Devo sospendere subito l’accesso con credenziali?

No: non è richiesto alcun blocco immediato e indiscriminato degli accessi con credenziali tradizionali.

La Legge n. 182/2025, art. 51, non impone una disattivazione automatica e immediata, ma introduce un indirizzo normativo: l’accesso ai servizi scolastici digitali deve evolvere verso modalità di autenticazione forte e identità certa (SPID/CIE).

Il senso della norma non è “chiudere domani le porte”, ma guidare una transizione ordinata dal modello delle credenziali locali a quello dell’identità digitale nazionale.

1. Cosa dice davvero la norma

La legge stabilisce che:

  • l’accesso ai registri online avviene tramite SPID o CIE;
  • nel primo ciclo l’accesso per le comunicazioni è in capo ai genitori o esercenti responsabilità genitoriale;
  • gli alunni del primo ciclo non sono titolari di account del registro elettronico.

Questo significa che SPID/CIE diventa lo standard di riferimento, non che ogni altro accesso debba essere immediatamente disabilitato, ma dovrà essere disabilitato a breve comunicando un termine.

2. Cosa non è richiesto al Dirigente oggi

Il Dirigente non è tenuto a:

  • bloccare immediatamente tutti gli account esistenti;
  • impedire l’accesso a famiglie che non sono ancora dotate di SPID o CIE;
  • creare disservizi, esclusioni o difficoltà operative nel corso dell’anno scolastico.

Un blocco improvviso potrebbe anzi produrre:

  • discontinuità del servizio pubblico;
  • difficoltà di accesso per famiglie fragili o digitalmente svantaggiate;
  • contenzioso e reclami per interruzione di servizio essenziale.

3. Cosa è invece richiesto al Dirigente

Al Dirigente è richiesto di governare la transizione, non di subirla.

In concreto:

a) Assumere una decisione di indirizzo

Formalizzare che:

  • SPID/CIE è la modalità di accesso di riferimento;
  • le credenziali locali sono tollerate in fase transitoria (stabilire data, suggeriamo un mese dalla comunicazione).

b) Attivare (o pianificare) SPID/CIE

  • Verificare con il fornitore del registro la disponibilità e configurazione dell’accesso SPID/CIE;
  • Pianificare la progressiva migrazione (es. per i nuovi iscritti, per i nuovi account, per determinate funzioni).

c) Informare correttamente famiglie e personale

Comunicare che:

  • SPID/CIE è la modalità consigliata e futura;
  • l’accesso non verrà interrotto senza preavviso;
  • saranno previste forme di accompagnamento.

d) Integrare la scelta negli atti di istituto

Regolamento, Patti, PTOF, policy di comunicazione: è qui che la scuola rende “ufficiale” la propria governance digitale.

4. La logica di fondo: non tecnica, ma istituzionale

SPID/CIE non è una complicazione tecnica, ma:

  • garantisce identità certa;
  • tutela famiglie e scuola;
  • riduce usi impropri, accessi promiscui e responsabilità non chiare;
  • rafforza la natura pubblica e istituzionale del registro elettronico.

È uno strumento di tutela della scuola, non di controllo sui cittadini.

5. In sintesi

  • Domanda Risposta
  • Devo bloccare subito le credenziali? No
  • Devo prevedere SPID/CIE? Sì
  • Devo governare la transizione? Sì
  • Devo evitare disservizi? Sì
  • Devo formalizzare una policy? Sì

A breve rilasceremo un articolo molto più dettagliato e vi forniremo bozza delle comunicazioni sia per il personale che per le famiglie.

Staff GDPR Istruzione: Attilio Milli DPO - Valentino Valente DPO

 L’intelligenza artificiale è entrata in modo stabile nel contesto educativo e organizzativo delle istituzioni scolastiche. La sua presenza, tuttavia, non può essere affidata a iniziative individuali, a sperimentazioni isolate o a soluzioni tecniche non governate. È necessario, oggi più che mai, che le scuole si dotino di strumenti chiari, condivisi e giuridicamente fondati per disciplinare e orientare l’uso dell’IA.
 
Per questo il gruppo di DPO di GDPRistruzione.it mette a disposizione delle scuole clienti due documenti integrati:
  • il Regolamento per l’uso dell’Intelligenza Artificiale nell’Istituto, che definisce regole, divieti, responsabilità, procedure e tutele;
  • il Piano d’Istituto per l’Intelligenza Artificiale (PIA), che inquadra l’adozione dell’IA dal punto di vista pedagogico, organizzativo e strategico.
 
I due documenti sono pensati per essere complementari: il Regolamento stabilisce il “che cosa è consentito e che cosa no”, il Piano definisce “perché, come e con quali obiettivi” l’IA può essere introdotta nella scuola. Insieme costituiscono un vero e proprio sistema di governance dell’innovazione, coerente con il Regolamento europeo sull’intelligenza artificiale (AI Act), con il GDPR e con le Linee guida del Ministero dell’Istruzione e del Merito.
 
Non si tratta di documenti tecnicistici né di atti simbolici, ma di strumenti operativi, pensati per aiutare le scuole a:
  • tutelare i diritti degli studenti, in particolare dei minori;
  •  
  • garantire trasparenza, responsabilità e supervisione umana nell’uso dell’IA;
  •  
  • prevenire utilizzi impropri, rischiosi o non conformi alla normativa;
  •  
  • accompagnare in modo consapevole l’innovazione tecnologica.

 Accedi per scaricare i documenti.

Gestione corretta dei GLO

 

Sempre più spesso riscontriamo criticità nella gestione dei GLO, causa, a volte, di redazione di Data Breach.


