Unione Europea Istituto Comprensivo “DB. Telesio” MIUR Istituto Comprensivo Statale “B. TELESIO” Via Modena S. Sperato n. 1— 89133 REGGIO CALABRIA — Tel.: 0965/685016 — Fax: 0965/672118 e-mail: rcic84200v@istruzione.it - pec: rcic84200v@pec. istruzione.it - Sito web: http://www.ictelesiomontalbettirc.edu.it C.F: 92066590800 - C.M.: RCIC84200V Reggio Calabria, 17/10/2022 AI Sig. Fabio Pietrosanti con domicilio digitale all’indirizzo Pec: comunicazioni(@pec.monitora-pa.it CDà AI Direttore Generale Ufficio Scolastico Regione Calabria [omissis] Pec: drcal@postacert.istruzione.it OGGETTO: RISPOSTA ACCESSO CIVICO GENERALIZZATO | In riferimento alla richiesta di accesso civico generalizzato ex art. 5 e ss. del D. Lgs. n. 33/2013 ss.mm.ii. che la S.V. ha inoltrato a Codesto Istituto, a mezzo P.E.C., in data 19.09.2022, e nella quale si richiedeva l’accesso alla seguente documentazione: “I. copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; ISTITUTO COMPRENSIVO TELESIO C.F. 92066590800 C.M. RCIC84200V A19387F - Protocollo Informatico Prot. 0009463/U del 17/10/2022 14:22 Archivio, accesso, privacy, trasparenza e relazioni con il pubblico 4. copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 3. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 6. copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Si riscontra quanto segue, non senza aver delineato una doverosa premessa. Pur manifestando la piena disponibilità collaborativa nella produzione documentale degli atti in possesso dell’Istituto, giova tuttavia sottolineare come l’esercizio del diritto dei cittadini di accedere ai dati detenuti dalla pubblica amministrazione, quale diritto fondamentale finalizzato a garantire l'accessibilità totale delle informazioni, a tutela dei principi di pubblicità e trasparenza sanciti dal nostro Legislatore, non possa tuttavia intralciare il buon andamento ed il regolare funzionamento della medesima amministrazione, determinando uno sproporzionato carico di lavoro nell’ambito della propria organizzazione interna (v. Adunanza Plenaria n. 10/2020). Considerata, poi, la fondamentale ratio sottesa all’istituto giuridico dell’accesso civico generalizzato, di cui all’art. 5, co. 2, del D. Lgs. n. 33/2013, che risiede nell’intento di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, giova evidenziare, nondimeno, che 1’ ANAC, con delibera n. 1309 del 28.12.2016, ha ritenuto non ammissibili le richieste meramente esplorative, finalizzate, cioè, a “scoprire” quali informazioni sono detenute dalle pubbliche amministrazioni e ad esercitare forme di controllo generalizzato sul loro operato. Altro profilo non meno rilevante, anzi, decisivo ai fini del riscontro di cui all’oggetto, è la valutazione del momento storico nel quale tale richiesta si è radicata, atteso che ogni Istituto, in considerazione dell’avvio dell’anno scolastico , è totalmente impegnato ed assorbito nella pianificazione delle attività didattiche e nella gestione dell’intera comunità scolastica , risultando costantemente oberato di impellenti scadenze circa l'osservanza di determinati obblighi normativi, e, molto spesso, con dotazione di organico amministrativo sottodimensionato, inidoneo ad ovviare a situazioni di natura urgente ed indifferibile. Ciò posto, si riportano di seguito le considerazioni connesse al riscontro di cui all’oggetto. 1. Con riferimento al primo punto (“copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023 ”), Codesto Istituto si limita ad accogliere la richiesta fornendo la produzione documentale delle copie dei soli contratti di servizi digitali utilizzati, evidenziando, nel contempo, che: > Per i servizi di posta elettronica, si fa riferimento al servizio fornito dal Ministero dell’Istruzione; > Peri servizi di messaggistica: non risulta presente ed attivo alcun applicativo digitale utilizzato dalla Scuola; > Peri servizi di videoconferenza/didattica a distanza e didattica digitale integrata, si allega alla presente: - copia del contratto per l’utilizzo dei servizi di Google Workspace for Education e copia delle policies di sicurezza e privacy ad esso connesse (Emendamento sul trattamento dei dati al Contratto Google Workspace); » Peri servizi di registro elettronico, si fa riferimento al contratto di fornitura di software gestionale per la segreteria scolastica stipulato con: - AXIOS ITALIA SERVICE SRL Con riferimento al fornitore del registro elettronico AXIOS, giova evidenziare che il testo integrale dei contratti e le correlate Policies di Sicurezza