Una scuola puo dare il consenso per conto dei genitori secondo COPPA?

Si, ma solo entro limiti rigorosi. Secondo il meccanismo di autorizzazione scolastica della FTC, una scuola puo fornire il consenso al posto di un genitore quando un servizio edtech viene usato esclusivamente per uno scopo educativo e i dati sono usati solo per quello scopo, non per pubblicita, per costruire profili utente o per qualsiasi uso commerciale non collegato al servizio. Il consenso copre solo il contesto scolastico. Se vuoi usare i dati dei bambini per qualcosa oltre alla fornitura del servizio educativo, ti serve un consenso parentale separato e verificabile. In pratica, il tuo prodotto deve essere in grado di distinguere l'uso autorizzato dalla scuola dall'uso consumer, limitare di conseguenza l'uso dei dati e fornire alle scuole un chiaro accordo di trattamento dei dati che descriva esattamente cosa raccogli e perche.

Come influiscono i tutor AI e i chatbot sulla conformita dei dati dei minori?

Le funzionalita AI alzano l'asticella perche spesso trattano input testuale libero, voce o immagini dei bambini: esattamente i tipi di dati che le modifiche COPPA 2025 scrutinano, compresi gli identificatori biometrici. Usare i dati dei bambini per addestrare o perfezionare un modello, o inviarli a un fornitore AI terzo, e un uso dei dati e una divulgazione che l'eccezione del contesto educativo potrebbe non coprire, quindi puo richiedere un consenso parentale separato e un accordo con il fornitore che gli vieti di addestrarsi sui dati. Per i discenti dell'UE e del Regno Unito l'EU AI Act e il GDPR aggiungono obblighi di trasparenza e di rischio. Lo schema sicuro consiste nel minimizzare cio che l'AI vede, tenere per impostazione predefinita i dati dei bambini fuori dall'addestramento dei modelli, documentare ogni flusso di dati e trattare qualsiasi funzionalita AI come rientrante nella revisione sulla privacy fin dal primo giorno anziche aggiungerla in seguito.

Conformità FERPA e COPPA per l'EdTech (2026)

Q: FERPA o COPPA si applicano al mio prodotto edtech?

Dipende da chi lo usa e dalla loro eta. FERPA si applica ogni volta che il tuo prodotto gestisce 'registri scolastici' per conto di una scuola, un distretto, un college o un'universita statunitense che riceve finanziamenti educativi federali: in tal caso operi tipicamente come 'funzionario scolastico' sotto il controllo della scuola. COPPA si applica ogni volta che raccogli online informazioni personali da bambini sotto i 13 anni, anche in ambito scolastico. Molti prodotti edtech sono soggetti a entrambe contemporaneamente: uno strumento di apprendimento K-12 che serve studenti sotto i 13 anni e disciplinato da FERPA per i registri scolastici e da COPPA per le informazioni personali dei bambini. Se i tuoi utenti hanno 13 anni o piu in un contesto di istruzione superiore o di formazione aziendale, COPPA di solito non si applica ma FERPA puo ancora valere, e le leggi statali e il GDPR possono aggiungere ulteriori obblighi.

Q: Cosa e cambiato in COPPA per il 2026?

La FTC ha finalizzato le prime modifiche rilevanti alla regola COPPA dal 2013. La regola aggiornata e entrata in vigore il 23 giugno 2025 e la piena conformita e richiesta entro il 22 aprile 2026. Le modifiche chiave per l'edtech sono: le 'informazioni personali' ora includono espressamente gli identificatori biometrici come dati di riconoscimento facciale, impronte vocali e impronte digitali, oltre agli identificatori rilasciati dal governo; gli operatori devono ottenere un consenso parentale separato e verificabile prima di condividere i dati dei bambini con terze parti per scopi come la pubblicita mirata, quindi un singolo consenso generale non copre piu la condivisione a valle; e gli operatori non possono piu conservare le informazioni personali dei bambini a tempo indeterminato: serve una politica di conservazione scritta e i dati devono essere cancellati quando non sono piu necessari per lo scopo per cui sono stati raccolti. L'eccezione di autorizzazione scolastica rimane, ma e ristretta: copre solo il contesto educativo, non la pubblicita o la profilazione comportamentale.

