Didattica digitale sotto sorveglianza

Il Garante Privacy austriaco ha sanzionato Microsoft 365 Education per violazioni del GDPR, rilevando l’uso di cookie di tracciamento non necessari per le finalità didattiche e la gestione non conforme dei dati personali degli studenti minori. La decisione accerta la responsabilità di Microsoft, in qualità di titolare del trattamento, ed invita il provider a cancellare i dati personali ed i cookie raccolti in modo non conforme.

Questa pronuncia si inserisce in un contesto europeo crescente di enforcement del GDPR nel settore educativo e, parimenti, di diffusione di soluzioni digitali e strumenti di intelligenza

artificiale a livello scolastico. L’Italia ha adottato specifici provvedimenti per un’implementazione graduale e responsabile dell’intelligenza artificiale nel settore scolastico, con particolare attenzione alla tutela dei minori.

Il Garante per la privacy austriaco ha ritenuto che Microsoft 365 Education – piattaforma cloud utilizzata per la didattica a distanza – operi in violazione del GDPR, a causa dell’utilizzo di sistemi di tracking non necessari per le finalità didattiche e della gestione dei dati personali degli studenti, in particolare dei minori. La decisione è esaminata da Cybernews nell’articolo di Anton Mous, “Microsoft may not track school children, Austrian DPA says”: al riguardo, si rileva che il GDPR riconosce una tutela rafforzata per i minori, tenendo conto del fatto che “I minori […] possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cfr. considerando 38 del GDPR).

La decisione austriaca prende le mosse da una denuncia presentata nel 2024 da NoYB –ECDR (None of Your Business – European Centre for Digital Rights) nell’interesse di un minore, la cui scuola utilizzava la piattaforma in questione per attività didattiche. Secondo l’autorità austriaca, il software di Microsoft installa cookie di tracciamento tali da raccogliere dati degli studenti senza il consenso informato degli interessati o dei loro rappresentanti legali (e, pertanto, senza base giuridica). Inoltre, si contesta l’utilizzo, da parte di Microsoft, dei dati raccolti per finalità non chiare e senz’altro ulteriori rispetto alla fornitura della piattaforma educativa (ad esempio, per finalità di “modellazione del business” o “efficienza energetica”). A ciò si aggiunge la negazione, da parte di Microsoft, dell’accesso completo ai dati personali degli interessati, in violazione dell’art. 15 del GDPR. Più in generale, Microsoft non ha chiarito la portata del trattamento che svolge sui dati personali, così omettendo una spiegazione trasparente delle finalità e dei destinatari dei trattamenti. Non risulta indicato, inoltre, se e in quale misura i dati degli studenti sono comunicati a fornitori terzi (come Linkedin).

La difesa di Microsoft ha sostenuto che la responsabilità della gestione e tutela dei dati personali degli studenti ricade sulle singole scuole; tuttavia, l’autorità austriaca ha evidenziato che, al di là delle responsabilità proprie delle scuole per i loro trattamenti, è Microsoft, in qualità di fornitore del servizio, a dover garantire la piena trasparenza sulle informazioni raccolte attraverso la piattaforma. Difatti, l’azienda utilizza i dati personali raccolti per finalità proprie – in qualità di titolare del trattamento – decidendo le funzionalità dei cookie, mentre le scuole non dispongono di informazioni complete su tali strumenti.

Conseguentemente, il Garante austriaco ha ritenuto illecito il trattamento, invitando il provider a garantire pieno accesso ai dati e a eliminare i record  raccolti in modo non conforme (come i cookie non strettamente necessari).

La decisione austriaca si inserisce in un contesto europeo sempre più attento al trattamento dei dati dei minori e alle piattaforme digitali educative. Già nel 2022 il Garante tedesco per la privacy aveva sollevato dubbi sulla compatibilità di Microsoft 365 Education con le normative europee. Inoltre, nel 2024, il Garante europeo della protezione dei dati (EDPS) ha contestato alla stessa Commissione Europea la violazione del GDPR nell’uso dei servizi di Microsoft 365 Education (sull’introduzione di questi ultimi per i servizi digitali scolastici e sulle relative perplessità,, si rinvia all’articolo dell’Osservatorio di Sveva Del Gatto, “La collaborazione MIUR-Microsoft per i servizi digitali alla scuola”). Le criticità legate all’utilizzo di Microsoft 365 Education erano quindi state individuate già prima della decisione in commento.

