Il 25 settembre 2025 il Garante per la Protezione dei Dati Personali ha adottato il provvedimento n. 529/2025, un documento di grande rilievo per tutte le istituzioni scolastiche italiane.
L’intervento nasce a seguito di segnalazioni e ispezioni che hanno messo in luce criticità nel trattamento dei dati di studenti, genitori e personale scolastico, soprattutto in relazione a piattaforme digitali, registro elettronico, videosorveglianza e comunicazioni online.
Il Garante, con questo provvedimento, fornisce un quadro chiaro delle responsabilità del dirigente scolastico, dei doveri dei fornitori di servizi digitali e dei limiti nell’utilizzo dei dati personali all’interno dell’ambiente scolastico.
Vediamo insieme cosa prevede il testo, quali obblighi introduce e come le scuole devono adeguarsi.
- Il contesto del provvedimento
Negli ultimi anni, la digitalizzazione della scuola ha portato a un utilizzo sempre più intenso di strumenti informatici: registro elettronico, piattaforme per la didattica digitale, app di comunicazione scuola-famiglia, sistemi di videosorveglianza, e perfino dispositivi biometrici per il controllo delle presenze.
Tuttavia, molte istituzioni scolastiche hanno adottato tali strumenti senza un’adeguata valutazione d’impatto sulla privacy (DPIA), come previsto dagli articoli 35 e 36 del Regolamento UE 679/2016 (GDPR).
In diversi casi, i fornitori privati di piattaforme digitali hanno trattato i dati di studenti e docenti senza chiare istruzioni da parte dei dirigenti scolastici, che, per legge, sono i titolari del trattamento.
Il provvedimento n. 529/2025 nasce dunque per colmare questa lacuna e per ribadire che la responsabilità primaria sulla protezione dei dati resta sempre in capo alla scuola.
- I punti principali del provvedimento
- a) Ruolo del dirigente scolastico
Il Garante ha chiarito che il dirigente scolastico è il titolare del trattamento dei dati personali dell’istituto.
Ciò significa che spetta a lui — e non al Ministero, né al fornitore della piattaforma — stabilire:
- finalità e modalità del trattamento dei dati;
- tempi di conservazione;
- misure di sicurezza;
- criteri per la nomina dei responsabili esterni (es. ditte informatiche, società di software, servizi cloud).
Il dirigente deve inoltre documentare tutte le scelte privacy attraverso appositi atti amministrativi e aggiornare regolarmente il Registro dei trattamenti.
- b) Nomina dei responsabili esterni
Il provvedimento richiama l’obbligo di formalizzare contratti di nomina dei responsabili esterni (art. 28 GDPR) con tutti i soggetti che gestiscono dati per conto della scuola: software house, provider di registro elettronico, consulenti, cooperative, ecc.
Il Garante ha riscontrato che molte scuole utilizzano piattaforme senza un atto di nomina valido, o con moduli generici forniti dalle ditte, non conformi ai requisiti del GDPR.
Questo comporta gravi rischi legali, inclusa la responsabilità solidale tra scuola e fornitore in caso di violazione dei dati.
- c) Registro elettronico e piattaforme digitali
Un punto centrale del provvedimento riguarda il registro elettronico.
Il Garante sottolinea che, anche se lo strumento è indispensabile, esso comporta un trattamento quotidiano di dati sensibili: voti, assenze, note disciplinari, informazioni su salute o disabilità.
Pertanto, il registro elettronico non può contenere dati eccedenti rispetto alle finalità didattiche, né può essere utilizzato per finalità di profilazione o marketing da parte del fornitore.
La scuola deve pretendere garanzie scritte sul fatto che i dati non vengano trasferiti a terzi o conservati fuori dallo Spazio Economico Europeo, salvo specifiche clausole contrattuali.
- d) Videosorveglianza e controllo del personale
Il Garante ha ribadito il divieto di utilizzare telecamere per finalità di controllo dei dipendenti.
Le telecamere possono essere installate solo per motivi di sicurezza e tutela del patrimonio, previo accordo sindacale e valutazione d’impatto privacy.
Particolare attenzione è riservata alle telecamere nelle aree frequentate da minori, come cortili o corridoi, dove è necessario limitare al massimo le riprese, oscurare i volti e impostare tempi di conservazione brevissimi.
- e) Informative chiare e accessibili
Ogni scuola deve aggiornare le proprie informative privacy rivolte a studenti, genitori e personale, rendendole:
- comprensibili anche ai minori;
- facilmente reperibili sul sito web istituzionale;
- redatte con linguaggio chiaro e non burocratico.
Il Garante ha raccomandato inoltre di pubblicare sul sito un’informativa specifica per ciascun trattamento (es. registro elettronico, piattaforme didattiche, videosorveglianza).
- Le conseguenze per le scuole
Il mancato adeguamento può comportare sanzioni amministrative molto elevate, ma anche responsabilità dirigenziale e contabile.
Il Garante ha già avviato accertamenti in diverse regioni e ha invitato gli Uffici Scolastici Regionali a monitorare la conformità degli istituti.
Le scuole devono quindi:
- Nominare formalmente i responsabili esterni (art. 28 GDPR).
- Aggiornare il Registro dei trattamenti.
- Redigere o aggiornare le valutazioni d’impatto (DPIA).
- Formare il personale sulla protezione dei dati.
- Pubblicare informative aggiornate sul sito istituzionale.
- Cosa devono fare i dirigenti scolastici
Il provvedimento n. 529/2025 rappresenta un cambio di passo importante per i dirigenti scolastici, chiamati a gestire la privacy non come un adempimento formale, ma come parte integrante della governance dell’istituto.
Ecco alcune azioni concrete consigliate:
- Nominare un DPO competente e coinvolgerlo in ogni decisione su piattaforme e servizi digitali.
- Verificare tutti i contratti con fornitori e software house.
- Aggiornare le informative per studenti, genitori e personale.
- Mappare i trattamenti più delicati (es. BES, disabilità, dati sanitari).
- Documentare ogni scelta e tenerne traccia nel fascicolo privacy dell’istituto.
Il provvedimento del Garante n. 529/2025 non introduce nuove regole, ma impone un ritorno alla piena consapevolezza e responsabilità delle scuole.
Nell’era della digitalizzazione, la protezione dei dati non è solo una questione tecnica, ma un atto di tutela dei diritti fondamentali di studenti, famiglie e personale scolastico.
Le istituzioni scolastiche che sapranno applicare correttamente queste linee guida potranno non solo evitare sanzioni, ma anche rafforzare la fiducia delle famiglie e migliorare la qualità complessiva dei propri servizi digitali.
