supersqualo
Privacy & Sicurezza

IA a scuola con minori: consenso genitori, GDPR scuole, AI Act art. 5

Sei docente, dirigente scolastico, gestisci una scuola privata o un centro di formazione. I tuoi alunni sono minori. Usare IA con i loro dati senza adeguate garanzie è doppiamente grave: GDPR scuole + AI Act + tutela minori.

Di Super Squalo·6 min lettura
Nota. Una cosa onesta: tengo aggiornate queste guide come posso, ma l'IA cambia talmente in fretta che alcuni dettagli potrebbero essere superati nel giro di pochi mesi. Se hai bisogno di sapere com'è la situazione adesso, scrivimi.

Lunedì mattina, segreteria di una scuola elementare. La maestra di terza arriva con una pila di temi e ti dice: "li ho passati a ChatGPT, mi ha fatto una griglia di valutazione bellissima". Tu sorridi, fai partire il caffè, e nel frattempo ti chiedi se quella maestra ha appena spedito a un server americano nome, cognome, classe e stile cognitivo di ventitré bambini di otto anni. Risposta: sì.

I minori sono la categoria più protetta dalla legge europea. Quando li mischi con l'IA senza un setup serio, il dirigente scolastico se la prende su tutti i fronti: privacy, deontologia, responsabilità diretta.

Il pasticcio in cui finisci se carichi dati di alunni

Cosa esce dalla scuola in queste situazioni? Nome, cognome, classe, voti, valutazioni, giudizi, certificazioni di disturbi specifici dell'apprendimento, indicazioni di bisogni educativi speciali, foto di gite, registrazioni audio dei consigli di classe, comunicazioni con la famiglia. Tutto materiale che non doveva uscire dall'istituto, e che invece è finito su server fuori Europa senza il consenso di chi esercita la responsabilità genitoriale.

Il Garante su questi temi è già intervenuto e ha sanzionato istituti che usavano piattaforme cloud in modo allegro. Per i minori, la legge alza l'asticella. OpenAI a dicembre 2024 ha pagato 15 milioni al Garante italiano, Synlab nel 2024 due milioni e mezzo per dati sanitari. Non sono cifre da prendere a ridere.

Cosa NON puoi fare

Non puoi caricare elaborati di alunni su ChatGPT consumer per correggerli. Mai. Anche se cancelli i nomi, la fotografia dello stile di scrittura del bambino resta.

Non puoi far trascrivere i consigli di classe a servizi cloud di trascrizione automatica senza informativa specifica e senza un contratto sulla protezione dati firmato sul serio.

Non puoi generare report didattici incollando nomi e cognomi degli alunni in chat consumer.

Non puoi usare strumenti gratuiti per fare gli orari mischiando dati del personale e degli studenti. Quei dati pagano la gratuità.

Non puoi permettere ai docenti di usare i loro account ChatGPT personali con dati scolastici. È la cosa che succede di più, e quella che brucia di più.

Non puoi fare riconoscimento facciale o riconoscimento delle emozioni in classe. Su questo la legge europea sull'IA è netta: vietato.

Cosa invece si può fare bene

Il setup conforme per una scuola sta su cinque mattoncini.

Un server IA dedicato in Europa, accessibile solo dalla rete dell'istituto. Un modello aperto che gira lì, con dati che non escono dal datacenter. Pseudonimizzazione automatica: l'alunno diventa "Studente_472", il dato identificativo resta solo nel registro elettronico. Account docenti con tracciamento completo degli accessi. Niente integrazione con account Google o Microsoft personali dei singoli docenti.

Su questo binario puoi correggere temi, riassumere documenti amministrativi, fare orari, gestire iscrizioni. L'IA fa il lavoro sporco e i dati restano in casa. Per scuole pubbliche, c'è anche il vantaggio che la gestione passa dal responsabile della protezione dati (figura obbligatoria), che è l'unica persona che fa da filtro fra entusiasmo del docente e disastro.

I paletti che non si toccano

La valutazione d'impatto sulla privacy va fatta prima di adottare qualsiasi sistema IA con dati di alunni. È un foglio fatto bene, non una tesi di laurea, ma serve.

Informativa alle famiglie aggiornata e consegnata, che dichiari l'uso dell'IA, i fornitori e le finalità. Consenso specifico per gli usi che non rientrano nella missione istituzionale (correggere temi sì, profilare lo stile cognitivo no). Nomina del responsabile della protezione dati (per scuole pubbliche è obbligatoria). Registro dei trattamenti aggiornato. Formazione documentata del personale almeno una volta l'anno. Test e audit periodici sui sistemi adottati, perché un setup che funzionava a settembre può non funzionare più a marzo.

Il dirigente scolastico è titolare del trattamento. Se qualcosa va storto, risponde lui. Anche solo per questo, vale la pena evitare scorciatoie.

Una nota personale

Io di mestiere monto sistemi IA privati per scuole, studi e piccole imprese italiane. Non vendo corsi, non vendo formule magiche. Mi occupo di gente che ha cose serie da proteggere e poco tempo per smanettare con la legge. Se sei dirigente o docente e vuoi confrontarti, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) se ne discute ogni giorno, e si risponde gratis.

I temi della maestra, intanto, mettili da parte. Stavolta li correggi col binario giusto.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza