure adeguate

4.1.4 Nomina di Responsabili e Incaricati del trattamento

La distinzione tra titolare, responsabile e incaricato del trattamento è fondamentale per l'allocazione corretta delle responsabilità in materia di protezione dei dati.

Titolare

La scuola, in qualità di titolare del trattamento, rappresenta il "fulcro dell'intero sistema, titolare delle decisioni e responsabile dell'impostazione organizzativa".

Responsabile

Soggetti esterni incaricati di specifiche attività (es. gestione registro elettronico, manutenzione sistemi). La nomina deve avvenire con contratto o atto giuridico vincolante.

Incaricati

Il personale docente e ATA opera tipicamente in qualità di incaricato, agendo secondo istruzioni specifiche del titolare e ricevendo adeguata formazione.

4.1.5 Valutazione d'impatto sulla protezione dei dati (DPIA) quando necessaria

La valutazione d'impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA) è obbligatoria quando un tipo di trattamento, in particolare in caso di utilizzo di nuove tecnologie, è suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

Casi che Richiedono DPIA

• Adozione di sistemi di videosorveglianza
• Utilizzo di piattaforme di intelligenza artificiale per la valutazione degli studenti
• Trattamento su larga scala di dati di categorie particolari
• Monitoraggio sistematico di aree accessibili al pubblico

Contenuto della DPIA

• Descrizione delle operazioni di trattamento previste
• Valutazione dei rischi per i diritti e le libertà
• Individuazione delle misure previste per affrontare i rischi
• Garanzia della protezione dei dati personali
• Dimostrazione della conformità al GDPR

4.2 Obblighi Informativi

4.2.1 Informativa privacy chiara, accessibile e comprensibile

L'obbligo di fornire un'informativa privacy chiara, accessibile e comprensibile è centrale nel sistema di protezione dei dati personali. L'informativa deve essere formulata in un linguaggio conciso, trasparente, facilmente comprensibile e in forma facilmente accessibile.

Requisiti Formali

• Linguaggio chiaro e semplice
• Particolarmente per informazioni a bambini
• Facilmente reperibile
• Strutturata in modo chiaro

Modalità di Erogazione

• Pubblicata sul sito web della scuola
• Consegnata in copia cartacea all'iscrizione
• Resa disponibile presso la segreteria
• Fornita in formato elettronico su richiesta

Valore Educativo

Il Vademecum 2025 sottolinea che l'informativa non è un mero adempimento formale ma rappresenta un momento fondamentale di educazione alla cittadinanza digitale.

4.2.2 Adattamento del linguaggio per destinatari minori

Per gli studenti minorenni, l'informativa privacy deve essere adattata alla loro capacità di comprensione, utilizzando un linguaggio semplice, evitando tecnicismi giuridici, eventualmente integrando elementi grafici o multimediali.

Scuola Infanzia/Primaria

L'informativa può essere illustrata attraverso immagini, video o attività ludiche, rendendo il concetto di privacy accessibile anche ai bambini piccoli.

Scuola Secondaria I Grado

Può essere strutturata in modo più articolato ma sempre accessibile, con esempi concreti e linguaggio adattato.

Scuola Secondaria II Grado

Può approfondire aspetti più tecnici della protezione dei dati, preparando gli studenti a un esercizio autonomo dei propri diritti.

4.2.3 Indicazione delle finalità, basi giuridiche e periodi di conservazione

L'informativa deve indicare in modo specifico le finalità del trattamento dei dati personali, le basi giuridiche che legittimano il trattamento, i periodi di conservazione previsti o, se non è possibile, i criteri utilizzati per determinare tale periodo.

Finalità

• Iscrizione e gestione didattica
• Valutazione e certificazione
• Comunicazione con le famiglie
• Pubblicazione dati
• Gestione situazioni particolari

Basi Giuridiche

• Adempimento di obblighi legali
• Esercizio di pubblici poteri
• Interesse pubblico rilevante
• Consenso (quando applicabile)

Conservazione

I periodi devono essere specifici o determinabili attraverso criteri oggettivi, tenendo conto degli obblighi di conservazione previsti dalla normativa archivistica.

4.2.4 Informazione sui trasferimenti di dati a terzi parti

L'informativa deve indicare i destinatari o le categorie di destinatari dei dati personali, inclusi i responsabili del trattamento e i soggetti terzi ai quali i dati sono comunicati.

