CZIC835001 - A671SE - REGISTRO PROTOCOLLO - 0007090 - 18/10/2022 - 1.1 - U BIMRIRSERSALE “G.BIANCO” Piazza Casolini n° 115 88054 - Sersale EE-mail czic835001@istruzione.it» Pecczic835001@pec.istruzione.it Tel. Uffici Amministrativi 0961/931091Fax 0961/936942Tel. Dirigenza 0961/936833 C.F.97036410799C.M. CZIC835001 Sig. Fabio Pietrosanti PEC: comunicazioni@pec.monitora—pa.it p.c. Al Preg.mo RPCT Direttore Generale Ufficio Scolastico Regione PEC: drcal@postacert.istruzione.it Oggetto: Risposta Accesso civico generalizzato Prot. N° 6231 del 19 settembre 2022 In riscontro Sua pregiata del 19 settembre Prot. N° 6231 nella quale richiedeva l’accesso ai seguenti documenti: “1. Copia del contratto o altro atto giuridico in forza del quale l’istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’ Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta Stomia messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’istituto in indirizzo. 6. Copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’istituto in indirizzo.” Si dà riscontro per come di seguito argomentato, quantum et quomodo potest. 1) In merito al documento n. 1, si rimanda a quanto pubblicato puntualmente nell’arco dell’ultimo triennio nell’area privacy del sito. https://icsersale.edu.it/privacy/ Altresì, si rimanda ai link di pubblicazione dei servizi di Nuvola, intorno a cui ruota la gestione dei flussi documentali attraverso un sistema integrato (Protocollo - sito web — RE). Di seguito il link: a.s. 2022/2023 https://nuvola.madisoft.it/bacheca-digitale/825/documento/CZIC835001/1 a.s. 2021/2022 https:/linknuvola.madisoft.it/bacheca-digitale/829/documento/CZIC835001/1 https://nuvola.madisoft.it/bacheca-digitale/828/documento/CZIC835001/1 a.s. 2020/2021 (2riennale) https://nuvola.madisoft.it/bacheca-digitale/830/documento/CZIC835001/1 Le Policy di sicurezza della Madisoft Spa, che effettua il trattamento dati esterno per Amministrazione Digitale e Registro Elettronico sono reperibili ai seguente link: https://immagini.madisoft.it/sdpr/POLICY DI SICUREZZA DEL PORTALE NUVOLA.pdf Allegato A https://immagini.madisoft.it/gdpr/ALLEGATO A Tabella dei trattamenti del Responsabile.pdf Allegato B https://immagini.madisoft.it/gdpr'ALLEGATO B Elenco dei sub responsabili autorizzati dal Titolare.pdf Allegato C https://immagini.madisoft.it/gdpr/ALLEGATO C Policy per la restituzione e cancellazione dei dati.pdf CZIC835001 - A671SE - REGISTRO PROTOCOLLO - 0007090 - 18/10/2022 - 1.1 - Termini e Condizioni https://immagini.madisoft.it/gdpr/Termini e condizioni.pdf / 2) Per quanto concerne i documenti di cui ai punti 2,3, 4 e 5 si rileva ci / A seguito di DPCM 4 marzo 2020 recante “misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19” si disponeva, per ovviare in emergenza all’interruzione delle attività didattiche in presenza, l’attivazione della Didattica a Distanza (DAD). Il Ministero dell’Istruzione forniva sul proprio sito un elenco di risorse per la DAD. Nella fattispecie, si consigliavano G-Suite for Education di Google, Office 365 Education di Microsoft, nonché Weschool di [omissis] link al protocollo ministeriale pubblicato: https://icsersale.edu.it/wp-content/uploads/sites/516/Protocollo-MIUR-Google- n.34525-del-31-07-17.pdf L'istituto, in particolare, non ha poi mai trattato dati di messaggistica, nè videoregistrazioni sia in DAD che in DDI, nell’ottica di minimizzazione dei dati, seppure in periodo emergenziale. Per quanto concerne lo smart working, seppure il Ministero il 12 marzo 2020 comunicava la messa a disposizione delle applicazioni Microsoft One Drive e Teams Nota (351 del 12/03/2020), esso è stato espletato, dai lavoratori fragili, in regime di smartworking, nell’area di Nuvola, fermo restando che Il 17 marzo 2020 il MI con nota 388 emanava le prime indicazioni per la Didattica a Distanza, mentre il Garante della Privacy con provvedimento del 26 marzo 2020 n. 64 disponeva che ‘“/a valutazione d'impatto di cui all’art. 35 del regolamento UE 679/2016 (DPIA) non è richiesta “per il trattamento effettuato da una singola scuola nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Ergo, nel caso di specie, 1’IC G. Bianco non erano tenute ad operare la valutazione d’impatto di cui all’art. 35 del GDPR se non in uso piattaforme di gestione della didattica che CZIC835001 - A671SE - REGISTRO PROTOCOLLO - 0007090 - 18/10/2022 - 1.1 - U offrono funzioni più avanzate e complesse il cui uso avrebbe comportato un rischio elevato per i diritti e le libertà delle persone fisiche. Tuttavia, per le peculiarità di un istituto scolastico si rimanda a quanto segue. In particolare vedasi Documento pubblicato al link: https://icsersale.edu.it'wp-content/uploads/sites/516/Informativa-sul-trattamento-dei- dati-personali-degli-alunni-e-delle-famiglie pdf e tutta la documentazione rinvenibile in area privacy del sito https://icsersale.edu.it/privacy/ 3) Rispetto alla richiesta di cui al punto 6) di accesso civico al documento comparativo di cui all’art. 68 del CAD, si rappresenta che per l’a.s. 2022/2023 stante il regime di ultrattività del contratto relativo al registro elettronico in attesa di valutare i pacchetti da attivare fruendo del finanziamento ad hoc, non si intende fare, per l’anno in corso, alcuna comparazione riconoscendo nella fruizione di un protocollo SSL [omissis] già un altissimo livello di sicurezza a protezione delle trasmissioni telematiche: infatti, la connessione è protetta a crittografia 256-bit e utilizza TLS 1.2. Essa è altresì crittografata utilizzando AES_256_CBC, con SHAI per l’autenticazione dei messaggi e DHERSA come meccanismo principale di scambio delle chiavi. Si consideri che un cambio di registro elettronico, oggi massicciamente utilizzato dal corpo docente che ne ha acquisito familiarità, significherebbe un rallentamento nella gestione dell’attività quotidiana, seguitandone il tempo morto della formazione, che non è in linea con l’efficienza dei cicli di performance richiesti al personale per garantire un feedback quotidiano agli stakeholder diretti (allievi) e indiretti (genitori), attualmente garantito. Conclusioni La richiesta di accesso civico è accolta per quanto, de re documentali gradu, l’Istituto scolastico possa soddisfare le richieste limitatamente a quanto in linea con gli obblighi precipui imposti dalla normativa vigente a carico degli istituti scolastici. Il Dirigente Scolastico Prof. [omissis]