ISTITUTO OMNICOMPRENSIVO “BRUNO VINCI”- NICOTERA Liceo Classico “Bruno Vinci”- Nicotera; 1. T.I.S. “Achille Russo” — Nicotera Scuole dell’Infanzia, Primaria e Secondaria di 1° grado — Limbadi Prot. 0008289 del 16/10/2022 1-4 (Uscita) AI Sig. Fabio Pietrosanti domicilio digitale all'indirizzo Pec comunicazioni@pec.monitora-pa.it Oggetto: riscontro a istanza di accesso civico generalizzato La presente è riscontro alla richiesta di accesso a documenti, ai sensi dell'art. 5 e seguenti del d. lgs. 14/03/2013, n. 33, e ss. mm. ii., formulata in data 19 settembre 2022 dalla S.V., nella qualità di “attivista del progetto MonitoraPA”. La richiamata nota, inviata ad oltre 8.000 scuole dello Stato italiano, in ragione della complessità delle problematiche giuridiche che si presentano nell’evasione della richiesta, ha richiesto un approfondimento normativo e giurisprudenziale. A giudizio della scrivente, con riferimento alla legittimazione passiva di fronte a simili richieste di accesso, tale legittimazione non sussisterebbe considerato che la protezione dei dati personali non costituisce il fine istituzionale delle scuole e che, pertanto, le istanze in esame potrebbero essere respinte perché funzionalmente abusive in quanto tese a costituire una forma di controllo di un ambito già istituzionalmente presidiato da un soggetto diverso rispetto al destinatario delle istanze, ossia il Garante per la protezione dei dati personali. Ciò nonostante, nel fornire riscontro, per maggiore chiarezza, si ritiene utile, nel merito, esaminare separatamente le varie richieste contenute nell’istanza di accesso di cui trattasi. Il punto 1) della richiesta, riguarda: “Copia del contratto o altro atto giuridico in forza del quale l'Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023;”. Si evidenzia, in primis, che la richiesta è posta in forma disgiuntiva sebbene la presenza di un contratto non dovrebbe essere posta in discussione, considerato che il Garante della Privacy, nel Provvedimento del 26 marzo 2020, ha chiarito che “Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell'università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). È il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento”. In merito a tale aspetto va evidenziato che gli atti relativi all'attività negoziale anche delle Istituzioni scolastiche sono soggetti a pubblicazione ai sensi del D. Lgs. n. 33 del 2013, nella sezione “Amministrazione trasparente”. Pertanto, le istanze potrebbero essere accolte ai sensi del comma 6, art. 5, dello stesso D. Lgs., nel quale è previsto che: “nel caso in cui l'istanza riguardi dati, informazioni o documenti oggetto di pubblicazione obbligatoria ai sensi del presente decreto, [provvede] a pubblicare sul sito i dati, le informazioni o i documenti richiesti e a comunicare al richiedente l'avvenuta pubblicazione dello stesso, indicandogli il relativo collegamento ipertestuale”. In ragione del fatto che la richiesta riguarda i contratti di servizi digitali stipulati con i relativi fornitori, ferma restando la necessità di individuare gli stessi quali controinteressati, si ritiene eccessivamente oneroso assicurare l’ostensione della documentazione richiesta, dovendo tutelare i loro segreti commerciali in base a quanto previsto dall'art. 5 bis, comma 2, lett. c) del D. lgs n. 33 del 2013, che preclude l'accesso civico generalizzato quando il diniego appare necessario per evitare un pregiudizio concreto alla tutela degli “interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali”. In tale ipotesi la disposizione impone che la valutazione sia fatta in concreto e includa un bilanciamento dei contrapposti interessi. In merito a quanto appena esposto, si evidenzia che con distinte note presenti sul sito di MonitoraPA (link: Monitora PA (monitora-pa.it), due fornitori del registro elettronico, sembrano aver già indicato alla S.V. i link dove reperire il testo integrale dei contratti nonché le correlate Policy di sicurezza contenenti le informazioni in merito alle garanzie che i sistemi dagli stessi forniti offrono in tema di protezione dei dati personali. L'istanza dunque deve essere considerata in concreto eccessivamente onerosa, in ragione della copiosità della documentazione