Destinatari Tipici

• Uffici scolastici regionali e Ministero dell'Istruzione
• Fornitori di servizi informatici per la gestione dei registri elettronici
• Enti esterni per attività di orientamento, PCTO, progetti collaborativi

Trasferimenti Extra-UE

Per i trasferimenti di dati personali a un paese terzo, l'informativa deve indicare l'esistenza o l'assenza di una decisione di adeguatezza o quali garanzie appropriate sono previste.

4.3 Misure di Sicurezza

4.3.1 Sicurezza dei sistemi informatici e dei registri elettronici

La sicurezza dei sistemi informatici e dei registri elettronici rappresenta una priorità assoluta per le istituzioni scolastiche, che gestiscono quantità crescenti di dati personali attraverso piattaforme digitali.

Rischio Critico

Il Vademecum 2025 dedica ampio spazio alla gestione del registro elettronico e delle altre tecnologie digitali, sottolineando l'importanza di una loro utilizzazione consapevole e conforme.

Misure di Sicurezza Tecnica

• Uso di credenziali sicure (password complesse, cambio periodico)
• Autenticazione a più fattori (MFA) dove possibile
• Crittografia dei dati sensibili
• Registrazione degli accessi per consentire audit e verifiche

4.3.2 Crittografia e pseudonimizzazione dei dati

La crittografia e la pseudonimizzazione rappresentano misure di sicurezza tecniche di primaria importanza per la protezione dei dati personali.

Crittografia

Consiste nella trasformazione dei dati in una forma illeggibile per chi non dispone della chiave di decifratura, garantendo la riservatezza delle informazioni anche in caso di accesso non autorizzato.

Applicazioni: dati sensibili, trasferimento dati, supporti rimovibili

Pseudonimizzazione

Consiste nel sostituire i dati identificativi diretti con identificatori artificiali, riducendo il rischio di identificazione degli interessati.

Applicazioni: attività di ricerca, analisi statistiche, test di sistemi

Raccomandazione per IA

Il Vademecum 2025 raccomanda di preferire dati sintetici o anonimizzati per le attività di sperimentazione con strumenti di intelligenza artificiale.

4.3.3 Procedure di backup e disaster recovery

Le procedure di backup e disaster recovery costituiscono misure di sicurezza organizzative essenziali per garantire la disponibilità e l'integrità dei dati personali.

Misure Obbligatorie

• Effettuare backup regolari dei sistemi informativi critici
• Conservare i backup in luoghi sicuri e distinti
• Testare periodicamente le procedure di ripristino
• Documentare le procedure di disaster recovery

Sistemi Critici

• Registri elettronici
• Database studenti
• Documenti amministrativi
• Sistemi di posta elettronica

4.3.4 Formazione del personale sulla sicurezza informatica

La formazione del personale sulla sicurezza informatica è un elemento imprescindibile per garantire la protezione dei dati personali nelle scuole.

Contenuti della Formazione

• Principi fondamentali del GDPR
• Procedure specifiche adottate dall'istituzione
• Rischi legati all'uso delle tecnologie digitali
• Modalità di risposta in caso di incidenti di sicurezza

Modalità di Erogazione

• Sessioni di formazione periodiche
• Aggiornamenti su nuove normative
• Simulazioni di incidenti
• Materiali di supporto (guide, video, FAQ)

Formazione Continua

Il Vademecum 2025 sottolinea l'importanza di istruire adeguatamente il personale autorizzato, evidenziando che la formazione non deve essere un evento una tantum ma un processo continuo, che tenga conto dell'evoluzione delle tecnologie e delle minacce.

4.4 Gestione delle Violazioni

4.4.1 Procedure di rilevamento e segnalazione delle violazioni

Le scuole devono implementare procedure di rilevamento e segnalazione delle violazioni dei dati personali, che consentano di identificare tempestivamente eventuali incidenti di sicurezza e di attivare le contromisure necessarie.

Definizione di Violazione

Il GDPR definisce "violazione dei dati personali" come una "violazione della sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati".

