Nel 2024 il Garante Privacy ha incassato oltre 24 milioni di euro in sanzioni e ha aumentato del 17% i procedimenti correttivi nel settore pubblico, scuole comprese. Nei primi otto mesi del 2025 si è già a 17,5 milioni, e l’attenzione si sta spostando proprio sugli istituti scolastici. Il 60% delle violazioni nel settore educativo nasce dallo stesso errore banale, una nomina del DPO fatta per mettere una crocetta. Dal 2 febbraio 2025 sono operative le prime disposizioni dell’AI Act europeo, che si sommano al GDPR e al nuovo vademecum 2025 del Garante Privacy “La scuola a prova di privacy”. Tre livelli normativi che parlano alla vostra scuola contemporaneamente.
Questa guida nasce da quello che vorremmo poter dire a un dirigente scolastico il primo giorno di mandato, prima che firmi il primo registro o approvi la prima informativa. Trovate dentro: cosa è cambiato davvero nel 2025-2026, le sette aree critiche che un DS deve presidiare, gli errori che costano da 2.000 a oltre 50.000 euro a scuola, una checklist operativa pronta per il prossimo staff DS-DSGA-DPO.
E in fondo, quello che il dirigente cerca davvero quando arriva a leggere fin qui: una checklist scaricabile e un audit GDPR gratuito per fotografare lo stato della scuola entro la settimana.
Il GDPR a scuola non ha più un calendario scolastico
Per anni il GDPR a scuola è stato vissuto come un compito di settembre. Si apre il fascicolo, si firma quello che c’è da firmare, si chiude il cassetto fino al collegio di giugno. Il problema è che il Garante Privacy non ha un calendario scolastico, e nel 2024 lo ha dimostrato con i numeri.
Le scuole italiane subiscono in media tra 1.200 e oltre 8.500 tentativi di attacco informatico al giorno per istituto, secondo i dati raccolti dagli operatori specializzati nel settore education. Gli studenti minori sono bersaglio privilegiato perché i loro dati sono “vergini” sul mercato nero: non ci sono ancora storie creditizie a inquinarli, non ci sono pattern d’acquisto. Una identità rubata di un quattordicenne vale, in alcuni canali, più di una di un quarantenne.
Eppure la maggioranza degli istituti continua a trattare il registro dei trattamenti come un documento da rispolverare a settembre. È esattamente il momento giusto per smettere.
Cosa è cambiato nel 2025-2026 e perché vi riguarda davvero
Il quadro normativo si è stratificato in modo silenzioso ma significativo. Tre cose sono successe nel giro di un anno e mezzo, ed è importante distinguerle perché parlano a momenti diversi della giornata di un dirigente.
Il vademecum 2025 del Garante “La scuola a prova di privacy”
La nuova edizione del vademecum tocca temi che fino a tre anni fa erano marginali: chat di classe e gruppi WhatsApp, uso degli smartphone in classe, registro elettronico, pubblicazione di foto e video, graduatorie pubblicate male, uso dell’intelligenza artificiale generativa. Affronta anche fenomeni come revenge porn, sexting, sharenting, recite e gite. Non è un manuale astratto, è una raccolta di indicazioni operative su cose che capitano davvero in segreteria e in classe.
Le linee guida MIM sull’AI a scuola (DM 166/2025)
Il Ministero dell’Istruzione e del Merito ha diffuso le prime linee guida ufficiali sull’uso dell’intelligenza artificiale a scuola. Sono coerenti con l’AI Act europeo e con il GDPR, e introducono divieti specifici come il riconoscimento delle emozioni in aula. Raccomandano l’uso di dati sintetici o anonimizzati ogni volta che è possibile, e impongono un censimento degli strumenti AI usati da docenti e personale.
L’AI Act europeo
Dal 2 febbraio 2025 sono in vigore le pratiche vietate (riconoscimento emotivo, social scoring, manipolazione subliminale) e gli obblighi di formazione del personale. Dal 2 agosto 2026 scatta la piena applicazione, con obblighi specifici per i sistemi ad alto rischio. Le scuole rientrano nel perimetro perché molte piattaforme didattiche e di valutazione sono per definizione “alto rischio” secondo l’allegato III del regolamento.
Tre livelli che si sovrappongono. Chi pensa di poter ignorare uno solo dei tre, sta giocando una partita che non finisce bene.
DS e DPO: chi fa cosa quando va male
Quando arriva una segnalazione di data breach o una richiesta di accesso da parte di una famiglia, scopri immediatamente chi nella scuola fa cosa. Spesso non è quello che c’è scritto sull’organigramma.
