Rethinking Higher Education/it/Chapter 3

Protezione dei dati degli studenti nell'università digitale: confronto tra GDPR e PIPL cinese

Martin Woesler

Università Normale dello Hunan

Riassunto

La trasformazione digitale dell'istruzione superiore genera volumi senza precedenti di dati degli studenti — dalle interazioni con i sistemi di gestione dell'apprendimento e i registri delle valutazioni, ai dati biometrici di sorveglianza degli esami e ai profili di analisi predittiva. Due dei regimi di protezione dei dati più importanti al mondo disciplinano ora le modalità con cui le università raccolgono, trattano e trasferiscono questi dati: il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR, in vigore dal 2018) e la Legge cinese sulla protezione delle informazioni personali (PIPL, in vigore dal 2021). Eppure, nonostante le somiglianze superficiali — entrambi stabiliscono diritti individuali sui dati personali, entrambi impongono sanzioni significative per le violazioni ed entrambi limitano i trasferimenti transfrontalieri di dati — i due regimi riflettono orientamenti filosofici fondamentalmente diversi: autonomia individuale contro sovranità statale. Il presente articolo propone un confronto sistematico tra il GDPR e la PIPL nella loro applicazione al contesto specifico dell'istruzione superiore. Basandoci su dati sull'applicazione che mostrano come le autorità europee per la protezione dei dati abbiano comminato 270 sanzioni per un totale di oltre 29,3 milioni di euro agli istituti di istruzione, e su ricerche che documentano come l'81 per cento delle università britanniche non soddisfi gli standard di conformità al GDPR, dimostriamo che nessuno dei due sistemi ha raggiunto una protezione dei dati soddisfacente nella pratica. Esaminiamo l'analisi dell'apprendimento, la valutazione guidata dall'IA, il reclutamento transfrontaliero degli studenti e i programmi accademici congiunti UE-Cina come quattro ambiti in cui i quadri normativi affrontano le prove più impegnative. Sosteniamo che le università operanti in entrambe le giurisdizioni si trovano di fronte a una sfida di doppia conformità che le linee guida attuali affrontano in modo inadeguato, e proponiamo un quadro per orientarsi in questi obblighi sovrapposti.

Parole chiave: GDPR, PIPL, protezione dei dati degli studenti, analisi dell'apprendimento, istruzione superiore, flussi transfrontalieri di dati, privacy, confronto UE-Cina, IA nell'istruzione

1. Introduzione

L'università digitale è, nella sua essenza, un'istituzione che genera dati. Ogni interazione di uno studente con un sistema di gestione dell'apprendimento, ogni elaborato inviato a una piattaforma di valutazione automatizzata, ogni accesso a una rete di campus e ogni interazione con uno strumento di apprendimento adattivo produce dati che vengono raccolti, archiviati, analizzati e — in misura crescente — condivisi oltre i confini istituzionali e nazionali. La pandemia di COVID-19 ha accelerato questo processo in modo drammatico: il rapido passaggio all'apprendimento online e ibrido ha normalizzato la raccolta di flussi di dati che sarebbero stati impensabili un decennio prima, incluse le riprese video dei sistemi di sorveglianza degli esami a distanza, la dinamica della digitazione per la verifica dell'identità e le metriche di coinvolgimento che tracciano la frequenza e la durata dell'interazione degli studenti con i materiali didattici.

Due regimi completi di protezione dei dati disciplinano ora il modo in cui le università gestiscono queste informazioni. Il Regolamento generale sulla protezione dei dati dell'Unione europea, pienamente efficace dal maggio 2018, ha stabilito il primo quadro completo al mondo per la protezione dei dati personali, con implicazioni specifiche per gli istituti di istruzione che trattano dati degli studenti. La Legge cinese sulla protezione delle informazioni personali, in vigore dal novembre 2021, ha creato un quadro parallelo che, sebbene strutturalmente simile al GDPR per molti aspetti, riflette assunti fondamentalmente diversi riguardo al rapporto tra individui, istituzioni e Stato.

Per le università impegnate nella cooperazione internazionale — programmi di doppio titolo, scambi studenteschi, ricerca collaborativa, reclutamento transfrontaliero — questi due regimi creano una sfida di doppia conformità di notevole complessità. Un'università europea che recluti studenti cinesi deve conformarsi ai requisiti della PIPL per il trattamento delle informazioni personali dei residenti cinesi; un'università cinese che partecipi a un partenariato Erasmus+ deve comprendere gli obblighi del GDPR che possono applicarsi ai dati relativi agli studenti europei. Eppure i due sistemi divergono proprio dove le sfide di conformità sono più acute: negli approcci al trasferimento transfrontaliero dei dati, ai requisiti di consenso, ai meccanismi di applicazione e al trattamento dei minori.

Il presente articolo propone un confronto sistematico tra il GDPR e la PIPL nella loro applicazione all'istruzione superiore, organizzato attorno a quattro domande. In primo luogo, come regola ciascun quadro le attività fondamentali di trattamento dei dati delle università — iscrizione, valutazione, analisi e comunicazione? In secondo luogo, dove convergono e dove divergono i due sistemi nei loro fondamenti filosofici e nei requisiti pratici? In terzo luogo, quali sfide specifiche sorgono per le istituzioni che operano contemporaneamente sotto entrambi i regimi? In quarto luogo, quali strategie pratiche possono adottare le università per raggiungere una conformità significativa con entrambi i quadri?

2. Il quadro GDPR per l'istruzione

2.1 Basi giuridiche per il trattamento dei dati degli studenti

Il GDPR (Regolamento 2016/679) prevede sei basi giuridiche per il trattamento dei dati personali, di cui tre sono le più pertinenti per le università: il consenso (articolo 6, paragrafo 1, lettera a), l'esecuzione di un contratto (articolo 6, paragrafo 1, lettera b) e i legittimi interessi (articolo 6, paragrafo 1, lettera f). Le università europee si basano tipicamente su una combinazione di tali basi giuridiche. L'iscrizione e l'amministrazione accademica sono generalmente trattate sulla base della necessità contrattuale — lo studente ha stipulato un contratto educativo con l'istituto. La ricerca che coinvolge dati degli studenti può basarsi sui legittimi interessi o, quando sono coinvolte categorie di dati sensibili, sul consenso esplicito.

