CILE dà ) UNIONE EUROPEA An ) CI S «Ministoro dell Ltrazione Fondo sociale europeo Fondo europeo di sviluppo regionale Istituto Comprensivo 5°ARTIACO Via Artiaco 98, Pozzuoli ( Na) tel/fax 0815262985 - 081 8531541 e-mail naic8d7006@istruzione.it P.E.C. naic8d7006@pec.istruzione.it codice fiscale: 96029270632 www.icSartiaco.edu.it Al Sig. FabioPietrosanti, con domicilio digitale all'indirizzo Pec:comunicazioni@pec. monitora-pa.it p.c. Al Direttore Generale Ufficio Scolastico Regione Campania Pec: uspna@postacert.istruzione.it usp.na@istruzione.it Oggetto: Risposta richiesta Accesso civico generalizzato A seguito della Sua istanza del 19/09/2022 trasmessa via PEC, nella quale richiedeva l’accesso ai vari documenti ai sensi dell’art.5 del D.Lgs.n.33 del 2013 con la presente passiamo a dare riscontro e a rispondere alle sue n. 6 domande, procedendo con ordine. RICHIESTA N.1: “copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza,didattica digitale integrata,registro elettronico,relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023” | 1.0. 5 ARTIACO - POZZUOLI (NA) - Protocollo 0005756/2022 del 18/10/2022 Non essendo esplicitato puntualmente il documento richiesto si ritiene di comunicare quanto segue: 1. Posta elettronica — Per le sue comunicazioni ufficiali tramite posta elettronica Il’Tstituzione Scolastica usa solo la posta elettronica ordinaria e certificata istituzionale con dominio, rispettivamente, @istruzione.it e @pec.istruzione.it e nessun altro canale e le comunicazioni vengono inviate agli indirizzi e-mail forniti ufficialmente alla scuola all'atto dell'iscrizione, per i genitori/alunni, o della presa in servizio, per i dipendenti. Le software house fornitrici dei servizi di posta sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'Istituto non può, quindi, accogliere la richiesta, in quanto si tratta di un documento prodotto e sottoscritto da soggetto terzo e non nella nostra disponibilità. 2. Messaggistica — Ufficialmente l'Istituto Scolastico non utilizza alcun sistema di messaggistica (ad esempio, WhatsApp, Messenger o similari) e, nel caso, ne dovesse rilevare la necessità lo adotterebbe secondo una precisa procedura. L'Istituto non può, quindi, accogliere la richiesta, in quanto si trattadi un documento non presente in quanto non necessario. 3. DAD e DDL, riunioni degli 00.CC e formazione in remoto dei dipendenti--Innanzitutto sottolineiamo che, per quanto riguarda la didattica, dall’a.s. 2022/23 il Ministero dell'Istruzione, come indicato nella Nota 1199 del 28 agosto 2022, prevede che vengano svolte unicamente attività in presenza salvo ulteriori situazioni di emergenza che dovessero sorgere. L'utilizzo, quindi, di piattaforme di videoconferenza, per l’anno in corso, è previsto esclusivamente per eventuali riunioni di 00.CC o per la formazione in remoto dei dipendenti, laddove fosse ritenuto necessario. IC 5 ARTIACO 1 | " | F Per la scuola a eZ sordi Fondo europeo di sviluppo regionale SE Ta pi / î Altra cosa da osservare è che negli anni precedenti è stata concessa ag 7Ts StUt Scolastici di ogni grado una licenza di utilizzo gratuita delle piattaforme prescelte. Per questo motivo nora esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è stato, quindi, regolato dai Termini di condizioni e utilizzo della piattaforma, presenti in rete sui siti delle piattaforme e che l'Istituto ha visionato prima dell'attivazione del servizio. Infine, facciamo osservare anche che l’attenzione dell'Istituto è sempre stata rivolta solo verso quelle piattaforme consigliate dal Ministero e, comunque, presenti nel catalogo Agid delle SaaS (Software as a Service) come SaaS qualificate, la cui scheda di qualificazione è reperibile in rete, per cui si è ritenuto che tutte le valutazioni tecniche siano state fatte a monte, all’atto della qualificazione. e Negli anni precedenti, a seguito dell'emergenza covid19, l'Istituto ha utilizzato le seguenti piattaforme: Google workspace e Riunioni 00.CC e formazione dipendenti in remoto: MEET di