Il dirigente scolastico è il titolare del trattamento
Il DS resta sempre il titolare del trattamento. Risponde delle scelte organizzative, delle misure di sicurezza, dei rapporti con famiglie, studenti, fornitori e autorità. Anche quando ha nominato un DPO esterno. Anche quando il problema è nato in un plesso che non ha mai visitato. Anche quando l’errore è stato di un docente che ha aperto la mail sbagliata. Il titolare risponde.
Il DPO è il garante della protezione dati, non un consulente fiscale
Il DPO è obbligatorio per le scuole pubbliche e spesso necessario anche per le paritarie. Consiglia il dirigente, monitora la compliance, supporta la stesura delle DPIA, gestisce le notifiche di data breach al Garante entro 72 ore, forma il personale, dialoga con il Garante. Non è un avvocato che firma una volta l’anno, è una figura operativa.
L’errore mortale: la nomina del DPO “atto formale”
Le analisi sui provvedimenti del Garante mostrano che circa il 60% delle violazioni nel settore educativo nasce dallo stesso schema. Si nomina un DPO per legge, ma non gli si garantisce autonomia, accesso ai sistemi, presenza in collegio, voce nei processi decisionali. Il DPO esiste sulla carta. Quando arriva l’ispezione o il data breach, si scopre che non sa nulla.
Le sanzioni per questo errore vanno da 2.000 a oltre 50.000 euro per singolo istituto. È poco se siete una grande scuola, è una stagione di gite saltata se siete una piccola.
Le sette aree critiche che un dirigente deve presidiare nel 2026
Sette aree, sette presidi. Ognuna ha un proprio rischio specifico, una propria normativa di riferimento, una propria checklist operativa. Per il 2026 non basta più dire “è tutto in ordine”. Serve poter mostrare evidenze.
1. Dati sensibili: PEI, BES, DSA, dati sanitari
Sono i dati più protetti dal GDPR e gli stessi che circolano con più leggerezza in scuola. PEI inviati come allegato in chat di classe per “comodità”, diete speciali pubblicate su bacheche cartacee, certificazioni mediche scambiate via email personale. Ogni scivolone qui costa caro perché tocca categorie particolari di interessati, spesso minori, spesso fragili.
2. Registro elettronico e piattaforme didattiche
Chi ha accesso a cosa? Quanti log vengono conservati e per quanto? Esiste una DPIA sul registro elettronico in uso? Quali esportazioni di dati sono possibili e da chi? Chi ha lavorato in segreteria sa che la risposta a queste domande, in molte scuole, è “non lo so”.
3. Chat di classe e gruppi social
Il Garante raccomanda di limitare l’uso di WhatsApp e Telegram per le comunicazioni ufficiali. Privilegiare registro elettronico, email istituzionali, bacheche digitali. Eppure il 70% delle classi italiane ha ancora un gruppo WhatsApp dei genitori usato anche per comunicazioni della scuola. Serve una policy esplicita, scritta, condivisa.
4. Videosorveglianza e controllo accessi
Telecamere mal posizionate, cartellonistica assente, tempi di conservazione delle immagini fuori controllo, accesso ai filmati senza tracciamento. Sono tra le voci più sanzionate dal Garante perché la non conformità è visibile e oggettiva.
5. AI generativa
Docenti che usano ChatGPT con elaborati di studenti caricati per intero, segreterie che fanno tradurre comunicazioni con strumenti consumer, dirigenti che chiedono a Copilot di sintetizzare verbali contenenti dati personali. Senza una policy AI scritta, ognuna di queste azioni è un potenziale data breach.
6. Fornitori e cloud
Google Workspace e Microsoft 365 nelle scuole italiane sono utilizzabili in conformità, ma a tre condizioni: DPIA fatta bene, configurazione conforme alle indicazioni del Garante, DPO che documenta le basi giuridiche del trattamento. Senza queste tre cose, l’uso del cloud è un rischio non gestito, non un servizio.
7. Gestione incidenti e data breach
72 ore. Tante ne avete dalla scoperta di un data breach per notificarlo al Garante. Non 72 ore lavorative. Settantadue ore reali, weekend compresi. Sapere chi chiamare alle 23 di sabato fa la differenza tra una sanzione e una notifica gestita.
I segnali d’allarme che dovrebbero far scattare un audit la prossima settimana
Otto situazioni concrete. Se ne riconoscete anche solo tre, l’audit non è un’opzione: è una necessità urgente.
Segnale 1: il DPO non è mai stato in collegio
Se il DPO della vostra scuola non ha mai partecipato a un collegio docenti né a uno staff DS-DSGA negli ultimi dodici mesi, è una nomina formale, non una figura operativa. È esattamente lo schema che il Garante sanziona.
