VEDI ANCHE Newsletter del 10 settembre 2025

[doc. web n. 10162698]

Parere sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” - 4 agosto 2025

Registro dei provvedimenti
n. 454 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (di seguito, anche «Intelligenza Artificiale» o «IA») e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (di seguito, anche «Regolamento sull’IA»);

VISTO il Decreto-Legge 22 giugno 2023, n. 75, recante “Disposizioni urgenti in materia di organizzazione delle pubbliche amministrazioni, di agricoltura, di sport, di lavoro e per l’organizzazione del Giubileo della Chiesa cattolica per l’anno 2025” convertito, con modificazioni, dalla Legge 10 agosto 2023, n. 112 e, in particolare, l’articolo 21, comma 4-ter, secondo cui il Ministero dell’Istruzione e del Merito (di seguito, MIM) promuove la progettazione, lo sviluppo e la realizzazione della «Piattaforma Famiglie e Studenti», anche denominata «Unica» (di seguito, anche «Piattaforma» o «Unica»), quale canale unico di accesso al patrimonio informativo detenuto dal MIM e dalle Istituzioni Scolastiche, attraverso il quale famiglie e studenti possono fruire con modalità semplificate dei servizi digitali offerti dal Ministero e dalle Istituzioni Scolastiche;

CONSIDERATO che, in attuazione dell’articolo 21, comma 4-quinquies, del suddetto Decreto-Legge n. 75/2023, il MIM ha adottato il Decreto ministeriale 10 ottobre 2023, n. 192, avente a oggetto “la disciplina sul trattamento dei dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche nell’ambito della Piattaforma” e per il tramite del quale sono stati attivati specifici servizi digitali quali, in particolare, E-Portfolio, Docente Tutor e Gite Scolastiche, su cui il Garante ha reso il parere con provv. n. 468 del 10 ottobre 2023 (disponibile sul sito istituzionale www.gpdp.it, doc. web n. 9953443);

VISTO in particolare, l’articolo 11, comma 4, del Decreto Ministeriale n. 192/23, secondo cui «Con appositi decreti ministeriali di natura non regolamentare, il MIM, sentito il Garante per la protezione dei dati personali, provvederà, come previsto all’articolo 5, comma 6, del presente Decreto, a integrare e implementare nella Piattaforma: (i) i Servizi Digitali già erogati dal Ministero e dalle Istituzioni Scolastiche con applicativi diversi dalla Piattaforma medesima; (ii) i Servizi Digitali di nuova introduzione»;

VISTO altresì, il Decreto Ministeriale del 18 giugno 2024, n. 124, concernente la disciplina sul trattamento dei dati personali effettuato dal MIM e dalle Istituzioni Scolastiche nell’ambito dell’abilitazione di nuove utenze ai fini dell’accesso all’area privata della Piattaforma e del servizio digitale «Knowledge Area», su cui il Garante ha reso il parere con provv. n. 334 del 6 giugno 2024 (doc. web n. 10036855);

VISTA la nota del 28 luglio 2025 con cui il Ministero dell’Istruzione e del Merito ha trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto ministeriale, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” a cui sono allegate le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” (di seguito, Linee guida);

RILEVATO che il suddetto schema di decreto stabilisce, in particolare:

- che nell’ambito della Piattaforma Unica è implementato un Servizio Digitale mediante il quale, il Ministero, nell’ambito delle proprie funzioni di indirizzo e governo generale del sistema nazionale di istruzione e formazione, rende disponibili specifici contenuti e documenti informativi sull’IA, tra i quali apposite Linee Guida in materia di Intelligenza Artificiale, nonché una mappa delle sperimentazioni avviate dalle singole Istituzioni Scolastiche in materia, al fine di supportare le stesse nei possibili impieghi dell’IA e favorire l’acquisizione, da parte di studenti, studentesse e genitori/esercenti la responsabilità genitoriale, delle necessarie conoscenze digitali, al fine di poter godere dei benefici offerti dall’IA  e orientare le nuove generazioni verso un uso attento e consapevole delle nuove tecnologie (articolo 1);

