ISTITUTO DI ISTRUZIONE SUPERIORE “GALILEO GALILEI” ISTITUTO TECNICO STATALE COSTRUZIONI AMBIENTE TERRITORIO - ECONOMICO - CORSO SERALE Via Monsignor Domenico Valerii, 131 - 67051 AVEZZANO (AQ) - Tel. 086339262 Via Pasquale Santilli, 1 - 67043 CELANO (AQ) - Tel. 0863.791186 Codice Scuola AQIS01300L — C.F.: 90038800661 - Codice Univoco: UFU2TX it Sito Web: www.iisggalilei.edu.it Email: agis01300l@istruzione.it PEC: agis013001@pec.istruzione. 1.1.8. "G. GALILEI" - AVEZZANO Prot. 0010920 del 09/12/2022 Avezzano 09/12/2022 |-4 (Uscita) AI Sig. Fabio Pietrosanti Pec: comunicazioni@pec.monitora-pa.it p.c.Ill.mo Direttore Generale Ufficio Scolastico Regione Abruzzo Pec: drab@postacert.istruzione.it Oggetto: Risposta Accesso civico generalizzato A seguito della Sua istanza Prot.n. 7128 del 19/09/2022 trasmessa via PEC, nella quale richiedeva dell’U.S.R. l’accesso ai vari documenti ai sensi dell’art. 5 del D. Lgs. n. 33 del 2013 e, vista la nota per l'Abruzzo prot. n. 21761 del 02/12/2022, siamo con la presente a dare riscontro. La richiesta formulata non presenta indicazione di motivazione di un interesse conoscitivo, ma ha la sola finalità di costituire una banca dati per l’utilizzo successivo ed eventuale, da parte di non meglio definiti studiosi ed esperti della privacy e del software libero. Inoltre ai punti due e quattro si richiedono documenti, le valutazioni di impatto DPIA, che questa amministrazione non ha l’obbligo di redigere, e quindi non fornibili. Si è considerato il Consiglio di Stato, sez. III, 25.01.2021 n. 495: “se da un lato l’interesse alla non in trasparenza non richiede una motivazione specifica, dall’altro deve in ogni caso palesarsi a, anche sotto modo assolutamente generico e destituito di un benché minimo elemento di concretezz all'eserci zio delle funzioni forma di indizio, ...., pena rappresentare un inutile intralcio dei servizi.” amministrative e un appesantimento immotivato delle procedure di espletamento La sua richiesta pertanto pare difettare di quella base di concretezza necessaria per essere accolta, ordine riducendosi ad essere qualificata come una mera istanza volta ad un controllo pretestuoso in in alla legittimità dell’azione amministrativa sull'utilizzo delle tecnologie comunicative rientrando quanto previsto dal Consiglio di Stato. Si è considerato, inoltre, il Consiglio di Stato | Sezione AP | Sentenza | 2 aprile 2020 | n. 10 ... 36.6. Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose 0 sproporzionale e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Inoltre, l'associazione “Monitora PA” mediante una istanza comune a tutte le istituzioni scolastiche, dichiara e propaganda di aver avviato “il primo FOIA massivo della storia italiana, come primo passo di una strategia che si svilupperà completamente nei prossimi 3/4 mesi”, aggiungendo di voler: “liberare 8 milioni di studenti dal controllo dei GAFAM a Scuola”. Trattasi dunque di più richieste riconducibili ad uno stesso centro di interessi in un breve arco temporale, a cui ne seguiranno altre a breve termine secondo le dichiarazioni, finalizzate non dall’effettiva esigenza di conoscenza di documenti amministrativi (tutelata dal FOIA) ma caratterizzate da mere finalità esplorative al fine di attuare una strategia di contrasto alle multinazionali informatiche: le GAFAM con intenti vessatori, emulativi e pretestuosi tali per cui, secondo la sentenza del Consiglio di Stato citata, è possibile e doveroso evitare e respingere. Le richieste dei punti 3 e 5, e cioè le misure tecniche adottate per l'utilizzo di piattaforme che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica e la TIA, richiedono una estrapolazione e una decontestualizzazione dalla analisi dei rischi effettuata per la definizione di una struttura adeguata al rischio ai sensi dell’art. 32 del GDPR 679/2016. La fornitura della documentazione specificamente prodotta per l’uso delle piattaforme, la TIA che ne consegue, le istruzioni agli autorizzati del trattamento dati, il regolamento per l’uso delle piattaforme approvato dal Consiglio di Istituto non sarebbero, da sole, sufficienti a fornire un quadro