Google Per le piattaforme indicate, dal momento che la richiesta dei documenti è in forma generale, si ritiene che i documenti che meglio possano soddisfare l'interesse generale del richiedente siano: e Il contratto di servizio della piattaforma utilizzata che trovate in allegato, sebbene sia pubblico e reperibile in rete sui siti delle piattaforme, così come indicato in precedenza; 4. Registro elettronico — Anche in questo caso l'Istituto usa prodotti di fornitori considerati affidabili e, comunque, presenti nel catalogo Agid delle SaaS (Software as a Service) come SaaS qualificate. Tale servizio viene usato anche per i servizi di segreteria e protocollo, come previsto dalla legislazione vigente. I dati relativi a: argomento della lezione, compiti assegnati, assenze/ritardi/uscite anticipate degli alunni, valutazione e gli elaborati degli alunni, la messaggistica, sono sempre stati caricati e conservati su tale registro elettronico. Nel caso specifico, l'Istituto utilizza il servizio fornito da Spaggiari Parma s.p.a. Per il fornitore indicato, dal momento che la richiesta dei documenti è in forma generale, si ritiene che i documenti che meglio possano soddisfare l'interesse generale del richiedente siano: e Ilcontratto di servizio della piattaforma utilizzata che trovate in allegato; e Determine di spesa RICHIESTA N.2: “copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022” Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria come da provvedimento del Garante del 26 marzo 2020 n. 64: "/a valutazione di impatto, che l’art.35 del Regolamento richiede per i casi di rischi elevati,non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitari e, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.”. Su punto,nella pagina dedicata proprio alla valutazione d'impatto, il Garante ha precisato che: . Tale indirizzo è stato confermato anche nel documento a titolo “Didattica Digitale Integrata e tutela della privacy: indicazioni generali (principali aspetti della disciplina in materia di protezione dei dati personali nella Didattica Digitale Integrata)” emesso dal Ministero dell'Istruzione del 09/2020. L'Istituto non può, quindi, accogliere la richiesta, in quanto si tratta di un documento non presente in quanto non necessario IC 5 ARTIACO 2 CLI (A UNIONE EUROPEA li MR È mob 1) eni (SM. rina Menistoro dell'Lirazione Bs, Fondo sociale europeo | Wi# Il cena e Ge RICHIESTA N.3: “copia degli atti riportanti le misure tecniche previste ed ad Ario 00) 1.18 scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione,nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022,2022/2023” Essendo la sua richiesta generale si forniscono i documenti seguenti riportanti le misure tecniche adottate dall'Istituto scolastico : - Regolamento Didattica Digitale Integrata deliberato dal Collegio docenti e Consiglio d Tstituto; - Regolamento per lo svolgimento delle sedute degli oo.cc. in modalità telematica RICHIESTA N.4: “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art.35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica,videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria con riferimento al provvedimento del Garante del 26 marzo 2020 “la valutazione di impatto, che l’art.35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d'impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti"sistematici"e"non occasionali" indicate nell'elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza,da sottoporre a valutazione di impatto di cui ai punti6, 11 e12 sono riconducibili al criterio della "larga scala".Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26marzo 2020, non è rinvenibile conriferimento alla singola scuola. Inoltre, come già precisato, per la posta elettronica viene utilizzata solo quella ufficiale di indirizzo ministeriale e l’Istituto non utilizza alcun tipo di applicazione di messaggistica. Per quanto sopra riportato non è possibile fornire alcun documento. RICHIESTA N.5: “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Come già detto l'Istituto scolastico nel periodo di emergenza pandemica, al fine di garantire lo svolgimento delle funzioni istituzionali nell'interesse pubblico, ha utilizzato piattaforme Certificate AGID e/o suggerite dal Ministero dell'Istruzione sul proprio sito, per le quali il rischio per l'utilizzo doveva essere calcolato a monte, pena la revoca delle Certificazioni. L'Istituto ha provveduto alla verifica dell'utilizzo delle piattaforme per le sole finalità didattiche, limitandone l'uso per mezzo di opportune configurazioni e procedure. Ancora una volta sottolineiamo che per l'anno scolastico in corso, le indicazioni ricevute dal Ministero dell'Istruzione non prevedono l'utilizzo di piattaforme per erogare i servizi di istruzione a distanza. Terminate le intense attività di avvio dell'anno scolastico in corso che prevedono la didattica in presenza si effettueranno analisi come la valutazione di impatto TIA, attività correlata alla più ampia e dettagliata analisi dei rischi per la definizione di una struttura organizzativa ai sensi dell'art. 32 del GDPR 679/2016 prevede una formalizzazione della stessa dopo attenta valutazione di elementi che investono il contesto internazionale (sentenza Schrems II, IC 5 ARTIACO 3 È e pl ariosvolo ù D@rio NE | DÈ a RRRREE UNIONE EUROPEA Fondo europeo di sviluppo regionale > n) MENTE eis ci Privacy Shield, Privacy Shield 2), ed un profonda ed attenta analisi anche dî elementi che se correttamente applicati eliminano l'impatto privacy del trattamento dati attraverso piattaforme con basi dati residenti all'estero come la pseudonomizzazione, la crittografia e le procedure di utilizzo. L'Istituto ritiene, in attesa di indicazioni ministeriali, di utilizzare piattaforme di uso generalista pseudonomizzando gli account e gli indirizzi mail, e di non trattare alcun dato personale in esse, ponendo limiti all'uso solo al fine didattico. Per questo motivo l'uso di suddette piattaforme, scevre dalla presenza di dati personali, non necessita di valutazione TIA (la Valutazione d'impatto sul trasferimento dati personali extra UE presuppone che ci sia la presenza di dati personali, presenza venuta meno attraverso la tecnica della pseudonimizzazione). RICHIESTA N.6:"copia della valutazione comparativa ai sensi dell’art.68 del d.Igs.7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo” La valutazione comparativa è richiesta per l’anno corrente. Ad ogni modo, nei limiti e con le precisazioni già effettuate, l'Istituto fa presente che: a) Registro elettronico: Stante la peculiare struttura del mercato di riferimento, il contenuto numero di operatori attivi, l'Istituto scrivente non intende rinnovare il contratto con il gruppo Spaggiari-Parma, ma operare in deroga al principio di rotazione ai sensi del par.3.7 delle Linee b) Piattaforme di videoconferenza per DDI e riunioni 00.CC e formazione personale in remoto: nell'anno scolastico 2022/2023 l'Istituto scrivente ha operato in continuità con gli anni scolastici precedenti; non è stata quindi effettuata nessuna valutazione comparativa, poiché è stato confermato l'utilizzo degli strumenti già attivati gratuitamente in precedenza. Ad ogni modo l'Istituto si riserva di valutare altre possibilità, in caso di necessità e si sta attrezzando per tale evenienza. c) Posta elettronica: come già indicato, la posta elettronica utilizzata è quella ministeriale. d) Messaggistica: l'Istituto, come già indicato, allo stato attuale non utilizza e nell'immediato futuro non prevede di utilizzare in modo ufficiale strumenti di questo tipo. Per quanto sopra esposto non è possibile fornire alcun documento. ALLEGATI: - Contratto di servizio per piattaforma per DDI: Google Workspace for Education di Google - Contratti di servizio del registro elettronico:Spaggiari Parma s.p.a. anni 2020-2021-2022 con relative Determine di spesa - Regolamento Didattica Digitale Integrata e Regolamento per lo svolgimento delle sedute degli 00.cc. in modalità telematica deliberati dal Consiglio d'Istituto; IC 5 ARTIACO 4