Elementi della Procedura

• Canali chiari per la segnalazione da parte del personale, studenti, famiglie
• Processi di valutazione interna per verificare natura ed entità della violazione
• Escalation verso il RPD/DPO e la dirigenza per violazioni significative
• Documentazione sistematica di tutte le violazioni e azioni intraprese

Tipologie di Violazioni Comuni

• Accesso non autorizzato ai registri elettronici
• Perdita o furto di dispositivi contenenti dati personali
• Diffusione accidentale di dati sensibili a destinatari non autorizzati
• Attacchi informatici ai sistemi della scuola

4.4.2 Obbligo di notifica al Garante Privacy

L'articolo 33 del GDPR impone al titolare del trattamento di notificare la violazione dei dati personali all'autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali) entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo che la violazione non presenti un rischio per i diritti e le libertà delle persone fisiche.

Contenuto della Notifica

• Natura della violazione
• Categorie e numero approssimativo di interessati coinvolti
• Misure già adottate o proposte per porre rimedio
• Contatti per ulteriori informazioni

Valutazione del Rischio

La valutazione deve considerare la natura dei dati coinvolti, la gravità delle potenziali conseguenze, e la probabilità che si verifichino danni effettivi.

4.4.3 Obbligo di comunicazione agli interessati

L'articolo 34 del GDPR impone al titolare del trattamento di comunicare la violazione all'interessato quando questa è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Contenuto della Comunicazione

• Natura della violazione
• Nome e dati di contatto del responsabile della protezione dei dati
• Misure già adottate o proposte per porre rimedio
• Misure che l'interessato può adottare per limitare i danni

Modalità di Comunicazione

La comunicazione agli interessati (studenti e famiglie) deve essere formulata in modo chiaro e comprensibile, evitando tecnicismi e fornendo indicazioni pratiche su eventuali azioni da intraprendere.

5. Casi Specifici e Scenari Applicativi

5.1 Videosorveglianza

5.1.1 Principio di proporzionalità e necessità

La videosorveglianza negli istituti scolastici è regolata dal principio di proporzionalità e necessità, come ribadito nel Vademecum 2025.

Regola Fondamentale

Le telecamere possono essere installate "solo se indispensabili" per garantire la sicurezza di edifici e beni, e non possono essere utilizzate per finalità di controllo del personale senza gli accordi previsti dallo Statuto dei lavoratori.

Proporzionalità

La videosorveglianza deve essere limitata a quanto strettamente necessario e proporzionato al rischio da prevenire. Questo principio esclude l'adozione sistematica e indifferenziata di sistemi di videosorveglianza.

5.1.2 Aree ammissibili: solo zone ad alto rischio per la sicurezza di edifici e beni

Le aree ammissibili per l'installazione di telecamere sono strettamente limitate a quelle dove sussiste un concreto e documentato rischio per la sicurezza degli edifici e dei beni scolastici.

Aree Esterne

Le aree perimetrali esterne degli edifici scolastici possono essere oggetto di ripresa, al fine di tutelare l'edificio e i beni ivi contenuti.

Limitazione: l'angolo visuale deve essere delimitato solo alle aree perimetrali, escludendo spazi non pertinenti.

Aree Interne

All'interno degli edifici, le telecamere possono essere installate solo in aree specifiche:

• Ingressi principali
• Depositi e locali di deposito attrezzature di valore
• Aree soggette a furti e atti vandalici documentati
• Parcheggi

5.1.3 Divieto di installazione in aree non pertinenti o a rischio di interferenza con la sfera privata

È vietata l'installazione di telecamere in aree non pertinenti o a rischio di interferenza con la sfera privata.

Aree Severamente Vietate

• Spogliatoi e bagni
• Aree di ristoro e mense

• Giardini e spazi di gioco delle scuole dell'infanzia
• Qualunque altro spazio dove le persone possano attendersi privacy

L'angolo visuale delle telecamere deve essere delimitato per evitare che la videosorveglianza si estenda a spazi pubblici o privati adiacenti, con conseguenti interferenze con la sfera privata di soggetti terzi.

5.1.4 Maggiori cautele per scuole dell'infanzia e asili nido

Per le scuole dell'infanzia e gli asili nido, il Vademecum 2025 prevede maggiori cautele, riflettendo la particolare vulnerabilità dei bambini piccoli.

Ambiente Educativo Sereno

Il Garante ricorda che ogni trattamento deve rispettare il diritto dei bambini a un ambiente educativo sereno, non medicalizzato né vigilato in modo invasivo. Non esiste al momento una norma che autorizzi un controllo visivo costante sui bambini.

Limitazioni Specifiche

Nelle scuole dell'infanzia la videosorveglianza deve essere limitata alle sole aree esterne e agli spazi di deposito, escludendo le aule, le sezioni, i giardini e gli spazi di gioco dove i bambini trascorrono la maggior parte del loro tempo.

5.1.5 Requisiti informativi e segnaletica

La videosorveglianza deve essere accompagnata da adeguata informativa e segnaletica, che informi tutti i soggetti che accedono alla scuola della presenza di telecamere, delle finalità del trattamento, dell'identità del titolare, e dei diritti degli interessati.

Segnaletica Visibile

• Chiaramente visibile agli ingressi
• Simboli standardizzati
• Informazioni aggiuntive dove necessario
• Indicazione del titolare del trattamento

Contenuti Informativi

• Termini di conservazione delle immagini
• Modalità di accesso alle immagini da parte degli interessati
• Contatti del RPD/DPO per ulteriori informazioni
• Diritti degli interessati

5.1.6 Conservazione delle immagini e accesso

Le immagini registrate dai sistemi di videosorveglianza devono essere conservate per un periodo limitato, strettamente necessario alle finalità perseguite.

Periodi di Conservazione

La prassi e le linee guida generali suggeriscono periodi che vanno da 24 ore a 7 giorni, salve esigenze particolari documentate (ad esempio, indagini in corso su furti o atti vandalici).

Sicurezza e Accesso

• Conservazione sicura con accesso limitato al solo personale autorizzato
• Cancellazione al termine del periodo di conservazione
• Diritto di accesso agli interessati (con eventuale anonimizzazione)
• Evidenza delle operazioni di accesso e cancellazione

5.1.7 Rapporto con la normativa sul lavoro e accordi sindacali

La videosorveglianza nelle scuole si intreccia con la disciplina dei controlli a distanza dei lavoratori, di cui all'articolo 4 dello Statuto dei lavoratori.

Rischio Controllo a Distanza

Una telecamera interna, se attiva in orario scolastico, rischia di trasformarsi in uno strumento di controllo dei docenti, con ricadute rilevanti sullo Statuto dei lavoratori.

Regole Specifiche

• È necessario ottemperare alla disciplina in materia di controlli a distanza
• Le telecamere posizionate all'interno devono essere attivate solo al termine delle attività scolastiche
• L'eventuale necessità in orario di attività richiede accordi specifici con le rappresentanze sindacali

Presupposti di Applicazione

L'installazione di telecamere in aree dove opera il personale scolastico richiede una valutazione attenta dei rischi di controllo a distanza, e potenzialmente la consultazione delle organizzazioni sindacali.

5.2 Pubblicazione di Dati e Immagini Online

5.2.1 Divieto di pubblicazione di elenchi alunni su siti istituzionali

Il Vademecum 2025 dedica un'intera sezione alla pubblicazione online, evidenziando un "leitmotiv" dalla casistica sanzionatoria: "le scuole pubblicano troppo, male e senza necessità".

Divieti Categorici

• Nessuna pubblicazione di elenchi degli alunni su siti istituzionali
• Nessuna pubblicazione online di voti e scrutini
• Nessuna pubblicazione di nomi in ritardo nei pagamenti
• Nessuna pubblicazione di elenchi beneficiari in fascia minima

• Vietati colori di buoni pasto che rivelano condizioni economiche
• Vietata la pubblicazione di elenchi degli utenti dello scuolabus
• Vietata la pubblicazione di elenchi di studenti con DSA/BES
• Vietata la pubblicazione di dati sanitari o sensibili

Giustificazione

Questi divieti derivano dall'applicazione congiunta del principio di minimizzazione e del divieto di trattamento di dati sensibili senza adeguata base giuridica. La pubblicazione di elenchi espone gli studenti a rischi di identificazione, discriminazione e potenziale pregiudizio.

5.2.2 Modalità consentite: email individuale, registro elettronico, bacheca fisica

Le modalità consentite per la comunicazione degli elenchi classe sono indicate nel Vademecum 2025:

Modalità	Destinatari	Condizioni
Email individuale	Famiglie della classe	Per le classi prime, in assenza di altri strumenti
Registro elettronico	Studenti e famiglie della classe	Area riservata, accesso con credenziali personali
Bacheca fisica	Studenti e famiglie della classe	Solo in assenza di strumenti digitali, in luogo protetto

5.2.3 Pubblicazione di voti ed esiti: limiti e divieti

La pubblicazione di voti ed esiti è severamente limitata dalla normativa privacy.

