Garante Privacy decisioni IA accademica 2026: casi reali italiani
Il Garante per la protezione dei dati personali (Autorità Garante della Concorrenza e del Mercato — AGCM — è un’altra cosa: il Garante Privacy è formalmente l’Autorità Garante per la protezione dei dati personali, istituita dal D.Lgs. 196/2003 e riformata dal D.Lgs. 101/2018 in attuazione del GDPR) ha progressivamente ampliato il proprio perimetro di intervento nel settore accademico italiano, con attenzione specifica all’uso di sistemi di intelligenza artificiale da parte delle università. Le decisioni del Garante Privacy sull’IA accademica nel 2026 rappresentano il punto di arrivo di un percorso che ha visto l’Autorità intervenire su fattispecie inedite: dall’uso di sistemi di proctoring durante gli esami online, al trattamento dei dati biometrici degli studenti, fino all’uso di strumenti IA generativa nei processi di valutazione. Questo articolo analizza i casi più rilevanti, le sanzioni irrogate e le implicazioni per i ricercatori e i dottorandi italiani.
Il quadro normativo: GDPR, Legge 132/2025 e EU AI Act
Il sistema normativo applicabile all’IA accademica in Italia è stratificato su tre livelli. Il Regolamento (UE) 2016/679 (GDPR) costituisce la base: impone una base giuridica per ogni trattamento di dati personali, il rispetto dei principi di minimizzazione e limitazione della finalità, e obblighi specifici per il trattamento di categorie particolari di dati (art. 9 GDPR), tra cui i dati biometrici. I dati biometrici — inclusi i profili facciali, le impronte digitali e le caratteristiche comportamentali rilevate durante gli esami — rientrano nella categoria ad alto rischio ai sensi dell’art. 9 GDPR e richiedono una base giuridica rafforzata.
Il Regolamento UE 2024/1689 (EU AI Act) aggiunge un livello di disciplina specifico per i sistemi IA: i sistemi usati in ambito educativo per determinare l’accesso alla formazione, valutare le prestazioni degli studenti o monitorarne il comportamento sono classificati come “ad alto rischio” (Allegato III, punto 3). La piena operatività di queste disposizioni dal 2 agosto 2026 impone agli atenei obblighi sostanziali. In Italia, la Legge 23 settembre 2025, n. 132 ha recepito i principi cardine dell’EU AI Act nell’ordinamento nazionale, rafforzando i poteri del Garante Privacy in materia.
“Il trattamento di dati biometrici a fini di identificazione e monitoraggio degli studenti durante gli esami costituisce un trattamento di categorie particolari ai sensi dell’art. 9 GDPR, per il quale è necessaria una base giuridica espressa e il consenso informato non può costituire, in un contesto di squilibrio di potere come quello universitario, una base giuridica valida.” — Principio ricavabile dalla giurisprudenza del Garante Privacy italiano, provvedimenti 2023-2026
Il caso Bocconi: dati biometrici e proctoring IA
Il caso più noto e istituzionalmente significativo riguarda l’utilizzo, da parte di un’importante università privata italiana, di un software di proctoring basato su intelligenza artificiale durante gli esami a distanza. Il sistema catturava immagini video degli studenti, scattava istantanee a intervalli casuali, analizzava i movimenti oculari e corporei e contrassegnava automaticamente comportamenti considerati “sospetti” per una revisione umana successiva.
