L'intelligenza artificiale entra in classe e il Garante per la protezione dei dati personali accende un faro. A giugno 2026 l'Autorità ha chiesto informazioni agli istituti salesiani sull'uso di strumenti di IA nella didattica e sui trattamenti di dati personali degli studenti che ne derivano. È il primo caso concreto di un'attenzione più ampia, già messa nero su bianco nel piano ispettivo del primo semestre dell'anno.
La richiesta agli istituti salesiani e cosa chiede il Garante
La richiesta di informazioni è uno strumento istruttorio: non è una sanzione, ma un atto con cui l'Autorità vuole capire come funzionano davvero le cose. Nel mirino ci sono le modalità con cui piattaforme digitali e applicazioni basate su sistemi automatizzati vengono impiegate nelle scuole, e soprattutto quali dati personali raccolgono e per quali finalità. Le domande tipiche riguardano la base giuridica del trattamento, l'informativa fornite a famiglie e studenti, la conservazione dei dati e l'eventuale trasferimento verso fornitori extra-UE.
Il piano ispettivo gennaio-giugno 2026: 40 controlli
Il contesto è la delibera con cui, il 30 dicembre 2025, il Garante ha programmato l'attività ispettiva del semestre, prevedendo almeno 40 accertamenti. Tra le novità più rilevanti compare proprio l'uso dell'IA in ambito scolastico, accanto a temi consolidati come data breach, telemarketing, whistleblowing e dossier sanitario. Come ricostruito da Agenda Digitale, l'attenzione verso la scuola segna un cambio di passo: non più solo le grandi piattaforme, ma anche gli istituti che adottano software didattici "intelligenti".
Quali dati raccolgono le piattaforme didattiche con IA
Il punto delicato è la quantità e la qualità dei dati. Un tutor automatico o uno strumento di correzione basato su IA non si limita a registrare voti: analizza testi prodotti dagli studenti, tempi di risposta, errori ricorrenti, a volte persino il tono o lo stile. Sono informazioni che, aggregate, possono profilare in modo molto fine un minore. A questo si aggiunge il fatto che molti di questi strumenti girano su server di aziende straniere e che alcuni trattano i dati anche per migliorare i propri modelli, salvo configurazioni specifiche.
Cosa rischiano scuole e fornitori di software
In caso di violazioni, la responsabilità ricade sia sulle scuole, che in qualità di titolari del trattamento devono garantire liceità e trasparenza, sia sui fornitori, che agiscono come responsabili. Le sanzioni del GDPR possono essere salate, ma il vero rischio per gli istituti è di trovarsi a usare strumenti senza una base giuridica solida o senza aver informato adeguatamente le famiglie. Per i fornitori edtech, invece, l'indagine è un segnale che la conformità non è un optional commerciale.
Come adeguarsi: DPIA, basi giuridiche e trasparenza
Per le scuole che vogliono usare l'IA senza incorrere in problemi, alcuni passaggi sono ormai irrinunciabili: svolgere una valutazione d'impatto sulla protezione dei dati (DPIA) prima di adottare lo strumento; individuare una base giuridica chiara; fornire informative comprensibili a studenti e genitori; limitare la raccolta ai dati strettamente necessari; verificare dove e come il fornitore conserva e tratta le informazioni. L'IA in classe può essere utile, ma il messaggio del Garante è netto: l'entusiasmo tecnologico non può tradursi in una raccolta indiscriminata di dati sui minori.