Divieti Assoluti

• È vietata la pubblicazione online di voti e scrutini, poiché configura una diffusione generalizzata e potenzialmente permanente.
• Le "prove differenziate" degli studenti con disabilità o DSA non devono mai comparire nei tabelloni pubblici o in documenti accessibili indiscriminatamente.

Modalità Consentite

Gli esiti degli scrutini devono essere visibili solo nel registro elettronico, nell'area riservata alla classe; i voti delle singole discipline sono consultabili solo da studente e famiglia.

5.2.4 Uso di immagini di studenti per fini promozionali: consenso mirato richiesto

Per l'uso di immagini di studenti per fini promozionali, come brochure, siti web, social media o materiali di presentazione dell'istituto, è richiesto un consenso mirato, specifico e documentato.

Requisiti del Consenso

• Specifico per l'uso promozionale delle immagini
• Distinto da eventuali altri consensi raccolti
• Indicazione chiara di finalità, modalità, destinatari, durata
• Documentato e conservato per tutta la durata del trattamento

Sanzioni per Mancato Consenso

La mancata osservanza di questo principio ha comportato sanzioni amministrative pecuniarie significative, con importi superiori a 10.000 euro in casi eclatanti.

5.2.5 Casistica sanzionatoria: sanzione di €10.000+ per mancato consenso specifico

La casistica sanzionatoria del Garante Privacy documenta numerose violazioni nel settore della pubblicazione di immagini di minori.

Febbraio 2026 – Scuola Media

Il Garante ha irrogato un'ammenda di oltre 10.000 euro a una scuola per aver pubblicato immagini di studenti sui social media senza aver ottenuto il consenso mirato richiesto, confermando che il consenso generico all'iscrizione non è sufficiente.

Novembre 2025 – Asilo Nido

Il Garante ha sanzionato un asilo nido con 10.000 euro per la pubblicazione online di foto di bambini in situazioni particolarmente sensibili (sonno, pasti, cambio pannolino), nonostante il consenso dei genitori, evidenziando che il superiore interesse del minore prevale sul consenso. [311]

5.3 Registri Elettronici e Piattaforme Digitali

5.3.1 Finalità istituzionali e accessi consentiti

I registri elettronici sono strumenti fondamentali per la gestione delle attività scolastiche, con finalità strettamente istituzionali. Il Vademecum 2025 chiarisce che il trattamento dei dati attraverso i registri elettronici è legittimato dall'adempimento di obblighi legali e non richiede il consenso delle famiglie.

Accessi Differenziati

Personale Docente

Accesso ai dati della propria classe e materie di insegnamento

Personale ATA

Accesso ai dati necessari per funzioni amministrative

Genitori

Accesso ai dati del proprio figlio

Studenti

Accesso ai propri dati con gradualità crescente in base all'età

Divieti Specifici

• Accesso indiscriminato o non autorizzato ai dati di altri studenti
• Condivisione di credenziali tra utenti
• Utilizzo di credenziali per finalità diverse da quelle istituzionali

5.3.2 Protezione delle credenziali di accesso

La protezione delle credenziali di accesso è elementare per la sicurezza dei registri elettronici.

Politiche Password

• Complessità adeguata (lunghezza minima, combinazione di caratteri)
• Cambio periodico obbligatorio
• Divieto di condivisione delle credenziali
• Revoca immediata in caso di cambio di incarico

Misure Aggiuntive

• Autenticazione a più fattori (MFA) dove tecnicamente fattibile
• Modifica immediata delle credenziali di default
• Sostituzione al primo accesso delle password temporanee
• Monitoraggio degli accessi anomali

5.3.3 Tracciabilità delle operazioni effettuate

La tracciabilità delle operazioni effettuate sui registri elettronici è essenziale per la responsabilizzazione e per l'individuazione di eventuali violazioni.

Dati da Registrare

• Identità dell'utente che ha effettuato l'operazione
• Data e ora dell'operazione
• Tipo di operazione (visualizzazione, inserimento, modifica, cancellazione)
• Oggetto dell'operazione (quali dati sono stati trattati)

Conservazione Log

I log di sistema devono essere conservati per un periodo adeguato (tipicamente 12-24 mesi) e protetti da accessi non autorizzati.

Puoi effettuare un test sulla Consapevolezza circa la Privacy Scolastica. Il test è anonimo, non obbligatorio e non conserviamo dati.

Clicca qui per accedere al test