IXISS NE DI S/Sy, g\A SICURE 0° % & =» è 9 CERTE, \wratj vary Iub ca: li a a 44 OGGETTO: Richiesta di accesso civico generalizzato pervenuta agli Istituti [omissis] Scolastico Direttore dei Servizi Generali e Amministrativi Axios Italia Service S.r.l., mediante la presente comunicazione, intende fornire il suo supporto in merito alla richiesta di “accesso civico generalizzato” a Voi pervenuta mezzo PEC in data 19.09.2022 da parte dell’attivista del progetto Monitora PA. Ovviamente, nella nostra disamina, particolare attenzione è rivolta ai servizi che Axios fornisce ai Vs. Istituti e che sono oggetto della richiesta: il “Registro Elettronico”. Richieste relative al Registro Elettronico Riferimenti normativi e legislativi riguardanti l'adozione del Registro Elettronico - DECRETO LEGISLATIVO 7 marzo 2005, n. 82 - Codice dell'amministrazione digitale. Art.40 Comma 1: Le pubbliche amministrazioni che dispongono di idonee risorse tecnologiche formano gli originali dei propri documenti con mezzi informatici secondo le disposizioni di cui al presente codice e le regole tecniche di cui all'articolo 71. https://www.agid.gov.it/sites/default/files/repository files/leggi decreti direttive/dl-7-marzo- 2005-82 _0.pdf - DECRETO-LEGGE 6 luglio 2012, n. 95 - Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini. https://www.agid.gov.it/sites/default/files/repository files/leggi decreti direttive/dl-6-luglio- 2012-95 0.pdf - MIUR - [omissis] . Uff. n. 1682/ U del 3 ottobre 2012 - Registri on line - Dematerializzazione attività delle segreterie scolastiche. https://www.istruzione.it/archivio/web/istruzione/prot1682 12bis.html - Legge 13 luglio 2015 n. 107 - Riforma del sistema nazionale di istruzione e formazione e delega per il riordino delle disposizioni legislative vigenti. LEGGE 13 luglio 2015, n. 107 - Normattiva - Indicazioni contenute nel “Piano triennale per l’informatica” dell’AGID. https://www.agid.gov.it/it/agenzia/piano-triennale Axios Italia Service Srl a socio unico axiositalia.com m [®] Via E. Filiberto, 190 - 00185 Roma info@axiositaliacom r Tel 06.777.231 Fax 06.777.23.456 = PI/CF-06331261005 Dl Capitale Sociale € 250.000 iv. I IXISS E DI S/SY, \A SICURE N oN & U, &° a eo g ib SÈ d VIDON sO 2 CER o YiyyoaniT c5 o < Iub ca: li a NV-GL # DNV-GL No, A + %o PA a % Ulteriori considerazioni e chiarimenti sull’adozione del Registro Elettronico Come indicato dal MIUR attraverso il documento “Linea Guida per il processo di migrazione al cloud delle Istituzioni scolastiche”, che recita: “L’investimento 1.2 della Componente 1 della Missione 1 del Piano Nazionale di Ripresa e Resilienza si pone come obiettivo la migrazione dei dataset e delle applicazioni utilizzate dalle Istituzioni scolastiche verso un'infrastruttura cloud sicura e che rispecchi i requisiti definiti da AgID all’interno della Determinazione n. 628/2021. L’investimento, pertanto, propone la dismissione di tutti gli applicativi gestiti tramite software on premise o tramite soluzioni custom, a favore del passaggio ad applicativi ospitatisu ambienti cloud certificati”, l'adozione del Registro Elettronico viene incentivata dal PNRR. L'adozione del Registro Elettronico non è stata, in nessun modo, collegata all'emergenza sanitaria relativa alla pandemia da Covid-19. Relativamente al trattamento dei dati personali nell’utilizzo del [omissis] trattamento è palesemente lecito e non comporta consenso dell’interessato in base agli artt. 2-ter e 2-sexies comma 2 lettera bb) del D. Lgs 196/03 (interesse pubblico rilevante). Con riferimento alla richiesta formulata nella comunicazione ricevuta e relativa all’esibizione della DPIA, relativamente al Registro Elettronico, si ritiene non necessario tale adempimento sia perché Axios è un fornitore qualificato AgID, sia perché il Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784], benché il provvedimento sia stato reso dal Garante a causa dell'epidemia