L'applicazione di queste basi giuridiche all'analisi dell'apprendimento si è rivelata particolarmente controversa. Liu e Khalil (2023), in una revisione sistematica di 47 studi pubblicati nelle principali riviste di tecnologia educativa, identificano una tensione fondamentale: il principio di limitazione delle finalità del GDPR — secondo cui i dati raccolti per una finalità non dovrebbero essere riutilizzati senza una base giuridica aggiuntiva — si concilia a fatica con la natura aperta ed esplorativa dell'analisi dell'apprendimento, in cui il valore dei dati emerge spesso solo attraverso analisi non previste al momento della raccolta. Prinsloo, Slade e Khalil (2022) sostengono, da una prospettiva di studi critici sui dati, che le soluzioni puramente tecnologiche a questa tensione sono insufficienti; l'asimmetria di potere tra istituzioni e studenti comporta che il consenso significativo sia spesso illusorio, in particolare quando gli studenti sentono di non poter rifiutare la raccolta dei dati senza conseguenze accademiche.

2.2 Il panorama dell'applicazione

L'applicazione del GDPR nel settore dell'istruzione è stata disomogenea ma sempre più significativa. Secondo il rapporto CMS GDPR Enforcement Tracker per il 2024/2025, le autorità per la protezione dei dati di 25 Stati membri dell'UE hanno imposto un totale di 270 sanzioni a scuole, università e altri istituti di istruzione, per un importo complessivo superiore a 29,3 milioni di euro. Le violazioni più comuni riguardano il trattamento senza una base giuridica sufficiente (90 sanzioni) e misure tecniche e organizzative insufficienti per la protezione dei dati (76 sanzioni) (CMS 2025).

Il caso individuale più significativo per l'istruzione superiore è stata la decisione del 2021 dell'autorità italiana per la protezione dei dati contro l'Università Bocconi, che ha imposto una sanzione di 200.000 euro per l'utilizzo del software di sorveglianza degli esami a distanza Respondus. L'autorità ha riscontrato che l'università non aveva ottenuto un consenso valido, non aveva effettuato una valutazione d'impatto sulla protezione dei dati, aveva fornito informazioni insufficienti sulla trasparenza del trattamento dei dati e mancava di una base giuridica per il trattamento dei dati biometrici — violazioni che, nel loro complesso, illustrano le sfide di conformità che le università affrontano quando impiegano tecnologie educative simili alla sorveglianza (Garante 2021).

Tuttavia, l'applicazione cattura solo parte del quadro. Uno studio del 2024 della società di consulenza 7DOTS ha esaminato 335 università e istituti di istruzione superiore del Regno Unito e ha riscontrato un tasso di non conformità dell'81 per cento rispetto agli standard del GDPR. Solo il 32 per cento aveva implementato una piattaforma di gestione del consenso, e di questi, il 66 per cento era configurato in modo improprio (7DOTS 2024). Questi risultati suggeriscono che il deficit di conformità del settore dell'istruzione non sia principalmente una questione di violazione deliberata, bensì di capacità istituzionale: le università mancano delle risorse, delle competenze e delle strutture organizzative necessarie per attuare efficacemente i requisiti del GDPR.

2.3 La privacy degli studenti oltre l'aula

Le sfide in materia di privacy che le università devono affrontare si estendono ben oltre il sistema di gestione dell'apprendimento. Giuffrida e Hall (2023) dimostrano che l'integrazione tecnologica nell'istruzione superiore crea rischi per la privacy a livello aziendale — sistemi di dati istituzionali, reti di campus e piattaforme amministrative — che sono distinti dal contesto pedagogico. Blackmon e Major (2023), in una revisione sistematica basata su PRISMA delle prospettive degli studenti sulla privacy nei corsi a tecnologia avanzata, rilevano significative lacune nella consapevolezza: gli studenti spesso non comprendono quali dati vengano raccolti su di loro, come vengano utilizzati o quali diritti abbiano. Kumi-Yeboah e colleghi (2023) documentano paura e ansia riguardo all'invasione dei dati tra diverse popolazioni studentesche, con preoccupazioni particolari per i sistemi di gestione dell'apprendimento e l'integrazione con i social media. Questi risultati suggeriscono collettivamente che l'enfasi del GDPR sul consenso informato affronta un ostacolo pratico: l'asimmetria informativa tra istituzioni e studenti è così ampia che un autentico consenso informato potrebbe essere irraggiungibile per molte attività di trattamento dei dati.

3. La PIPL cinese: struttura e implicazioni educative

3.1 Panoramica dell'architettura

La Legge cinese sulla protezione delle informazioni personali, in vigore dal 1° novembre 2021, stabilisce un quadro completo per la protezione dei dati personali che è strutturalmente parallelo al GDPR per molti aspetti — ambito di applicazione extraterritoriale, diritti individuali (accesso, rettifica, cancellazione, portabilità), requisiti per le valutazioni d'impatto sulla protezione dei dati e sanzioni significative per le violazioni — pur riflettendo impegni filosofici fondamentalmente diversi (Li e Chen 2024; Lim e Oh 2025).

La PIPL definisce le «informazioni personali» in senso ampio come qualsiasi informazione relativa a una persona fisica identificata o identificabile registrata con mezzi elettronici o di altro tipo (articolo 4). Come il GDPR, essa stabilisce basi giuridiche per il trattamento — consenso, necessità contrattuale, obbligo giuridico, emergenze sanitarie pubbliche, attività giornalistiche di interesse pubblico e trattamento ragionevole di informazioni pubblicamente disponibili (articolo 13). A differenza del GDPR, tuttavia, la PIPL non include i «legittimi interessi» come base giuridica autonoma, rendendo il consenso il meccanismo principale per un trattamento lecito nella maggior parte dei contesti educativi (IAPP 2021; Zhu 2022).