La decisione del Garante austriaco ha il merito di mettere in luce i problemi strutturali del rapporto tra grandi piattaforme tecnologiche e il sistema educativo, quali: a) la mancanza di trasparenza nella catena di responsabilità tra provider, istituzioni scolastiche e autorità educative. Difatti Microsoft, tramite le proprie condizioni contrattuali, ha tentato di attribuire agli enti scolastici gli obblighi di compliance, ma l’autorità competente ha chiarito che la responsabilità primaria per il trattamento dei dati personali è a carico del soggetto che ne assume, da un punto di vista fattuale, il controllo; b) l’impiego di tecnologie di tracking non strettamente necessarie per l’erogazione del servizio educativo, che mette in discussione la liceità stessa del trattamento per finalità ulteriori, specialmente quando sono coinvolti dati di minori; c) la non liceità del rifiuto della piattaforma educativa di fornire accesso completo ai dati personali dell’utente.

Ill tema dei cookie nelle piattaforme educative si inserisce in una riflessione più ampia sull’uso crescente della tecnologia e dell’intelligenza artificiale in ambito scolastico (si veda quanto scritto per l’Osservatorio da Ciro Petrone e Vittoria Zuccari, in “La digitalizzazione nelle scuole: potenziale non sfruttato e nuove sfide”, 1 novembre 2023). Basti pensare al lancio, da parte di Open AI, di Study Mode, quale nuova “esperienza di apprendimento” integrata in ChatGPT, asseritamente progettata per guidare lo studente, passo dopo passo, nel proprio percorso; è chiaro il tentativo degli strumenti di IA generativa di qualificarsi piattaforme pedagogiche ed educative, tentativo che dovrebbe essere oggetto di un’attenta e non condizionata valutazione.

L’utilizzo dei dati personali in ambito scolastico, in particolare attraverso piattaforme online e contenuti multimediali, è stato oggetto di specifica attenzione anche del Garante italiano, attraverso la pubblicazione di un vademecum (“La scuola a prova di privacy 2025”), che affronta il rapporto tra le ordinarie attività scolastiche e la tutela dei dati personali (ad esempio, iscrizioni online, graduatorie del personale).

Inoltre, il Ministero dell’Istruzione e del Merito ha adottato specifiche linee guida – allegate al Decreto ministeriale 9 agosto 2025, n. 166 – per l’introduzione della cd. intelligenza artificiale nelle istituzioni scolastiche, al fine di promuoverne un’implementazione graduale e responsabile. Si ritiene che tali sistemi possano contribuire a semplificare i processi organizzativi, gestionali e velocizzare compiti amministrativi complessi, nonché a personalizzare i percorsi di apprendimento. Affermazioni tutte da dimostrare, fermi restando i rischi insiti nel loro funzionamento e nel loro utilizzo, nonché il problema, anche sociale ed etico, di delegare compiti apparentemente cognitivi (ma che tali non sono, trattandosi pur sempre di software programmato), con riduzione dell’impegno attivo e compromissione del pensiero critico dei più giovani.

Per queste ragioni, di conseguenza, si ribadisce (e sarà importante farlo in maniera sempre più estesa) l’approccio antropocentrico e il rispetto dei principi di equità, trasparenza, responsabilità, sorveglianza umana, sicurezza dei minori e protezione dei dati nel rispetto del GDPR. Difatti, le scuole, in qualità di “deployer” (utilizzatori), devono garantire che i sistemi usati rispettino il GDPR. Tra i punti di attenzione, analizzando rischi e misure di mitigazione, c’è anche quello relativo alla selezione dei fornitori di sistemi di cd. IA, che deve basarsi su standard di sicurezza internazionali, come le certificazioni ISO/IEC 27001; è necessario, inoltre, verificare che i sistemi offerti rispettino specifici requisiti di sicurezza, inclusi quelli per la gestione di categorie particolari di dati, e che i fornitori siano in grado di dimostrare trasparenza e tracciabilità delle loro operazioni, garantendo in ogni caso la protezione dei dati personali.