Q: Quali controlli di sicurezza richiede FERPA a un fornitore edtech?

FERPA non pubblica una checklist fissa, ma per agire come 'funzionario scolastico' nell'ambito di un contratto con un distretto o un'universita ci si aspetta che tu protegga i registri scolastici con ragionevoli misure di salvaguardia amministrative, fisiche e tecniche. In pratica cio significa controllo degli accessi basato sui ruoli affinche personale e studenti vedano solo cio che devono, cifratura in transito (TLS) e a riposo, registrazione degli accessi su chi ha consultato quali registri, minimizzazione dei dati, cancellazione sicura e limiti di conservazione, impegni di notifica delle violazioni e uso dei dati solo per lo scopo educativo autorizzato sotto il controllo diretto della scuola. I distretti chiedono sempre piu ai fornitori di dimostrarlo con un report SOC 2 e un accordo firmato sulla privacy dei dati, e diversi stati richiedono clausole contrattuali specifiche oltre a FERPA.

Q: FERPA e COPPA si applicano se i miei utenti sono nell'UE o nel Regno Unito?

FERPA e COPPA sono leggi statunitensi, quindi disciplinano gli studenti e le scuole statunitensi. Se servi anche discenti nell'Unione Europea o nel Regno Unito, si applica invece il GDPR (e il GDPR del Regno Unito), con le proprie regole su base giuridica, minimizzazione dei dati, conservazione e dati dei minori: il GDPR fissa un'eta di consenso digitale predefinita di 16 anni che gli stati membri possono abbassare a 13. Un prodotto venduto su entrambe le sponde dell'Atlantico deve soddisfare FERPA e COPPA per i suoi utenti statunitensi e il GDPR per i suoi utenti dell'UE e del Regno Unito allo stesso tempo. La buona notizia e che l'ingegneria sottostante (gestione del consenso, minimizzazione dei dati, cifratura, limiti di conservazione e registrazione degli accessi) si sovrappone in larga parte, quindi una progettazione privacy-by-design puo soddisfarle tutte con un'unica architettura anziche tre.

Sophie Laurent Legal & Compliance Lead, YuSMP Group · Consulenza a team statunitensi ed europei su GDPR, HIPAA, EU AI Act e privacy dei dati degli studenti

In breve — le regole in un minuto

I dati degli studenti sono tra le informazioni personali più sensibili che esistano e, negli Stati Uniti, due leggi decidono come l'edtech può trattarli. I fondatori di solito le incontrano nel modo più duro — nel questionario di procurement di un distretto o nella revisione di sicurezza di un'università, settimane prima di un lancio. Ecco il quadro in anticipo:

FERPA (la Family Educational Rights and Privacy Act, 1974) protegge i registri scolastici detenuti dalle scuole che ricevono finanziamenti federali. Come fornitore di solito tratti tali registri come "funzionario scolastico" sotto il controllo della scuola — non come proprietario dei dati.
COPPA (la Children's Online Privacy Protection Act) disciplina la raccolta online di informazioni personali da bambini sotto i 13 anni, anche nelle scuole. Richiede un consenso verificabile prima di raccogliere.
La maggior parte dei prodotti K-12 è soggetta a entrambe contemporaneamente. Uno strumento di apprendimento usato da studenti sotto i 13 anni attiva FERPA per i registri e COPPA per i dati dei bambini. L'istruzione superiore e la formazione aziendale sono di solito solo-FERPA (o nessuna delle due).
COPPA è cambiata. La regola modificata della FTC è entrata in vigore il 23 giugno 2025, con piena conformità richiesta entro il 22 aprile 2026 — nuove regole su dati biometrici, consenso alla condivisione con terze parti e conservazione dei dati.
Le leggi statali e il GDPR si sommano. California (SOPIPA), Illinois (SOPPA) e New York (Ed Law 2-d) aggiungono obblighi contrattuali e di cancellazione; i discenti dell'UE e del Regno Unito portano il GDPR.

FERPA: cosa protegge e chi vincola

FERPA dà ai genitori — e agli "studenti idonei" una volta compiuti i 18 anni o entrati al college — diritti sui loro registri scolastici: il diritto di consultarli, di chiedere correzioni e di controllare chi altri vede le informazioni personalmente identificabili in essi contenute. Vincola la scuola, non direttamente il fornitore. Ma nel momento in cui una scuola invia i dati degli studenti alla tua piattaforma, vieni attirato nell'orbita di FERPA attraverso il meccanismo che rende possibile l'edtech.

