Il presupposto di legittimità del trattamento dei dati è diverso a seconda che il trattamento sia effettuato da soggetti privati o da soggetti pubblici.
6.1. Trattamento effettuato da una scuola privata
Se il trattamento è effettuato da un soggetto privato, la legge richiede che sia espresso il consenso da parte del soggetto al quale i dati si riferiscono: il trattamento nonché la comunicazione e la diffusione dei dati, da parte di soggetti privati e da parte di enti pubblici economici, sono consentiti solo previo il consenso dell' interessato , che deve essere documentato per iscritto, o quando ricorrano alcune circostanze equipollenti al consenso, elencate dall'articolo 12 della legge 675/96 [Articolo 12].
6.2. Trattamento effettuato da una scuola pubblica
Se il trattamento è effettuato da un soggetto pubblico, l'ente titolare del trattamento dei dati personali non deve richiedere il consenso. Il trattamento è lecito soltanto per lo svolgimento di funzioni istituzionali dell'ente, nei limiti previsti da leggi e regolamenti.
Dunque regole differenti si applicano al trattamento dei dati personali effettuato da parte di una scuola pubblica e di una scuola privata: in particolare, l'istituto scolastico pubblico non è tenuto a richiedere il consenso dello studente per il trattamento dei suoi dati personali.