Nel proprio parere positivo allo schema del decreto ministeriale sopra citato, il Garante italiano ribadisce la necessità di una rigorosa osservanza (a ben vedere, in re ipsa) dei divieti concernenti le pratiche vietate di cui all’art. 5 del Regolamento 1689/2024 (“AI Act”), come il riconoscimento delle emozioni in ambito scolastico. Inoltre, si osserva che tra i sistemi di intelligenza artificiale ad alto rischio – ossia che, per funzione, contesto o impatto, possono incidere in modo significativo sui diritti fondamentali, sicurezza o interessi giuridicamente rilevanti delle persone – rientrano anche alcune tipologie di sistemi usati nell’ambito educativo e della formazione (ad esempio, per valutare studenti, per monitorare o profilare comportamenti di apprendimento). Oltre a richiamare il rispetto dell’AI Act, il Garante per la privacy, nel proprio parere, ribadisce: (a) le garanzie di trasparenza che gli istituti sono tenuti ad assicurare nei confronti degli interessati; (b) l’importanza della chiara definizione di ruoli e responsabilità dei soggetti coinvolti nell’utilizzo dei sistemi di IA, anche in qualità di titolari del trattamento; (c) lo svolgimento di adeguate attività formative, audit e valutazioni periodiche volte a verificare la correttezza dei sistemi utilizzati; (d) l’invito a preferire, ove possibile, l’utilizzo di dati sintetici o anonimizzati.

Si aggiunge che l’utilizzo di sistemi di cosiddetta intelligenza artificiale in ambito scolastico è un punto espressamente inserito, per la prima volta, nel piano ispettivo adottato dal Garante per il 2026; il tema, quindi, sarà senz’altro oggetto di attenzione e approfondimento sempre maggiori.

Al fine di incentivare un’evoluzione della disciplina sulle piattaforme educative, è auspicabile che siano adottate specifiche misure, alcune delle quali richiedono un intervento legislativo. In primo luogo, sarebbe consigliabile un regime minimo armonizzato a livello europeo, che individui con precisione i limiti e i requisiti per l’utilizzo di dati personali dei minori, oltre alle regole generali già presenti nel GDPR. In secondo luogo, potrebbe affiancarsi l’introduzione di meccanismi di certificazione specifici per soluzioni EdTech (come già previsto dall’art. 42 GDPR per i codici di condotta e le certificazioni). In terzo luogo, infine, da un punto di vista contrattuale, negli accordi tra scuole e provider tecnologici dovrebbero essere inserite clausole che attribuiscano in modo inequivocabile la responsabilità delle diverse categorie di trattamento di dati personali; questa circostanza contrasta chiaramente con la prassi di predisposizione unilaterale, da parte dei provider, dei termini contrattuali con contenuti usualmente sbilanciati a favore degli stessi.

In conclusione, la decisione dell’autorità austriaca in merito a Microsoft 365 Education – insieme gli altri provvedimenti adottati in relazione all’ambito scolastico – rappresenta un esempio di forte e deciso enforcement del GDPR nel contesto educativo. Essa conferma che l’adozione di strumenti digitali, anche in settori socialmente sensibili come la scuola, non può prescindere dal pieno rispetto dei diritti fondamentali dei minori e dalla trasparenza nei trattamenti dei dati. In Italia, come nel resto dell’Unione, questa vicenda offre l’occasione per ripensare le strategie normative, contrattuali e operative che regolano l’integrazione delle tecnologie educative, rafforzando un approccio basato sui principi di legalità e accountability. Al riguardo, anziché procedere con verifiche ex post, bisognerebbe progettare ex ante gli ecosistemi educativi in un modo che limiti strutturalmente la raccolta dei dati e l’uso dell’IA in base ai criteri di necessità, proporzionalità e trasparenza. Nell’insieme, d’altro canto, è sempre più urgente una strategia che contrasti nei fatti, e non solo nei proclami e nelle dichiarazioni, l’uso incontrollato di determinati sistemi e la dipendenza tecnologica, soprattutto quando in gioco vi sono i diritti dei minori.