Segnale 2: nessuno sa quali strumenti AI usano i docenti
Se non avete un censimento aggiornato degli strumenti AI utilizzati in scuola (ChatGPT, Copilot, Gemini, app di correzione, generatori di immagini), il rischio non è gestito. È solo nascosto.
Segnale 3: il registro dei trattamenti è fermo all’anno scorso
Il registro va aggiornato almeno una volta l’anno e tutte le volte che cambia un trattamento, un fornitore, un sistema. Se l’ultima revisione è precedente all’introduzione del registro elettronico attuale, siete fuori norma.
Segnale 4: PEI e dati sanitari circolano via email
Se i piani educativi individualizzati o i certificati medici degli studenti vengono ancora scambiati via email personale o WhatsApp tra docenti, la scuola sta scaricando sull’email del docente una responsabilità che è del titolare.
Segnale 5: nessuna DPIA sul registro elettronico
Il registro elettronico è di per sé un trattamento ad alto rischio, perché contiene dati di minori su larga scala. Se non c’è una DPIA documentata, manca il presupposto stesso del trattamento.
Segnale 6: la policy chat di classe non esiste o è generica
Una riga nel regolamento d’istituto non basta. Il vademecum 2025 del Garante chiede una policy esplicita, condivisa, integrata nel PTOF.
Segnale 7: il personale non ha mai fatto formazione GDPR specifica
Non basta un’informativa firmata a settembre. Servono momenti di formazione documentati, almeno uno l’anno, su errori reali e casi concreti.
Segnale 8: nessuna procedura scritta per i data breach
Se un docente o un membro ATA si accorge stasera di aver inviato una mail con allegato sbagliato, deve sapere a chi scrivere e cosa scrivere. Senza una procedura, le 72 ore corrono prima ancora che ne arrivi notizia al DS.
I primi 30 giorni del dirigente: come passare dal caos alla governance
Per chi prende servizio o per chi vuole rimettere ordine a metà anno scolastico, esiste un percorso a step brevi che riduce drasticamente il rischio. Non serve una rivoluzione. Servono sette mosse fatte bene.
- Convocate uno staff DS-DSGA-DPO entro la prima settimana, con un solo punto all’ordine del giorno: mappare le sette aree critiche e fissare tre priorità immediate.
- Pubblicate sul sito della scuola, in posizione visibile, l’atto di nomina del DPO con i suoi recapiti. È un obbligo del GDPR, ed è il primo controllo che fa un’ispezione.
- Approvate in collegio una policy sintetica su chat di classe, foto e video, strumenti AI, allineata al vademecum 2025 e alle linee guida MIM.
- Aggiornate informative privacy per iscrizioni, foto e video, piattaforme digitali, progetti PON e uscite didattiche.
- Programmate una formazione interna di 90 minuti su errori reali e casi sanzionati dal Garante, partendo da chi maneggia più dati: segreteria, docenti referenti, animatori digitali.
- Verificate che esista una DPIA aggiornata sul registro elettronico in uso e sui principali sistemi cloud.
- Scrivete (o adottate) una procedura “data breach”: chi notifica a chi, in quanto tempo, con quale modulo, con quale registro interno.
Come fare in 5 minuti una prima fotografia GDPR della vostra scuola
Cinque minuti, prima di chiudere il computer stasera. Aprite una cartella digitale e raccogliete questi documenti: registro dei trattamenti, atto di nomina del DPO, contratti con fornitori digitali, informative consegnate alle famiglie a settembre, policy interne pubblicate, evidenze di formazione GDPR del personale.
Se uno solo di questi documenti manca o è precedente all’anno scolastico in corso, avete trovato la prima priorità. Se ne mancano tre, la scuola non è pronta a un’ispezione.
Il GDPR si applica davvero a tutte le scuole, anche piccole o paritarie?
Sì. Il Regolamento UE 2016/679 si applica a tutte le scuole pubbliche e private che trattano dati personali di studenti, famiglie, docenti e personale, indipendentemente dalle dimensioni o dal numero di alunni. Per le scuole pubbliche la nomina del DPO è sempre obbligatoria. Per le paritarie dipende dalla scala del trattamento, ma in caso di dubbio è sempre meglio nominarlo.
Il DPO può essere un docente interno o il dirigente stesso?
La normativa lo consente solo se sono garantite competenze adeguate, autonomia operativa e assenza di conflitti di interesse. Il DS non può essere DPO della propria scuola perché è il titolare del trattamento. Un docente interno può essere DPO solo se ha formazione specifica e tempo dedicato. Le sanzioni più pesanti del Garante mostrano che le nomine di comodo costano caro.
Possiamo usare Google Workspace o Microsoft 365 in sicurezza?
Sì, ma a tre condizioni. Una DPIA fatta bene sulla configurazione adottata, settaggi conformi alle indicazioni del Garante e una documentazione aggiornata delle basi giuridiche del trattamento, firmata dal DPO. Senza questi tre passaggi, l'uso del cloud non è conforme, anche se la piattaforma di per sé può esserlo.
Foto e video degli studenti possono essere pubblicati sui social della scuola?
Solo con adeguata informazione preventiva e, quando necessario, consenso esplicito. Il vademecum 2025 del Garante è esplicito: audio, foto e video di minori non possono essere diffusi online senza una base giuridica chiara. Per recite, gite e attività ordinarie servono informative aggiornate consegnate ai genitori a inizio anno.
Quanto tempo abbiamo per notificare un data breach al Garante?
72 ore dalla scoperta. Non 72 ore lavorative, 72 ore reali, weekend e festivi compresi. La notifica si fa attraverso il modulo apposito sul sito del Garante. Se la notifica arriva dopo, oltre alla sanzione per il breach scatta anche quella per la notifica tardiva. Per questo serve una procedura scritta che il personale conosce in anticipo.
Possiamo continuare a usare WhatsApp per le comunicazioni con i genitori?
Il Garante raccomanda di limitarne l'uso per le comunicazioni ufficiali. Per le comunicazioni della scuola servono canali istituzionali (registro elettronico, email istituzionali, bacheca digitale). WhatsApp e Telegram tra genitori restano leciti come gruppi privati, ma la scuola non dovrebbe veicolare comunicazioni ufficiali da quei canali.
Possiamo far usare ChatGPT ai docenti per preparare materiali con dati di studenti?
No, non con la versione gratuita né con account personali. Caricare dati di studenti su strumenti AI consumer significa cederli per il training del modello, perdendo il controllo. Servono account business con DPA firmato, policy interna che definisca cosa è consentito, formazione documentata del personale. Le linee guida MIM raccomandano dati sintetici o anonimizzati ogni volta che è possibile.
Perché un audit GDPR se non abbiamo mai avuto problemi?
Perché non essere ancora stati sanzionati non significa essere conformi. Significa solo non essere ancora stati ispezionati. Le scuole sono tra i bersagli preferiti di attacchi informatici, e il Garante ha aumentato del 17% i procedimenti correttivi nel 2024. Un audit fatto a freddo, in tempi non sospetti, costa molto meno che uno fatto in emergenza dopo una segnalazione.
Il dirigente scolastico è personalmente responsabile in caso di sanzione?
Il dirigente è il titolare del trattamento e risponde delle scelte organizzative e delle misure adottate. La sanzione amministrativa è normalmente a carico dell'istituzione scolastica, ma il DS può essere chiamato a rispondere in solido o personalmente quando ci sono profili di colpa grave o omessa vigilanza. Vale la pena prevenire, non difendersi.
Da dove iniziamo se siamo fuori norma su quasi tutto?
Dalla mappatura. Una giornata con DS, DSGA e DPO per fotografare onestamente lo stato delle sette aree critiche. Da lì si fissano tre priorità per i primi 30 giorni e un piano di intervento a 90 giorni. L'errore è cercare di sistemare tutto contemporaneamente: si finisce per non sistemare nulla. L'audit gratuito serve esattamente a fare questa fotografia in modo strutturato.
Risorse utili (tutte gratuite)
- Garante Privacy: vademecum “La scuola a prova di privacy” 2025, modulistica per data breach, FAQ tematiche
- MIM: linee guida sull’uso dell’intelligenza artificiale a scuola (DM 166/2025)
- EDPB: linee guida europee su DPIA e responsabilità del titolare
- AI Office europeo: documentazione ufficiale sull’AI Act e cronoprogramma di applicazione
- Maiora Labs: i cinque errori da DPO che costano 50.000 euro e le linee guida IA per la scuola 2026
Il GDPR a scuola non è più una crocetta da spuntare a settembre. È un sistema di governance che protegge studenti, famiglie, personale e la stessa autorevolezza del dirigente all’interno della comunità educante. Le scuole che arrivano al 2026 con questa consapevolezza hanno un vantaggio che non si misura in conformità, ma in fiducia.
Le scuole che si difendono dal Garante hanno già perso. Quelle che proteggono studenti e famiglie con metodo, no.
Maiora Labs Srl accompagna scuole, DS e DPO nella governance GDPR e AI dal 2018, con oltre 60 istituti seguiti a Roma e nel Lazio. La consulenza GDPR per istituti scolastici include audit, formazione, registro dei trattamenti, informative aggiornate e servizio DPO dedicato. Per ricevere la checklist completa e prenotare un audit gratuito della vostra scuola, contattateci.