Il Garante Privacy, a seguito di un’istruttoria, ha accertato che il trattamento di dati biometrici degli studenti a fini di controllo anti-frode non era sorretto da una base giuridica adeguata ai sensi dell’art. 9 GDPR. Il consenso prestato dagli studenti al momento dell’iscrizione alla prova non era ritenuto liberamente espresso, data la posizione di squilibrio tra ateneo e studente. La Corte di Cassazione, nel maggio 2024, ha confermato la sanzione irrogata dal Garante, consolidando l’orientamento giurisprudenziale in materia.
| Caso | Tipologia di trattamento | Violazione accertata | Esito |
|---|---|---|---|
| Università privata (proctoring IA) | Dati biometrici esami a distanza | Art. 9 GDPR — base giuridica insufficiente | Sanzione confermata da Cassazione (2024) |
| Università telematica (gen. 2026) | Trattamento dati 49.856 studenti | Modalità trattamento dati non conformi | Provvedimento con adeguamento spontaneo |
| Ateneo statale (sistemi IA valutazione) | Analisi comportamentale automatizzata | Mancata informativa art. 13 GDPR | Ingiunzione di adeguamento (2025) |
Università telematiche: provvedimento gennaio 2026
Il 29 gennaio 2026, il Garante Privacy ha emesso un provvedimento nei confronti di un’università telematica con 49.856 studenti iscritti nell’anno accademico 2024/2025. Il caso riguardava l’utilizzo di sistemi tecnologici per il monitoraggio delle sessioni di studio e degli esami online. L’ateneo ha dimostrato buona cooperazione con l’Autorità, avendo spontaneamente modificato le modalità del trattamento e poi posto fine allo stesso nel corso dell’istruttoria.
Questo provvedimento è rilevante per due aspetti. Da un lato, conferma che il Garante monitora attivamente anche le università telematiche, che hanno registrato una crescita esponenziale degli iscritti dopo il 2020 e che, per la propria natura a distanza, fanno un uso strutturale di sistemi tecnologici di monitoraggio. Dall’altro, la valorizzazione della “buona cooperazione” e dell’adeguamento spontaneo come elemento attenuante delle sanzioni fornisce un orientamento pratico per gli atenei che vogliono regolarizzare la propria posizione.
Valutazione algoritmica degli studenti: un sistema ad alto rischio
L’EU AI Act classifica come “ad alto rischio” i sistemi IA usati per valutare le prestazioni degli studenti, determinare l’accesso all’istruzione o monitorare il comportamento degli studenti. Questo include non solo i sistemi di proctoring, ma potenzialmente anche:
- Software di rilevazione del plagio basati su IA (quando producono decisioni automatizzate con effetti significativi)
- Sistemi di personalizzazione dell’apprendimento che influenzano i percorsi formativi
- Algoritmi di valutazione automatizzata degli elaborati scritti
- Sistemi di raccomandazione bibliografica integrati nei cataloghi universitari
Per questi sistemi, gli atenei che ne fanno uso (in qualità di deployer ai sensi dell’EU AI Act) devono, dal 2 agosto 2026:
- Registrarsi nel database UE dei sistemi IA ad alto rischio
- Effettuare una valutazione d’impatto sui diritti fondamentali (FRIA)
- Garantire la supervisione umana di ogni decisione rilevante
- Conservare i log per almeno 10 anni ai fini di audit
- Informare gli studenti in modo trasparente sull’uso di sistemi IA ad alto rischio
Diritti degli studenti e dottorandi di fronte all’IA accademica
Gli studenti e i dottorandi godono, nell’ambito del GDPR e dell’EU AI Act, di diritti specifici che è importante conoscere. In relazione ai sistemi IA accademici:
Diritto di informazione (art. 13-14 GDPR)
Ogni ateneo che utilizzi sistemi IA che trattano dati personali degli studenti deve fornire, al momento della raccolta, un’informativa chiara e comprensibile che specifichi: la natura del sistema IA, le finalità del trattamento, la base giuridica, i diritti dell’interessato e i tempi di conservazione dei dati.
Diritto di opposizione alle decisioni automatizzate (art. 22 GDPR)
Nessuno studente può essere soggetto a una decisione basata esclusivamente su trattamento automatizzato — inclusa la valutazione dell’elaborato o l’accertamento di comportamenti fraudolenti — che produca effetti giuridici significativi, senza che sia garantita una revisione umana su richiesta.
