ISTITUTO COMPRENSIVO “S. M. MILANI” Via Ugo Foscolo — 80023 CAIVANO (NA) - Tel. 0818354621 Fax 0810665783 Cod.Mecc. NAIC8EB00N — Cod. fisc. 93053310632 - Cod. univ. uff. UFRSKC e-mail: naic8eb00n@istruzione.it; naic8eb00n @pec.istruzione.it; sito web: www.comprensivomilani.edu.it re LSM, MILARI"- CANANO Prot. 0006974 del 18/10/2022 1-4 (Uscita) AI Sig. Fabio Pietrosanti, con domicilio digitale all’indirizzo Pec comunicazioni @ pec.monitora-pa.it ATTI Oggetto: Riscontro richiesta Accesso civico generalizzato In riferimento alla richiesta pervenuta in data 19/09/2022, acquisito agli atti di questo istituto scolastico al prot. n. 5938 I-4 del 19/09/2022 e volta ad ottenere l’accesso civico generalizzato ai sensi dell’art. 5 e segg. del d.lvo 33/2013 alla seguente documentazione: 1. Copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. Copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. Copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. Copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 5. Copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. Copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; PREMESSO che l’accesso generalizzato, previsto dall’art. 5, comma 2, del D.lvo 33/2013, presenta la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all’attività amministrativa; CONSIDERATO che il D.lgs 33/2013 sancisce che l’accesso civico è rifiutato «se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a) e che «l’amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell’articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma 1 ISTITUTO COMPRENSIVO “S. M. MILANI” Via Ugo Foscolo — 80023 CAIVANO (NA) - Tel. 0818354621 Fax 0810665783 Cod.Mecc. NAIC8EB00N — Cod. fisc. 93053310632 - Cod. univ. uff. UFRSKC e-mail: naic8eb00n@istruzione.it; naic8eb00n @pec.istruzione.it; sito web: www.comprensivomilani.edu.it re di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso» (art. 5, comma 5). VISTA la delibera ANAC n. 1309 del 28 dicembre 2016 nella quale vengono considerate non ammissibili le richieste meramente esplorative, volte semplicemente a “scoprire” di quali informazioni le amministrazioni dispongono e ad esercitare forme di controllo generalizzato sul loro operato; TENUTO CONTO che presso l’ufficio di segreteria di questo istituto scolastico prestano servizio n. 6 assistenti amministrativi di cui n.1 assistente amministrativa di 24 posizione economica in sostituzione del DSGA che risulta assente senza soluzione di continuità dal 01/09/2021 e continua e n.1 assistente amministrativa supplente al 30 giugno 2023 (in sostituzione della 2% posizione economica) di recente ingresso ed esperienza nel mondo scuola, con la conseguenza di una gestione dei servizi generali e amministrativi che risulta aggravata e non rispondente ai reali bisogni di un istituto comprensivo, avente, nello specifico una popolazione scolastica complessiva di ben n. 1.115 alunni di tre diversi ordini di scuola, n. 136 unità complessive di personale docente e n. 23 unità di personale ATA; VERIFICATO che la raccolta delle informazioni richieste imporrebbe a questa istituzione scolastica un notevole carico di lavoro tale da paralizzare, in modo molto sostanziale, il corretto funzionamento dell’ordinaria attività amministrativa, fondamentale per fornire il necessario e indispensabile supporto al servizio di istruzione; VERIFICATO che le informazioni richieste si riferiscono anche ad operazioni non di competenza delle istituzioni scolastiche, come la valutazione di impatto che, ai sensi dell’art. 35 del Regolamento del Parlamento Europeo e del Consiglio in materia di protezione dei dati personali n. 679 del 27 aprile 2016, riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico; VERIFICATA la necessità di finalizzare prioritariamente l’attività dell’ufficio al buon andamento dell’amministrazione e alla regolare erogazione del servizio scolastico ; VISTO che la sua richiesta, così sproporzionata e onerosa, è espressamente qualificata come inammissibile, così come stabilito dall’ Adunanza plenaria n. 10/2020, poiché è tale da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione. CONSIDERATO