L'eccezione del "funzionario scolastico"

FERPA consente a una scuola di divulgare i registri scolastici senza consenso parentale separato a una parte che svolge un servizio che la scuola farebbe altrimenti da sé — un "funzionario scolastico" con un "legittimo interesse educativo". È questa la base giuridica in virtù della quale il tuo SaaS conserva registri dei voti, presenze o dati di valutazione. L'insidia sono le condizioni associate: devi essere sotto il controllo diretto della scuola per l'uso e la conservazione dei registri, puoi usare i dati solo per lo scopo autorizzato e non puoi ri-divulgarli senza autorizzazione. In parole semplici: la scuola possiede il rapporto con i dati; tu sei un responsabile del trattamento che agisce secondo le sue istruzioni.

Studenti universitari che lavorano insieme intorno a dei laptop in una biblioteca — discenti dell'istruzione superiore i cui registri scolastici sono protetti da FERPA

Cosa significa per il tuo prodotto

Poiché FERPA pubblica principi anziché una checklist di controlli, distretti e università la traducono in clausole contrattuali e in un questionario di sicurezza. Per firmare come funzionario scolastico ti verrà tipicamente chiesto di: mantenere i dati esclusivamente per lo scopo educativo previsto dal contratto; concedere alla scuola accesso, correzione e cancellazione su richiesta; proteggere i registri con ragionevoli misure di salvaguardia (controllo degli accessi, cifratura, registrazione); impegnarti alla notifica delle violazioni; e cancellare o restituire i dati alla fine del contratto. Niente di tutto ciò è ingegneria esotica — è disciplinato sviluppo software su misura con la privacy trattata come requisito di prima classe. I team che faticano sono quelli che hanno costruito prima un'app consumer e poi hanno provato a renderla "pronta per FERPA".

COPPA: la scadenza 2026 e cosa è cambiato

COPPA si applica agli operatori di servizi online diretti a bambini sotto i 13 anni, o che hanno effettiva conoscenza di raccogliere informazioni personali da utenti sotto i 13 anni. Precede il web moderno (1998), ma la FTC le ha appena dato l'aggiornamento più significativo dal 2013 — e c'è una data ferma associata.

Cosa hanno cambiato le modifiche del 2025

Dati biometrici e identificatori sono ora informazioni personali. La definizione di "informazioni personali" include espressamente gli identificatori biometrici — dati di riconoscimento facciale, impronte vocali, impronte digitali, modelli della retina — e gli identificatori rilasciati dal governo. Proctoring, strumenti vocali e funzionalità fotografiche rientrano pienamente nel campo di applicazione.
Consenso separato per la condivisione con terze parti. Un singolo consenso generale non copre più tutto. Ora ti serve un consenso parentale separato e verificabile prima di divulgare i dati dei bambini a terze parti per scopi come la pubblicità mirata. Il consenso a far funzionare il servizio non è consenso a condividere a valle.
Nessuna conservazione indefinita. Gli operatori possono conservare le informazioni personali dei bambini solo per il tempo ragionevolmente necessario allo scopo per cui sono state raccolte e devono adottare una politica di conservazione dei dati scritta. L'archiviazione indefinita del tipo "potremmo averne bisogno" è ora una violazione.
L'eccezione scolastica è rimasta, ed è rimasta ristretta. Una scuola può ancora autorizzare la raccolta al posto di un genitore — ma solo per il contesto educativo, mai per la pubblicità o la profilazione.

Il meccanismo del consenso scolastico

In un contesto di classe, ottenere il consenso parentale individuale per ogni app è impraticabile, quindi la FTC consente a una scuola di acconsentire per conto dei genitori — a condizione che il servizio sia usato esclusivamente per uno scopo educativo e che i dati siano usati solo per quello scopo. È un privilegio dai bordi taglienti: se usi i dati anche per migliorare prodotti non correlati, costruire profili pubblicitari o addestrare modelli per altri scopi, il consenso della scuola non si estende a coprirlo e ti serve il consenso parentale per quegli usi. Il tuo prodotto deve essere in grado di distinguere l'uso autorizzato dalla scuola da qualsiasi altra cosa e bloccare i dati di conseguenza.