di COVID-19, non decade con il termine dello stato di emergenza (31 marzo 2022) ma resta valido anche dopo tale termine. Con riferimento alla richiesta formulata nella comunicazione ricevuta e relativa all’esibizione della TIA, si ritiene non necessario tale adempimento in quanto, relativamente al Registro Elettronico, nessun dato è trasferito verso Paesi extra SEE. Contratto stipulato con Axios Il contratto stipulato dall'Istituto con Axios è formalizzato attraverso il “Modulo d’ordine” che l’Istituto ha inviato in Axios (attraverso la rete vendita) e regolamentato attraverso i seguenti documenti: - “Contratto e Licenza d'Uso” scaricabile dal sito web di Axios al seguente link: https://axiositalia.it/wp- content/uploads/2022/09/M.GES 03.06 Licenza duso software Axios 20220929 signed.pdf - In conformità all’art. 28 del Regolamento UE 2016/679 (Responsabile del trattamento), Axios rende disponibile sul proprio sito web il documento “DPA (Data Processing Agreement)”: https://axiositalia.it/wp-content/uploads/2022/09/29.09.22-DPA Axios Italia Srl 2 signed.pdf Axios Italia Service Srl a socio unico axiositalia.com n [®] Via E. Filiberto, 190 - 00185 Roma info@axiositalia.com r Tel 06.777.231 Fax 06.777.23.456 = PI/CF-06331261005 Dl Capitale Sociale € 250.000 iv. È AIXIOSS E DI SISy, \A SICURE Î oN &ta, &° ca e 9 S ib % VIDON sO DI GesES), CER o sos ltalia DNV:GL % DNV:GL È \ + %a %% tor Conformità e sicurezza dei servizi erogati Axios fornisce software in modalità SaaS con finalità specifiche e univoche relative alla scuola e alla didattica. Per questo motivo, [omissis] massima attenzione alla sicurezza dei propri software, sia attraverso la formazione del proprio personale, sia attraverso l’adozione di tutte le misure necessarie alla protezione dei dati delle Scuole clienti. Axios è fornitore qualificato AGID ed è certificata: “Progettazione, sviluppo, manutenzione e assistenza di software gestionale e servizi SaaS connessi”. Le misure di sicurezza adottate nella gestione e protezione dei dati trattati da Axios sono descritte nel documento “Policy di sicurezza” scaricabile dal sito web di Axios: https://axiositalia.it/wp-content/uploads/2022/09/29.09.22- Policy Sicurezza _Axios Italia_Srl signed.pdf Nessuno degli applicativi web di Axios consente di effettuare alcuna operazione di sorveglianza, palese o occulta, su nessun fruitore degli stessi (personale scolastico , alunni, genitori, tutori, ecc.), a meno dei log degli accessi e delle operazioni, obbligatori per legge come indicato anche nel documento di cui al link precedente. Richieste relative a servizi erogati da Axios e da piattaforme esterne ad Axios Con riferimento alle altre applicazioni, non incluse nei servizi web SaaS di Axios, come ad esempio: Posta elettronica, sistemi di videoconferenza, sistemi di messaggistica, sistemi per la didattica a distanza, si forniscono alcune indicazioni integrative relativamente alle richieste ricevute. Richiesta n.1 “copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”. - Per quanto riguarda il Registro Elettronico, utilizzare la documentazione indicata nel paragrafo “Richieste relative al Registro Elettronico”; - in merito alla posta elettronica ci si riferisce all'utilizzo di posta elettronica legata alla gestione del sito internet dell'Istituto piuttosto che all’uso di GSuite o Office 365; - in merito alla messaggistica ci si riferisce a Teams, Google Chat, e altri sistemi simili (ovviamente, non WhatsApp); - in merito ai sistemi di videoconferenza ci si riferisce a Google Meet, Teams, GoTo Meeting, Zoom, Webex, etc. che sono stati utilizzati per le videolezioni; - relativamente agli strumenti di didattica digitale integrata ci si riferisce ad altri strumenti tecnologici utilizzati, insieme a quelli di videoconferenza, per la gestione delle verifiche o dei compiti a casa (il più delle volte sono i sistemi già integrati in alcuni Registri