Diritto di accesso e portabilità
Lo studente può richiedere copia dei dati trattati, compresi i log generati dai sistemi di proctoring o dai software di rilevazione del plagio che lo riguardano.
Le questioni di protezione dei dati si intrecciano con quelle del trattamento dei dati sensibili nelle tesi, analizzate nel dettaglio nell’articolo sul GDPR e tesi con dati sensibili.
Obblighi degli atenei nel 2026: cosa devono fare
Per gli atenei italiani, il 2026 rappresenta un anno di significativa discontinuità normativa. La combinazione di EU AI Act, Legge 132/2025 e orientamento del Garante Privacy configura un quadro di obblighi precisi:
| Obbligo | Base normativa | Scadenza operativa |
|---|---|---|
| Mappatura sistemi IA ad alto rischio | EU AI Act art. 26 | Già operativo dal feb. 2025 |
| DPIA per trattamenti biometrici | GDPR art. 35 | Già operativo |
| Registrazione nel database UE sistemi IA AR | EU AI Act art. 49 | 2 agosto 2026 |
| FRIA (valutazione impatto diritti fondamentali) | EU AI Act art. 27 | 2 agosto 2026 |
| Informativa trasparente agli studenti | GDPR art. 13 + EU AI Act art. 50 | Immediato |
| Designazione responsabile dell’IA (AI Officer) | Legge 132/2025 | Giugno 2026 |
Le linee guida CRUI sull’IA, analizzate nell’articolo dedicato alle linee guida CRUI sull’IA in tesi commentate, si integrano con questi obblighi di legge, fornendo agli atenei un framework operativo per la governance dell’IA accademica.
Cornice europea: confronto con le autorità DPA degli altri paesi
Il Garante Privacy italiano non è solo nel proprio percorso di regolazione dell’IA accademica. In tutta Europa, le autorità di protezione dei dati (DPA) stanno sviluppando orientamenti specifici per il settore universitario. Il confronto è utile per comprendere dove si situa l’Italia nel panorama regolatorio europeo.
Il sistema spagnolo di gestione dell’IA per le tesi, esemplificato dalla guida sulla privacy dei dati nelle tesi tra RGPD e AI Act, mostra un approccio pragmatico che bilancia innovazione e tutela. In Portogallo, le regole su cosa è permesso fare con l’IA nella tesi secondo le università seguono un percorso normativo analogo, con una CNPD (Commissão Nacional de Proteção de Dados) particolarmente attiva. In Francia, il checklist di conformità RGPD per i dati della ricerca accademica offre un modello pratico di adempimenti.
IA in tesi e trattamento dei dati personali: profili di rischio
Un profilo di rischio meno esplorato, ma di crescente rilevanza, riguarda l’uso di strumenti IA generativa da parte degli studenti per elaborare dati personali raccolti nell’ambito della ricerca di tesi. Quando uno studente carica su uno strumento IA (es. ChatGPT) trascrizioni di interviste, dati di questionari o documenti sanitari anonimi o pseudonimizzati, si configura un trasferimento di dati a un responsabile del trattamento esterno che richiede una base giuridica specifica e, spesso, una clausola contrattuale standardizzata (SCC) se il provider è extra-UE.
I rischi principali sono:
- Trasferimento di dati a sistemi IA extra-UE senza adeguate garanzie: la maggior parte dei grandi LLM (Large Language Models) è gestita da provider statunitensi; il loro utilizzo per elaborare dati personali di terzi richiede verifica della conformità al GDPR (cap. V)
- Re-identificazione di dati pseudonimizzati: sistemi IA avanzati possono contribuire alla re-identificazione di individui a partire da dati che si riteneva anonimizzati
- Conservazione non autorizzata: alcuni servizi IA conservano i dati immessi per finalità di training; ciò può configurare una violazione del principio di limitazione della finalità (art. 5 GDPR)
Le questioni di esposizione dei dati attraverso i repository si intersecano con questo tema, come illustrato nell’articolo dedicato ai repository IRIS, BOA e OAR con OAI-PMH.