3.2 Protezione rafforzata per i minori

Il trattamento dei minori nella PIPL rappresenta una delle sue divergenze più significative rispetto al GDPR. L'articolo 28 classifica tutte le informazioni personali di individui di età inferiore ai 14 anni come «informazioni personali sensibili», indipendentemente dalla loro natura, richiedendo il consenso dei genitori per il trattamento e una valutazione d'impatto sulla privacy separata. Zhang e Kollnig (2024), in uno studio pubblicato sull'International Data Privacy Law, tracciano cinque sviluppi legislativi che hanno progressivamente rafforzato la protezione dei minori secondo il diritto cinese, documentando al contempo significative lacune tra i requisiti legali e la prassi effettiva nelle applicazioni cinesi.

Per le università, le implicazioni sono indirette ma importanti. Sebbene la maggior parte degli studenti universitari abbia più di 14 anni, le attività di reclutamento nelle scuole secondarie, i programmi estivi per minori e i programmi di doppia iscrizione implicano tutti il trattamento di dati di individui che possono rientrare in questa categoria protetta. L'approccio della PIPL è per certi versi più rigoroso di quello del GDPR in questo ambito specifico: il GDPR fissa l'età del consenso digitale a 16 anni (con discrezionalità degli Stati membri per abbassarla a 13), ma non classifica automaticamente tutti i dati dei minori come sensibili.

3.3 Localizzazione dei dati e trasferimento transfrontaliero

I requisiti della PIPL per il trasferimento transfrontaliero dei dati sono tra le sue disposizioni praticamente più rilevanti per le università internazionali. L'articolo 38 stabilisce tre meccanismi per il trasferimento di informazioni personali al di fuori della Cina: il superamento di una valutazione di sicurezza organizzata dall'Amministrazione cinese per il cyberspazio (CAC), l'ottenimento di una certificazione di protezione delle informazioni personali da parte di un'istituzione specializzata o la stipula di un contratto standard formulato dalla CAC con il destinatario straniero. Nell'ottobre 2025, la CAC e l'Amministrazione statale per la regolamentazione del mercato hanno congiuntamente emanato le Misure per la certificazione del trasferimento transfrontaliero di informazioni personali, in vigore dal 1° gennaio 2026, completando questo quadro a tre pilastri (CMS Law-Now 2025).

Inoltre, il Regolamento sulla gestione della sicurezza dei dati di rete, in vigore dal 1° gennaio 2025, impone alle organizzazioni che trattano informazioni personali di più di 10 milioni di individui di nominare un responsabile della sicurezza dei dati e di effettuare audit periodici (Consiglio di Stato 2024). Sebbene poche singole università raggiungano questa soglia, le piattaforme educative aggregate e i sistemi informativi nazionali sugli studenti lo fanno frequentemente.

Le implicazioni pratiche per la cooperazione accademica internazionale sono significative. Come ha osservato l'Ufficio legale del MIT (2022), la PIPL si applica ogniqualvolta un istituto riceva domande di ammissione da cittadini cinesi residenti in Cina, svolga attività di reclutamento nel Paese, offra corsi online accessibili ai residenti cinesi, conduca ricerche su soggetti umani utilizzando dati di residenti cinesi o collabori con istituzioni accademiche cinesi che condividono dati degli studenti. L'American Association of Collegiate Registrars and Admissions Officers (AACRAO 2022) ha pubblicato linee guida specifiche di conformità per gli uffici ammissioni e segreterie, riflettendo la crescente consapevolezza che il reclutamento internazionale degli studenti di routine comporta oggi obblighi di protezione dei dati sia ai sensi del GDPR sia ai sensi della PIPL.

4. Confronto sistematico

4.1 Fondamenti filosofici

La differenza più fondamentale tra il GDPR e la PIPL non risiede nelle loro disposizioni tecniche, bensì nei loro orientamenti filosofici. Il GDPR emerge da una tradizione di protezione dei diritti individuali, radicata nella Convenzione europea dei diritti dell'uomo e nella Carta dei diritti fondamentali dell'UE. La sua assunzione fondamentale è che la protezione dei dati personali sia un diritto fondamentale dell'individuo, che può essere limitato solo in condizioni specifiche e soggetto a un esame di proporzionalità. Li e Chen (2024), nella loro analisi dell'«effetto Bruxelles» sulla legge cinese sulla protezione dei dati, introducono un modello di «assistenza gravitazionale»: sebbene l'influenza strutturale del GDPR sulla PIPL sia evidente, l'adozione da parte della Cina non riflette una convergenza, bensì un adattamento strategico al suo contesto politico, culturale e giuridico distinto.

La PIPL, al contrario, riflette quello che Lim e Oh (2025) descrivono come un orientamento alla «sovranità statale». La legge persegue simultaneamente molteplici obiettivi: proteggere la privacy individuale, certamente, ma anche salvaguardare la sicurezza nazionale, promuovere l'economia digitale e mantenere la stabilità sociale. L'applicazione della legge è centralizzata sotto la CAC, che è contemporaneamente responsabile della censura di internet, della cybersicurezza e della governance dei dati — una combinazione che sarebbe inammissibile ai sensi del requisito del GDPR di autorità di vigilanza indipendenti (articolo 52).

4.2 Differenze strutturali

Diverse differenze strutturali hanno implicazioni dirette per le università:

Consenso. Il GDPR riconosce sei basi giuridiche per il trattamento; l'assenza nella PIPL di una base per i «legittimi interessi» rende il consenso più centrale, in particolare per il trattamento di dati educativi che va oltre la necessità contrattuale. La PIPL richiede inoltre un consenso separato per i trasferimenti transfrontalieri (articolo 39) e per il trattamento di informazioni personali sensibili (articolo 29).

Sanzioni. Il GDPR impone sanzioni massime di 20 milioni di euro o del 4 per cento del fatturato annuo globale, a seconda di quale importo sia maggiore. La PIPL impone sanzioni massime di 50 milioni di RMB (circa 6,4 milioni di euro) o del 5 per cento del fatturato annuo dell'anno precedente per violazioni gravi, oltre a una potenziale responsabilità personale per i soggetti responsabili — una caratteristica senza equivalente diretto nel GDPR (IAPP 2021; DataGuidance 2022).

Applicazione. L'applicazione del GDPR è decentralizzata tra le autorità nazionali per la protezione dei dati, con coordinamento attraverso il Comitato europeo per la protezione dei dati. L'applicazione della PIPL è centralizzata sotto la CAC, con ulteriore supervisione settoriale da parte del Ministero dell'Istruzione per gli istituti di istruzione. Il GDPR richiede che le autorità di vigilanza siano indipendenti; la PIPL non impone tale requisito.

Trasferimenti transfrontalieri. Il GDPR consente i trasferimenti verso Paesi con una protezione dei dati «adeguata» (decisioni di adeguatezza), o attraverso clausole contrattuali standard (SCC) e norme vincolanti d'impresa (BCR). La PIPL offre la valutazione di sicurezza, contratti standard e certificazione, ma non utilizza un meccanismo di adeguatezza — non esiste un elenco di Paesi «sicuri» verso i quali i dati possano fluire liberamente (Fernandez-Novel Escobar 2025).

Diritti degli interessati. Entrambi i quadri prevedono diritti individuali ampiamente simili: accesso, rettifica, cancellazione e portabilità. La PIPL conferisce inoltre ai familiari prossimi il diritto di esercitare i diritti sui dati delle persone decedute — una disposizione potenzialmente rilevante per le università che gestiscono i registri degli studenti deceduti (DataGuidance 2022). La PIPL include anche una definizione più ampia di «informazioni personali sensibili» che comprende dati finanziari, dati di localizzazione e informazioni biometriche, oltre alle categorie riconosciute dal GDPR.

4.3 Convergenza e divergenza

Nonostante queste differenze, i due quadri convergono in modi importanti. Entrambi richiedono valutazioni d'impatto sulla protezione dei dati per il trattamento ad alto rischio. Entrambi impongono obblighi di trasparenza che richiedono informative sulla privacy chiare e accessibili. Entrambi prevedono la portabilità dei dati — il diritto di ricevere i propri dati personali in un formato strutturato e leggibile automaticamente. Entrambi stabiliscono un ambito di applicazione extraterritoriale, applicandosi a entità al di fuori della propria giurisdizione che trattano dati dei propri residenti. Ed entrambi impongono requisiti per la notifica delle violazioni dei dati, sebbene con tempistiche diverse: 72 ore ai sensi del GDPR (articolo 33), contro un termine non specificato ma tempestivo ai sensi della PIPL.

Lo schema che emerge è una convergenza a livello di principi — entrambi i sistemi riconoscono che i dati personali meritano protezione, che gli individui dovrebbero avere diritti sui propri dati e che le organizzazioni devono essere ritenute responsabili delle proprie attività di trattamento — con una divergenza significativa a livello di attuazione, giustificazione filosofica e cultura dell'applicazione. Come osserva Solove (2022), la PIPL viene spesso descritta come «il GDPR della Cina», ma questa caratterizzazione oscura importanti differenze strutturali che hanno conseguenze pratiche dirette per le organizzazioni operanti sotto entrambi i regimi.

5. L'analisi dell'apprendimento: il banco di prova critico

L'analisi dell'apprendimento rappresenta l'ambito in cui la tensione tra protezione dei dati e innovazione educativa è più acuta. Le università impiegano in misura crescente sistemi di analisi predittiva che utilizzano dati storici degli studenti per identificare gli studenti a rischio di fallimento, raccomandare interventi e personalizzare i percorsi di apprendimento. Questi sistemi richiedono il trattamento di grandi volumi di dati degli studenti — spesso aggregati da fonti multiple e analizzati mediante algoritmi di apprendimento automatico — in modi che mettono alla prova i principi fondamentali sia del GDPR sia della PIPL.

Ai sensi del GDPR, i sistemi di analisi dell'apprendimento affrontano sfide su più fronti. La limitazione delle finalità (articolo 5, paragrafo 1, lettera b) richiede che i dati siano raccolti per finalità determinate, esplicite e non ulteriormente trattati in modo incompatibile con tali finalità. Ma il valore dell'analisi dell'apprendimento dipende spesso proprio da questo tipo di riutilizzo: dati raccolti per l'amministrazione del corso vengono analizzati per individuare schemi che informano la strategia istituzionale. La minimizzazione dei dati (articolo 5, paragrafo 1, lettera c) richiede che vengano trattati solo dati adeguati, pertinenti e limitati a quanto necessario — eppure i modelli predittivi funzionano tipicamente meglio con più dati, creando un incentivo strutturale verso la raccolta massima. La trasparenza (articoli 13-14) richiede che gli individui siano informati sul processo decisionale automatizzato — ma la complessità dei modelli di apprendimento automatico rende spesso difficile una spiegazione significativa.

Ai sensi della PIPL, l'analisi dell'apprendimento affronta sfide aggiuntive. L'assenza di una base per i legittimi interessi significa che le università devono tipicamente fare affidamento sul consenso per analisi che vanno oltre l'erogazione diretta dell'istruzione. Il requisito di un consenso separato per il trattamento di informazioni sensibili (articolo 29) può essere attivato da analisi che trattano dati sul rendimento accademico in modi che rivelano caratteristiche protette. I requisiti di localizzazione dei dati comportano inoltre che le piattaforme di analisi gestite da fornitori internazionali debbano orientarsi in regole complesse sui trasferimenti transfrontalieri.

