La protezione dei dati personali è un requisito normativo fondamentale. Le Linee Guida richiamano il GDPR e altre normative, sottolineando la vulnerabilità dei minori e l’importanza di trattare i dati in modo lecito, corretto, trasparente, con limitazione delle finalità, minimizzazione e esattezza. Le istituzioni scolastiche, in qualità di “Titolari del Trattamento”, devono:

• Individuare una specifica base giuridica per il trattamento dei dati.
• Eseguire una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) prima del trattamento, integrandola con una Valutazione d’Impatto sui Diritti Fondamentali (FRIA) per i sistemi IA ad alto rischio.
• Fornire agli interessati (studenti, famiglie, personale) un’informativa chiara, concisa e facilmente comprensibile sul funzionamento dei sistemi IA e sul trattamento dei dati.
• Nominare soggetti autorizzati al trattamento dei dati e Responsabili del trattamento (fornitori esterni), assicurando che presentino garanzie sufficienti per la conformità al GDPR.
• Adottare misure tecnico-organizzative adeguate al rischio (privacy by design e by default) e tenere un registro delle attività di trattamento.
• Notificare tempestivamente al Garante e agli interessati eventuali violazioni dei dati personali. È inoltre raccomandato l’uso di dati sintetici e la gestione trasparente del “diritto di non partecipazione” all’addestramento dei sistemi IA con dati personali.