che le richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. dj Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi, sono da ritenersi inammissibili. CONSIDERATO che potrebbe sussistere il rischio di un pregiudizio concreto alla tutela degli “interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d’autore e 1 segreti commerciali” e che, in ogni caso, le determine e gli estremi dei contratti riferiti alle stesse sono già ampiamente pubblicate nella sezione di amministrazione trasparente di codesta istituzione scolastica e sono, quindi, facilmente reperibili dall’interessato; CONSIDERATO che, in ogni caso, gli applicativi utilizzati dalle istituzioni scolastiche sono stati approvati dall’ AgiD; CONSIDERATO che, come riportato nel provvedimento del Garante del 26 marzo 2020, per i trattamenti a cui si riferisce la richiesta, non era necessaria la DPIA; ISTITUTO COMPRENSIVO “S. M. MILANI” Via Ugo Foscolo — 80023 CAIVANO (NA) - Tel. 0818354621 Fax 0810665783 Cod.Mecc. NAIC8EB00N — Cod. fisc. 93053310632 - Cod. univ. uff. UFRSKC e-mail: naic8eb00n@istruzione.it; naic8eb00n @pec.istruzione.it; sito web: www.comprensivomilani.edu.it re TENUTO CONTO che, in merito alla sua richiesta (che ha indirizzato a tutte le istituzioni scolastiche) sono stati espressi numerosi pareri, sia da parte di alcuni Uffici Scolastici regionali, sia dall’ ANAC, sia da parte dell’ Avvocatura generale dello Stato VISTI IN PARTICOLARE: e il Parere, reso a questa istituzione scolastica dall’ Avvocatura dello Stato, Ufficio Distrettuale di Napoli Prot. 2022/149753- AL 2022/8479, a firma dell’ [omissis] agli atti della scuola al Prot. n. 6627 II- 1 del 07/10/2022. e Il Parare reso al Ministero dell’istruzione- Dipartimento per la Programmazione e la gestione delle risorse umane, finanziarie e strumentali dall’ Avvocatura generale dello Stato di Roma Prot. 636585 del 12/10/2022 — AL 39482/2022 SI COMUNICA alla S.V. che la [omissis] non darà seguito alla richiesta pervenuta, in quanto non accoglibile: -“in ragione della mancanza dell'indicazione di un oggettivo e reale titolo di legittimazione attiva del richiedente - dichiaratosi semplicemente attivista di un'organizzazione, senza peraltro fornire neanche dettagli, riferimenti, riconoscimento giuridico, atto costitutivo ovvero statuto della medesima - nonché alla luce dell'omessa indicazione delle reali e concrete finalità dell'istanza che, nei fatti, si risolve in un "controllo generalizzato dell'operato delle pubbliche amministrazioni", che costituisce caso espressamente previsto dal legislatore, dall'art. 24 comma 3 L. 241/1990, di esclusione addirittura del diritto d'accesso”; - in quanto “essa istanza comporta il concreto rischio di lesione della privacy e della riservatezza del personale scolastico , dei discenti e dei genitori dei medesimi, riguardati anch'essi di riflesso dall'istanza in oggetto, considerando che già i dati anagrafici contenuti nella plurima documentazione richiesta in ostensione rientrano tra quelli sensibili e non potendosi escludere che da essi documenti possano desumersi ulteriori elementi informativi ancor più personali. Di seguito, preme precisare ulteriormente quanto segue: 1. La richiesta riguarda 1 contratti di servizi digitali stipulati con il fornitore ARGO SOFTWARE s.r.1. di Ragusa, 1 cui contratti e le relative determine a contrarre sono pubblicati nelle sezioni dedicate di Amministrazione Trasparente della scuola; 2.La DPIA (valutazione d’impatto) non è stata effettuata dall’Istituto, atteso che non vi sono le condizioni richieste per la sua applicazione (vedi motivazione in premessa); si rappresenta comunque che il sistema di videoconferenza della piattaforma tecnologica di DDI in uso dalla scuola è stata configurata in modo da impedire il monitoraggio del comportamento degli alunni (ad esempio con l’inibizione delle funzionalità di geolocalizzazione e l’utilizzo di servizi privi di qualunque forma di pubblicità comportamentale; 3. Misure di sicurezza tecniche: - Accesso al registro elettronico: l’accesso al registro elettronico avviene con l’utilizzo di credenziali