richiesta - poiché relativa ai diversi servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, 2 didattica digitale integrata e registro elettronico che potrebbero trovare la loro fonte in diversi contratti. Dunque si ritiene che l'istanza in questione debba essere qualificata come massiva, non tanto dal punto di vista numerico - considerato che è stata inviata una istanza per Istituto scolastico - quanto con riferimento agli adempimenti che l’accoglimento di ciascuna istanza comporta per ciascun destinatario. Nello specifico, la richiesta risulta particolarmente onerosa attese e valutate: 1) l’attività di elaborazione (ad es. oscuramento di dati personali) che l'’amministrazione dovrebbe svolgere per rendere disponibili i dati e documenti richiesti; 2) le risorse interne che occorrerebbe impiegare per soddisfare la richiesta, da quantificare in rapporto al numero di ore di lavoro per unità di personale; 3) la rilevanza dell'interesse conoscitivo che la richiesta mira a soddisfare. Va considerato, peraltro, che la responsabilità sulla tutela dei dati personali, gestitadalle applicazioni, non grava solo sull’Istituto scolastico , in quanto fruitore del servizio (in virtù di contratti di cui al punto 1 dell’istanza) e Titolare, ma anche sul fornitore dei servizi informatici, che assume il ruolo di Responsabile esterno del Trattamento e al quale compete l’implementazione delle misure di sicurezza dei dati personali gestiti per conto della Scuola. Il punto 2) della richiesta, riguarda: “Copia della Valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022;" Nel caso in esame, non sembra alla scrivente ci siano i presupposti per il sorgere dell'obbligo di redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. Invero il Garante della Privacy, sempre nel Provvedimento del 26 marzo 2020, ha precisato che la DPIA non è necessaria nel caso in esame perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. Precisamente il citato provvedimento chiarisce che “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. 3 Ad esempio, non èrichiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)." Il medesimo provvedimento fa riferimento anche a casi, che sembrerebbero marginali, in cui la DPIA risulta obbligatoria. Conseguentemente, con riferimento alla richiesta di cui al punto 2 dell'istanza, è appena il caso di precisare che questo Istituto scolastico non è in possesso del documento richiesto poiché non era tenuto ad effettuare alcuna DPIA. Il punto 3) della richiesta riguarda: copia degli atti riportanti le misure tecniche previstee adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi, anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023. In merito, a seguito di attenta valutazione, si ritiene che quanto richiesto, non essendo dettagliato, possa comportare un onere di lavoro eccessivo rispetto all'interesse conoscitivo sotteso all'istanza, fermo restando che, con riferimento a tale punto, come certamente per il documento n. 1, parrebbero porsi in modo rilevante esigenze di protezione dei dati dei controinteressati, con tutte le conseguenze già esaminate. La richiesta appare inoltre generica, non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che essere riferita a dati che in quanto “non rivolti esclusivamente alla didattica” sembrano esulare dai compiti istituzionali delle scuole. Per i punti “4) copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo;” e “5) copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” AI riguardo si ribadisce quanto già indicato in sede di riscontro al punto 2) della richiesta, segnatamente precisando che questo Istituto scolastico non è in possesso del documento richiesto poiché non era tenuto ad effettuare alcuna DPIA. Il punto 6) della richiesta riguarda: Copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. Con riferimento alla documentazione di cui al punto 6, si evidenzia che, nella generalità dei casi, non sia stata effettuata alcuna valutazione comparativa e ciò sembrerebbe dovuto al fatto che, le piattaforme utilizzate durante il periodo della pandemia, sono state fornite gratuitamente dai vendor e opzionate sulla basedelle indicazioni rese dal Ministero dell'Istruzione. M ARISAEPIRE901astico 16.100 50916052 UTC