Il consenso rappresenta un termine acquisito ormai da tempo nella normativa italiana, specialmente quando si tratta di trattamento di dati personali[1] e di trattamento sanitario[2]. È, invece, di recente discussione del Disegno di Legge n. AC 2423-A in materia di consenso informato in ambito scolastico per temi attinenti la sessualità. Il minimo comun denominatore dei richiamati consensi è il trattamento trasparente, accessibile, informato e chiaro di dati personali che sono soggetti a particolari tutele[3].
Quando si tratta di consenso del Minore e trattamento di dati personali in ambito scolastico, spesso si confonde il trattamento del dato personale “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, di cui gli Enti pubblici o assimilati sono depositari, con la maggiore tutela che il legislatore europeo e quello italiano hanno garantito ai minori, specie quando studenti.
Il minore, infatti, ai sensi dell’art. 2-quinquies del D.lgs. n. 196/2003[4], quando abbia compiuto i 14 anni può autonomamente prestare il proprio consenso al trattamento di dati personali di tipo comune, esclusi, quindi, i trattamenti di dati personali che riguardino la propria salute, orientamento sessuale, politico, religioso e dati personali biometrici.
Il Regolamento Generale sulla Protezione dei Dati Personali (R.G.P.D.), invece, stabilisce, con specifico riguardo ai Servizi della Società dell’Informazione, i cd. “social media”, che tale soglia per il consenso sia di massimo 16 anni e non inferiore a 13 anni. In tutti gli altri casi il consenso deve essere prestato dagli esercenti la patria potestà, salvo che prevalgano leggi specifiche che consentano il trattamento del dato personale del minore.
Il Consenso dei Genitori, richiesto sempre in forma congiunta, è necessario per il trattamento dei dati personali degli alunni nei seguenti casi con le relative eccezioni:
- Per il trattamento di dati personali di minori di 14 anni: Il consenso dei genitori (o di chi esercita la responsabilità genitoriale) è obbligatorio per il trattamento dei dati personali degli studenti al di sotto dei 14 anni, tranne quando la raccolta e il trattamento siano previsti da norme specifiche o siano strettamente necessari per finalità di istruzione e gestione scolastica.
- Per il trattamento di dati particolari: Anche per i minori sopra i 14 anni, il consenso dei genitori è richiesto per il trattamento di dati particolari (ad esempio salute, religione, vita privata, dati biometrici) o per finalità diverse da quelle istituzionali (es. pubblicazione di foto su siti o social, utilizzo di dati per ricerche o sondaggi).
- Per trattamenti richiesti da un obbligo di legge o dalle funzioni istituzionali proprie degli istituti scolastici: Il consenso dei genitori è sempre necessario per trattamenti che non sono indispensabili per le attività scolastiche (ad esempio iscrizione a progetti extracurricolari, utilizzo di dati per fini commerciali o promozionali).
Il quesito che, conseguentemente, grava su Enti Pubblici Locali ed Istituti Scolastici riguarda l’effettiva necessità di chiedere questo consenso anche laddove i dati personali dei minori vengano trattati “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
A fare chiarezza sul punto interviene l’attività provvedimentale dell’Autorità Garante per la Protezione dei Dati Personali e i suoi documenti divulgativi in ambito scolastico.
Gli Istituti Scolastici primari e secondari sono Titolari Autonomi del Trattamento dei dati personali degli studenti, con ruoli e responsabilità chiaramente definiti dalla normativa italiana ed europea, mentre gli Enti Locali intervengono solo per finalità accessorie.
Ruolo degli Istituti Scolastici:
- Ogni Istituto Scolastico è Titolare del Trattamento dei dati degli studenti, anche minori, in quanto autonomo rispetto al Ministero dell’Istruzione e alle amministrazioni locali.
- Il Dirigente Scolastico è il Legale Rappresentante che impersonifica il Titolare del Trattamento: decide sulle modalità di trattamento, nomina il Responsabile della Protezione dei Dati (R.P.D./D.P.O.), garantisce la trasparenza verso studenti e famiglie e gestisce eventuali richieste o reclami. Il Dirigente è, inoltre, indirettamente responsabile dei danni erariali cagionati alle casse scolastiche da eventuali sanzioni comminate dall’Autorità Garante, come stabilito con Sentenza dalla Corte dei Conti su istanza di una procura regionale[5].
- Le scuole devono trattare solo i dati necessari per finalità istituzionali (istruzione, valutazione, gestione amministrativa) e rispettare i principi di minimizzazione, limitazione della finalità, trasparenza e sicurezza.
- È obbligatorio informare studenti e famiglie su come vengono trattati i dati, fornire l’informativa privacy nel momento in cui viene raccolto il dato personale, in maniera trasparente e particolarmente accessibile e chiara, gestire e documentare la raccolta di un consenso[6] chiaro, informato, trasparente e granulare (quando richiesto, ad es. per pubblicazioni online o uso di dati particolari), e mantenere il registro dei trattamenti.
