UNIONE EUROPEA REPUBBLICA ITALIANA REGIONE CALABRIA IC “SAN SPERATO - CARDETO” ISTITUTO COMPRENSIVO “SAN SPERATO - CARDETO” Via Riparo Cannavò, 24 - 89133 Reggio Calabria- tel. 0965/1891046 C. M. RCIC875006 - C. F. 92081250802 - rcic875006 @istruzione.it - rcic875006 @ pec.istruzione.it www.icsansperatocardeto.edu.it AI Sig. Fabio Pietrosanti, comunicazioni @ pec.monitora-pa.it p.c. Al Direttore Generale dell’ Ufficio Scolastico Regione Calabria drcal @ postacert.istruzione.it OGGETTO: RISCONTRO ISTANZA ACCESSO CIVICO GENERALIZZATO. In relazione all’istanza di accesso civico generalizzato ai sensi dell’art. 5 co. 2 del D. Lgs. n. 33/2013, trasmessa via PEC a questo Istituto in data 19.09.2022 e assunta al protocollo con il n. 13648 del 20.09.2022, premesso che : e l’accesso generalizzato, previsto dall’art. 5, comma 2, del D. Igs. 33/2013, presenta la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all’attività amministrativa; e la delibera ANAC n. 1309 del 28 dicembre 2016 considera non ammissibili le richieste meramente esplorative, volte semplicemente a “scoprire” di quali informazioni le amministrazioni dispongono e ad esercitare forme di controllo generalizzato sul loro operato; e nell’accoglimento della richiesta di accesso civico la scrivente è tenuta a valutare l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali, alle informazioni o ai documenti concernenti i soggetti controinteressati; e le informazioni richieste si riferiscono anche a documenti non di competenza delle Istituzioni Scolastiche e a documenti per i quali non ricorrono i presupposti d’obbligo di redazione per la nostra Istituzione scolastica ; e qualsiasi documento contenente le misure di sicurezza adottate da questo Istituto per la protezione dei dati e del trattamento non rientra tra 1 documenti divulgabili mediante accesso civico in quanto la divulgazione delle misure tecniche adottate e delle vulnerabilità del sistema aumenterebbe il rischio di una violazione dei dati; e le piattaformeutilizzate per la DAD rientrano tra le piattaforme suggerite dal Ministero dell’istruzione; e nonè stato adottato alcun processo automatizzato di monitoraggio o profilazione; e questo Istituto ha implementato un sistema di protezione conforme ai dettami dell’art. 32 del GDPR “Tenendo conto dello stato dell'arte e dei costi di attuazione...” e è facoltà dell’interessato opporre reclamo al Garante della Privacy, organo di controllo titolato ad accedere ad ogni documento da voi richiesto; e dell’impegno delle risorse previste dal piano scuola di questo Istituto viene data adeguata pubblicità coerentemente a quanto previsto dalla legge; Tutto ciò premesso , e alla luce della sopraggiunta nota dell’USR per la Calabria , prot. n. 20741 del 14.10.2022 recante indicazioni a supporto delle Istituzioni scolastiche in merito all'istanza in oggetto; UNIONE EUROPEA REPUBBLICA ITALIANA REGIONE CALABRIA IC “SAN SPERATO - CARDETO” ISTITUTO COMPRENSIVO “SAN SPERATO - CARDETO” Via Riparo Cannavò, 24 - 89133 Reggio Calabria- tel. 0965/1891046 C. M. RCIC875006 - C. F. 92081250802 - rcic875006 @istruzione.it - rcic875006 @ pec.istruzione.it www.icsansperatocardeto.edu.it e insostituzione della nota di questo Ufficio , prot. n. 14824, alla S.V. inviata in data 10.10.2022 , che è da ritenersi, pertanto annullata e integralmente sostituita dalla presente; [omissis] parziale accoglimento della richiesta di accesso civico generalizzato in oggetto come di seguito dettagliato: a) In ordine alla Richiesta n.1 ‘copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”; non essendo esplicitato puntualmente il documento richiesto, si ritiene di comunicare quanto segue: Posta elettronica: @istruzione.it e @pec.istruzione.it fornita dal Ministero; Nr Messaggistica: non utilizzato alcun sistema; 3. DAD e DDI e posta elettronica diversa da @istruzione.it: l’Istituto ha utilizzato la piattaforma: o Piattaforma G-Suite si fornisce copia del contratto di servizio in allegato; 4. Registro elettronico; l'istituto ha utilizzato la piattaforma: o Argo si fornisce copia del contratto di servizio in allegato; In riferimento ai punti 3 e 4, dal momento che la richiesta dei documenti è in forma generale, si ritiene che 1 documenti che meglio possano soddisfare l’interesse generale del richiedente siano: - Il contratto di servizio della piattaforma utilizzata; Determine di spesa, atti già sottoposti a pubblicazione obbligatoria in Amministrazione Trasparente del sito web scolastico raggiungibile al seguente link: - determina Argo 2019 per 2020 www.trasparenza-pa.net/action/downplink.php?file_id=840464 - determina Argo 2020 per 2021 www.trasparenza-pa.net/action/downplink.php?file id=2146529 - Determina Argo 2021 per 2022 www.trasparenza-pa.net/action/downplink.php?file id=1553022 - Determina Esperto DAD www.trasparenza-pa.net/action/downplink.php?file id=2151092 - Determina acquisto corso di formazione Gsuite 2020 www.trasparenza-pa.net/action/downplink.php?file 1d4=1130001 b) Imordine alla Richiesta n. 2 : “copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022”; e alla Richiesta n. 4 : “copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo UNIONE EUROPEA REPUBBLICA ITALIANA REGIONE CALABRIA IC “SAN SPERATO - CARDETO” ISTITUTO COMPRENSIVO “SAN SPERATO - CARDETO” Via Riparo Cannavò, 24 - 89133 Reggio Calabria- tel. 0965/1891046 C. M. RCIC875006 - C. F. 92081250802 - rcic875006 @istruzione.it - rcic875006 @ pec.istruzione.it www.icsansperatocardeto.edu.it delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”; come da Lei stesso ricordato nella premessa alla richiesta , la DPIA non è obbligatoria ; le informazioni richieste si riferiscono ad operazioni non propriamente di competenza delle singole istituzioni scolastiche, come ad esempio la valutazione di impatto che, ai sensi dell’art. 35 del GDPR, riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico . Le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. Leggasi dal provvedimento del Garante del 26 marzo 2020 : “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.” . Sul punto, nella pagina dedicata proprio alla valutazione d’impatto, il Garante ha precisato che” si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". Per quanto sopra non è possibile fornire alcun documento. In ordine alla Richiesta n. 3: “copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”; essendo la sua richiesta generale, si forniscono i documenti seguenti dall’Istituto scolastico : - Regolamento Didattica Digitale Integrata e Didattica a Distanza deliberato dal Consiglio d’Istituto; - Istruzioni Didattica Digitale Integrata e Didattica a Distanza fornite al personale e alle famiglie di cui al Piano scolastico della Didattica Digitale Integrata di Istituto. d) Inordine alla Richiesta n. 5: “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”; premette che l’Istituto scolastico , nel periodo di emergenza pandemica, al fine di garantire lo svolgimento delle funzioni istituzionali nell’interesse pubblico, ha utilizzato piattaforme Certificate AGID e/o suggerite dal Ministero dell’Istruzione sul proprio sito, per le quali il rischio per l’utilizzo doveva essere calcolato a monte, pena la revoca delle Certificazioni. L'Istituto ha provveduto alla verifica dell’utilizzo delle Piattaforme, per le sole finalità didattiche, limitandone l’uso per mezzo di opportune configurazioni e procedure. Per l’anno scolastico in corso, le indicazioni ricevute dal Ministero dell’Istruzione non prevedono l’utilizzo di piattaforme per erogare i servizi di istruzione a distanza. Terminate le intense attività di avvio dell’anno scolastico in corso che prevedono la didattica in presenza si effettueranno/ri-effettueranno analisi, come la valutazione di impatto TIA, attività correlata alla più ampia e dettagliata analisi dei rischi per la definizione di una struttura organizzativa ai sensi dell’art. 32 del GDPR 679/2016 che prevede una formalizzazione della stessa dopo attenta valutazione di elementi che investono il contesto internazionale (sentenza Schrems II, Privacy Shield, Privacy Shield 2), ed una UNIONE EUROPEA REPUBBLICA ITALIANA REGIONE CALABRIA IC “SAN SPERATO - CARDETO” ISTITUTO COMPRENSIVO “SAN SPERATO - CARDETO” Via Riparo Cannavò, 24 - 89133 Reggio Calabria- tel. 0965/1891046 C. M. RCIC875006 - C. F. 92081250802 - rcic875006 @istruzione.it - rcic875006 @ pec.istruzione.it www.icsansperatocardeto.edu.it profonda ed attenta analisi anche di elementi che , se correttamente applicati, eliminano l’impatto privacy del trattamento dati attraverso piattaforme con basi dati residenti all’estero come la pseudonomizzazione, la crittografia e le procedure di utilizzo. L'Istituto ritiene, in attesa di indicazioni ministeriali, di utilizzare piattaforme di uso generalista pseudonomizzando gli account e gli indirizzi mail, e di non trattare alcun dato personale in esse, ponendo limiti all’uso solo al fine didattico. Per questo motivo l’uso di suddette piattaforme, scevre dalla presenza di dati personali, non necessita di valutazione TIA (la Valutazione d’impatto sul trasferimento dati personali extra UE presuppone che ci sia la presenza di dati personali, presenza venuta meno attraverso la tecnica della pseudonimizzazione). e) In ordine alla Richiesta n. 6: “copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”; si osserva che la valutazione comparativa è richiesta per l’anno corrente. Non si è giunti ancora al rinnovo dei contratti relativi a piattaforme già in uso, e non si sono acquistate nuove piattaforme. Pertanto non è possibile fornire alcun documento. Distinti saluti Il Dirigente Scolastico [omissis] sensi del D.Lgs.82/2005 ssimm.ii. e norme collegate, che sostituisce il documento cartaceo e la firma autografa. ALLEGATI: Contratto di servizio Piattaforma G-Suite Contratto di servizio Argo Regolamento Didattica Digitale Integrata e Didattica a Distanza Istruzioni Didattica Digitale Integrata e Didattica a Distanza: Piano di Istituto delle didattica digitale integrata