- le modalità di accesso al Servizio Digitale (articoli 2 e 3);

- le Sezioni di cui si compone il Servizio Digitale e le relative funzionalità (articoli 4, 5, 6);

- i soggetti coinvolti nel trattamento dei dati personali e il ruolo svolto, prevedendo che il MIM è titolare del trattamento dei dati personali degli Utenti trattati nell’ambito della procedura di identificazione e autenticazione informatica nell’area privata della Piattaforma, restando ferma la responsabilità delle Istituzioni Scolastiche in merito alle informazioni di propria competenza che sono inserite nell’ambito della Sezione «Progetti IA», nonché la responsabilità per la loro esattezza, correttezza e aggiornamento (articolo 7);

- il MIM promuove un uso etico e trasparente dell’IA, garantendo il rispetto dei principi in materia di IA indicati all’interno degli «Orientamenti etici per un’IA affidabile» dell’8 aprile 2019 e richiamati dal Regolamento (UE) 2024/1689 citato. In ogni caso, sono oggetto di trattamento i soli dati personali comuni degli Utenti, acquisiti in fase di autenticazione all’area privata della Piattaforma e indicati all’interno dell’Allegato Tecnico al D.M. n. 192/2023 (articolo 8);

- il rispetto dei principi in materia di protezione dei dati personali e misure di sicurezza (articolo 9);

- con appositi decreti ministeriali di natura non regolamentare, il MIM provvederà a disciplinare nel dettaglio le modalità con le quali le Istituzioni Scolastiche dovranno progettare e realizzare le singole iniziative di IA, in conformità alla disciplina in materia di protezione dei dati personali e di IA, le iniziative di formazione che saranno attivate a favore delle Istituzioni Scolastiche in materia di IA, al fine di garantire un uso consapevole e responsabile dei sistemi di IA in ambito scolastico, gli ulteriori elementi volti a garantire che l’implementazione dei sistemi di IA da parte delle Istituzioni Scolastiche avvenga nel pieno rispetto dei diritti e dei valori sanciti dalla Carta dei diritti fondamentali dell’Unione europea e l’aggiornamento delle Linee Guida adottate con il Decreto in esame, nonché i modelli documentali alle medesime allegati (articolo 10);

RILEVATO, inoltre, che le linee guida allegate allo schema di decreto in esame, prevedono, in sintesi:

- gli obiettivi che il MIM intende perseguire con l’introduzione delle tecnologie di IA in ambito scolastico affinché diventino uno strumento per rafforzare la competitività del sistema educativo, preservandone la qualità, promuovendo l’equità e invitando studenti e Istituzioni scolastiche a sfruttare le potenzialità dell’IA con la giusta consapevolezza (paragrafo 1);

- i principi a sostegno dell’introduzione dell’IA, tra cui la “centralità della persona”, la “tutela dei diritti e delle libertà fondamentali” e la “sicurezza dei sistemi e modelli di IA” (paragrafo 2);

- i requisiti etici, tecnici e normativi necessari per assicurare un’adozione responsabile e sicura delle tecnologie di IA (paragrafo 3);

- le istruzioni operative e gli strumenti di accompagnamento per introdurre l’IA negli Istituti scolastici (paragrafo 4);

CONSIDERATO, in primo luogo, che i trattamenti di dati personali per compiti di interesse pubblico devono essere effettuati esclusivamente nel perseguimento delle finalità istituzionali dei rispettivi titolari del trattamento nel quadro della normativa di settore applicabile, che ne costituisce la base giuridica definendo presupposti, condizioni, modalità, limiti e misure a tutela dei diritti e delle libertà fondamentali delle persone, anche tenuto conto della natura dei dati trattati, del contesto, degli specifici strumenti che si intende utilizzare nonché dei rischi per gli interessati, nel rispetto dei principi generali di protezione dei dati personali e, in particolare, di quelli di liceità, correttezza e trasparenza e di limitazione della finalità (cfr. art. 5, par. 1, lett. a) e b), e art. 6, parr. 1, lett. e), e 3 del Regolamento, nonché art. 2-ter del Codice; inoltre, laddove il trattamento abbia a oggetto categorie particolari di dati personali o dati personali relativi a condanne penali o reati, cfr. artt. 9 e 10 del Regolamento e artt. 2-sexies e 2-octies del Codice);