Xue e colleghi (2025), in un'analisi delle preoccupazioni relative alla privacy dell'IA nell'istruzione superiore nei media cinesi e anglofoni, hanno riscontrato che, sebbene entrambi i contesti identifichino la sorveglianza degli esami guidata dall'IA, la sicurezza dei dati degli studenti e la governance istituzionale come preoccupazioni centrali, l'enfasi differisce: la copertura mediatica occidentale pone in primo piano i diritti individuali alla privacy, mentre quella cinese affronta più frequentemente il rapporto tra innovazione educativa guidata dall'IA e governance istituzionale. Questa divergenza rispecchia la più ampia differenza filosofica tra i due quadri normativi.

Lachheb e colleghi (2023) sostengono che il mantenimento della privacy degli studenti nella tecnologia educativa richiede attenzione non solo alle politiche e alla legge, ma all'etica del design — i principi incorporati nei sistemi tecnologici stessi. Propongono un quadro per aiutare i progettisti didattici a valutare se gli schemi di progettazione minino involontariamente l'agentività dello studente, suggerendo che la conformità sia al GDPR sia alla PIPL richiede un intervento in fase di progettazione, non soltanto a livello di politica. Liu, Khalil e colleghi (2025) esplorano la generazione di dati sintetici con meccanismi di privacy differenziale come approccio tecnico a questa sfida, consentendo la ricerca sull'analisi dell'apprendimento senza esporre i registri individuali degli studenti.

6. Valutazione e sorveglianza degli esami basate sull'IA

L'AI Act dell'UE (Regolamento 2024/1689), entrato in vigore il 1° agosto 2024, aggiunge un ulteriore livello normativo per le università europee. Il Regolamento classifica i sistemi di IA utilizzati per la valutazione educativa e la sorveglianza degli esami come «ad alto rischio» ai sensi dell'allegato III, sezione 3, richiedendo valutazioni di conformità, supervisione umana e documentazione tecnica. L'articolo 5, paragrafo 1, lettera f), vieta i sistemi di riconoscimento delle emozioni nei contesti educativi (Parlamento europeo e Consiglio 2024).

L'interazione tra l'AI Act e il GDPR crea un obbligo di conformità stratificato: le università che impiegano strumenti di valutazione basati sull'IA devono soddisfare sia i requisiti dell'AI Act per i sistemi ad alto rischio sia i requisiti del GDPR per un trattamento lecito dei dati. Il caso dell'Università Bocconi dimostra le conseguenze del mancato rispetto di quest'ultimo; l'AI Act aggiungerà requisiti ulteriori a partire dall'agosto 2026. Un rapporto del 2025 del Rockefeller Institute of Government raccomanda alle università di mappare i propri casi d'uso dell'IA rispetto alle categorie di rischio della legge come primo passo verso la conformità, citando i modelli di governance sviluppati dall'Università di Utrecht e dall'Università di Edimburgo come quadri di riferimento (Rockefeller Institute 2025).

L'approccio cinese all'IA nella valutazione educativa riflette la sua filosofia regolatoria settoriale. Anziché un'unica legge organica sull'IA, la Cina governa l'IA educativa attraverso una combinazione delle Misure provvisorie del 2023 per i servizi di IA generativa, delle disposizioni della PIPL sul processo decisionale automatizzato e delle direttive del Ministero dell'Istruzione. L'uso della sorveglianza e delle tecnologie di monitoraggio basate sull'IA nelle università cinesi, sebbene soggetto ai requisiti di consenso della PIPL, non è sottoposto alle restrizioni categoriali imposte dal divieto di riconoscimento delle emozioni dell'AI Act dell'UE. Questa asimmetria normativa ha implicazioni pratiche per le aziende tecnologiche che sviluppano strumenti di valutazione educativa per entrambi i mercati: i sistemi progettati per la Cina possono includere funzionalità vietate nell'UE, e viceversa.

Il caso Bocconi illustra una tensione più ampia. I sistemi di sorveglianza degli esami a distanza — che tipicamente catturano riprese video, tracciano i movimenti oculari, monitorano l'attività della tastiera e del mouse e possono utilizzare il riconoscimento facciale per verificare l'identità — trattano categorie di dati che attivano i requisiti più stringenti del GDPR: dati biometrici (articolo 9), processo decisionale automatizzato (articolo 22) e profilazione. Ai sensi della PIPL, le informazioni biometriche sono classificate come informazioni personali sensibili che richiedono un consenso separato (articolo 28), ma non esiste un divieto categoriale paragonabile al divieto di riconoscimento delle emozioni dell'AI Act. Il risultato è un panorama normativo in cui la stessa tecnologia può essere lecita in una giurisdizione e vietata nell'altra, a seconda delle sue capacità specifiche e della base giuridica invocata.

7. Programmi congiunti UE-Cina: la doppia conformità nella pratica

Le sfide di conformità più acute sorgono nei programmi accademici congiunti UE-Cina, dove i dati degli studenti attraversano regolarmente i confini giurisdizionali. Un'università europea che offra un doppio titolo con un'istituzione partner cinese deve trasferire dati di iscrizione, registri accademici e potenzialmente dati di analisi dell'apprendimento tra le due istituzioni — trasferimenti che devono conformarsi simultaneamente ai requisiti del GDPR per il trasferimento internazionale dei dati e alle disposizioni della PIPL sul trasferimento transfrontaliero.

