Insegnante.ai
gdprprivacydati-studentiai-act

GDPR a scuola e dati studenti con l'AI: cosa devi sapere davvero

Usare l'AI a scuola implica trattare dati di minori, ambito dove il GDPR è più stringente. Ecco i principi pratici per restare conformi: pseudonimizzazione, minimizzazione, trasparenza e ruoli.

Pubblicato il - Autore: Eva

Usare l’AI a scuola significa quasi sempre trattare dati di studenti, cioè dati di minori, l’ambito dove il GDPR è più stringente. La buona notizia: l’AI non introduce obblighi nuovi, rende solo più urgenti quelli che già esistono. La regola di fondo è semplice da enunciare e da applicare: non esporre mai dati identificativi degli studenti a strumenti non predisposti. Ecco i principi pratici per restare conformi senza diventare matti.

Questo articolo è un orientamento divulgativo. Per gli adempimenti puntuali fanno fede il GDPR, le indicazioni del Garante e il DPO del proprio istituto.

I dati degli studenti sono dati di minori

Il primo concetto: i dati che tratti riguardano minori, e il GDPR li tutela in modo rafforzato. Questo vale per i dati anagrafici, per le valutazioni, e a maggior ragione per i dati particolari (salute, certificazioni BES/DSA, situazioni familiari). Più il dato è sensibile, più la cautela deve essere alta.

L’AI non cambia questo quadro. Cambia il rischio operativo: con uno strumento AI è facile, e veloce, caricare per sbaglio dati che non dovrebbero uscire. Proprio la facilità rende le buone pratiche più importanti.

La regola numero uno: pseudonimizza

Il gesto che ti protegge nel 90% dei casi quotidiani è la pseudonimizzazione: prima di usare uno strumento AI con materiale degli studenti, togli i riferimenti identificativi. “Lo studente” al posto del nome, nessun dato sensibile.

Vuoi far analizzare un tema dall’AI? Togli il nome dall’intestazione. Vuoi una bozza di comunicazione? Lavora sul generico e personalizza solo alla fine, sul tuo dispositivo. È un’abitudine che costa secondi e previene la stragrande maggioranza dei rischi.

Minimizzazione: solo il necessario

Il GDPR chiede di trattare solo i dati strettamente necessari, per il tempo strettamente necessario. Applicato all’AI: non caricare un intero fascicolo quando ti serve analizzare un paragrafo. Non conservare conversazioni con dati degli studenti più del dovuto. Meno dati esponi, meno rischi corri. La minimizzazione non è solo conformità: è igiene operativa.

Mai dati in chiaro su strumenti generalisti

Questo è il divieto pratico più importante: non inserire dati personali degli studenti in chiaro su AI generaliste (i grandi assistenti pubblici). Questi servizi possono usare i dati per addestramento e non offrono le garanzie di trattamento richieste per i dati di minori. È esattamente il tipo di trattamento che viola il GDPR.

Se vuoi usare l’AI con dati di classe in modo strutturato, servono strumenti che garantiscano la conformità (niente uso dei dati per addestramento, trattamento conforme, base giuridica). Gli strumenti di Insegnante.ai sono progettati con la privacy by design: niente profilazione degli studenti, niente vendita di dati.

I ruoli: titolare e responsabile

Quando la scuola adotta uno strumento AI a livello istituzionale, scatta una cornice precisa: la scuola è titolare del trattamento, il fornitore è responsabile esterno. Questo richiede un accordo sul trattamento dei dati (DPA) tra le parti e l’informativa alle famiglie.

Il singolo docente opera dentro questa cornice. Non deve costruirla da solo, ma deve conoscerla: sapere quali strumenti sono autorizzati dall’istituto, quali no, e attenersi alle policy. Quando hai dubbi, il riferimento è il DPO (responsabile della protezione dei dati) della scuola.

Trasparenza verso le famiglie

Il GDPR e l’AI Act convergono su un punto: studenti e famiglie devono sapere quando e come l’AI tratta i dati nel percorso scolastico. La trasparenza si concretizza nell’informativa e, per gli studenti con BES, in una sezione dedicata nel PDP. Non è burocrazia: è il fondamento della fiducia. Trovi indicazioni pratiche nel pezzo su come scrivere un PDP AI-aware e nel quadro normativo dell’AI Act per docenti.

Il punto

Il GDPR a scuola con l’AI si riassume in pochi principi solidi: i dati degli studenti sono dati di minori, vanno trattati con cautela rafforzata; pseudonimizza sempre, minimizza, e non esporre mai dati in chiaro su strumenti generalisti. Per l’uso istituzionale, la cornice di titolare e responsabile con DPA e informativa è gestita dalla scuola, e tu vi operi dentro conoscendola. La privacy non è un ostacolo all’AI: è la condizione per usarla senza esporre i ragazzi.

Adotta oggi l’abitudine che conta di più: prima di usare qualsiasi strumento AI con materiale di classe, togli i nomi. Il resto della conformità si costruisce su questo gesto.