completo, esaustivo delle misure tecniche adottate per il rispetto della privacy di cui l’Istituto si è dotato. In aggiunta la possibile divulgazione della documentazione relativa a tutte le contromisure adottate esporrebbe l’amministrazione ad un immotivato, ingiustificato rischio di sicurezza. La conoscenza delle contromisure, infatti, inficia l’efficacia delle stesse riportando quel rischio che cercano di mitigare a livelli inaccettabili e non conformi all’art. 32 del GDPR 679/2016 che recita: “// titolare del trattamento e il responsabile del trattamento mettono în atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile, e l’estrapolazione di quella richiesta comporta oneri per l’amministrazione e scarsi benefici per il richiedente per i motivi esposti. Inoltre è già riconosciuta una più ampia tutela al cittadino dalla stessa normativa sulla privacy che impone la redazione della documentazione richiesta. Ci riferiamo al “reclamo diretto al Garante” che ciascun cittadino, direttamente, autonomamente, liberamente, facilmente, e senza costi può richiedere direttamente all’ Autorità, la sola che può formulare giudizi di legittimità e di merito in materia, applicare sanzioni e obbligare al rispetto delle norme. Rammentiamo, infine, che in base al principio di “accountability” il Titolare del trattamento dati ha la responsabilità di progettare e implementare una struttura adeguata al rischio e ha l’onere di dimostrare di averlo fatto. In base al principio di privacy by design e by default tali oneri a carico del Titolare del trattamento, sono continui e costanti. Quanto progettato e implementato va rivisto in considerazione di riscontri empirici risultanti da audit di controllo a cui devono necessariamente seguire adempimenti operativi con l’applicazione di adeguate contromisure a contrasto del rischio. Mutevoli aspetti, anche legati al contesto internazionale, indicazioni del MI, indicazioni dell’ AgID, 2 AI titolare del provvedimenti esplicativi del Garante, devono essere considerati nell’analisi. monitora ggi, comportamenti trattamento, dunque, spetta la responsabilità, comportamenti proattivi, tutela del cittadino può adattivi e l'onere della prova. L'organo di controllo previsto dalle norme a e le competenze. essere soltanto l’ Autorità Garante della Privacy che ne ha l’onere, la legittimità Autorità di controllo , la richiesta di Non potendosi, nonostante le dichiarate intenzioni, sostituire all’ tecnica, valutabile solo nel merito, appare una immotivata richiesta di controllo documentazione all'esistenza o meno della generalizzato, non supportato da vero interesse conoscitivo, documentazione prodotta, fra l’altro di tutti gli Istituti d’Italia. “epurata” dai dati personali La documentazione relativa alle misure tecniche adottate andrebbe poi dei preposti coinvolti tutelati dall’art 5-bis comma 2 d.lgs 33/2013 e, in alcuni casi anche effettuata anche la richiesta ai controinteressati. nza, si riferiscono ad Inoltre, si sottolinea come le informazioni richieste ai punti 2-4-5-6 dell’ista come ad esempio operazioni non propriamente di competenza delle singole istituzioni scolastiche, temente autorità la valutazione di impatto che, ai sensi dell'art. 35 del GDPR, riguarda prevalen nell’elen co che l’autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati di controllo redige e rende pubblico. in esame, si evince che la mole dei documenti oggetto di ostensione Infine, dall’istanza la predetta richiesta sia obbligherebbe le Scuole a fornire numerosissime pagine, senza, peraltro, che sostenuta da esigenze tali da giustificarne l’oncrosità. ire con il buon Tutto ciò rappresenta un carico irragionevole di lavoro idoneo a interfer mole di informazioni andamento della pubblica amministrazione e la richiesta di tutta questa eccessivamente onerosa. richiesta è da considerarsi atto interno ce non documento Molta della documentazione zzato. amministrativo soggetto alla conoscibilità mediante l’acceso civico generali si ritiene pertanto che la Sua richiesta di accesso civico è Per le motivazioni esposte inammissibile. Il Dirigente Scolastico [omissis] (firmato digitalmente)