Convocazione e tenuta dei GLO 📧


Non è ammessa alcuna pubblicazione (circolari, convocazioni etc.) con dati da cui è possibile risalire ai nominativi degli interessati. 🚫 L’anonimizzazione con iniziali del nome e cognome non è assolutamente conforme alla normativa sulla privacy come evidenziato dal Garante.


E’ ammessa la convocazione delle riunioni tramite invio di mail da account istituzionale (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) solo ai destinatari tenuti a far parte del team di lavoro inseriti in copia carbone nascosta CCN/BCC, in modo tale che ciascuno non rilevi gli altri destinatari a cui è stata inviata la mail. 📩


Qualora il soggetto incaricato della ASL pretenda l’indicazione del nominativo dell’alunno per cui è organizzato il GLO, questo dato è possibile comunicarlo all’indirizzo istituzionale della ASL preferibilmente in PEC.


Videoconferenza GLO 💻


Per prassi le ASL richiedono di partecipare in videoconferenza organizzata dall’Istituto scolastico spesso tramite account gratuiti di meet e teams.

Tramite mail dell’Istituto è ammissibile l’invio del link di partecipazione alla videoconferenza applicando le seguenti regole:

  • Divieto assoluto di inserire nome e cognome alunno (è possibile utilizzare pseudonimo e non iniziali di nome e cognome);
  • Divieto assoluto di registrazione;
  • Ammissione alla Videoconferenza in modalità manuale dopo aver effettuato controllo del richiedente;
  • Predisposizione di Videoconferenze individuali in modo da avere la partecipazione alle stesse solo per i docenti, personale ASL e famiglia dell’alunno;
  • Evitare di utilizzare la stessa videoconferenza per più GLO consecutivi, ovvero assicurandosi che i partecipanti del GLO siano gli effettivi appartenenti al team.


Nella gestione dei GLO è fortemente raccomandato, seppur faticoso, l’uso di pseudonimi a migliore tutela della privacy dell’alunno.


Ricordiamo che sarebbe preferibile utilizzare sistemi di videoconferenza proprietari su server residenti in Europa che utilizzano la crittografia.

Regolamento per la pubblicazione di contenuti sul sito web e sui canali social degli istituti scolastici

La comunicazione digitale riveste oggi un ruolo fondamentale per le istituzioni scolastiche, che sempre più spesso utilizzano siti web e canali social ufficiali per condividere attività, progetti e iniziative educative.

Tuttavia, la pubblicazione online di contenuti richiede attenzione e competenze specifiche per garantire il rispetto delle normative in materia di privacy, accessibilità, trasparenza e sicurezza digitale.

Per supportare il personale scolastico nella corretta gestione della comunicazione istituzionale, GDPR Istruzione mette a disposizione un modello aggiornato di Regolamento per la pubblicazione di contenuti sul sito web e sui canali social dell’Istituto scolastico.

Il documento, redatto in conformità al Regolamento (UE) 2016/679 (GDPR), al Codice dell’Amministrazione Digitale, alle Linee Guida AgID e alla Legge 69/2025 che introduce la figura del Social Media e Digital Manager, definisce:

  • ruoli e responsabilità nella gestione dei contenuti digitali;
  • criteri di pubblicazione e tutela della privacy;
  • requisiti tecnici di accessibilità e sicurezza;
  • buone pratiche per la comunicazione istituzionale e l’uso consapevole dei social media.

📢 Lista di cose da fare per GESTIRE LA PRIVACY A SCUOLA

GDPR Istruzione: la privacy senza preoccupazione!

Se la gestione dei documenti sulla privacy a scuola ti sembra un labirinto, non sei solo. Tra informative, consensi, nomine e aggiornamenti normativi, è facile sentirsi sommersi.

Per questo motivo, abbiamo creato una risorsa che mette finalmente ordine e chiarezza nelle tue procedure: un video tutorial e la guida pratica che lo accompagna!

✅ Privacy a Scuola: la lista delle cose da fare

Nel nostro ultimo video (trovi il link qui sotto), ti guidiamo passo dopo passo attraverso la normativa vigente e le procedure essenziali. Non è una lezione di diritto, ma una vera e propria lista di cose da fare per garantire che la tua scuola sia perfettamente conforme.

Cosa imparerai guardando il video e scaricando la guida:

1. Zero dubbi sulle informative

Scopri quali informative sono obbligatorie (alunni, personale, fornitori) e dove pubblicarle (sito web, registro elettronico). Ti spieghiamo anche quando non serve l'informativa specifica.

2. Quando serve davvero il consenso?

Fare chiarezza sul consenso ti farà risparmiare tempo e ti metterà al sicuro da rischi. Ti mostriamo quando l'autorizzazione è necessaria (ad esempio, per le foto) e quando invece è già coperta dagli obblighi di legge.

3. Chi fa cosa: trattamenti e responsabilità

Abbiamo mappato tutti i principali trattamenti dati della scuola (dalla selezione del personale alla didattica, T1-T9), indicando chiaramente chi ne è autorizzato (DS, DSGA, Assistenti Amministrativi, ecc.).

4. Autorizzazioni/Nomine e Responsabili Esterni

Ti guidiamo nella stesura e nella gestione delle lettere di autorizzazione per tutto il personale interno e ti spieghiamo come gestire la nomina dei Responsabili Esterni (come le ditte del registro elettronico o dell'assistenza informatica).

🎥 Guarda il video

Clicca qui sotto per accedere al tutorial completo e avere subito una visione chiara di tutte le procedure.

➡️ https://www.youtube.com/watch?v=S0SPdA1GWz4

📄 Vuoi la guida stampabile?

Per chi preferisce la consultazione su carta o non può usare il video, abbiamo preparato una guida pratica completa in formato PDF. La trovi QUI