ISTITUTO COMPRENSIVO Via Possidonea, 19 - 89125 Reggio Calabria (RC) Tel. 0965.891530 / 21994 / 1970821 Email: rcic&/300e@istruzione.it PEC: rcic8/300e@pec.istruzione.it www.vitrioliprincipepiemonte.edu.it CM. ROIC87300E — CF: 92081440809 — C.U.: UFCETB IC "VITRIOLI-PRINCIPE DI PIEMONTE"- RC Al Sig. FABIO PIETROSANTI Prot. 0013860 del 18/10/2022 Via Aretusa n. 34 - Milano |-1 (Uscita) comunicazioni@pec.monitora-pa.it Oggetto: Riscontro richiesta accesso civico generalizzato del 19/09/2022. In riferimento alla richiesta di accesso civico generalizzato ex art. 5 e ss. del D. Lgs. n. 33/2013 ss.mm.ii. che la S.V. ha inoltrato a Codesto Istituto, a mezzo P.E.C., in data 19.09.2022, e nella quale si richiedeva l’accesso alla seguente documentazione: “1. copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Si riscontra quanto segue, non senza aver delineato una doverosa premessa. Pur manifestando la piena disponibilità collaborativa nella produzione documentale degli atti in possesso dell'Istituto, giova tuttavia sottolineare come l’esercizio del diritto dei cittadini di accedere ai dati detenuti dalla pubblica amministrazione, quale diritto fondamentale finalizzato a garantire l’accessibilità totale delle informazioni, a tutela dei principi di pubblicità e trasparenza sanciti dal nostro Legislatore, non possa tuttavia intralciare il buon andamento ed il regolare funzionamento della medesima amministrazione, determinando uno sproporzionato carico di lavoro nell’ambito della propria organizzazione interna (v. Adunanza Plenaria n. 10/2020). Considerata, poi, la fondamentale ratio sottesa all'istituto giuridico dell’accesso civico generalizzato, di cui all’art. 5, co. 2, del D. Lgs. n. 33/2013, che risiede nell’intento di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, giova evidenziare, nondimeno, che lFANAC, con delibera n. 1309 del 28.12.2016, ha ritenuto non ammissibili le richieste meramente esplorative, finalizzate, cioè, a “scoprire” quali informazioni sono detenute dalle pubbliche amministrazioni e ad esercitare forme di controllo generalizzato sul loro operato. Altro profilo non meno rilevante, anzi, decisivo ai fini del riscontro di cui all'oggetto, è la valutazione del momento storico nel quale tale richiesta si è radicata, atteso che ogni Istituto, in considerazione dell’avvio dell’anno scolastico , è totalmente impegnato ed assorbito nella pianificazione delle attività didattiche e nella gestione dell’intera comunità scolastica , risultando costantemente oberato di impellenti scadenze circa l'osservanza di determinati obblighi normativi, e, molto spesso, con dotazione di organico amministrativo sottodimensionato, inidoneo ad ovviare a situazioni di natura urgente ed indifferibile. Ad aggravare la situazione problematica suesposta è opportuno evidenziare la discontinuità operativa dell’ufficio di segreteria cagionata dalla mobilità dei DSGA ( 2021/2022/2023) ovvero del personale amministrativo che non consente , ad oggi, una consolidata organizzazione per l’elaborazione che l’amministrazione dovrebbe svolgere per rendere disponibili i dati e la mole dei documenti richiesti. Ciò posto, a seguito di mirata istruttoria tecnica condotta con il coinvolgimento del Responsabile della Protezione dei Dati di questa istituzione del quale, nel merito, è stato acquisito formale parere, si riportano di seguito le considerazioni connesse al riscontro di cui all'oggetto. 1. Con riferimento al primo punto (“copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”), questo Istituto si limita ad accogliere la richiesta fornendo la produzione documentale delle copie dei soli contratti di servizi digitali utilizzati, evidenziando, nel contempo, che: Per i servizi di posta elettronica, si fa riferimento a @istruzione.it e @pec.istruzione.it fornita dal Ministero; Per i servizi di messaggistica: non risulta presente ed attivo alcun applicativo digitale utilizzato dalla Scuola; Per i servizi di Microsoft 365 si fornisce copia del contratto di servizio reperibile al link h :L/www.microsoft.com/it-i tvi reement/ ; Per i servizi di videoconferenza/didattica a distanza e didattica digitale integrata, si forniscono le seguenti informazioni: a) l'attivazione del servizio deriva dal Contratto Google Workspace (online), nella dizione completa Google Workspace For Education Fundamentals, in allegato alla presente (all. 1}; b) il servizio è gratuito in quanto il numero di unità coinvolte garantisce questo beneficio ed è attivo dal 02/04/2020 con codice identificativo utente collegato all’ “I.C. D. Vitrioli - Principe di Piemonte”; c) Il circuito interno di Google è un sistema chiuso in quanto viaggia sull’interscambio di una mail dedicata