Dove FERPA, COPPA e le leggi statali si sovrappongono

Per un prodotto K-12 le due leggi federali si applicano insieme: FERPA disciplina i registri scolastici che la scuola ti affida, mentre COPPA disciplina l'atto di raccogliere informazioni personali dal bambino sotto i 13 anni. Non sono in conflitto — coprono angolazioni diverse degli stessi dati — ma devi soddisfarle entrambe. E poi gli stati si aggiungono, spesso con regole più severe e specifiche:

California — SOPIPA: vieta di usare i dati degli studenti K-12 per la pubblicità mirata o per costruire profili non educativi e richiede sicurezza e cancellazione ragionevoli.
Illinois — SOPPA: impone requisiti contrattuali dettagliati tra scuole e fornitori, tempistiche di notifica delle violazioni e trasparenza pubblica sui dati raccolti.
New York — Education Law 2-d: richiede clausole specifiche di sicurezza e privacy dei dati, una carta dei diritti dei genitori e impegni dei fornitori su cifratura e cancellazione.

Poiché queste leggi vincolano i fornitori a prescindere da dove hai sede, un prodotto edtech nazionale di fatto costruisce verso il denominatore comune più severo. Se i tuoi discenti attraversano l'Atlantico, il GDPR e il GDPR del Regno Unito si applicano anche a quegli utenti — la nostra guida su GDPR per fondatori statunitensi che vendono all'UE copre cosa aggiunge, e gran parte di esso (base giuridica, minimizzazione, conservazione, diritti dell'interessato) fa rima con ciò che FERPA e COPPA già richiedono.

La checklist tecnica: privacy by design

La parte rassicurante è che tutti questi regimi convergono sulla stessa costruzione. Considera quanto segue come l'architettura di base per qualsiasi prodotto che tocca i dati degli studenti — progettala fin dal primo sprint, perché ogni voce è molto più economica da costruire che da aggiungere prima di una revisione di sicurezza.

Minimizzazione dei dati. Raccogli solo i campi di cui lo scopo educativo ha bisogno. I dati che non raccogli mai sono i dati che non devi mai proteggere, per cui chiedere consenso o cancellare.
Controllo degli accessi basato sui ruoli (RBAC). Insegnanti, studenti, genitori, amministratori e il tuo stesso personale vedono ciascuno solo ciò che il loro ruolo giustifica. Ogni accesso ai registri è autorizzato e attribuibile.
Cifratura ovunque. TLS in transito e cifratura robusta a riposo per i registri scolastici e i dati dei bambini, con una sensata gestione delle chiavi.
Registrazione degli accessi. Una traccia immutabile di chi ha consultato o modificato quali registri, conservata abbastanza a lungo da soddisfare i contratti dei distretti e da indagare su un incidente.
Conservazione e cancellazione. Una politica di conservazione scritta con cancellazione automatica quando i dati non servono più o quando un contratto termina — ora un requisito COPPA esplicito, non solo buona igiene.
Tracciamento di consenso e finalità. Registra la base su cui detieni i dati di ciascun bambino (autorizzazione scolastica vs consenso parentale) e fai rispettare che i dati siano usati solo per quello scopo.
Isolamento dei tenant. I dati di un distretto non devono mai trapelare in quelli di un altro. Per la maggior parte dell'edtech questa è una decisione di architettura SaaS multi-tenant presa presto, non una patch.
Prove su richiesta. Un report SOC 2, un accordo di trattamento dei dati e una chiara mappa dei dati trasformano una revisione di sicurezza lunga mesi in una casella da spuntare — vedi la nostra guida SOC 2 Type II per startup per come arrivarci.