Le difficoltà pratiche sono considerevoli. I trasferimenti ai sensi del GDPR verso la Cina non possono attualmente basarsi su una decisione di adeguatezza (la Commissione europea non ha riconosciuto la Cina come Paese che offre una protezione dei dati adeguata). Le clausole contrattuali standard possono essere utilizzate, ma devono essere integrate da una valutazione d'impatto sul trasferimento che consideri le leggi cinesi sulla sorveglianza e le disposizioni sull'accesso governativo — una valutazione le cui conclusioni possono essere sfavorevoli. Nella direzione opposta, i trasferimenti ai sensi della PIPL verso l'Europa richiedono uno dei tre meccanismi sopra descritti: valutazione di sicurezza della CAC, contratto standard o certificazione.

Le linee guida del Future of Privacy Forum per le istituzioni di istruzione superiore statunitensi (Zanfir-Fortuna 2020), pur non essendo direttamente applicabili al contesto UE-Cina, illustrano la complessità dei flussi di dati accademici internazionali. Il rapporto identifica dieci passi di conformità che le università internazionali devono affrontare, tra cui la mappatura dei dati, l'identificazione della base giuridica, la gestione dei fornitori e le procedure di notifica delle violazioni — ciascuno dei quali deve essere adattato ai requisiti sia del GDPR sia della PIPL.

Queste sfide non sono ipotetiche. I programmi congiunti sino-europei si sono notevolmente ampliati negli ultimi decenni. La Cina ospita centinaia di programmi educativi cooperativi cino-stranieri approvati dal Ministero dell'Istruzione, molti dei quali coinvolgono istituzioni partner europee. Il programma Erasmus+ dell'UE sostiene gli scambi accademici con le università cinesi. Il progetto EU-China Tuning ha allineato le strutture dei titoli in decine di istituzioni. In ciascuno di questi contesti, i flussi di dati degli studenti tra le giurisdizioni sono di routine e necessari — eppure il quadro giuridico per tali flussi resta frammentato e incerto.

Una sfida specifica sorge nel contesto del reclutamento degli studenti. Le università europee reclutano attivamente studenti cinesi — la Cina era il Paese di origine più grande per gli studenti internazionali in Europa prima della pandemia e ha in gran parte recuperato tale posizione. Ai sensi della PIPL, un'università europea che raccoglie informazioni personali da potenziali studenti cinesi attraverso portali di candidatura online, eventi di reclutamento in Cina o partenariati con agenti sta trattando informazioni personali di residenti cinesi ed è pertanto soggetta ai requisiti della PIPL, incluso l'obbligo di ottenere il consenso in cinese, di fornire un'informativa sulla privacy conforme alla legge cinese e di navigare nel quadro del trasferimento transfrontaliero per la trasmissione dei dati delle domande verso l'Europa. Poche università europee hanno adattato le proprie pratiche di reclutamento per soddisfare tali requisiti.

Per le università impegnate nella cooperazione UE-Cina, identifichiamo quattro strategie pratiche per gestire la doppia conformità. In primo luogo, la minimizzazione dei dati al momento del trasferimento: condividere solo i dati minimi necessari per il programma congiunto, utilizzando dati anonimizzati o pseudonimizzati ove possibile. In secondo luogo, la separazione architettonica: mantenere sistemi di dati separati per le operazioni UE e cinesi, con interfacce controllate per lo scambio di dati necessario. In terzo luogo, i quadri contrattuali: sviluppare accordi bilaterali di condivisione dei dati che affrontino esplicitamente i requisiti sia del GDPR sia della PIPL, incluse disposizioni sui diritti degli interessati, la notifica delle violazioni e la conservazione dei dati. In quarto luogo, il potenziamento delle capacità istituzionali: investire nella formazione del personale e nelle competenze in materia di protezione dei dati che abbraccino entrambi i quadri normativi.

8. Il divario di preparazione

Nonostante l'importanza di questi quadri normativi, le evidenze empiriche suggeriscono che le università in entrambe le giurisdizioni affrontano un sostanziale divario di preparazione. Nel contesto europeo, il dato di 7DOTS (2024) secondo cui l'81 per cento delle università britanniche non soddisfa gli standard di conformità al GDPR è coerente con i dati del CMS Enforcement Tracker che mostrano violazioni persistenti in 25 Stati membri. L'analisi di XL Law and Consulting documenta 45 azioni di applicazione del GDPR contro istituti di istruzione, con una sanzione media di circa 32.600 euro — modesta rispetto al settore tecnologico, ma significativa per istituzioni con bilanci limitati (XL Law 2023).

L'analisi di XL Law and Consulting delle azioni di applicazione del GDPR rivela inoltre un modello settoriale: gli istituti di istruzione rappresentano meno del 3 per cento di tutte le azioni di applicazione del GDPR, con una sanzione media di circa 32.600 euro — rispetto a 1,8 milioni di euro in tutti i settori. Spagna, Italia e Polonia sono responsabili di oltre il 65 per cento delle azioni di applicazione contro gli istituti di istruzione superiore. È degno di nota che l'autodenuncia delle violazioni dei dati non abbia protetto gli istituti da sanzioni consistenti, suggerendo che gli sforzi di conformità proattiva devono andare oltre la risposta agli incidenti (XL Law 2023).

Nel contesto cinese, il divario di preparazione si manifesta in modo diverso. Sebbene la PIPL sia in vigore dal novembre 2021, l'applicazione nel settore dell'istruzione è stata meno visibile rispetto ai settori tecnologico e finanziario. L'enfasi è stata sulle aziende di piattaforma che trattano dati su larga scala piuttosto che sui singoli istituti di istruzione. Tuttavia, il Regolamento sulla gestione della sicurezza dei dati di rete (in vigore da gennaio 2025) e le Misure di certificazione per i trasferimenti transfrontalieri (in vigore da gennaio 2026) segnalano una crescente attenzione normativa alle pratiche di governance dei dati in tutti i settori, inclusa l'istruzione.

