Categoria: News

Devo sospendere subito l’accesso con credenziali?

No: non è richiesto alcun blocco immediato e indiscriminato degli accessi con credenziali tradizionali.

La Legge n. 182/2025, art. 51, non impone una disattivazione automatica e immediata, ma introduce un indirizzo normativo: l’accesso ai servizi scolastici digitali deve evolvere verso modalità di autenticazione forte e identità certa (SPID/CIE).

Il senso della norma non è “chiudere domani le porte”, ma guidare una transizione ordinata dal modello delle credenziali locali a quello dell’identità digitale nazionale.

1. Cosa dice davvero la norma

La legge stabilisce che:

  • l’accesso ai registri online avviene tramite SPID o CIE;
  • nel primo ciclo l’accesso per le comunicazioni è in capo ai genitori o esercenti responsabilità genitoriale;
  • gli alunni del primo ciclo non sono titolari di account del registro elettronico.

Questo significa che SPID/CIE diventa lo standard di riferimento, non che ogni altro accesso debba essere immediatamente disabilitato, ma dovrà essere disabilitato a breve comunicando un termine.

2. Cosa non è richiesto al Dirigente oggi

Il Dirigente non è tenuto a:

  • bloccare immediatamente tutti gli account esistenti;
  • impedire l’accesso a famiglie che non sono ancora dotate di SPID o CIE;
  • creare disservizi, esclusioni o difficoltà operative nel corso dell’anno scolastico.

Un blocco improvviso potrebbe anzi produrre:

  • discontinuità del servizio pubblico;
  • difficoltà di accesso per famiglie fragili o digitalmente svantaggiate;
  • contenzioso e reclami per interruzione di servizio essenziale.

3. Cosa è invece richiesto al Dirigente

Al Dirigente è richiesto di governare la transizione, non di subirla.

In concreto:

a) Assumere una decisione di indirizzo

Formalizzare che:

  • SPID/CIE è la modalità di accesso di riferimento;
  • le credenziali locali sono tollerate in fase transitoria (stabilire data, suggeriamo un mese dalla comunicazione).

b) Attivare (o pianificare) SPID/CIE

  • Verificare con il fornitore del registro la disponibilità e configurazione dell’accesso SPID/CIE;
  • Pianificare la progressiva migrazione (es. per i nuovi iscritti, per i nuovi account, per determinate funzioni).

c) Informare correttamente famiglie e personale

Comunicare che:

  • SPID/CIE è la modalità consigliata e futura;
  • l’accesso non verrà interrotto senza preavviso;
  • saranno previste forme di accompagnamento.

d) Integrare la scelta negli atti di istituto

Regolamento, Patti, PTOF, policy di comunicazione: è qui che la scuola rende “ufficiale” la propria governance digitale.

4. La logica di fondo: non tecnica, ma istituzionale

SPID/CIE non è una complicazione tecnica, ma:

  • garantisce identità certa;
  • tutela famiglie e scuola;
  • riduce usi impropri, accessi promiscui e responsabilità non chiare;
  • rafforza la natura pubblica e istituzionale del registro elettronico.

È uno strumento di tutela della scuola, non di controllo sui cittadini.

5. In sintesi

  • Domanda Risposta
  • Devo bloccare subito le credenziali? No
  • Devo prevedere SPID/CIE? Sì
  • Devo governare la transizione? Sì
  • Devo evitare disservizi? Sì
  • Devo formalizzare una policy? Sì

A breve rilasceremo un articolo molto più dettagliato e vi forniremo bozza delle comunicazioni sia per il personale che per le famiglie.

Staff GDPR Istruzione: Attilio Milli DPO - Valentino Valente DPO

Categoria: News
 L’intelligenza artificiale è entrata in modo stabile nel contesto educativo e organizzativo delle istituzioni scolastiche. La sua presenza, tuttavia, non può essere affidata a iniziative individuali, a sperimentazioni isolate o a soluzioni tecniche non governate. È necessario, oggi più che mai, che le scuole si dotino di strumenti chiari, condivisi e giuridicamente fondati per disciplinare e orientare l’uso dell’IA.
 
Per questo il gruppo di DPO di GDPRistruzione.it mette a disposizione delle scuole clienti due documenti integrati:
  • il Regolamento per l’uso dell’Intelligenza Artificiale nell’Istituto, che definisce regole, divieti, responsabilità, procedure e tutele;
  • il Piano d’Istituto per l’Intelligenza Artificiale (PIA), che inquadra l’adozione dell’IA dal punto di vista pedagogico, organizzativo e strategico.
 
I due documenti sono pensati per essere complementari: il Regolamento stabilisce il “che cosa è consentito e che cosa no”, il Piano definisce “perché, come e con quali obiettivi” l’IA può essere introdotta nella scuola. Insieme costituiscono un vero e proprio sistema di governance dell’innovazione, coerente con il Regolamento europeo sull’intelligenza artificiale (AI Act), con il GDPR e con le Linee guida del Ministero dell’Istruzione e del Merito.
 
Non si tratta di documenti tecnicistici né di atti simbolici, ma di strumenti operativi, pensati per aiutare le scuole a:
  • tutelare i diritti degli studenti, in particolare dei minori;
  •  
  • garantire trasparenza, responsabilità e supervisione umana nell’uso dell’IA;
  •  
  • prevenire utilizzi impropri, rischiosi o non conformi alla normativa;
  •  
  • accompagnare in modo consapevole l’innovazione tecnologica.

 Accedi per scaricare i documenti.

Categoria: News

Gestione corretta dei GLO

 

Sempre più spesso riscontriamo criticità nella gestione dei GLO, causa, a volte, di redazione di Data Breach.


Convocazione e tenuta dei GLO 📧


Non è ammessa alcuna pubblicazione (circolari, convocazioni etc.) con dati da cui è possibile risalire ai nominativi degli interessati. 🚫 L’anonimizzazione con iniziali del nome e cognome non è assolutamente conforme alla normativa sulla privacy come evidenziato dal Garante.


E’ ammessa la convocazione delle riunioni tramite invio di mail da account istituzionale (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) solo ai destinatari tenuti a far parte del team di lavoro inseriti in copia carbone nascosta CCN/BCC, in modo tale che ciascuno non rilevi gli altri destinatari a cui è stata inviata la mail. 📩


Qualora il soggetto incaricato della ASL pretenda l’indicazione del nominativo dell’alunno per cui è organizzato il GLO, questo dato è possibile comunicarlo all’indirizzo istituzionale della ASL preferibilmente in PEC.


Videoconferenza GLO 💻


Per prassi le ASL richiedono di partecipare in videoconferenza organizzata dall’Istituto scolastico spesso tramite account gratuiti di meet e teams.

Tramite mail dell’Istituto è ammissibile l’invio del link di partecipazione alla videoconferenza applicando le seguenti regole:

  • Divieto assoluto di inserire nome e cognome alunno (è possibile utilizzare pseudonimo e non iniziali di nome e cognome);
  • Divieto assoluto di registrazione;
  • Ammissione alla Videoconferenza in modalità manuale dopo aver effettuato controllo del richiedente;
  • Predisposizione di Videoconferenze individuali in modo da avere la partecipazione alle stesse solo per i docenti, personale ASL e famiglia dell’alunno;
  • Evitare di utilizzare la stessa videoconferenza per più GLO consecutivi, ovvero assicurandosi che i partecipanti del GLO siano gli effettivi appartenenti al team.


Nella gestione dei GLO è fortemente raccomandato, seppur faticoso, l’uso di pseudonimi a migliore tutela della privacy dell’alunno.


Ricordiamo che sarebbe preferibile utilizzare sistemi di videoconferenza proprietari su server residenti in Europa che utilizzano la crittografia.

Categoria: News

Regolamento per la pubblicazione di contenuti sul sito web e sui canali social degli istituti scolastici

La comunicazione digitale riveste oggi un ruolo fondamentale per le istituzioni scolastiche, che sempre più spesso utilizzano siti web e canali social ufficiali per condividere attività, progetti e iniziative educative.

Tuttavia, la pubblicazione online di contenuti richiede attenzione e competenze specifiche per garantire il rispetto delle normative in materia di privacy, accessibilità, trasparenza e sicurezza digitale.

Per supportare il personale scolastico nella corretta gestione della comunicazione istituzionale, GDPR Istruzione mette a disposizione un modello aggiornato di Regolamento per la pubblicazione di contenuti sul sito web e sui canali social dell’Istituto scolastico.

Il documento, redatto in conformità al Regolamento (UE) 2016/679 (GDPR), al Codice dell’Amministrazione Digitale, alle Linee Guida AgID e alla Legge 69/2025 che introduce la figura del Social Media e Digital Manager, definisce:

  • ruoli e responsabilità nella gestione dei contenuti digitali;
  • criteri di pubblicazione e tutela della privacy;
  • requisiti tecnici di accessibilità e sicurezza;
  • buone pratiche per la comunicazione istituzionale e l’uso consapevole dei social media.

Categoria: News

📢 Lista di cose da fare per GESTIRE LA PRIVACY A SCUOLA

GDPR Istruzione: la privacy senza preoccupazione!

Se la gestione dei documenti sulla privacy a scuola ti sembra un labirinto, non sei solo. Tra informative, consensi, nomine e aggiornamenti normativi, è facile sentirsi sommersi.

Per questo motivo, abbiamo creato una risorsa che mette finalmente ordine e chiarezza nelle tue procedure: un video tutorial e la guida pratica che lo accompagna!

✅ Privacy a Scuola: la lista delle cose da fare

Nel nostro ultimo video (trovi il link qui sotto), ti guidiamo passo dopo passo attraverso la normativa vigente e le procedure essenziali. Non è una lezione di diritto, ma una vera e propria lista di cose da fare per garantire che la tua scuola sia perfettamente conforme.

Cosa imparerai guardando il video e scaricando la guida:

1. Zero dubbi sulle informative

Scopri quali informative sono obbligatorie (alunni, personale, fornitori) e dove pubblicarle (sito web, registro elettronico). Ti spieghiamo anche quando non serve l'informativa specifica.

2. Quando serve davvero il consenso?

Fare chiarezza sul consenso ti farà risparmiare tempo e ti metterà al sicuro da rischi. Ti mostriamo quando l'autorizzazione è necessaria (ad esempio, per le foto) e quando invece è già coperta dagli obblighi di legge.

3. Chi fa cosa: trattamenti e responsabilità

Abbiamo mappato tutti i principali trattamenti dati della scuola (dalla selezione del personale alla didattica, T1-T9), indicando chiaramente chi ne è autorizzato (DS, DSGA, Assistenti Amministrativi, ecc.).

4. Autorizzazioni/Nomine e Responsabili Esterni

Ti guidiamo nella stesura e nella gestione delle lettere di autorizzazione per tutto il personale interno e ti spieghiamo come gestire la nomina dei Responsabili Esterni (come le ditte del registro elettronico o dell'assistenza informatica).

🎥 Guarda il video

Clicca qui sotto per accedere al tutorial completo e avere subito una visione chiara di tutte le procedure.

➡️ https://www.youtube.com/watch?v=S0SPdA1GWz4

📄 Vuoi la guida stampabile?

Per chi preferisce la consultazione su carta o non può usare il video, abbiamo preparato una guida pratica completa in formato PDF. La trovi QUI