Ministero dell'Istruzione ISTITUTO COMPRENSIVO “GALLUPPI-COLLODI-BEVACQUA” Via Botteghelle n. 1 - 89132 Reggio Calabria C.M.: RCIC87200P - C.F.: 92081300805 Telefono: 0965 51066 - http://www.icgalluppirc.edu.it - rcic87200p@istruzione.it - rcic87200p@pec.istruzione.it Codice IPA: istsc_rcic87200p - Codice Univoco Ufficio UFDGOL Prot. n. 7710/1.4 Reggio C., 18/10/2022 Al co-fondatore di Monitora PA Sig. Fabio Pietrosanti comunicazioni@pec.monitora-pa.it OGGETTO. Risposta all'istanza di accesso civico semplice generalizzato Con riferimento alla Sua richiesta di accesso civico generalizzato del 19/09/2022, pervenuta a questa amministrazione nella stessa data tramite posta elettronica certificata, si comunica quanto segue. In ordine all'Istituto dell'accesso civico generalizzato, come insegna la giurisprudenza del Consiglio di Stato (ex multis Consiglio di Stato, Sez. III, 25.01.2021 n. 495), “se da un lato l'interesse alla trasparenza non richiede una motivazione specifica, dall'altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio [...], pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi”, L'ampiezza dell'accesso civico generalizzato previsto dall'art. 5 comma 2 D.Lgs. n. 33/2013, difatti, si presta ad un utilizzo improprio dell'istituto, come riconosciuto dall’Adunanza Plenaria del Consiglio di Stato n. 10/2020 che, proprio al fine di contrastare pratiche abusive, chiarisce che l’accesso, finalizzato a garantire, con il diritto all'informazione, il buon andamento dell’amministrazione (art. 97 Cost.), non può finire per intralciare proprio il funzionamento della stessa, sicché il suo esercizio deve rispettare il canone della buona fede ed il divieto di abuso del diritto, in nome, anzitutto, di un fondamentale principio solidaristico (art. 2 Cost.). In tale ottica, l’Adunanza Plenaria del Consiglio di Stato n. 10/2020 ha riconosciuto la possibilità e doverosità di evitare e respingere richieste manifestamente onerose e sproporzionate, e, cioè, tali da comportare un carico irragionevole di lavoro idoneo ad interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n.2/2017, par. 7, lett. d; Cons. St, sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi. Per quanto attiene alla legittimazione passiva dell'istituto scolastico ad evadere l’istanza, bisogna rilevare che la circostanza che una istanza di tal tipo sia stata inviata in un periodo coincidente con l’avvio dell’anno scolastico , possa mettere in sofferenza il sistema e integri, pertanto , un esercizio abusivo del diritto di accesso generalizzato in ragione della onerosità e non proporzionalità della richiesta che dal punto di vista soggettivo determina in concreto un carico irragionevole di lavoro idoneo ad interferire con il buon andamento della Pubblica Amministrazione. In ordine alla motivazione, l'istanza in esame evidenzia espressamente che “tutti i documenti e le risposte positive o negative ricevute a seguito della presente richiesta di accesso civico generalizzato saranno automaticamente resi accessibili al pubblico, privati dei dati personali eventualmente presenti nella mail di accompagnamento, tramite una apposita sezione del nostro sito, così da poter essere analizzati da studiosi e specialisti nell'ambito della protezione dei dati e del software libero”. Sebbene la motivazione non sia necessaria in caso di istanze di accesso civico generalizzato, la precisazione effettuata dall’istante lascia emergere che la finalità per la quale viene utilizzato lo strumento dell’accesso civico generalizzato non coincide con il controllo sul perseguimento o meno delle funzioni istituzionali attribuite agli Istituti Scolastici. Al contrario, l'istanza, sembrando dare per scontato che le funzioni istituzionali degli istituti scolastici siano state perseguite con l'espletamento del servizio scolastico , appare volta a verificare che tipo di azioni gli istituti scolastici abbiano posto in essere - nel perseguire il loro fine istituzionale - per proteggere i dati personali degli utilizzatori del servizio scolastico . Considerato che la protezione dei dati personali non costituisce il fine istituzionale degli istituti scolastici, l'istanza in esame è respinta perché funzionalmente