Protezione dei dati

GDPR a scuola: privacy per istituti e docenti

GDPR a scuola: foto e video alle recite, registro elettronico, piattaforme DAD, dati dei minori, comunicazione dei voti e obbligo di DPO per gli istituti.

Also available in:Français·Español·Deutsch·Nederlands

Una scuola tratta i dati di minori — la categoria che il GDPR protegge con più attenzione — su decine di trattamenti diversi: iscrizioni, registro elettronico, valutazioni, foto delle recite, piattaforme per la didattica digitale, comunicazioni alle famiglie. Il riferimento operativo in Italia è il vademecum del Garante “La scuola a prova di privacy”, che risolve molti dubbi ricorrenti: le foto dei genitori alle recite rientrano nell’uso personale, i voti non si pubblicano indiscriminatamente, le piattaforme DAD vanno scelte con criterio. Gli istituti pubblici, inoltre, hanno l’obbligo di nominare un DPO. Questa guida raccoglie le regole pratiche per dirigenti scolastici, DSGA e docenti.

Punti chiave

  • Le foto e i video fatti dai genitori alle recite per uso personale sono fuori dal GDPR; la pubblicazione da parte della scuola richiede base giuridica e informativa.
  • Il registro elettronico e le piattaforme DAD trattano dati di minori: vanno scelti fornitori affidabili e regolati con nomina ex art. 28.
  • Gli istituti pubblici devono nominare un DPO ex art. 37, par. 1, lett. a, GDPR.
  • La comunicazione dei voti e dei dati degli studenti non può avvenire in modo indiscriminato: il Garante è intervenuto sulla pubblicazione di dati sui siti scolastici.
  • I dati dei minori godono di una tutela rafforzata: informative comprensibili e minimizzazione dei dati raccolti.

Foto e video a recite e gite: cosa è lecito

La domanda più frequente riguarda le foto e i video durante recite, saggi e gite. La regola del vademecum del Garante è netta: le riprese fatte dai genitori per fini personali (ricordo familiare) sono escluse dall’ambito del GDPR e non richiedono consenso. Diverso è il caso in cui sia la scuola a pubblicare foto o video degli studenti — sul sito, sui social o su materiali promozionali: qui serve una base giuridica (di regola il consenso dei genitori per i minori) e un’informativa chiara. La scuola deve inoltre invitare i genitori a un uso rispettoso delle immagini altrui, senza diffusione indiscriminata sui social.

Registro elettronico e piattaforme DAD

Il registro elettronico e le piattaforme per la didattica digitale integrata trattano dati di minori per conto della scuola: sono fornitori che agiscono come responsabili del trattamento e vanno regolati con un atto ex art. 28 GDPR. La scuola deve verificare dove sono ospitati i dati, quali sub-fornitori intervengono e quali misure di sicurezza sono adottate. La scelta di piattaforme che trattano i dati per proprie finalità (pubblicità, profilazione) è problematica: la scuola resta titolare e risponde della scelta del fornitore. La guida alla nomina del responsabile ex art. 28 elenca le clausole da pretendere, e tutti i trattamenti vanno censiti nel registro delle attività di trattamento.

Comunicazione dei voti e pubblicazione dei dati

La comunicazione delle valutazioni e la pubblicazione dei dati degli studenti è un terreno delicato. Il Garante è intervenuto più volte sulla pubblicazione di dati personali degli studenti sui siti scolastici e sull’albo online (nomi in graduatorie, dati di alunni con disabilità, informazioni eccedenti). La regola è la minimizzazione: si pubblica solo ciò che è necessario e previsto da una norma, evitando di esporre dati che rivelano condizioni particolari. I voti e le informazioni sul percorso dello studente vanno comunicati alle famiglie attraverso canali riservati, non affissioni pubbliche.

Dati dei minori: tutela rafforzata

Il GDPR riconosce ai minori una protezione specifica perché meno consapevoli dei rischi. Per la scuola questo si traduce in obblighi concreti: informative scritte in linguaggio comprensibile, raccolta dei soli dati necessari, particolare cautela sui dati particolari (salute, disabilità, appartenenza religiosa per l’ora alternativa). Quando un trattamento è su larga scala o ad alto rischio — per esempio l’introduzione di sistemi di videosorveglianza o piattaforme che monitorano il comportamento — è opportuna una valutazione d’impatto sulla protezione dei dati (DPIA). Per le telecamere valgono le regole del Garante sulla videosorveglianza: niente riprese in aule e spazi didattici durante l’attività.