personali rilasciate agli utenti identificati in maniera univoca, in quanto docenti o genitori degli alunni; - Accesso alla piattaforma utilizzata per eventuali riunioni in videoconferenza o per le lezioni, in caso di DAD, negli anni dell’emergenza sanitaria: l’accesso alla piattaforma di DDI avviene con l’utilizzo di credenziali personali rilasciate agli utenti identificati in maniera univoca in quanto personale della scuola o alunni iscritti all’istituzione scolastica dopo essere stati esplicitamente ragguagliati tramite apposita informativa ex art. 13 del Reg. 679/2016 e dopo aver rilasciato specifico consenso all’utilizzo della piattaforma di DDI; ISTITUTO COMPRENSIVO “S. M. MILANI” Via Ugo Foscolo — 80023 CAIVANO (NA) - Tel. 0818354621 Fax 0810665783 Cod.Mecc. NAIC8EB00N — Cod. fisc. 93053310632 - Cod. univ. uff. UFRSKC e-mail: naic8eb00n@istruzione.it; naic8eb00n @pec.istruzione.it; sito web: www.comprensivomilani.edu.it re - sono state fornite specifiche indicazioni a tutta la comunità scolastica pubblicate nella sezione DDI del sito web della scuola (Informative ad hoc, apposite circolari dirigenziali e/o vademecum per l’utilizzo della piattaforma di DDI, Regolamento della Didattica Digitale Integrata); - sono state seguite le istruzioni ministeriali e quelle dell'Ufficio Scolastico Regionale della Campania disposte per tale ambito; - si rappresenta che si è evitato l’uso dei dati degli studenti per finalità ulteriori alla didattica (ad esempio la chiusura del sistema di videoconferenza alle sole lezioni, la circoscrizione della possibilità di invitare o ammettere soggetti in aula virtuale solo ai docenti, la inibizione di geolocalizzazione, profilazione o interconnessione coi social network tramite gli account scolastici); 4. Sia il Garante sia il Ministero dell’Istruzione (Provvedimento del Garante del 26 marzo 2020 e Provvedimento MI del 3 settembre 2020) hanno precisato ... “poiché l'istituzione scolastica , in genere, non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell'utilizzo di un servizio on-line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). La valutazione di impatto va effettuata, infatti, nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l'istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione: e rientra nei casi previsti dall'art.35, par. 3 del Regolamento (trattamento automatizzato, profilazione, trattamento su larga scala di categorie particolari di dati personali, ecc.), tenendo conto sempre del contesto in cui il trattamento stesso si colloca; e comportala compresenza di almeno di due criteri individuati come indici sintomatici del “rischio elevato” dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze 0 combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, trattamento che in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio 0 di un contratto.” Pertanto, la scuola non è tenuta ad effettuare alcuna DPIA, dal momento che l’utilizzo di piattaforme digitali finalizzato esclusivamente all’erogazione di servizi scolastici, nello svolgimento delle funzioni istituzionali proprie dell’Istituto, è disciplinato dai contratti stipulati con 1 fornitori di cui al punto 1, anche secondo le indicazioni dettate dal Ministero dell’Istruzione e dal Garante per la protezione dei dati personali (comunicazione del 30.03.2020). Si richiama in particolare l’allegato 1 al provvedimento del garante Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784]; Giova sottolineare, inoltre, che la responsabilità sulla tutela dei dati personali, gestita dalle applicazioni, non grava solo sull’Istituto, in quanto fruitore del servizio (in virtù di contratti di cui al punto 1), pur rimanendone Titolare, ma anche sul fornitore dei servizi informatici, che assume il ruolo di Responsabile esterno del Trattamento e al quale compete l’implementazione delle misure di sicurezza dei dati personali gestiti per conto della Scuola. Non vi sono 1 presupposti che legittimano la redazione di DPIA in quanto non è attuato dalle istituzioni scolastiche né un monitoraggio sistematico né una profilazione né un trattamento su larga scala che rendano la DPIA obbligatoria, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. Si ritiene, inoltre, opportuno segnalare che la pubblicazione integrale di una DPIA e/o la condivisione di specifiche dettagliate sulle misure di sicurezza in essere potrebbe agevolare attività malevole di terzi che, tramite tali informazioni, verrebbero a conoscenza di potenziali vulnerabilità dell’Istituto. 