Ministero dell'Istruzione 7 7 3 ” U.S.R. per la Calabria — A.T. per la Provincia di Reggio Calabria ISTITUTO PROFESSIONALE DI STATO PER L’INDUSTRIA E L'ARTIGIANATO Via G. Mazzini, 2 - 89048 SIDERNO (RC) Cod. mecc.: RCRIO10006 - Codice fiscale 81002410801 PEO: rcri010006@istruzione.it - PEC: rcrid10006@pec.istruzione.it - www.ipsiasiderno. edu.it AI Dott. Fabio Pietrosanti, n. [omissis] ivista del progetto Monitora PA comunicazioni @ pec.monitora-pa.it Oggetto: Riscontro alla richiesta di accesso civico generalizzato. Con riferimento alla richiesta di accesso civico generalizzato del 19.09.2022, pervenuta a questa Amministrazione in pari data, SI COMUNICA che tale istanza non può essere accolta per i seguenti motivi: A) Per quanto attiene alla richiesta di copia del contratto di cui al punto n. 1) dell’istanza, v'è da dire che essa potrebbe risultare lesiva di interessi privati tutelati dall’art. 5-bis del DIgs 33/2013. In ragione del fatto che la richiesta riguarda i contratti di servizi digitali stipulati con 1 relativi fornitori, ferma restando la necessità di individuare gli stessi quali controinteressati, si evidenzia la possibilità di opporre un diniego all’ostensione a tutela dei loro segreti commerciali in base a quanto previsto dall’art. 5 bis, comma 2, lett. c) del D. Lgs n. 33 del 2013, che preclude l'accesso civico generalizzato quando il diniego appare necessario per evitare un pregiudizio concreto alla tutela degli “interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali”. Il punto 2) della richiesta, riguarda: “Copia della Valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022”. Nel caso in esame, non sembra vi siano i presupposti per il sorgere dell’obbligo di redazione della DPIA poiché le Istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che 1l trattamento dei dati personali avviene per le sole finalità istituzionali. Invero il Garante della Privacy, nel Provvedimento del 26 marzo 2020, ha precisato che la DPIA non è necessaria nel caso in esame perché l'Istituzione scolastica non effettua trattamenti di dati personali su larga scala. Precisamente il citato provvedimento chiarisce che “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” Conseguentemente, con riferimento alla richiesta di cui al punto 2 dell’istanza, si evidenzia che l’Istituto scolastico non è in possesso del documento richiesto poiché non era tenuto ad effettuare alcuna DPIA. Il punto 3) della richiesta riguarda: “copia degli atti riportanti le misure tecniche previste e adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel Sede centrale: Via G. Mazzini, 2 — Siderno (RC) ‘f@ 0964.048034 — Sede staccata: Via Sibari 50 — Locri (RC) ‘fi 0964.048029 Y% ISTITUTO PROFESSIONALE DI STATO PER L'INDUSTRIA E L'ARTIGIANATO ° Via G. Mazzini, 2 - 89048 SIDERNO (RC) caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi, anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”. Con riferimento a tale punto, come certamente anche per il documento di cui al punto n. 1, parrebbero porsi in modo rilevante esigenze di protezione dei dati dei controinteressati, con tutte le conseguenze che ne derivano. La richiesta appare inoltre generica, non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che in quanto “non rivolti esclusivamente alla didattica” sembrano esulare dai compiti istituzionali propri delle scuole. Per i punti “4) copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensidell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo;” e “85) copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” della richiesta: valgano le stesse argomentazioni riferibili alla richiesta di cui al punto 2). Il punto 6) della richiesta riguarda: Copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. Con riferimento alla documentazione di cui al punto 6, risulta che, nella generalità dei casi, non sia stata effettuata alcuna valutazione comparativa da parte delle scuole e ciò in considerazione del fatto che, le piattaforme informatiche utilizzate durante il periodo della pandemia sono state per lo più fornite gratuitamente dai vari fornitori dei servizi informatici e sono state opzionate sulla base delle indicazioni rese dal Ministero dell’Istruzione. Va tenuta, inoltre, nella debita considerazione la circostanza che la responsabilità sulla tutela dei dati personali, gestita dalle applicazioni, non grava solo sull’Istituto scolastico , in quanto fruitore del servizio (in virtù di contratti (di cui al punto 1 dell’istanza), ma anche sul fornitore deiservizi informatici, che assume il ruolo di Responsabile esterno del Trattamento e al quale compete l’implementazione delle misure di sicurezza dei dati personali gestiti per conto della Scuola. B) Poiché l’istanza, in relazione ai punti 2), 3), 4), 5) e 6), è diretta ad ottenere copie dei documenti e delle valutazioni di impatto della protezione dei dati - DPIA - prodotte dal titolare del trattamento), si significa che essa non soddisfa le finalità di controllo garantite dall’art. 5 del DIgs 33/2013 in quanto tali documenti sono predisposti dal titolare per valutare la sicurezza dei trattamenti posti in essere all’interno dell’Istituzione scolastica nonché le eventuali misure integrative e, come tali, sono già oggetto di controllo diretto da parte dell’ Autorità Garante ai sensi della normativa vigente in materia di protezione del trattamento dei dati personali. C) L'istanza formulata, riguardando un numero cospicuo di documenti (ed essendo peraltro diretta ad un numero elevato di Istituzioni scolastiche), comporta un dispendio eccessivo di risorse da parte della Pubblica Amministrazione e ne compromette l’efficienza ed il buon andamento. V’è da dire che l’ampiezza dell’accesso civico generalizzato, previsto dall’art. 5 comma 2 D. Lgs. 33/2013, può prestarsi ad un utilizzo improprio dell’istituto, come riconosciuto dall’ Adunanza Plenaria del Consiglio di Stato n. 10/2020 che, proprio al fine di contrastare pratiche abusive, chiarisce che l’accesso, finalizzato a garantire, con il diritto all'informazione, il buon andamento dell’ Amministrazione (art. 97 Cost.), non può finire per intralciare il funzionamento della stessa, sicché il suo esercizio deve rispettare il canone della buona fede e il divieto di abuso del diritto, in nome, anzitutto, di un fondamentale principio Via Mazzini, 2 0964.048034 — Via Turati & 0964.048029 — 0964-048009 Y% ISTITUTO PROFESSIONALE DI STATO PER L'INDUSTRIA E L'ARTIGIANATO ° Via G. Mazzini, 2 - 89048 SIDERNO (RC) solidaristico (art. 2 Cost.). Ed infatti, il Consiglio di Stato, Sez. III, sentenza 25 gennaio 2021 n. 495, afferma che “se da un lato l'interesse alla trasparenza non richiede una motivazione specifica, dall'altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio [...] pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi”. Nel caso in esame, la richiesta proveniente da Monitora PA pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo generalizzato in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative (in particolare la richiesta sub 1). In tale ottica, 1’ Adunanza Plenaria del C.d.S. (10/2020) ha riconosciuto la possibilità e doverosità di evitare e respingere richieste manifestamente onerose o sproporzionate, tali da comportare un carico irragionevole di lavoro, che finirebbe per interferire con il buon andamento della P.A., contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti, ma comunque riconducibili ad uno stesso centro di interessi. Inoltre, si evidenzia che la protezione dei dati personali non costituisce la finalità istituzionale di ciascun Istituto scolastico : le istanze contenute nella richiesta di accesso civico generalizzato non appaiono meritevoli di accoglimento, poiché, come già evidenziato, tenderebbero a creare una forma di controllo su un ambito già istituzionalmente presidiato, peraltro da un soggetto diverso rispetto al destinatario delle istanze, vale a dire 11 Garante per la protezione dei dati personali. Anche alla luce del numero dei controinteressati da coinvolgere, occorre considerare in concreto gli oneri e gli adempimenti che le istanze in esame pongono in capo all’ Amministrazione destinataria. A tal proposito, si richiama la sentenza n. 503 del 3 dicembre 2021, con la quale il TAR dell’Abruzzo- Pescara, Sez. I, ha affermato che “in materia di accesso civico generalizzato, il diritto di accesso non può essere espletato in pregiudizio al buon andamento dell’amministrazione, riversando sulla medesima un onere oltremodo gravoso e tale da sottoporla ad attività incompatibili con la funzionalità dei suoi plessi e con l’economicità e tempestività della sua azione, questo specialmente laddove [...] sia in gioco altresì il coinvolgimento di un numero imprecisato di soggetti controinteressati. La natura massiva della istanza presentata imporrebbe all’amministrazione di porre in essere complessi oneri procedimentali, al fine di acquisire il consenso dei numerosi controinteressati menzionati nell’istanza, nonché per la successiva rielaborazione del documento da esibire, che dovrebbe essere emendato dei nominativi dei soggetti che si sono opposti all’ostensione dei loro dati, per cui ciascun documento dovrebbe essere ristrutturato e manipolato attraverso interventi selettivi con eventuale trasfusione del materiale acquisito in un documento finale utile a fornire le informazioni oggetto di richiesta, diversamente da quanto sarebbe accaduto in presenza di un'istanza dal perimetro quantitativo più ragionevole e coerente con le esigenze e le risorse operative dell’amministrazione”. Si sottolinea, altresì, come le informazioni richieste ai punti 2, 4, 5 e 6 dell’istanza si riferiscano ad operazioni non di competenza delle singole istituzioni scolastiche, come ad es. la valutazione d’impatto che, ai sensi dell’art. 35 del GDPR, riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’ Autorità di controllo redige e rende pubblico. Alla luce delle considerazioni sopra esposte, allo stato non si ritiene che possano sussistere i presupposti per considerare meritevole di accoglimento l'istanza presentata da Monitora PA. Distinti saluti IL DIRIGENTE SCOLASTICO filma autografa sostituita a mezzo stampa ai sensi e per gli effetti dell’art. 3, c. 2 D.Lgs. n. 39/93 Via Mazzini, 2 0964.048034 — Via Turati & 0964.048029 — 0964-048009