..C. "71* AGANOOR MARCONI" - NAPOLI - Protocollo 0009140 DEL 18/10/2022 15:51:10 pati Vi ee fs i AMBITO TERRITORIALE 013 I.C. 71° “AGANOOR-MARCONI” Cod. mecc. NAIC8CK00C Traversa dell'Abbondanza - 80145 - NAPOLI # Segreteria Telefax 081/7403636 Indirizzo di posta elettronica: naic8ck00c@istruzione.it Sito internet - www.aganoormarconi.edu.it A Fabio Pietrosanti comunicazioni ec.monitora-pa.it Oggetto: Istanza di accesso civico generalizzato del 19/09/2022. Egr. Sig. Fabio Pietrosanti, In riferimento alla richiesta pervenuta in data 19/09/2022 a questo istituto e volta ad ottenere l’accesso civico generalizzato ai sensi dell’art. 5 e segg. del D.Lgs. 33/2013 alla seguente documentazione: 1 copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. copia della valutazione comparativa ai sensi dell'art, 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; PREMESSO che l’accesso generalizzato, previsto dall'art. 5, comma 2, del D.Lgs. 33/2013, presenta la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la 1 partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all’attività amministrativa; PREMESSO che l’Istituto scolastico usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale e che le software house fornitrici dei servizi di posta sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente; PREMESSO che il Registro Elettronico dell'Istituto scolastico viene fornito da “Gruppo Spaggiari Parma” e che non è stato adottato da Codesto Istituto scolastico in seguito alla pandemia da Covid-19 e in nessun caso si può collegare la sua adozione allo stato di emergenza; TENUTO CONTO che, con la fine dello stato di emergenza, non è venuto meno il provvedimento del Garante per la protezione dei dati personali 26 marzo 2020 - “Didattica a distanza: prime indicazioni”, in quanto lo stesso esplica ancora i suoi effetti, fino a indicazione contraria da parte dell'Autorità Garante per la protezione dei dati (in quanto l'Autorità non ne circoscrive le indicazioni al solo stato di emergenza, come erroneamente da voi sostenuto), e contiene indicazioni di buon senso e di corretta applicazione della normativa privacy all’interno delle scuole (a prescindere dallo stato di emergenza in cui lo stesso provvedimento è stato emanato); VERIFICATA la necessità di finalizzare prioritariamente l’attività dell'ufficio al buon andamento dell’amministrazione e alla regolare erogazione del servizio scolastico ; VERIFICATO che le informazioni richieste (soprattutto con riferimento ai punti n. 2, 4 e 5 si riferiscono anche ad operazioni non di competenza delle istituzioni scolastiche, come la valutazione di impatto (DPIA) che, ai sensi dell'art. 35 del Regolamento del Parlamento Europeo e del Consiglio in materia di protezione dei dati personali n. 679 del 27 aprile 2016 (GDPR), riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su larga scala e/o trattamenti indicati nell'elenco che l'Autorità di controllo redige e rende pubblico (si veda Provvedimento dell'Autorità per la protezione dei dati personali del 11 ottobre 2018) e che l'esclusione della necessità di effettuare DPIA su tutti gli strumenti (per come sono acquisiti o configurati) deriva dal fatto che non ingenerano elevati rischi per i diritti e le libertà degli studenti come previsto dal citato articolo 35 del GDPR; VERIFICATO che, con riferimento al punto n. 3, l’Istituto scolastico non utilizza piattaforme “più complesse” che erogano servizi “più complessi” anche non rivolti esclusivamente alla didattica (con riferimento agli anni scolastici 2020/2021, 2021/2022, 2022/2023) - non avendo l'istante precisato o chiarito, tra l’altro, cosa intenda dire con l'affermazione “servizi più complessi” (e, per tale motivo, la richiesta non è chiara dal momento che non si specifica “piattaforme più complesse” rispetto a cosa, o “servizi più complessi” rispetto a cosa); VERIFICATO che il registro elettronico del Gruppo Spaggiari Parma S.p.A. è un'applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS, azienda dotata di un sistema di gestione per la sicurezza delle informazioni certificato secondo la norma UNI CEI EN ISO/IEC 27001:2017 e fornitore qualificato SaaS per le P.A. per tutti gli applicativi in commercio. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Spaggiari, sono descritte nei documenti pubblici e raggiungibili dalla pagina https://web.spaggiari.eu/www/app/default/index.php?p=durc&s=durc VERIFICATO che, con riferimento al punto n. 4, come stabilito dal Ministero nelle sue Linee guida, per il nuovo anno scolastico 2022/2023 l'obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia; per questo motivo, l’Istituto scolastico , come tutte le scuole d’Italia, non farà al momento ricorso a piattaforme di messaggistica o videoconferenza ovvero alla DaD (didattica a distanza) o DID (Didattica Digitale Integrata), per permettere agli studenti di seguire le lezioni da casa; valutazione di impatto va effettuata nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l'istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione: 1. rientra nei casi previsti dall'art.35, par. 3 del Regolamento (trattamento automatizzato, profilazione, trattamento su larga scala di categorie particolari di dati personali, ecc.), tenendo conto sempre del contesto in cui il trattamento stesso si colloca; 2. comporta la compresenza di almeno di due criteri individuati come indici sintomatici del “rischio elevato” dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze o combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, trattamento che in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” VERIFICATA la prevalenza della tutela della protezione dei dati personali come declinata dall'articolo 5-bis, comma 2, lett. a) del d.lgs. n. 33 del 2013 e in base alle disposizioni di cui al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, sempre tenendo conto dei principi generali sul trattamento dei dati e in particolare dei principi di adeguatezza, pertinenza e non eccedenza a quanto necessario rispetto alle finalità per le quali sono trattati i dati (cfr. articolo 5 del Regolamento); LETTI gli artt. 23, comma 1, e 37 del D.lgs. 33/2013, in combinato con l'art. 29 del D.lgs. 50/2016, che prevedono l'obbligo di pubblicazione dei provvedimenti finali dei procedimenti di scelta del contraente per l'affidamento di lavori forniture e servizi; VERIFICATO che, con riferimento al punto 5, si chiede copia della valutazione di impatto (poco prima indicata, nelle precedenti richieste, come “DPIA”) sul trasferimento dei dati all’estero, salvo poi denominarla “TIA” (termine che non esiste all’interno del Reg. UE 2016/679, c.d. “GDPR”) e che, pertanto, tale richiesta è di fatto equivoca e non consente a Codesto Istituto scolastico di identificare correttamente la richiesta (oltre alla circostanza che, anche tale richiesta, è connotata da quel carattere vessatorio o pretestuoso come sopra in precedenza evidenziato); SI RENDE NOTO 1. per la richiesta 1 si precisa che questa Istituzione Scolastica usa solo la posta elettronica ordinaria e certificata istituzionale con dominio, rispettivamente, @istruzione.it e @pec.istruzione.it e nessun altro canale e le comunicazioni vengono inviate agli indirizzi e-mail forniti ufficialmente alla scuola all'atto dell'iscrizione, per i genitori/alunni, o della presa in servizio, per i dipendenti. Si trasmettono i rinnovi dei contratti di servizio sottoscritti con il gruppo Spaggiari Parma S.p.a, degli anni 2020, 2021 e 2022, per garantire una continuità di servizio all'utenza, a prescindere dalla cessazione del periodo emergenziale. I provvedimenti finali dei procedimenti di scelta del contraente per l'affidamento di contratti pubblici si possono visionare ed estrarre nella sezione “Amministrazione Trasparente”, presente sul sito web istituzionale. 2. per la richiesta 2-4-5 la scrivente istituzione scolastica non può accogliere la richiesta, in quanto si tratta di un documento non presente e pertanto non necessario perché la DPIA non è obbligatoria come da provvedimento del Garante del 26 marzo 2020 n. 64: “la valutazione di impatto, che l’art.35 del Regolamento richiede peri casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d'impatto, il Garante ha precisato che: . Tale indirizzo è stato confermato anche nel documento a titolo “Didattica Digitale Integrata e tutela della privacy: indicazioni generali (principali aspetti della disciplina in materia di protezione dei dati personali nella Didattica Digitale Integrata)” emesso dal Ministero dell'Istruzione del 09/2020. 3. per la richiesta 3 la scrivente istituzione ritiene di non poter adempiere in quanto si tratta di richiesta formulata in maniera generica e non chiara che non consente di individuare un termine di paragone “non si fa uso di “piattaforme più complesse” che erogano servizi “più complessi”, anche non rivolti esclusivamente alla didattica”; 4. per la richiesta 6 detta acquisizione si è svolta direttamente in attuazione del Codice dei contratti pubblici (D.Lgs. 50 del 2016 e s.m.i.); Distinti saluti. Si allega alla presente: n. 3 rinnovi contrattuali Gruppo Spaggiari Parma S.p.a, anni 2020, 2021 e 2022. Il Dirigente scolastico [omissis] Istituto Comprensivo 71 Aganoor-Marconi di Napoli