IPSEOA CATMATEX ICS Cariati ISTITUTO ISTRUZIONE SUPERIORE — CARIATI (LICEO SCIENTIFICO - IPSC - IPSIA - ITI) Via Nicola Golia s.n.c. - 87062 CARIATI - C.F. 97028270789 - C.M. CSIS06800L TEL 0983/91312 Email: csis06800/@istruzione.it. pec csis06800/@pec.istruzione.it Spett.le Monitoria-Pa Gent.mo sign. Pietrosanti Fabio comunicazioni@pec.monitora-pa.it Oggetto: Istanza di accesso civico Monitora-PA, prot. N. 6920 del 19/09/2022. Gent.mo sig. Pietrosanti, in riscontro alla Sua richiesta del 19 settembre 2022 assunta agli atti della scuola con Prot. N.6920, avente ad oggetto la richiesta di accesso civico generalizzato ex art. 5, comma 2, d.lgs. 33/2013, si comunica quanto segue. Pare utile ai fini di una puntuale risposta alle istanze da Lei avanzate, nella sua qualità di attivista del progetto Monitora PA, analizzare seppure brevemente, in fatto e in diritto le ragioni che portano codesta istituzione scolastica a_non potere accogliere la sopradetta richiesta. Nello specifico, le istanze in parola sono volte ad ottenere l’accesso civico generalizzato per la documentazione che segue: 1. copia del contratto o altro atto giuridico in forza del quale la scuola ha utilizzato e utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma, che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste e adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi, anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023; 5. copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione e il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023; 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. OSSERVAZIONI PRELIMINARI IN DIRITTO: Giova preliminarmente evidenziare, in termini generali che, a differenza del diritto di accesso procedimentale o documentale di cui alla L. 241/90, il diritto di accesso generalizzato garantisce il diritto alla “conoscenza” in via autonoma, a prescindere dalla titolarità di un interesse qualificato e differenziato, fatta salva la sussistenza di limiti ai sensi dell'art. 5 bis del D. lgs. 33/2013. La maggioritaria giurisprudenza amministrativa, infatti mette in luce come l'accesso civico generalizzato è dichiaratamente finalizzato a garantire il controllo democratico ma NON ARBITRARIO sull'attività amministrativa. Si rammenta, in proposito, l'orientamento giurisprudenziale declinato con la sentenza dell’Adunanza plenaria n. 10/2020, la quale afferma, inter alia, il seguente principio di diritto: “a) /a pubblica amministrazione ha il potere-dovere di esaminare l'istanza di accesso agli atti e ai documenti pubblici, formulata in modo generico o cumulativo dal richiedente senza riferimento ad una specifica disciplina, anche alla stregua della disciplina dell'accesso civico generalizzato, a meno che l'interessato non abbia inteso fare esclusivo, inequivocabile, riferimento alla disciplina dell'accesso documentale, nel qual caso essa dovrà esaminare l'istanza solo con specifico riferimento ai profili della |. n. 241 del 1990, senza che il giudice amministrativo, adito ai sensi dell'art. 116 c.p.a,, possa mutare il titolo dell'accesso, definito dall'originaria istanza e dal conseguente diniego adottato dalla pubblica amministrazione all'esito del procedimento”. Principio che, in relazione alle istanze sproporzionate e particolarmente onerose, implica, inoltre, che: “Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett d; Cons. St, sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi". Giurisprudenza peraltro confermata da una recente sentenza del Consiglio di Stato, sez. III, 25.01.2022, n. 495, per cui: "tale interesse alla trasparenza, di tipo conoscitivo, che non esige una motivazione specifica, deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio”. Ciò premesso e considerato che, da un punto vista formale, la richiesta da Lei formulata, appare sana e priva di vizi con riferimento alla sua titolarità di legittimazione attiva, palesatosi con proprio nominativo e il proprio documento d'identità, dubbi sorgono relativamente al merito della richiesta; partendo infatti, dal dato incontestabile che circa 8.254 scuola italiane siano state destinatarie di tale richiesta, va da sé che l'esercizio di tale diritto assume i connotati di abuso del diritto stesso, per la sproporzionalità e onerosità sottesa, quasi finalizzato a minare l'equilibrio già precario del sistema scolastico . Analizzando concretamente le richieste nel merito si fa presente che 1 “Copia contratti 2020/21 2021/22 2022/23 servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico” [...]