Un lucchetto appoggiato sulla tastiera di un laptop — la cifratura, il controllo degli accessi e la registrazione degli accessi che proteggono i registri degli studenti secondo FERPA, COPPA e le leggi statali

Funzionalità AI, dati biometrici e le nuove regole

L'AI è il punto in cui la conformità edtech si fa più tagliente nel 2026, perché le funzionalità più entusiasmanti toccano esattamente i dati di cui le nuove regole si preoccupano. Un tutor AI legge le risposte a testo libero di un bambino; uno strumento di proctoring tratta un volto o una voce; un motore adattivo profila il comportamento di un discente. Tre principi tengono queste funzionalità dalla parte giusta del confine:

I dati biometrici sono ora informazioni personali. Riconoscimento facciale, impronte vocali e impronte digitali rientrano nella definizione COPPA 2025, quindi qualsiasi funzionalità che li usa per studenti sotto i 13 anni necessita di una base giuridica e, spesso, di un consenso separato — non una clausola sepolta nei tuoi termini.
Inviare dati a un modello è una divulgazione. Passare i dati dei bambini a un fornitore AI terzo, o usarli per addestrare o perfezionare un modello, è un uso dei dati che l'eccezione del contesto educativo potrebbe non coprire. Tieni per impostazione predefinita i dati dei bambini fuori dall'addestramento e metti in atto un contratto che vieti al fornitore di addestrarsi su di essi.
Documenta ogni flusso. Se non riesci a tracciare dove vanno i dati di un bambino quando pone una domanda al tuo tutor AI, non puoi dimostrare la conformità. Tratta qualsiasi funzionalità AI come rientrante nella revisione sulla privacy fin dal primo giorno.

Per i discenti dell'UE e del Regno Unito l'EU AI Act sovrappone obblighi di trasparenza e di rischio — la nostra checklist EU AI Act per SaaS li passa in rassegna. Integrare modelli in un prodotto esistente in modo responsabile è una disciplina a sé; trattiamo l'ingegneria nel nostro lavoro di integrazione di AI generativa, dove la governance dei dati fa parte dell'integrazione, non un progetto separato.

Costruire un prodotto edtech conforme

Che tu costruisca internamente o con un partner, le stesse domande separano un prodotto che attraversa senza intoppi il procurement da uno che si blocca. Usa questo come checklist per il tuo team o il tuo fornitore.

1. Privacy progettata fin dall'inizio, non aggiunta dopo

Minimizzazione, RBAC, cifratura, registrazione e conservazione dovrebbero comparire nel primo diagramma di architettura. Un team che le tratta come bloccanti per il lancio fin dall'inizio spedisce più velocemente di uno che "aggiunge la compliance" prima di una revisione.

2. Padronanza delle regole effettive

Cerca persone che sappiano spiegare l'eccezione del funzionario scolastico, il meccanismo del consenso scolastico COPPA e le modifiche del 2026 senza ricorrere a un generico modello di privacy policy. I dettagli decidono l'architettura.

3. Prove, non rassicurazioni

Un report SOC 2, un accordo di trattamento dei dati firmato e una mappa dei dati sono ciò di cui i distretti si fidano. Un partner che li produce su richiesta — anziché promettere di "dare un'occhiata" — ti risparmia un ciclo di vendita.

4. Multi-tenant e cancellazione fatti bene

L'isolamento dei tenant e una cancellazione affidabile e automatizzata sono i due punti in cui l'edtech più spesso fallisce una revisione. Sono architetturali, quindi devono essere giusti presto o sono costosi da correggere.

5. Un team che resta per tutto il ciclo di vita

Le regole cambiano — l'aggiornamento COPPA ne è la prova. Un team che possiede il prodotto nel tempo lo mantiene conforme man mano che le normative e il tuo set di funzionalità evolvono, anziché consegnare un'istantanea che si disallinea col tempo.

FAQ

FERPA o COPPA si applicano al mio prodotto edtech?

Dipende da chi lo usa e dalla loro età. FERPA si applica quando gestisci registri scolastici per una scuola, un distretto o un'università statunitense che riceve finanziamenti federali — di solito come "funzionario scolastico" sotto il controllo della scuola. COPPA si applica quando raccogli online informazioni personali da bambini sotto i 13 anni, anche nelle scuole. Molti prodotti K-12 sono soggetti a entrambe contemporaneamente. I prodotti per utenti di 13 anni o più in contesti di istruzione superiore o di formazione aziendale sono di solito solo-FERPA o nessuna delle due, anche se le leggi statali e il GDPR possono comunque applicarsi.

Cosa è cambiato in COPPA per il 2026?