Elettronici). Axios Italia Service Srl a socio unico Via E. Filiberto, 190 - 00185 Roma axiositalia.com [1] n info@axiositalia.com r [n] Tel 06.777.231 Fax 06.777.23.456 PI/CF-06331261005 Capitale Sociale € 250.000 iv. AXISS NE DI S/sy g° da, CERTE, Vo Ziyyoant3 a % Richiesta n.2 “copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022”. - si ritiene non necessario tale adempimento perché il servizio on line di videoconferenza o della piattaforma tecnologica di Didattica a Distanza sono stati configurare in modo da minimizzare i dati utilizzati e impedire attività di monitoraggio del comportamento degli alunni e del personale della scuola; - si ritiene non necessario tale adempimento in quanto il Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784], benché il provvedimento sia stato reso dal Garante a causa dell'epidemia di COVID-19, non decade con il termine dello stato di emergenza (31 marzo 2022) ma resta valido anche dopo tale termine. Richiesta n.3 “copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”. - Se formalizzato, fornire l'evidenza, in forma schematica, delle configurazioni adottate per evitare l’uso dei dati degli studenti per finalità ulteriori alla didattica (ad esempio la limitazione del sistema di videoconferenza alle sole lezioni, l'autorizzazione ai soli docenti della possibilità di invitare o ammettere soggetti in aula virtuale, la inibizione della geolocalizzazione, profilazione o interconnessione con i social network tramite gli account scolastici, etc.). Richiesta n.4 “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”. - Per quanto riguarda il Registro Elettronico, utilizzare la documentazione indicata nel paragrafo “Richieste relative al Registro Elettronico”; - si ritiene non necessario tale adempimento in quanto il Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784], benché il provvedimento sia stato reso dal Garante a causa dell’epidemia di COVID-19, non decade con il termine dello stato di emergenza (31 marzo 2022) ma resta valido anche dopo tale termine. Axios Italia Service Srl a socio unico axiositalia.com [1] n Via E. Filiberto, 190 - 00185 Roma info@axiositalia.com r Tel 06.777.231 Fax 06.777.23.456 PI/CF-06331261005 Capitale Sociale € 250.000 iv. IXISS NCove D! Ss ty, «& gg A SOUR,0 s È CER TIR, 0 % VINHOSN\ 3 Iub ca: li a NV:GL % DNV-GL A + % LÒ 4 a % Richiesta n.5 “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”. - Per quanto riguarda il Registro Elettronico, si ritiene non necessario tale adempimento in quanto nessun dato è trasferito verso Paesi extra SEE; - Relativamente agli altri servizi indicati, valutare attentamente in base al servizio utilizzato, alla localizzazione dei dati oggetto del trattamento e alle misure di sicurezza adottate dai fornitori dei servizi. Richiesta n.6 “copia della valutazione comparativa _ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”. - Delibera da parte dell’Istituto per la destinazione di parte dei fondi scolastici all’acquisto di servizi cloud; - Valutazione comparativa se effettuata. Le indicazioni fornite nel presente documento sono orientate ad una risposta “collaborativa” alle richieste ricevute dal Vs. Istituto a seguito della “Richiesta di accesso civico generalizzato” ricevuta. Si consiglia, in ogni caso, di rivolgersi al proprio DPO per le valutazioni necessarie. Ci auguriamo, con la presente, di essere riusciti a fornirle un adeguato supporto e le confermiamo, in ogni caso, la massima disponibilità a fornire ulteriori informazioni, se richieste, anche se tutta la documentazione relativa ai prodotti/servizi di Axios Italia Service S.r.l. è disponibile pubblicamente sul sito internet. Cordiali saluti IOMMI 03.10.2022 08:22:56 GMT+01:00 Axios Italia Service Srl a socio unico axiositalia.com [1] nm Via E. Filiberto, 190 - 00185 Roma info@axiositalia.com Tel 06.777.231 Fax 06.777.23.456 PI/CF-06331261005 Capitale Sociale € 250.000 iv.