L’uso dell’intelligenza artificiale a scuola solleva questioni di conformità e tutela dei dati personali.
L’intelligenza artificiale è ormai dappertutto.
È nei motori di ricerca, nei software di scrittura, nei sistemi di traduzione, nei programmi di grafica, e da qualche mese anche in una parte consistente della formazione scolastica.
Ogni settimana nascono nuovi corsi per docenti e studenti sull’uso dell’IA, a volte centrati sugli strumenti, altre sulla didattica, altre ancora sulla cittadinanza digitale.
Eppure, proprio mentre la scuola si apre a queste sperimentazioni, emerge un dato poco discusso: usare l’intelligenza artificiale in modo conforme al GDPR è tutt’altro che semplice.
Le piattaforme più diffuse, come ChatGPT e Gemini, non sempre garantiscono la piena tutela dei dati, e i margini di conformità variano a seconda delle versioni, delle impostazioni e dei contratti.
Le linee guida italiane ed europee
Le Linee guida del Ministero dell’Istruzione e del Merito del 9 agosto 2025 ammettono l’uso dell’intelligenza artificiale a scuola, ma pongono condizioni molto chiare.
Gli strumenti possono essere impiegati solo se:
rispettano il Regolamento europeo sulla protezione dei dati (GDPR),
non trattano dati personali di studenti o docenti,
operano in ambienti controllati, sotto la responsabilità dell’istituto.
Alle disposizioni nazionali si affiancano le Linee guida europee per l’uso educativo dell’intelligenza artificiale generativa (8–11 aprile 2025), che sottolineano un aspetto cruciale:
nessuna piattaforma di IA generativa è, a oggi, approvata a livello di sistema educativo europeo.
Di conseguenza, ogni scuola è chiamata a valutare in autonomia i rischi, le garanzie e le modalità d’uso.
Gemini e ChatGPT a confronto
Nel panorama attuale, Gemini e ChatGPT sono i due strumenti più utilizzati dai docenti per la sperimentazione didattica.
Entrambi offrono opportunità reali di supporto alla progettazione e alla personalizzazione dell’apprendimento, ma con differenze rilevanti dal punto di vista normativo.
Gemini
Gemini è integrato in Google Workspace for Education e, se usato all’interno del dominio scolastico istituzionale, può rispettare il GDPR.
In questo contesto:
la scuola mantiene il controllo dei dati,
i prompt non vengono usati per addestrare modelli,
l’accesso è tracciato e gestito a livello amministrativo.
I docenti possono impiegarlo per creare materiali didattici, schede di esercitazione o testi di supporto, a condizione che non vi siano riferimenti identificativi a persone.
Con account personali, invece, i dati possono transitare su server extra-UE ed essere conservati per finalità di addestramento.
ChatGPT
Le versioni Free e Plus di ChatGPT non rispettano i criteri del GDPR, poiché i prompt possono essere memorizzati e usati per il miglioramento del modello, e i dati passano su server esterni.
Le versioni Enterprise e Edu prevedono invece data residency in Europa e la possibilità di disattivare la conservazione dei prompt, ma in Italia queste versioni non sono ancora attivabili nelle scuole, solo in contesti universitari o aziendali.
A conferma della complessità del tema, nel dicembre 2024 il Garante per la protezione dei dati personali ha inflitto a OpenAI una sanzione di 15 milioni di euro, ritenendo che ChatGPT non garantisse una base giuridica adeguata per l’uso dei dati personali, né una sufficiente trasparenza nelle informative agli utenti.
L’episodio evidenzia quanto sia ancora instabile il quadro di conformità dei sistemi di IA generativa rispetto alle norme europee sulla privacy.
Docenti e studenti: condizioni diverse
Ruolo
Ammesso
Condizioni
Docenti
Sì
Solo con account istituzionali, senza inserire dati personali, per finalità di preparazione o ricerca didattica.
Studenti
Solo se autorizzati
Uso in ambienti controllati e con consenso informato; vietato l’uso di account personali.
Il nodo dei dati
Il punto critico è la gestione dei dati personali.
Il GDPR richiede che ogni trattamento sia fondato su una base giuridica e avvenga con garanzie di sicurezza adeguate.
Con l’IA generativa, molti servizi operano con infrastrutture distribuite anche fuori dall’UE, con possibili trasferimenti verso paesi che non offrono lo stesso livello di protezione.
Per questo le linee guida MIM 2025 suggeriscono di privilegiare soluzioni istituzionali o ospitate in Europa e di evitare di inserire nei prompt qualsiasi informazione che identifichi una persona.
Una situazione paradossale
La scuola è invitata a formare su IA, ma non dispone ancora di piattaforme pienamente conformi per un utilizzo sistematico in classe.
Serve una riflessione congiunta, tecnica, normativa e pedagogica.
Pier Luigi Lai
—–
Per un confronto tra esperienze
Alla luce di questa complessità, è utile un confronto tra formatori, dirigenti e insegnanti.
Condividere pratiche e criticità può aiutare a costruire un approccio sostenibile all’IA a scuola.
Nota conclusiva
In questo articolo mi sono soffermato soltanto su Gemini e ChatGPT, due strumenti oggi molto diffusi.
Non ho analizzato altre piattaforme di IA — linguistiche, visive o multimodali — che presentano aspetti di non conformità al GDPR ancora più complessi e che richiederebbero un esame specifico.
Riferimenti bibliografici e sitografici
Ministero dell’Istruzione e del Merito (2025), Linee guida per l’introduzione dell’intelligenza artificiale nelle istituzioni scolastiche, 9 agosto 2025.
European Schools (2025), Legal and pedagogical guidelines for the educational use of generative AI in the European Schools, Ref. 2025-01-D-66-en-2, 8–11 aprile 2025.
Regolamento (UE) 2016/679 (GDPR), Parlamento europeo e Consiglio.
Garante per la protezione dei dati personali (2024), Sanzione a OpenAI per violazioni del GDPR relative a ChatGPT, comunicato, dicembre 2024.
OpenAI, Policies & Data Processing Addendum — https://openai.com/policies
Google Workspace for Education, Data Processing Amendment — https://edu.google.com/intl/it/
EU–US Data Privacy Framework — https://www.dataprivacyframework.gov
