L’impiego dell’intelligenza artificiale negli istituti scolastici entra ufficialmente nel perimetro di vigilanza dell’Autorità garante. Con la deliberazione n. 797 del 30 dicembre 2025, il Garante per la protezione dei dati personali ha inserito nel proprio piano ispettivo verifiche specificamente dedicate ai trattamenti di dati personali effettuati mediante strumenti di IA, programmando attività di controllo che si estenderanno fino al luglio 2026, anche con il supporto della Guardia di Finanza.
La decisione si colloca all’interno di un più ampio quadro di attenzione verso le nuove tecnologie applicate al settore pubblico e riflette la crescente incidenza che le soluzioni algoritmiche stanno assumendo nella gestione dell’attività didattica, organizzativa e amministrativa. Non si tratta, dunque, di un’iniziativa isolata, ma dell’evoluzione naturale di un indirizzo regolatorio volto a garantire che l’innovazione tecnologica proceda in armonia con i principi di protezione dei dati personali.
Sotto il profilo operativo, le istituzioni scolastiche potranno essere chiamate a dimostrare la piena conformità dei trattamenti connessi all’uso dell’intelligenza artificiale. L’attenzione degli ispettori si concentrerà, in primo luogo, sulla correttezza dell’assetto documentale e organizzativo: informative agli interessati, atti interni di regolazione dei trattamenti, designazioni e istruzioni impartite al personale autorizzato, eventuali nomine di responsabili esterni, aggiornamento del registro dei trattamenti e ogni altro adempimento richiesto dalla disciplina vigente. Particolare rilievo assumerà la verifica dell’adeguatezza delle misure di sicurezza, nonché dell’eventuale predisposizione di analisi dei rischi e valutazioni di impatto, soprattutto nei casi in cui l’IA comporti trattamenti suscettibili di incidere significativamente sui diritti e le libertà degli interessati.
L’attività ispettiva non si limiterà agli aspetti formali. Potranno infatti essere esaminati i concreti flussi di dati generati dalle applicazioni algoritmiche, la logica dei trattamenti, la base giuridica invocata e le modalità di integrazione delle soluzioni di IA nei processi scolastici. In tale prospettiva, assume rilievo anche il tema della formazione del personale: l’Autorità potrà accertare se siano state realizzate iniziative specifiche volte a sensibilizzare docenti e operatori sui rischi privacy connessi all’utilizzo di tali tecnologie.
Un secondo filone di indagine riguarderà la gestione degli incidenti di sicurezza e delle violazioni di dati personali. Le verifiche potranno investire i data breach notificati all’Autorità, con particolare attenzione ai casi caratterizzati da maggiore estensione o delicatezza, soprattutto in ambito pubblico. In questo contesto, la capacità dell’istituto di prevenire, rilevare e gestire tempestivamente gli eventi critici costituirà elemento centrale di valutazione.
Va peraltro ricordato che il piano ispettivo rappresenta solo una parte degli strumenti di intervento dell’Autorità. Il Codice della privacy, all’articolo 157, attribuisce al Garante il potere di richiedere informazioni ed esibizione di documenti anche al di fuori delle verifiche programmate, sia d’ufficio sia a seguito di segnalazioni o reclami. Ciò implica che l’attenzione verso la conformità dei trattamenti non possa essere circoscritta alle sole ispezioni calendarizzate.
Sotto il profilo procedurale, il personale incaricato degli accertamenti, ai sensi dell’articolo 156, comma 7, del Codice, opera con le qualifiche di ufficiale o agente di polizia giudiziaria, analogamente al personale della Guardia di Finanza coinvolto nelle attività ispettive. Gli ispettori dispongono di ampi poteri di indagine: possono acquisire documenti, effettuare rilievi tecnici, accedere a banche dati e archivi, richiedere chiarimenti e procedere a verifiche anche mediante strumenti informatici. L’istituzione scolastica ha facoltà di farsi assistere da consulenti di fiducia e, nella prassi, assume un ruolo cruciale la presenza del responsabile della protezione dei dati (DPO), chiamato a interloquire con l’Autorità e a fornire il necessario supporto tecnico-giuridico.
Le operazioni si concludono con la redazione del verbale di accertamento, nel quale vengono riportati i documenti acquisiti e le eventuali dichiarazioni rese. Qualora emergano profili di irregolarità, l’Autorità potrà procedere alla contestazione delle violazioni, aprendo la fase del contraddittorio e dell’eventuale irrogazione delle sanzioni previste dalla normativa.
L’avvio delle ispezioni sull’intelligenza artificiale a scuola segna, in definitiva, un passaggio significativo nel processo di integrazione delle tecnologie emergenti nel sistema educativo. L’innovazione, pur rappresentando una risorsa strategica per la didattica e l’organizzazione scolastica, richiede infatti un rigoroso presidio giuridico, capace di coniugare efficienza, trasparenza e tutela effettiva dei diritti fondamentali.