Il Parere 28/2024 del Comitato europeo per la protezione dei dati, adottato nel dicembre 2024, affronta gli aspetti della protezione dei dati relativi all'addestramento e all'impiego di modelli di IA, osservando che il GDPR si applica ai modelli di IA addestrati su dati personali a causa delle loro capacità di memorizzazione (EDPB 2024). Per le università che sviluppano o impiegano strumenti educativi basati sull'IA, questo parere ha implicazioni significative: anche i modelli di IA che non conservano dati personali in forma riconoscibile possono essere soggetti ai requisiti del GDPR se possono essere sollecitati a produrre informazioni personali.

9. Raccomandazioni per le università

Sulla base della nostra analisi comparativa, proponiamo sette raccomandazioni per le università che cercano di orientarsi tra i requisiti sovrapposti del GDPR e della PIPL:

In primo luogo, condurre un esercizio completo di mappatura dei dati che identifichi tutte le attività di trattamento dei dati personali, le loro basi giuridiche ai sensi sia del GDPR sia della PIPL, e tutti i flussi transfrontalieri di dati. Questa mappatura dovrebbe coprire non solo i processi accademici formali, ma anche i sistemi ausiliari: analisi Wi-Fi del campus, banche dati delle biblioteche, piattaforme dei servizi per l'impiego e sistemi di gestione degli ex studenti.

In secondo luogo, stabilire un quadro unificato di governance dei dati che affronti i requisiti sia del GDPR sia della PIPL. Sebbene le due leggi differiscano nei loro orientamenti filosofici, i loro requisiti pratici si sovrappongono in modo sostanziale. Un quadro progettato per soddisfare i requisiti più rigorosi dei due in ciascun ambito raggiungerà generalmente la conformità con entrambi.

In terzo luogo, adottare un modello di consenso-plus per l'analisi dell'apprendimento. Poiché l'assenza di una base per i legittimi interessi nella PIPL rende il consenso più centrale rispetto al GDPR, le università impegnate nella cooperazione internazionale dovrebbero costruire meccanismi di consenso che soddisfino gli standard della PIPL — che tipicamente superano i requisiti del GDPR e pertanto soddisfano entrambi i quadri.

In quarto luogo, implementare la privacy by design nell'acquisizione e nello sviluppo di tecnologia educativa. Il quadro di Lachheb e colleghi (2023) per l'etica del design nella tecnologia educativa fornisce un punto di partenza, così come le linee guida dell'EDPB sull'IA e i dati personali. I contratti di acquisizione dovrebbero richiedere esplicitamente ai fornitori di dimostrare la conformità sia al GDPR sia alla PIPL, ove applicabile.

In quinto luogo, investire nelle capacità istituzionali. Il divario di preparazione documentato da 7DOTS (2024) e CMS (2025) riflette non una non conformità deliberata, bensì competenze e risorse insufficienti. Le università dovrebbero designare responsabili della protezione dei dati con competenze specifiche nei dati educativi e nei flussi internazionali di dati, e fornire formazione regolare al personale docente e amministrativo.

In sesto luogo, sviluppare accordi bilaterali di condivisione dei dati per i programmi congiunti con istituzioni partner cinesi (o europee). Tali accordi dovrebbero andare oltre le clausole contrattuali standard per affrontare i requisiti specifici dei dati educativi: registri accademici, dati di valutazione, analisi dell'apprendimento e dati di ricerca presentano ciascuno sfide di conformità distinte.

In settimo luogo, monitorare attivamente gli sviluppi normativi. Entrambi i quadri si stanno evolvendo rapidamente. I requisiti dell'AI Act dell'UE per l'IA ad alto rischio nel settore educativo entreranno pienamente in vigore nell'agosto 2026. Le misure cinesi sulla certificazione dei trasferimenti transfrontalieri sono entrate in vigore nel gennaio 2026. Le decisioni di adeguatezza della Commissione europea e le disposizioni della CAC sui contratti standard sono soggette a revisione. Le università che trattano la protezione dei dati come un esercizio di conformità una tantum, anziché come una funzione di governance continua, resteranno inevitabilmente indietro.

10. Conclusione

Il confronto tra il GDPR e la PIPL nel contesto educativo rivela un paradosso: due dei regimi di protezione dei dati più completi al mondo, entrambi dichiaranti di proteggere gli individui dall'uso improprio dei loro dati personali, divergono così fondamentalmente nei loro assunti filosofici che la conformità all'uno non garantisce la conformità all'altro. L'enfasi del GDPR sull'autonomia individuale, sulla supervisione indipendente e sulla limitazione delle finalità riflette le tradizioni democratiche europee; l'enfasi della PIPL sulla sovranità statale, sull'applicazione centralizzata e sulla sicurezza nazionale riflette il modello di governance distinto della Cina. Nessuno dei due sistemi ha dimostrato di aver raggiunto una protezione adeguata dei dati nella pratica — i dati europei sull'applicazione documentano una non conformità diffusa, mentre l'applicazione cinese nell'istruzione resta nascente.

Per le università, la sfida pratica è orientarsi tra questi requisiti sovrapposti e talvolta confliggenti, mantenendo al contempo la cooperazione internazionale essenziale per l'istruzione superiore moderna. La sfida della doppia conformità non è un mero tecnicismo giuridico; essa riflette domande più profonde sul ruolo dei dati nell'istruzione, sull'equilibrio tra potere istituzionale e diritti individuali, e sulla possibilità di una privacy significativa in un ambiente di apprendimento sempre più dataficato.

La posta in gioco di questa sfida va oltre la conformità legale. La protezione dei dati degli studenti è in definitiva una questione di fiducia: gli studenti devono potersi fidare del fatto che le loro università gestiranno le loro informazioni personali in modo responsabile, che i loro registri accademici non saranno usati contro di loro, che i loro comportamenti di apprendimento non saranno sorvegliati a loro insaputa e che i loro dati non saranno condivisi con parti non autorizzate. Quando le università non soddisfano queste aspettative — attraverso le violazioni del GDPR documentate nei dati del CMS enforcement, attraverso sistemi opachi di analisi dell'apprendimento o attraverso tecnologie di sorveglianza impiegate senza un consenso adeguato — erodono la fiducia che è fondamentale per la relazione educativa.

