Conservazione dei log nelle scuole: nuove regole e sanzioni
Il nuovo scenario della privacy scolastica si definisce con il provvedimento del Garante Privacy 2025, che pone una forte attenzione sulla responsabilità delle scuole nella gestione e conservazione dei dati digitali. Le scuole sono chiamate non solo a istruire, ma anche a proteggere una mole crescente di dati relativi a personale, studenti e famiglie, in un ambiente sempre più digitalizzato. Tra le principali novità, emerge l’obbligo di rispettare criteri più stringenti per la raccolta, la tracciatura e la conservazione di log di navigazione, ticket di assistenza tecnica e metadati delle email. La riforma impone la massima attenzione, in particolare sulla limitazione temporale dei dati archiviati e sulla trasparenza delle procedure, coinvolgendo dirigenti e referenti privacy in un’opera di formazione continua e aggiornamento delle policy.
La misura cardine introdotta riguarda la conservazione dei log di navigazione, che non potranno più essere trattenuti oltre i 90 giorni. Trascorso questo termine, le scuole sono tenute alla cancellazione irreversibile dei dati, riducendo così i rischi derivanti da accessi non autorizzati e possibili violazioni informatiche. Un analogo principio si applica ai ticket di assistenza tecnica e ai metadati email, per i quali il Garante ha già comminato una sanzione di 50.000 euro a un istituto per violazioni circa la conservazione dei dati di traffico. La nuova disciplina comporta anche l’obbligo di minimizzare le informazioni trattate, aggiornare costantemente il registro dei trattamenti, rivedere le relazioni contrattuali specialmente con fornitori IT e garantire la trasparenza verso tutte le parti interessate, compresi studenti e famiglie. In questo quadro, la formazione del personale e le attività di controllo interno diventano strumenti imprescindibili per assicurare la compliance normativa e la sicurezza digitale.
Nonostante la chiarezza di alcune indicazioni, restano aperte diverse questioni interpretative per le scuole, tra cui la gestione delle richieste giudiziarie e la compatibilità delle nuove regole con servizi cloud esterni. In prospettiva, il provvedimento si configura come una svolta epocale nella protezione dei dati nei contesti formativi, spingendo gli istituti a un approccio sempre più proattivo e previdente. Le scuole sono invitate a realizzare procedure automatizzate di cancellazione, audit periodici, definizione chiara dei tempi di conservazione e una rigorosa vigilanza sulle modalità di gestione dei dati digitali. Il ripetersi di sanzioni economiche significative rappresenta un potente incentivo all’adeguamento, evidenziando come la cultura della privacy diventi, da ora in avanti, elemento centrale e qualificante della gestione scolastica digitale.