La FTC ha finalizzato le prime modifiche rilevanti a COPPA dal 2013. La regola è entrata in vigore il 23 giugno 2025, con piena conformità richiesta entro il 22 aprile 2026. Modifiche chiave: gli identificatori biometrici e quelli rilasciati dal governo sono ora "informazioni personali"; ti serve un consenso separato e verificabile prima di condividere i dati dei bambini con terze parti per scopi come la pubblicità mirata; e non puoi più conservare i dati dei bambini a tempo indeterminato — sono richiesti una politica di conservazione scritta e una cancellazione tempestiva. L'eccezione di autorizzazione scolastica rimane ma copre solo il contesto educativo.

Una scuola può dare il consenso per conto dei genitori secondo COPPA?

Sì, entro limiti. Una scuola può acconsentire al posto di un genitore quando il servizio è usato esclusivamente per uno scopo educativo e i dati sono usati solo per quello scopo — non per pubblicità, profilazione o uso commerciale non correlato. Qualsiasi cosa oltre alla fornitura del servizio educativo richiede un consenso parentale separato e verificabile. Il tuo prodotto deve distinguere l'uso autorizzato dalla scuola dagli altri usi e limitare i dati di conseguenza.

Quali controlli di sicurezza richiede FERPA a un fornitore?

FERPA fissa principi anziché una checklist fissa, ma per agire come funzionario scolastico ci si aspetta che tu protegga i registri scolastici con ragionevoli misure di salvaguardia: controllo degli accessi basato sui ruoli, cifratura in transito e a riposo, registrazione degli accessi, minimizzazione dei dati, cancellazione sicura e limiti di conservazione, impegni di notifica delle violazioni e uso dei dati solo per lo scopo autorizzato. I distretti vogliono sempre più che ciò sia dimostrato con un report SOC 2 e un accordo firmato sulla privacy dei dati, e diversi stati richiedono ulteriori clausole contrattuali.

FERPA e COPPA si applicano se i miei utenti sono nell'UE o nel Regno Unito?

FERPA e COPPA sono leggi statunitensi che coprono studenti e scuole statunitensi. Per i discenti nell'UE o nel Regno Unito si applicano invece il GDPR e il GDPR del Regno Unito, con le proprie regole su base giuridica, minimizzazione, conservazione e dati dei minori. Un prodotto venduto su entrambe le sponde dell'Atlantico soddisfa FERPA e COPPA per gli utenti statunitensi e il GDPR per gli utenti dell'UE e del Regno Unito allo stesso tempo — ma l'ingegneria sottostante si sovrappone in gran parte, quindi un'unica architettura privacy-by-design può servirli tutti.

Come influiscono i tutor AI e i chatbot sulla conformità dei dati dei minori?

Le funzionalità AI spesso trattano testo, voce o immagini dei bambini — compresi gli identificatori biometrici che le modifiche COPPA 2025 scrutinano. Usare i dati dei bambini per addestrare un modello, o inviarli a un fornitore AI terzo, è un uso e una divulgazione che l'eccezione del contesto educativo potrebbe non coprire, quindi può richiedere un consenso separato e un accordo con il fornitore che vieti di addestrarsi sui dati. Per i discenti dell'UE e del Regno Unito l'EU AI Act e il GDPR aggiungono obblighi. Minimizza ciò che l'AI vede, tieni per impostazione predefinita i dati dei bambini fuori dall'addestramento e tratta qualsiasi funzionalità AI come rientrante nella revisione sulla privacy fin dall'inizio.

Ultimo aggiornamento 29 giugno 2026. Questo articolo è un'informazione generale su FERPA, COPPA e le relative leggi sulla privacy degli studenti per i team edtech statunitensi ed europei; non è una consulenza legale. I requisiti normativi cambiano e dipendono dal tuo specifico prodotto, dai tuoi utenti e dalle tue giurisdizioni — conferma i tuoi obblighi con un consulente qualificato prima del lancio.

Servizi correlati

EdTech software development service cover

Richiedi una proposta

Condividi qualche dettaglio e un consulente senior risponderà entro un giorno lavorativo.

Preferisci parlare direttamente? ☎ Chiama +374 44 871 811 ✉ sales@yusmpgroup.com