Ufficio Scolastico Regionale per la Basilicata gf È ISTITUTO COMPRENSIVO STATALE “L. DA VINCI” MII Via Ferroni - 85057 TRAMUTOLA (Pz) ssi rim © Unesco di Tramutola, Montemurro e Grumento Nova -— Cultani Onganizaion + Scheo Telefono e fax n° 0975-353069 Email: pzic827007 @istruzione.it Posta elettronica certificata (PEC): pzic827007@pec.istruzione.it Sito Web: https://www.comprensivotramutola.edu.it/ Cod. Fisc. 80004970762 — Cod. Ministeriale Istituto PZIC827007 - TRINITY Codice univoco Ufficio per acquisti e See CONOR fatturazione elettronica: UFWUJG ISTITUTO COMPRERSI/O STATALE-TRAMUTOLA Prot. 0006265 del 17/10/2022 | (Uscita) Egr. Sig. Fabio Pietrosanti Referente progetto “Monitora -PA” Oggetto: richiesta accesso civico generalizzato ai sensi dell’art. 5 e segg. del D.lvo 33/2013 Relativamente alla richiesta inerente l’oggetto, prot. n. 6223 del 19/09/2022, si specifica quanto segue: In riferimento al Punto 1., con cui si chiede “copia del contratto o altro atto , Videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”, si trasmette il link dal quale accedere alla documentazione richiesta: https://www.trasparenza-pa.net/?codcli=SC15059&node=26161 In riferimento al Punto 2 della richiesta, con cui si chiede “copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma, che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022”, non pare a questo Ufficio che vi siano i presupposti per il sorgere dell’obbligo di redazione della DPIA, poiché le istituzioni scolastiche non attuano un monitoraggio sistematico, né una profilazione, né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. La valutazione d'impatto sulla protezione dei dati è obbligatoria solo in determinati casi e precisamente qualora il trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (GDPR, art. 35, par. 1, illustrato dall'art. 35, par. 3, e integrato dall'art. 35, par. 4). Il Garante della Privacy, nel citato Provvedimento del 26 marzo 2020, ha chiarito, infatti, sul punto, (All. 1 — par. 2. Privacy by design e by default: scelta e configurazione degli strumenti da utilizzare) che: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. chiariscono (pag. 7) che: “La valutazione di impatto deve essere effettuata solo se e quando ricorrono i presupposti dell’articolo 35 del Regolamento. Occorre precisare innanzitutto che, poiché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). La valutazione di impatto va effettuata, infatti, nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche”. In riferimento al Punto 3, con cui si chiede “copia degli atti riportanti le misure tecniche previste e adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi, anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”, si osserva che la richiesta risulta generica, non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che in quanto “non rivolti esclusivamente alla didattica”, sembrano esulare dai compiti istituzionali delle scuole. In proposito si richiama la sentenza n. 503 del 3-12- 2021, con la quale il T.A.R. per l'Abruzzo Pescara, Sez. I, ha affermato: “Ed infatti, in materia di accesso civico generalizzato, il diritto di accesso non può essere espletato in pregiudizio al buon andamento dell'amministrazione riversando sulla medesima un onere oltremodo gravoso e tale da sottoporla ad attività incompatibili con la funzionalità dei suoi plessi e con l'economicità e tempestività della sua azione, questo specialmente laddove, come nel caso in esame, sia in gioco altresì. il coinvolgimento di un numero imprecisato di soggetti controinteressati. La natura massiva della istanza presentata imporrebbe all'amministrazione di porre in essere complessi oneri procedimentali, al fine di acquisire il consenso dei numerosi controinteressati”. A fronte di queste oggettive controindicazioni, l'interesse ostensivo vantato dalla parte ricorrente, pur intrinsecamente apprezzabile, non può che risultare recessivo alla stregua della disciplina dell'accesso civico generalizzato.” In riferimento ai Punti 4 e 5 con cui si chiede, rispettivamente, “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023” e “copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione e il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023”, si rinvia alle considerazioni illustrate al punto 2, che si intendono dunque valide anche per queste richieste. In relazione al Punto 6, con cui si chiede “copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023”, si rileva al riguardo, che, per quanto riguarda la piattaforma utilizzata per la DAD, non è stata effettuata valutazione comparativa, in considerazione del fatto che, durante il periodo della pandemia, la piattaforma è stata fornita gratuitamente e opzionata sulla base delle indicazioni ministeriali; per gli altri servizi si rinvia al link indicato al punto 1. Cordiali saluti Il Dirigente Scolastico — Reggente- [omissis] (Firmato digitalmente ai sensi del c.d. Codice dell’Amministrazione Digitale e norme ad esso connesse)