Ruolo degli Enti Locali:
- Gli Enti Locali (comuni, province) sono Titolari del Trattamento dei dati personali degli studenti, solamente nei casi di finalità accessorie e specifiche, come la gestione della refezione scolastica e l’affidamento del relativo servizio ad un ente terzo, il trasporto scolastico, la gestione delle cd. “cedole” librarie o altri servizi integrativi che siano attribuiti da norme di legge direttamente in capo a loro.
È fatto ulteriore obbligo, per le rispettive competenze degli Enti Locali e degli Istituti Scolastici, ai sensi degli artt. 26 e 28 del G.D.P.R., di riconoscere e regolamentare tramite appositi accordi tra le parti i ruoli dei Responsabili Esterni del Trattamento dei Dati Personali, quali potrebbero essere i fornitori del Servizio di Refezione o Trasporto Scolastico, eventuali fornitori di servizi di Videosorveglianza, o eventuali Contitolari del Trattamento, nel caso in cui vengano effettuati progetti congiunti e trasversali tra più Istituti Scolastici.
Nell’attività provvedimentale e documenti di indirizzo dell’Autorità Garante per la Protezione dei Dati Personali, giova riprendere e sottolineare i principali aspetti attenzionati con il Vademecum “La Scuola a Prova di Privacy” in particolare riferimentoalle nuove tecnologie, pubblicato con la Newsletter del 27 novembre 2025[7], attenzionando i fenomeni anche penalmente rilevanti del cyberbullismo[8], sexting e revenge porn[9].
In merito all’Intelligenza Artificiale (I.A.) il vademecum mette in guardia contro pratiche invasive come il riconoscimento delle emozioni tramite I.A. e raccomanda di utilizzare dati personali solo se indispensabili, privilegiando dati sintetici.
Sulle Chat di classe e messaggistica è fatta raccomandazione di limitare l’uso delle chat per comunicazioni ufficiali, privilegiando strumenti relativamente più sicuri come il Registro Elettronico[10].
Le chat devono essere moderate e informatizzate, evitando la condivisione di dati sensibili e rispettando le impostazioni di privacy.
Per la pubblicazione dei dati personali online foto e video devono essere effettuati solo con il consenso dei soggetti coinvolti, evitando la diffusione non autorizzata di informazioni sensibili e dati particolari, moderando le interazioni da parte dell’utenza ed evidenziando i differenti profili di titolarità del trattamento (specialmente nel caso in cui le pubblicazioni avvengano su siti web istituzionali tramite l’incorporazione di cookie(s) e html di social media che risulterebbero gli effettivi depositari del dato personale pubblicato.
Tali pubblicazioni devono essere effettuate solo con il consenso dei soggetti coinvolti, evitando la diffusione non autorizzata. Altra tematica affrontata e dibattuta è l’uso degli smartphone in classe che deve essere regolamentato, anche tramite apposite circolari interne e rivolte ai genitori, per evitare la raccolta e la diffusione non autorizzata di dati personali, rispettando le normative sulla privacy.
Il Registro elettronico ele piattaforme EdTech rappresentano utili strumenti, se opportunamente regolamentati, per controllare la diffusione di dati personali degli studenti.
Si raccomanda la due diligence sui fornitori di servizi, verificando la sede legale, richiedendo la comunicazione degli eventuali sub-fornitori, i trasferimenti extra-UE e le misure tecniche di sicurezza.
I dati devono essere trattati solo per finalità strettamente necessarie alle finalità istituzionali o per obblighi di legge.
Per i temi che riguardano strettamente l’assetto organizzativo scolastico, che riguardano la Titolarità Autonoma degli Istituti Scolastici, il Vademecum richiama la Videosorveglianza, la quale deve essere impiegata in maniera proporzionata e necessaria rispetto alle finalità di sicurezza e tutela del patrimonio.
I tempi di conservazione dei dati devono essere contenuti e le informative ben visibili. È vietato l’uso del riconoscimento biometrico per controlli di accesso, salvo specifiche basi e cautele.
È vietato riprendere spazi privati in uso agli studenti o configurare la videosorveglianza perché costituisca strumento di controllo del lavoratore dipendente, sia esso insegnante, personale A.T.A. o affini, salvo il rispetto dei requisiti di cui all’art. 4 della L. n. 300/1970 ossia un Accordo Sindacale o, in mancanza, l’Autorizzazione dell’Ispettorato del Lavoro.
Inoltre, l’impiego della videosorveglianza deve vedere una giusta ponderazione degli angoli di visuale, degli orari di attivazione delle telecamere eventualmente interne, ossia devono essere spente durante gli orari di presenza di attività curricolari o extracurricolari degli studenti.
Il bilanciamento tra orari e tempi di conservazione e finalità della videosorveglianza deve essere comunque formalizzato in un documento di Valutazione di Impatto sulla Protezione dei Dati Personali (D.P.I.A.) ai sensi dell’art. 35 del G.D.P.R.
Infine, il dirigente scolastico deve definire obiettivi, risorse e responsabilità, impartendo autorizzazioni e istruzioni al proprio personale dipendente ai sensi dell’art. 29 G.D.P.R. e art. 2-quaterdecies del Codice Privacy.