avente caratteristica @fad.vitrioliprincipepiemonte.edu.it, la cui attivazione e disattivazione è gestita dall’amministratore dell'Istituto scolastico ; d) sono state intraprese misure tecniche atti a tutelare i dati personali trattati nella Didattica digitale Integrata, attraverso le specifiche configurazioni adottate per evitare l’uso dei dati degli studenti per finalità ulteriori alla didattica. Per quanto riguarda la Didattica Digitale Integrata tutte le informazioni sono rinvenibili nell’area dedicata alla DDI sul sito dell'Istituzione scolastica al seguente link del sito (vitrioliprincipepiemonte.edu.it) Per i servizi di registro elettronico, si fa riferimento ai contratti di fornitura di software gestionale per la segreteria scolastica (allegati alla presente) stipulati per gli anni: - ARGO software 2020 (all. 2) - ARGO software 2021 (all. 3) - ARGO software 2022 (all. 4) per l'anno 2023 deve essere ancora sottoscritto. Con riferimento al fornitore del registro elettronico ARGO, giova evidenziare che il testo integrale dei contratti e le correlate Policies di Sicurezza circa le garanzie sul trattamento dei dati personali gestiti per conto dell’Istituto sono facilmente reperibili sul sito web di Argo al seguente link: https://www.argosoft.it/privacy.php Inutile ribadire quanto già precisato dall’Autorità Garante, che, con Provvedimento del 26.03.2020, ha precisato che, nel rapporto con il fornitore del servizio, disciplinato con regolare contratto o altro atto giuridico, il Fornitore medesimo, ai sensi dell’art. 28 del Regolamento 2016/679, assume il ruolo di responsabile del trattamento ed è investito della responsabilità sulla gestione delle attività di trattamento dei dati acquisiti per conto della Scuola, effettivo Titolare del trattamento nonché fruitore del servizio informatico. Con riferimento al secondo punto (“copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022;”), Questo Istituto non ha ravvisato i presupposti per il sorgere dell'obbligo di redazione della DPIA, atteso che, conformemente a quanto delineato dall'Autorità Garante nel citato Provvedimento del 2020, le Istituzioni scolastiche non effettuano trattamenti di dati personali su larga scala né danno corso ad un monitoraggio sistematico. Come esplicitato dal Garante, si rende noto, infatti, che “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Di conseguenza, l’Istituto non è in possesso del documento richiesto, in quanto non era tenuto ad effettuare alcuna DPIA, salvo i casi limite in cui la Scuola avesse in concreto scelto di adottare strumenti per i quali la DPIA fosse prevista come obbligatoria. 3. Quanto alla richiesta di cui al punto 3 (“copia degli atti riportanti le misure tecniche previste e adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi, anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”), si rende noto che tale richiesta appare eccessivamente generica, dal momento che la indeterminatezza della sua formulazione non consente di circoscrivere con esattezza il perimetro della documentazione oggetto di accesso. Non solo, non può sottacersi, ancora una volta, neanche l’eccessivo carico di lavoro derivante dal reperimen Ì le misur nich IWIsti nle ann n nze di | dei dati personali di tutti i soggetti controinteressati coinvolti. Giova, a tal fine, ribadire che Questo istituto ha provveduto ad attivare i soli servizi strettamente necessari alla formazione al fine di garantire le attività didattiche e le finalità istituzionali connesse all'erogazione del diritto fondamentale allo studio, escludendo a priori l’utilizzo di piattaforme erogative di servizi non correlati ai fini istituzionali perseguiti dalla Scuola. 4. e 5. Per le richieste di cui ai punti 4 (“copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo) e 5 (“copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”), valgono le medesime considerazioni delineate nel punto 2. 5. Con riferimento al punto 6 della richiesta, avente ad oggetto “copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”, si rende noto che questo Istituto, per l’anno in corso, non può produrre alcun documento specifico, in quanto i contratti dei servizi digitali in essere conservano tuttora la loro validità e non sono previsti acquisti di nuove piattaforme, considerato, inoltre, che quelle utilizzate per tutto il periodo della pandemia sono state fornite e opzionate secondo le indicazioni offerte dal Ministero dell'Istruzione. Il Dirigente Scolastico [omissis] collegate, il quale sostituisce il documento allegato e la firma autografa Si allegano alla presente la seguente documentazione in copia: - Contratto di servizio Google Workspace for Education - Contratti Argo anni 2020 - 2021 - 2022