Ispezioni Garante Privacy 2026: controlli sull’IA nelle scuole

Nel programma delle attività ispettive del Garante per la protezione dei dati personali per il periodo gennaio–luglio 2026 rientrano anche verifiche sull’utilizzo di strumenti di intelligenza artificiale in ambito scolastico.

È un segnale chiaro: l’adozione (anche “informale”) di piattaforme e servizi di IA in classe, in segreteria o nei processi amministrativi deve essere governata con regole, documenti e misure tecniche coerenti con il GDPR, soprattutto perché coinvolge minori e può implicare trattamenti su larga scala o profilazione.

Perché questo punto riguarda direttamente le scuole

Il piano ispettivo prevede almeno 40 accertamenti, anche con il supporto del Nucleo specializzato della Guardia di Finanza.
Tra le “novità” del semestre, viene richiamato proprio l’uso di strumenti di IA in ambito scolastico, evidenziando il combinato di rischio dato da tecnologie innovative + interessati fragili (minori).

Tradotto in pratica: non basta “non caricare dati sensibili”. Serve dimostrare accountability (scelte consapevoli, istruzioni, controlli, contratti, valutazioni).

Checklist operativa per DS/DSGA, Animatore digitale e DPO

Ecco cosa conviene mettere in ordine prima di eventuali verifiche (anche a campione):

1) Mappatura: “quale IA usiamo davvero?”

  • Elenco strumenti (chatbot, correttori, piattaforme di tutoring, antiplagio, generatori di contenuti, trascrizione, traduzione, ecc.)
  • Per ciascuno: chi lo usa, per quali finalità, con quali dati (studenti, docenti, famiglie, personale)

2) Ruoli privacy e base giuridica

  • Chiarire se il fornitore è responsabile del trattamento o (caso più critico) titolare autonomo
  • Verificare la base giuridica del trattamento (in ambito scolastico spesso non è “consenso” la risposta standard)

3) Contratti e impostazioni del servizio

  • DPA/nomina a responsabile (art. 28 GDPR) se applicabile
  • Clausole su: sub-fornitori, assistenza, data breach, tempi di conservazione, cancellazione
  • Verifica che i dati non vengano usati per addestrare modelli (o che sia disattivabile/disciplinato contrattualmente)

4) Trasferimenti extra UE e sicurezza

  • Dove finiscono i dati? (hosting, log, telemetry)
  • Misure: accessi profilati, MFA, logging, policy password, segregazione degli account, minimizzazione dei prompt

5) DPIA e “rischio elevato”

Se lo strumento può comportare valutazioni automatizzate, profilazione, monitoraggio sistematico o uso su larga scala (specie su minori), valutare seriamente una DPIA (valutazione d’impatto). In caso di dubbio, è un punto da trattare con il DPO in modo tracciato.

6) Informative e regole interne

  • Informativa chiara su uso di IA, finalità e limiti
  • Regolamento/linee guida interne: cosa è consentito, cosa è vietato (es. divieto di inserire dati identificativi degli studenti in servizi non autorizzati)

Errori tipici che espongono a rischio (e che emergono spesso in ispezione)

  • Uso “spontaneo” di account personali (docenti/studenti) per attività didattiche o amministrative
  • Nessuna istruzione scritta su cosa inserire nei prompt
  • Fornitore scelto senza verifica di ruoli, DPA, localizzazione dati
  • Mancanza di evidenze: “lo usiamo, ma non abbiamo documenti”

Cosa fare subito (azioni rapide, ad alto impatto)

  1. Censire gli strumenti IA effettivamente utilizzati (didattica + amministrazione).
  2. Standardizzare: un elenco di strumenti autorizzati e uno di strumenti non ammessi.
  3. Allineare contratti e configurazioni (privacy/sicurezza, training, log, data retention).
  4. Formalizzare policy e formazione (docenti e personale di segreteria).
Condividi il contenuto se lo trovi interessante