Il D.P.O. (Responsabile della Protezione dei Dati) deve assicurare la sorveglianza su registro dei trattamenti, essere consultato nello svolgimento della D.P.I.A. che è richiesta anche nel caso di impiego di nuovi strumenti tecnologici che impattino sui dati personali del personale o degli studenti.
Al Dirigente spetta una corretta impostazione della formazione e la gestione dei fornitori. I docenti devono usare correttamente gli strumenti digitali e segnalare eventuali incidenti.
Il quadro così ricostruito porta ad una complessa interazione tra gli Istituti Scolastici e gli Enti Locali, specie i Comuni, nella gestione dei Fornitori esterni per gli ambiti di rispettiva competenza e titolarità, nonché alla corretta gestione degli adempimenti in tema di trasparenza amministrativa, informazione, formazione e raccolta dei consensi tanto dei genitori per i minori tout court quanto nell’esercizio dei diritti degli interessati al trattamento[11], che si sommano alle già numerose richieste di accesso amministrativo e civico ai sensi della L. n. 241/1990 e del D.lgs. n. 33/2013.
A cura di Dott. Edoardo Eucalipto
[1] «[…] qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento», Art. 4 § 1 n. 11 del Reg. (UE) n. 2016/679; cfr. anche Linee Guida 5/200 sul consenso ai sensi del Regolamento (UE) 2016/679 versione 1.1. del 04 maggio 2020, European Data Protection Board, in www.edpb.europa.eu;
[2] Art. 1 L. n. 219 del 22 dicembre 2017, in G.U. n. 12 del 16 gennaio 2018, anche www.normattiva.it;
[3] Artt. 8 Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione e 9 Trattamento di categorie particolari di dati personali del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – R.G.P.D. o G.D.P.R., in G.U.E. L. 119/1 del 04 maggio 2016, anche in eur-lex.europa.eu;
[4] “[…] il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale […]”, Art. 2-quinquies Consenso del minore in relazione ai servizi della società dell’informazione, D.lgs. n. 196 del 30 giugno 2003, in G.U. n. 174 del 29 luglio 2003, Suppl. Ord. n. 123, e ss. mm.ii.;
[5] Il caso riguardava la pubblicazione sul sito web istituzionale dell’Istituto Scolastico “Convocazione GHL (Gruppo di Lavoro per l’Handicap operativo)” e includeva un calendario delle riunioni dei consigli delle classi con un elenco dei nomi degli studenti minori disabili che avrebbero partecipato. Cfr. Corte dei conti, Sez. Giurisdizionale Regione Lazio, Sentenza n. 246 del 28 maggio 2019, anche in www.lagazzettadeglientilocali.it; Cfr. Provv. Autorità Garante per la Protezione dei Dati Personali n. 36127/97738 del 22 dicembre 2015, in www.garanteprivacy.it;
[6] «[…] il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. […] L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato. […]», cfr. Art. 7 Condizioni per il Consenso, Reg. (UE) n. 2016/679 cit.;
[7] Cfr. Vademecum “La Scuola a Prova di Privacy” e “Scuola e privacy – Le FAQ del Garante” Autorità Garante per la protezione dei Dati Personali, in www.gpdp.it/temi/scuola;
[8] Può configurare il reato di cui all’art. 167 del D.lgs. n. 196/2003 Trattamento illecito di dati, D.lgs. n. 196 del 30 giugno 2003, in G.U. n. 174 del 29 luglio 2003, Suppl. Ord. n. 123, e ss. mm.ii.;
[9] Cfr. Art. 600 ter Pornografia minorile & Art. 612 ter Diffusione illecita di immagini o video sessualmente espliciti, Regio Decreto n. 1398, del 19 ottobre 1930, aggiornato con L. n. 69 del 19 luglio 2019 e succ. L. n. 181 del 2 dicembre 2025, da ultimo in G.U. n. 280 del 02 dicembre 2025;
[10] In merito agli utilizzi di Registri Elettronici, si noti che il fornitore del Registro Elettronico è comunque da inquadrare quale fornitore esterno del Trattamento di Dati personali ai sensi dell’art. 28 G.D.P.R. con tutte le conseguenze in merito ai diritti degli interessati e alle violazioni di dati personali da comunicare all’Autorità Garante; Cfr. Comunicazione Data Breach Axios Italia a seguito di attacco Ransomware da parte degli istituti scolastici, a far data dal 05 aprile 2021, ai sensi dell’art. 33 G.D.P.R., in axiositalia.it.
[11] «[…] diverse iniziative nazionali ed europee, come la strategia europea per un’internet migliore per i ragazzi (BIK+), individuano nella garanzia dell’età una soluzione per migliorare il benessere dei minori online attraverso un ambiente digitale sicuro e adeguato all’età, in linea con i diritti e i principi digitali europei […]. “garanzia dell’età” come termine generico relativo ai metodi utilizzati per determinare l’età o la fascia di età di un individuo con diversi livelli di affidabilità o certezza»; Cfr. anche per approfondimento la Dichiarazione 01/2025 sulla Garanzia dell’Età, European Data Protection Board, 11 febbraio 2025, in www.edpb.europa.eu/.