L’obbligo di DPO per gli istituti

Gli istituti scolastici pubblici sono tenuti a nominare un responsabile della protezione dei dati (DPO) ai sensi dell’art. 37, par. 1, lett. a, GDPR, in quanto autorità o organismi pubblici. Il DPO supporta la scuola nella valutazione dei rischi, nella gestione delle richieste degli interessati e nei rapporti con il Garante. La guida agli obblighi e ai compiti del DPO spiega requisiti e attività. Per la raccolta dei consensi (foto, uscite, servizi facoltativi) si vedano gli esempi di consenso GDPR, mentre le informative alle famiglie possono partire da un modello di informativa. Il vademecum e le decisioni ufficiali sono pubblicati su garanteprivacy.it e il testo del GDPR è su EUR-Lex.

Comunicazioni scuola-famiglia e canali digitali

La comunicazione tra scuola e famiglie è passata quasi interamente su canali digitali — registro elettronico, email, chat, gruppi di messaggistica. Ogni canale ha implicazioni privacy. I gruppi WhatsApp tra genitori, spesso animati dai rappresentanti di classe, sono trattamenti tra privati che sfuggono al controllo della scuola, ma l’istituto deve evitare di usarli come canale ufficiale per comunicare dati degli studenti. Le comunicazioni via email a più destinatari vanno inviate in copia nascosta per non esporre gli indirizzi delle famiglie. La regola generale è che i dati degli studenti circolino attraverso canali riservati e controllati, e che la scuola non deleghi a strumenti informali la trasmissione di informazioni personali.

Data breach a scuola: come reagire

Anche una scuola può subire una violazione dei dati: un attacco al registro elettronico, il furto di un dispositivo con i dati degli studenti, l’invio per errore di un elenco con dati particolari. In questi casi l’istituto, come titolare del trattamento, deve valutare il rischio per gli interessati — minori, categoria particolarmente tutelata — e, se il rischio sussiste, procedere alla notifica al Garante entro 72 ore ed eventualmente informare le famiglie. Il DPO dell’istituto guida questa valutazione. Predisporre in anticipo una procedura, sapere chi contattare e quali passi seguire, evita che la scuola reagisca in modo tardivo o scomposto proprio quando sono in gioco i dati dei più vulnerabili.

FAQ

I genitori possono filmare la recita dei figli?

Sì. Le riprese fatte dai genitori per fini esclusivamente personali e familiari sono escluse dall’ambito del GDPR e non richiedono consenso. La scuola deve però ricordare ai genitori di non diffondere le immagini di altri bambini in modo indiscriminato, in particolare sui social.

La scuola può pubblicare le foto degli studenti sul sito?

Solo con una base giuridica valida. Per i minori serve di regola il consenso dei genitori e un’informativa chiara sulle finalità. La pubblicazione deve rispettare la minimizzazione ed evitare di esporre dati particolari o eccedenti.

Gli istituti scolastici devono avere un DPO?

Sì, gli istituti pubblici devono nominare un DPO ai sensi dell’art. 37, par. 1, lett. a, GDPR, in quanto organismi pubblici. Il DPO assiste la scuola nella conformità e nei rapporti con il Garante.

Si possono pubblicare i voti degli studenti all’albo?

No, non in modo indiscriminato. Il Garante è intervenuto contro la pubblicazione di dati degli studenti eccedenti o idonei a rivelare condizioni particolari. Le valutazioni vanno comunicate alle famiglie tramite canali riservati, come il registro elettronico, nel rispetto della minimizzazione.

La scuola deve tenere il registro dei trattamenti?

Sì. Gli istituti trattano dati di minori in modo continuativo e su molte finalità (iscrizioni, valutazioni, mensa, trasporto, DAD): il registro delle attività di trattamento è obbligatorio e va mantenuto aggiornato, distinguendo i trattamenti in cui la scuola è titolare da quelli affidati a fornitori responsabili ex art. 28.

Vedi anche: il GDPR per i comuni e la pubblica amministrazione e per le associazioni e gli enti no profit.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →