Schermo di un dispositivo mobile su un tavolo di legno
LOMLOE

Privacy degli studenti: cosa ogni docente deve sapere su IA e GDPR

Dati sensibili in classe, strumenti di IA e la normativa europea: quali domande porre prima di caricare un solo esame su una piattaforma esterna.

Il team Magistral · · 9 min di lettura
#GDPR #privacy #IA #dati personali #minori #Garante

La conversazione abituale in sala docenti, quando qualcuno menziona strumenti di IA, salta di solito la domanda più importante: cosa succede ai dati degli studenti. La risposta breve è che succede tutto, e che quel tutto è regolato da una normativa che non è opzionale né interpretabile.

Questo articolo non è un trattato giuridico. È la guida pratica di cui un docente ha bisogno per prendere decisioni ragionevoli: quali tipi di dati Lei maneggia senza accorgersene, quali obblighi ha la Sua scuola rispetto a essi, quali domande porre a qualsiasi strumento prima di usarlo con un solo elaborato reale, e dove sta la linea da non oltrepassare.

Cosa conta come dato personale dello studente

La prima cosa da capire — e che molti docenti trascurano — è quanto sia ampia la definizione. Il GDPR considera dato personale qualsiasi informazione che possa essere associata a una persona identificata o identificabile.

Questo include l'ovvio: nome e cognome, data di nascita, codice fiscale, indirizzo, foto, telefono. Ma include anche cose che non sembrano « dati » in senso amministrativo:

  • Le risposte di un compito: un tema è un dato personale dello studente che lo ha scritto.
  • I voti e i commenti di valutazione.
  • Le foto della classe, anche di spalle o solo di mani.
  • Gli audio di presentazioni registrate.
  • Il fascicolo personale, le osservazioni del coordinatore di classe, le annotazioni del registro.

E, all'interno dei dati personali, c'è una categoria specialmente protetta: i dati sensibili o « categorie particolari » (art. 9 GDPR). Sono dati su origine etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, salute, vita sessuale o orientamento sessuale, dati genetici o biometrici. La protezione aggiuntiva che ricevono è importante.

C'è una zona grigia frequente: i piani didattici personalizzati, i piani educativi individualizzati, le diagnosi DSA o BES. Sono informazioni di salute e rientrano nella categoria sensibile. Maneggiare questi dati richiede misure rafforzate.

Lo strato aggiuntivo: sono minori

A tutto quello sopra si aggiunge una protezione ulteriore quando si parla di minori. In Italia, l'età minima per il consenso al trattamento dei dati personali nei servizi della società dell'informazione è 14 anni (Codice Privacy, art. 2-quinquies). Sotto quell'età, il consenso deve essere prestato dai titolari della responsabilità genitoriale.

Questo significa che un docente di scuola primaria o dei primi anni di scuola secondaria di primo grado maneggia quasi esclusivamente dati per cui gli studenti non possono consentire. Qualsiasi strumento che si usi con quei dati deve avere alle spalle un consenso della famiglia formalizzato.

Per gli ultraquattordicenni lo studente può consentire, ma la scuola resta titolare del trattamento. La responsabilità non sparisce mai.

Scudo con un lucchetto centrale e la parola GDPR

Chi è responsabile di cosa

Una distinzione importante che spesso si confonde:

  • Il titolare del trattamento decide quali dati si trattano e per cosa. In ambito scolastico, è quasi sempre la scuola (o, indirettamente, l'amministrazione di riferimento).
  • Il responsabile del trattamento è lo strumento o l'azienda esterna che tratta quei dati per conto del titolare.

Quando un docente carica esami in uno strumento esterno di correzione, la scuola resta titolare. Lo strumento è responsabile. Perché quel rapporto sia legale, deve esserci un contratto di nomina del responsabile firmato tra scuola e azienda dello strumento (art. 28 GDPR). Senza quel contratto, non si può.

Se uno strumento non Le può mostrare un contratto di nomina del responsabile standard pronto perché la Sua scuola lo firmi, non lo usi con dati reali degli studenti. Punto.

Questo è probabilmente il filtro più utile che esista. Gli strumenti seri che offrono servizio alle scuole hanno questo contratto pronto e lo forniscono senza attriti. Quelli che non lo fanno non sono un'opzione.

Le domande da porre a qualsiasi strumento

Prima di caricare un solo elaborato reale su una piattaforma esterna di IA, c'è un breve questionario da applicare. Se una risposta non La convince, cerchi un'alternativa:

1. Dove sono archiviati fisicamente i dati?

Importa perché il GDPR limita il trasferimento internazionale di dati fuori dallo Spazio Economico Europeo. Se i server sono negli USA, in India o in qualsiasi paese senza livello adeguato di protezione, serve o un meccanismo legale specifico (clausole contrattuali tipo, decisioni di adeguatezza) o evitare quello strumento.

La risposta ideale è « nell'UE ». La risposta accettabile è « negli USA con clausole contrattuali tipo e certificazione del Data Privacy Framework ». La risposta vaga (« nel cloud ») è ragione per non procedere.

2. Per quanto tempo si conservano?

Il principio di minimizzazione dice che si deve conservare solo il necessario per la finalità dichiarata. Uno strumento che conserva i Suoi esami corretti a tempo indeterminato, o che non specifica il termine, non rispetta questo principio.

Ragionevole è che i dati siano conservati per la durata del rapporto contrattuale con la scuola e che vengano eliminati automaticamente alla fine (o dopo un periodo definito).

3. Vengono usati per allenare modelli?

Questa è critica con gli strumenti di IA. Alcuni servizi usano i dati ricevuti per migliorare i propri modelli. Se la risposta è sì — anche se i dati sono « anonimizzati », cosa tecnicamente complicata —, non sono un'opzione per dati di minori.