Abbiamo sostenuto che né l'approccio europeo né quello cinese da soli forniscono un modello adeguato. L'enfasi del GDPR sui diritti individuali e sulla supervisione indipendente offre protezioni importanti contro l'eccesso istituzionale, ma la sua complessità e le lacune nell'applicazione ne minano l'efficacia. L'applicazione centralizzata della PIPL e i percorsi di conformità chiari offrono vantaggi pratici, ma la sua subordinazione agli interessi statali solleva interrogativi sulla protezione che essa garantisce contro la sorveglianza governativa. Una sintesi che combini i principi europei fondati sui diritti con l'efficienza normativa cinese — o, più modestamente, un insieme di linee guida pratiche che consenta alle università di soddisfare simultaneamente entrambi i quadri — resta la via più promettente. Le raccomandazioni proposte in questo articolo rappresentano un contributo iniziale a tale sintesi, fondato sulle specifiche sfide di protezione dei dati che le università affrontano nell'era dell'istruzione digitale.

Ringraziamenti

Questa ricerca è stata condotta nell'ambito del Centro d'eccellenza Jean Monnet «EUSC-DEC» (Sovvenzione UE 101126782, 2023–2026). L'autore ringrazia i membri del Gruppo di ricerca 1 (Regolamentazione della digitalizzazione in Cina e in Europa) per i loro contributi all'analisi giuridica comparativa.

Riferimenti bibliografici

7DOTS. (2024). Report: 81% of Universities at Risk of Fines Due to Failure to Safeguard Student Data. 7DOTS. Available at: https://www.7dots.com/our-insights/81-of-universities-at-risk-of-fines-due-to-failure-to-safeguard-student-data/

American Association of Collegiate Registrars and Admissions Officers (AACRAO). (2022). China's Personal Information Protection Law (PIPL). AACRAO. Available at: https://www.aacrao.org/advocacy/compliance/

Blackmon, S. J. & Major, C. H. (2023). Inclusion or infringement? A systematic research review of students' perspectives on student privacy in technology-enhanced, hybrid and online courses. British Journal of Educational Technology, 54(6), 1542–1565. DOI: 10.1111/bjet.13362

CMS Law. (2025). GDPR Enforcement Tracker Report 2024/2025: Public Sector and Education. CMS International Law Firm.

CMS Law-Now. (2025). China issues Measures for the Certification of the Cross-Border Transfer of Personal Information. CMS e-Alert, November 2025.

DataGuidance. (2022). Comparing Privacy Laws: GDPR v. PIPL. DataGuidance.

European Data Protection Board (EDPB). (2024). Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models. Adopted 17 December 2024.

European Parliament and Council. (2024). Regulation (EU) 2024/1689 of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Official Journal of the European Union, L series.

Fernandez-Novel Escobar, E. (2025). How do the European Union's GDPR and China's PIPL regulate cross-border data flows? International Policy Review, IE University, 27 January 2025.

Garante per la protezione dei dati personali (Italy). (2021). Decision 9703988 — Fine against Università Commerciale Luigi Bocconi, 16 September 2021.

Giuffrida, I. & Hall, A. (2023). Technology integration in higher education and student privacy beyond learning environments. British Journal of Educational Technology, 54(6), 1587–1603.

International Association of Privacy Professionals (IAPP). (2021). Analyzing China's PIPL and how it compares to the EU's GDPR. IAPP.

Kumi-Yeboah, A., Kim, Y., Yankson, B., Aikins, S. & Dadson, Y. A. (2023). Diverse students' perspectives on privacy and technology integration in higher education. British Journal of Educational Technology, 54(6), 1671–1692.

Lachheb, A. et al. (2023). The role of design ethics in maintaining students' privacy. British Journal of Educational Technology, 54(6), 1653–1670.

Li, W. & Chen, J. (2024). From Brussels Effect to Gravity Assists. Computer Law and Security Review, 54, 105994.

Lim, S. & Oh, J. (2025). Navigating Privacy: A Global Comparative Analysis of Data Protection Laws. IET Information Security, 2025(1).

Liu, Q. & Khalil, M. (2023). Understanding privacy and data protection issues in learning analytics using a systematic review. British Journal of Educational Technology, 54(6), 1466–1485.

Liu, Q., Khalil, M., Shakya, R., Jovanovic, J. & de la Hoz-Ruiz, J. (2025). Ensuring privacy through synthetic data generation in education. British Journal of Educational Technology.

MIT Office of General Counsel. (2022). China and the PIPL: New Protections and Rights for Personal Information. MIT.

Prinsloo, P., Slade, S. & Khalil, M. (2022). The answer is (not only) technological. British Journal of Educational Technology, 53(4), 876–893.

Rockefeller Institute of Government. (2025). The European AI Act and Its Implications for New York State Higher Education. November 2025.

State Council of the People's Republic of China. (2024). Regulations on Network Data Security Management (effective 1 January 2025).

XL Law and Consulting. (2023). GDPR Enforcement Actions: Lessons Learned for Colleges and Universities. XL Law and Consulting.

Xue, Y., Chinapah, V., & Zhu, C. (2025). A Comparative Analysis of AI Privacy Concerns in Higher Education. Education Sciences, 15(6), 650.

Zanfir-Fortuna, G. (2020). The General Data Protection Regulation: Analysis and Guidance for US Higher Education Institutions. Future of Privacy Forum.

Zhang, L. & Kollnig, K. (2024). Theory and practice: the protection of children's personal information in China. International Data Privacy Law, 14(1), 37–52.

Zhu, J. (2022). The Personal Information Protection Law: China's Version of the GDPR? Columbia Journal of Transnational Law: The Bulletin.