. Si fa presente che attivando piattaforme, come ad esempio GSU/TE, che i relativi contratti vengono sottoscritti automaticamente all'atto della registrazione e risultano essere disponibili a indirizzo pubblico, per Google https://workspace.google.it/intl/it/terms/education_terms.html. Attivando piattaforme open come Moodle su server in Italia non ci sono dati fuori da EU. La richiesta relativa ai contratti per sistemi di posta elettronica, messaggistica, videoconferenza, registro elettronico, risulta essere un'istanza meramente esplorativa, onerosa e con raccolte sproporzionata di documenti la quale, se evasa positivamente, potrebbe valicare il limite della sicurezza pubblica di cui all'art. 1, comma 1) del d.lgs 33/2013, circostanza quest'ultima che ovviamente necessiterebbe di un approfondimento specifico dal punto di vista tecnico. Valutazione di impatto 2020/21 e 2021/22 servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico [...] : non sono state effettuate valutazioni di impatto. Nel caso in esame non ci presupposti per il sorgere dell'obbligo di redazione della DPIA come stabilito, dal Garante della Privacy, con Provvedimento del 26 marzo 2020, la DPIA non è necessaria nel caso in esame perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. Precisamente il citato provvedimento chiarisce che "La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)." Tanto detto codesta istituzione non è in possesso di tale documento perché non dotata di strumenti per i quali la DPIA risulti essere obbligatoria. Atti riportanti le Misure tecniche 2020/2021, 2021/2022, 2022/2023: ai docenti, ai tecnici interni alla scuola, sono state fatte le nomine e impartite anche oralmente le direttive per i servizi da attivare. Simile dicitura è spesso presente nel regolamento DAD della scuola: “....SÌ stabilisce che si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l'utilizzo degli stessi da parte di docenti e studenti”, nello specifico, eventuali misure tecniche non potrebbero ad ogni modo essere oggetto di diffusione. Per l'anno 2022/23 non risulta ancora attiva la didattica online. Tuttavia ci si può limitare ad evidenziare come la condivisione di specifiche dettagliate sulle misure in essere potrebbe agevolare attività malevole di terzi che, tramite tali informazioni, verrebbero a conoscenza di potenziali vulnerabilità dell'Istituto, in considerazione anche della presenza di controinteressati, quali i fornitori dei servizi che eventualmente possono trattare i dati per conto della scuola, con il ruolo di responsabile del trattamento. Valutazione d'impatto 2022/23: Non è attiva la didattica online. Codesta istituzione non è in possesso di tale documento perché non dotata di strumenti per i quali la DPIA risulti essere obbligatoria Valutazione d'impatto per trasferimento dati all'estero 2022/23: Non è attiva la didattica online. 6. Valutazione comparativa per piattaforme, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico: il DIsg n.82 del 2005nel richiamato art. 68, evidenzia principi come “tutela degli investimenti, riuso e neutralità”..."software libero e aperto”, aspetti ben gradito soprattutto dagli esperti informatici che proprio per forma mentis prediligono l'open source (basti pensare a Moodle per la didattica online e a tutti i software opensource) e il riuso con Catalogo Agid del software OpenSource. Purtroppo, però, per evidenti limiti e necessità, non sempre vi sono risorse umane a sufficienza per gestire la configurazione di questi strumenti, per cui si ricorre ad acquisti di software, nelle more dell'autonomia della PA, che probabilmente non sono recenti bensì sono solo i rinnovi, definiti ad hoc nelle determine dirigenziali ai sensi del codice dei contratti e dei regolamenti sulla contabilità interna. Non vi è in questi casi, in quanto sottosoglia comunitaria come da codice degli appalti D.Igs 50/2016 ss.mm., obbligo della tenuta di quadri comparativi. Ciò posto, valutato l'onere giuridico delle singole istanze così come sopra delineate, a parere della Scrivente, ed in ossequio alle varie indicazioni fornite dal DPO, la richiesta di accesso di cui in oggetto non può che considerarsi inammissibile e illegittima. La richiesta, inoltre, così come formulata appare generica e lascia trasparire un mero fine esplorativo che non fa che aggravare il lavoro delle segreterie scolastiche già oberate di adempimenti di ordinaria e straordinaria amministrazione. Inoltre, la diffusione della documentazione richiesta potrebbe ledere e pregiudicare gli interessi dei numerosi controinteressati coinvolti nell'accesso ai quali, ai sensi dell'art. 5 comma 5 del d.lgs 33/2013, dovrebbe essere notificata l'istanza di accesso e allo stesso tempo ciò comporterebbe un estremo rallentamento dell’ordinaria attività amministrativa. Dal bilanciamento dei contrapposti interessi emerge quindi che il suo, riveste caratteri strumentali e comunque pregiudizievoli rispetto alla tutela degli interessi dell'istituzione scolastica e finalizzata esclusivamente ad una sorta di controllo sull'operato della medesima. Il presente provvedimento di diniego dell'istanza avanzata ai sensi dell'art. 5 D.lgs 33/2013, ove non ritenuto soddisfacente potrà essere oggetto di richiesta di riesame al Responsabile della Prevenzione della Corruzione e della Trasparenza e successivamente al T.A.R. secondo le disposizioni normative. Tanto dovevo. Distinti saluti Il Dirigente Scolastico [omissis] (firma autografa omessa ai sensi dell'art. 3 del D.Lgs. n. 39/1993)