La risposta attesa è un no netto, idealmente garantito contrattualmente: « i dati del cliente non vengono mai utilizzati per l'addestramento di modelli ».

4. Quali misure di sicurezza tecnica ci sono?

Cifratura a riposo, cifratura in transito (HTTPS), controlli di accesso, registri di audit. Sono le misure di base. Uno strumento che non sa descriverle o le descrive vagamente non ha un livello di sicurezza serio.

5. Cosa succede se una famiglia esercita i propri diritti?

Il GDPR dà alle famiglie — o agli studenti ultraquattordicenni — diritti concreti: accesso, rettifica, cancellazione, portabilità. Se una famiglia chiede quali dati siano su una piattaforma, la Sua scuola deve poter rispondere. Questo significa che lo strumento deve avere un processo chiaro perché la scuola possa gestire queste richieste.

Anonimizzazione: il distinguo importante

Una soluzione a volte proposta come scorciatoia è « lo carico anonimizzato ». L'idea è togliere il nome dello studente e inviare solo il contenuto dell'esame.

Questa pratica riduce il rischio ma non è anonimizzazione in senso stretto del GDPR. Anonimizzare davvero implica che sia impossibile — non solo difficile — reidentificare il soggetto. Un esame con risposte uniche, con informazioni personali tra le righe, con il contesto del corso e la data, è quasi sempre reidentificabile.

Quello che si fa « togliendo il nome » si chiama pseudonimizzazione, e i dati pseudonimizzati restano personali ai fini del GDPR. Riducono il rischio ma non eliminano gli obblighi.

Perché l'anonimizzazione fosse reale, bisognerebbe rompere il legame con il contesto della classe intera, i compagni, le date. Impossibile nella pratica della correzione scolastica.

La linea rossa: dati sensibili e strumenti non certificati

C'è un consenso piuttosto chiaro nel settore educativo su dove sta la linea da non oltrepassare:

  • PEI, PDP, diagnosi, informazioni di salute: mai a strumenti esterni senza certificazione specifica per dati sanitari.
  • Immagini e audio identificabili degli studenti: solo a strumenti che soddisfino rigorosamente le cinque domande precedenti e con consenso esplicito delle famiglie per quella finalità concreta.
  • Dati di minori di 14 anni senza consenso familiare specifico per l'uso dello strumento: direttamente, no.

Oltrepassare queste linee non è un rischio astratto. Il Garante per la protezione dei dati personali sanziona, le famiglie reclamano, le scuole perdono fiducia.

Cosa si può fare con ragionevole sicurezza

Non è tutto restrizione. C'è uno spazio ampio in cui l'IA porta valore reale con rischio controllato:

  • Materiali generati dal docente (esercizi, schemi, esempi) che non contengono dati degli studenti. Qui nessun problema GDPR.
  • Elaborati degli studenti passati a strumenti con contratto di nomina del responsabile firmato, clausole chiare, archiviazione nell'UE e impegno esplicito di non addestramento.
  • Analisi aggregate e statistiche di classe senza livello di identificazione individuale.

La differenza tra un uso legalmente corretto e uno problematico non sta nella tecnologia. Sta nell'inquadramento contrattuale e tecnico intorno alla tecnologia.

Una conversazione in sospeso nella maggioranza delle scuole

Un'osservazione finale, senza drammi. La realtà pratica della maggior parte delle scuole nel 2026 è che l'IA è entrata dalla porta di servizio. Docenti che individualmente provano strumenti, caricano elaborati, ottengono risultati utili, e tirano avanti senza che la dirigenza, il responsabile della protezione dei dati della scuola o le famiglie abbiano visibilità.

Questo non è sostenibile. La conversazione deve avvenire prima o poi, e conviene che avvenga prima che sia forzata da un reclamo o da un'ispezione. La conversazione utile include la dirigenza, il DPO, una rappresentanza delle famiglie e i docenti che usano o vogliono usare strumenti di IA.

Il risultato di quella conversazione non deve essere vietare l'IA. Può essere un quadro chiaro su quali strumenti siano approvati per quale tipo di dati, con quale informazione alle famiglie e con quali procedure.

La paura paralizzante e la libertà caotica sono le due peggiori opzioni. C'è un punto di equilibrio ragionevole, e vale la pena costruirlo insieme.

Correggi il 90 % più velocemente

Iscriviti alla lista d'attesa e prenota il tuo posto per l'accesso anticipato.

Prenota il posto

Il team Magistral

Costruiamo l'IA che restituisce ai docenti il tempo che la correzione gli rubava.

Continua a leggere

Scrivania con fogli, tazza di caffè e luce soffusa di fine giornata Produttività docente

Burnout docente: 7 segnali che è ora di agire (e cosa fare)

Il burnout docente è riconosciuto dall'OMS e tocca più della metà del corpo insegnante. 7 segnali chiari per riconoscerlo prima che diventi cronico.

· 10 min di lettura
Schermo del computer con codice e caratteri in primo piano IA in educazione

Correggere esami con l'IA senza rinunciare al Suo giudizio professionale

Una guida pratica per usare l'IA come assistente di correzione senza perdere il controllo professionale sulla valutazione dei Suoi studenti.

· 9 min di lettura
Sveglia analogica su una superficie bianca Produttività docente

Quanto tempo dedicano i docenti alla correzione (e come recuperarlo)

Il costo invisibile della correzione, la fiscalità emotiva del fine settimana docente e le leve concrete che restituiscono ore alla Sua vita.

· 9 min di lettura