Riferimenti normativi e fonti
- Garante per la protezione dei dati personali — pagina tematica IA — garanteprivacy.it
- Garante Privacy — Provvedimento del 29 gennaio 2026 [doc. 10221611] — garanteprivacy.it
- Regolamento (UE) 2016/679 (GDPR) — eur-lex.europa.eu
- Regolamento UE 2024/1689 (EU AI Act) — eur-lex.europa.eu
- Legge 23 settembre 2025, n. 132 — recepimento EU AI Act in Italia — normattiva.it
- D.Lgs. 30 giugno 2003, n. 196 — Codice della privacy — normattiva.it
- Federprivacy — rassegna provvedimenti Garante su IA e università — federprivacy.org
Domande frequenti
Il Garante Privacy può sanzionare un’università che usa l’IA per monitorare gli studenti?
Sì. Il Garante Privacy ha già sanzionato università italiane per l’uso di sistemi IA di proctoring e monitoraggio degli studenti privi di adeguata base giuridica ai sensi del GDPR. Il caso Bocconi, confermato dalla Cassazione nel 2024, è il precedente più noto. Il Garante è competente a irrogare sanzioni fino al 4% del fatturato mondiale per le violazioni GDPR più gravi.
Uno studente può opporsi all’uso di sistemi IA di proctoring durante un esame?
Sì, se il consenso è l’unica base giuridica adottata dall’ateneo. Il GDPR prevede che il consenso debba essere liberamente prestato: in un contesto universitario, dove la mancata partecipazione all’esame comporta conseguenze significative, il consenso non può essere considerato completamente libero. Lo studente può segnalare la situazione al DPO dell’ateneo o al Garante Privacy.
Usare ChatGPT per analizzare le interviste della mia tesi viola il GDPR?
Potenzialmente sì, se i dati caricati contengono dati personali identificabili o pseudonimizzati degli intervistati, e se il provider del servizio IA non offre adeguate garanzie GDPR. Prima di caricare dati di ricerca su sistemi IA esterni, è necessario verificare i termini del servizio in materia di conservazione e training sui dati, e considerare l’anonimizzazione completa o l’uso di versioni enterprise con garanzie contrattuali specifiche (come ChatGPT Enterprise).
Cosa cambia per le università con l’EU AI Act dal 2 agosto 2026?
Dal 2 agosto 2026, gli atenei che usano sistemi IA ad alto rischio (valutazione studenti, controllo comportamentale, accesso alla formazione) devono: registrare tali sistemi nel database UE; effettuare una valutazione d’impatto sui diritti fondamentali (FRIA); garantire supervisione umana; conservare i log per 10 anni; informare trasparentemente gli studenti. La mancata conformità espone l’ateneo a sanzioni da parte del Garante Privacy nelle sue vesti di autorità di vigilanza sull’EU AI Act.
Come posso sapere se la mia università usa sistemi IA che trattano i miei dati?
Dal 2 agosto 2026, gli atenei che usano sistemi IA ad alto rischio hanno l’obbligo di informare gli studenti. In ogni caso, è possibile presentare una richiesta di accesso ai propri dati (art. 15 GDPR) al Data Protection Officer (DPO) dell’ateneo, il cui contatto deve essere pubblicato sul sito istituzionale. Il DPO è tenuto a rispondere entro 30 giorni.
Il Garante Privacy ha competenza anche sulle università private?
Sì. Il GDPR e la normativa italiana sulla protezione dei dati si applicano a qualsiasi soggetto che tratti dati personali nell’UE, indipendentemente dalla natura pubblica o privata. Il Garante Privacy ha esercitato la propria competenza sia su università statali che private, come dimostrano i casi documentati.