CONSIDERATO, inoltre, che, laddove tale trattamento comporti l’utilizzo di sistemi di IA, come pure prefigurato, occorre che siano altresì assicurati una piena trasparenza nei confronti degli interessati nonché il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (cfr. spec. art. 5, par. 1, lett. a), e artt. 12, 13, 14 e 22 del Regolamento);

CONSIDERATO, in ogni caso, che la versione dello schema di decreto in esame, con particolare riferimento ai principi di privacy by design e by default (art. 25 del Regolamento), tiene conto anche delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse, che hanno riguardato, in particolare:

- la rigorosa osservanza dei divieti concernenti le pratiche vietate di cui all’art. 5 del Regolamento sull’IA (come quelle preordinate al riconoscimento delle emozioni, c.d. strumenti di sentiment analysis, con particolare riferimento al contesto scolastico o lavorativo: cfr. spec. le Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act) del 4 febbraio 2025);

- il rispetto delle misure previste dal Regolamento sull’IA in relazione all’impiego di sistemi di IA ad alto rischio, con particolare riferimento a quelli, richiamati dall’art. 6, par. 2, indicati nell’Allegato III al n. 3;

- le garanzie di trasparenza che gli Istituti medesimi sono tenuti ad assicurare nei confronti degli interessati, anche nel rispetto di quanto previsto dalla disciplina di settore in materia di IA;

- la definizione di ruoli e responsabilità dei soggetti istituzionali coinvolti nella gestione dei sistemi di IA, anche in qualità di titolari del trattamento ai fini della contestuale applicazione della disciplina di protezione dei dati personali, con particolare riferimento al rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la previsione di utilizzare solamente laddove strettamente indispensabili, i dati personali riferibili a studenti e docenti ricorrendo ove possibile all’utilizzo di dati sintetici, prevedendo l’impiego di configurazioni che impediscano la conservazione dei prompt, la profilazione o il tracciamento degli studenti, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento);

- la necessità di assicurare la trasparenza dei trattamenti di dati personali effettuati da parte degli Istituti scolastici mediante sistemi di IA, con particolare riguardo all'impatto sui diritti e sulle libertà fondamentali degli interessati, nel rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la necessità di prevedere attività formativa adeguata, audit o valutazioni periodiche volti a verificare l’affidabilità, la trasparenza e la correttezza del funzionamento dei sistemi utilizzati, nonché di valutare l’adozione di misure tecniche e organizzative adeguate al contesto senza contemplare aprioristicamente un elenco predefinito e limitato di misure, nel rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento);

RITENUTO, alla luce di quanto osservato, di poter esprimere parere favorevole sullo schema di decreto in esame, che reca in allegato le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche”;

RITENUTO, inoltre, che spetta ai soggetti che svolgono attività di trattamento dei dati personali, nel rispetto della cornice di liceità sopra richiamata, adottare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi per gli interessati nel delicato contesto scolastico ed educativo, a valle della valutazione d’impatto svolta anche alla luce delle valutazioni formulate dai soggetti a vario titolo coinvolti (art. 35 del Regolamento), in ossequio al principio di accountability (artt. 5, par. 2, e 24 del Regolamento);

RITENUTO, infine, che, impregiudicati gli specifici requisiti e garanzie che derivano dall’applicazione del quadro normativo in materia di IA, quando l’utilizzo di sistemi di IA comporta il trattamento di dati personali, occorre garantire, anche alla luce della previsione contenuta nell’art. 2, par. 7 del Regolamento UE 2024/1689, il contestuale rispetto della disciplina in materia di protezione dei dati personali e l’applicazione delle garanzie ivi previste a tutela dei diritti e delle libertà fondamentali delle persone, la cui osservanza è assicurata dal Garante per la protezione dei dati personali nell’esercizio dei compiti e poteri attribuitigli dal Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” allegate.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE 
Fanizza