abusiva in quanto tesa a costituire una forma di controllo di un ambito già istituzionalmente presidiato, peraltro da un soggetto diverso rispetto al destinatario dell'istanza, ossia il Garante per la protezione dei dati personali, In ordine alla richiesta di “Copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023” si evidenzia innanzitutto che può essere presa in considerazione in ordine solo al requisito dell’attualità in quanto l'istituto “FOIA” fa riferimento a documenti e informazioni detenuti dall’Amministrazione oggi e non a documenti di futura emanazione; per gli atti di attuale utilizzo di cui si fa riferimento, l’art. 5 bis, comma 2, lett. c) del D. Lgs. n. 33 del 2013, preclude l'accesso civico generalizzato quando il diniego appare necessario per evitare un pregiudizio concreto alla tutela degli “interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali”, Si evidenzia ancora che, rispetto a questa richiesta, con distinte note presenti sul sito di MonitoraPA (link: Monitora PA (monitora-pa.it), due fornitori del registro elettronico, sembrano aver già indicato all'istante i link dove reperire il testo integrale dei contratti nonché le correlate Policy di sicurezza contenenti le informazioni in merito alle garanzie che i sistemi dagli stessi forniti offrono in tema di protezione dei dati personali. Va sottolineato che, sebbene la documentazione da ultimo citata non sia stata formalmente indicata quale oggetto delle istanze in esame, ne sembrerebbe costituire il fine ultimo. Tra l’altro, la responsabilità sulla tutela dei dati personali, gestita dalle applicazioni, non grava solo sull’Istituto scolastico , in quanto fruitore del servizio (in virtù di contratti di cui al punto 1 dell'istanza) e Titolare, ma anche sul fornitore dei servizi informatici, che assume il ruolo di Responsabile esterno del Trattamento e al quale compete l’implementazione delle misure di sicurezza dei dati personali gestiti per conto della Scuola. Ad ogni modo, gli atti relativi alle forniture di beni e servizi possono essere consultati sul sito web dell'Istituto nella sezione Amministrazione trasparente, “Bandi di gara e contratti”. Giova, comunque, ricordare che il sistema di posta elettronica dell'Istituto è fornito direttamente dal Ministero dell'Istruzione. Rispetto alle informazioni richieste ai punti 2, 4, 5 e 6 dell'istanza che si riferiscono a operazioni non propriamente di competenza delle singole istituzioni scolastiche, come ad esempio la valutazione di impatto che, ai sensi dell’art. 35 del GDPR, riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell'elenco che l'autorità di controllo redige e rende pubblico: “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” Si osserva, inoltre, che l’istanza, essendo diretta ad ottenere copie dei documenti e delle valutazioni di impatto della protezione dei dati - DPIA - prodotte dal titolare del trattamento di cui ai punti 2, 3, 4, 5 e 6 dell'istanza, non soddisfa le finalità di controllo garantite dall’art. 5 del D.Lgs. n. 33/2013 in quanto tali documenti sono predisposti dal titolare per valutare la sicurezza de i trattamenti posti in essere all’interno dell'Istituzione scolastica nonché le eventuali misure integrative e in quanto tali sono già oggetto di controllo diretto da parte dell'Autorità Garante ai sensi della normativa vigente in materia di protezione del trattamento dei dati personali. Altresì, la richiesta di cui al punto 3 appare generica, non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che, in quanto non rivolti esclusivamente alla didattica, sembrano esulare dai compiti istituzionali propri della scuola. Per tali ragioni, posti gli atti di cui all'istanza, già consultabili nella sezione Amministrazione trasparente “Bandi di gara e contratti” dei sito internet dell’Istituto, per la restante categoria di atti, l'istanza non può essere accolta. Il richiedente può presentare richiesta di riesame al Responsabile della prevenzione della corruzione e trasparenza che decide con provvedimento motivato entro il termine di venti giorni. Il Dirigente Scolastico Il documento è firmato digitalmente ai sensi del c.d. Codice dell’Amministrazione Digitale e normativa connessa