circa le garanzie sul trattamento dei dati personali gestiti per conto dell’Istituto sono facilmente reperibili sul sito web di Axios al seguente link: https://axiositalia.it/wp- content/uploads/2022/09/M.GES_03.06 Licenza duso_ software Axios_20220929 signed.pdf In conformità all’art. 28 del Regolamento UE 2016/679 (Responsabile del trattamento), Axios rende disponibile sul proprio sito web il documento “DPA (Data Processing Agreement)”: https://axiositalia.it/wp-content/uploads/2022/09/29.09.22-DPA_Axios_Italia_ Srl 2 signed.pdf Le misure di sicurezza adottate nella gestione e protezione dei dati trattati da Axios sono descritte nel documento “Policy di sicurezza” scaricabile dal sito web di Axios: https://axiositalia.it/wp-content/uploads/2022/09/29.09.22-Policy_Sicurezza_Axios_Italia_Srl_signed.pdf Inutile ribadire quanto già precisato dall’ Autorità Garante, che, con Provvedimento del 26.03.2020 [doc. web n. 9300784], ha precisato che, nel rapporto con il fornitore del servizio, disciplinato con regolare contratto o altro atto giuridico, il Fornitore medesimo, ai sensi dell’art. 28 del Regolamento 2016/679, assume il ruolo di responsabile del trattamento ed è investito della responsabilità sulla gestione delle attività di trattamento dei dati acquisiti per conto della Scuola, effettivo Titolare del trattamento nonché fruitore del servizio informatico. 2. Con riferimento al secondo punto (“copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022;”), Codesto Istituto non ha ravvisato i presupposti per il sorgere dell’obbligo di redazione della DPIA, atteso che, conformemente a quanto delineato dall’ Autorità Garante nel citato Provvedimento del 2020, le Istituzioni scolastiche non effettuano trattamenti di dati personali su larga scala né danno corso ad un monitoraggio sistematico. Come esplicitato dal Garante, si rende noto, infatti, che “La valutazione di impatto, che V'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Di conseguenza, l’Istituto non è in possesso del documento richiesto, in quanto non era tenuto ad effettuare alcuna DPIA, salvo i casi limite in cui la Scuola avesse in concreto scelto di adottare strumenti per i quali la DPIA fosse prevista come obbligatoria. 3. Quanto alla richiesta di cui al punto 3 (“copia degli atti riportanti le misure tecniche previste e adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi, anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”), si rende noto che tale richiesta appare eccessivamente generica, dal momento che la indeterminatezza della sua formulazione non consente di circoscrivere con esattezza il perimetro della documentazione oggetto di accesso. Non solo, non può sottacersi neanche l’eccessivo carico di lavoro derivante dal reperimento di tutte le misure tecniche adottate dall’Istituto, con le annesse conseguenze di tutela dei dati personali di tutti i soggetti controinteressati coinvolti. Giova, a tal fine, ribadire che questo Istituto ha provveduto ad attivare i soli servizi strettamente necessari alla formazione al fine di garantire le attività didattiche e le finalità istituzionali connesse all’erogazione del diritto fondamentale allo studio, escludendo a priori l’utilizzo di piattaforme erogative di servizi non correlati ai fini istituzionali perseguiti dalla Scuola. 4. Per le richieste di cui ai punti 4 (“copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo) e 5 (“copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”), valgono le medesime considerazioni delineate nel punto 2. 5. Con riferimento al punto 6 della richiesta, avente ad oggetto “copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”, si rende noto che questo Istituto, per l’anno in corso, non può produrre alcun documento specifico, in quanto i contratti dei servizi digitali in essere conservano tuttora la loro validità e non sono previsti acquisti di nuove piattaforme, considerato, inoltre, che quelle utilizzate per tutto il periodo della pandemia sono state fornite gratuitamente dai vendor e opzionate secondo le indicazioni offerte dal Ministero dell’Istruzione. Si allega alla presente la seguente documentazione in copia: - Contratto di servizio Google Workspace for Education - Copia delle policies di sicurezza e privacy ad esso connesse (Emendamento sul trattamento dei dati al Contratto Google Workspace) - Contratto di servizi digitali stipulato con Axios Italia Service srl - Regolamento Didattica Digitale Integrata e Didattica a Distanza Distinti saluti +. Maisano ) na \