5. Atteso che la richiesta riguarda l’anno scolastico 2022/2023, in cui la DAD non è adottata, non è stata effettuata alcuna TIA sul trasferimento dei dati per le ragioni di cui al punto 4. Inoltre si rappresenta l’esclusione della necessità 4 ISTITUTO COMPRENSIVO “S. M. MILANI” Via Ugo Foscolo — 80023 CAIVANO (NA) - Tel. 0818354621 Fax 0810665783 Cod.Mecc. NAIC8EB00N — Cod. fisc. 93053310632 - Cod. univ. uff. UFRSKC e-mail: naic8eb00n@istruzione.it; naic8eb00n @pec.istruzione.it; sito web: www.comprensivomilani.edu.it re di TIA in tutti i casi in cui non siano effettuati trasferimenti extra UE, come nel caso di noti fornitori per il registro elettronico come ad esempio Argo. Ci risulta comunque, a tal proposito, che è stato richiesto in data 22/09/2002 un parere in merito al Garante della privacy. 6. Non è stata effettuata alcuna valutazione comparativa, atteso che le piattaforme utilizzate durante il periodo della pandemia sono state fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni rese dal Ministero dell’Istruzione. Tornando alla specifica richiesta di accesso, mi preme sottolineare che secondo 1l Ministero della Funzione Pubblica, per valutare la ragionevolezza della richiesta di accesso civico generalizzato, occorre considerare: * l’eventuale attività di elaborazione (ad es. oscuramento di dati personali) che l’amministrazione dovrebbe svolgere per rendere disponibili i dati ed 1 documenti richiesti; * le risorse interne che occorrerebbe impiegare per soddisfare la richiesta, da quantificare in rapporto al numero di ore di lavoro per unità di personale; * la rilevanza dell’interesse conoscitivo che la richiesta mira a soddisfare. In Italia tale diritto è previsto dal Decreto legislativo n. 97 del 2016, che ha modificato il Decreto legislativo n. 33 del 2013 (c.d. decreto trasparenza), introducendo l’accesso civico generalizzato al fine di promuovere la partecipazione dei cittadini all’attività amministrativa e favorire il perseguimento delle funzioni istituzionali sull’utilizzo delle risorse pubbliche. AI fine di fornire indirizzi e chiarimenti alle amministrazioni pubbliche circa gli aspetti organizzativi, procedimentali e tecnologici connessi ad una efficiente gestione dell’accesso civico generalizzato, il Ministro per la pubblica amministrazione ha emanato la Circolare n. 2 del 2017 e la Circolare n. 1 del 2019. Ma tale interesse alla trasparenza, di tipo conoscitivo, che non esige una motivazione specifica, deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, come accade nel caso in esame, pena rappresentare un inutile intralcio all’esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi. Una tale richiesta, così sproporzionata e onerosa, è espressamente qualificata come inammissibile così come stabilito dall’ Adunanza plenaria n. 10/2020, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (si veda Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. L'accesso civico generalizzato di cui alla presente è stata inviata contemporaneamente a 8.254 istituzioni scolastiche, come si evince dal manifesto postato in rete dal richiedente al seguente indirizzo: http://monitora-pa.1t/2022/09/19/8254_domande_a_Scuola.html Nel caso di specie l’istanza di accesso, così come elaborata e diffusa, appare strumentale e surrettizia, non rispecchiante il quadro normativo in cui l'istituto dell’accesso si colloca. Pertanto, alla luce di quanto sopra evidenziato nella presente comunicazione, si ribadisce che la scrivente istituzione scolastica non darà seguito alla richiesta pervenuta in quanto non accoglibile. IL DIRIGENTE SCOLASTICO [omissis] (Il documento è firmato digitalmente ai sensi del D.Lgs. 82/2005 s.m.i. e norme collegate e sostituisce il documento cartaceo e la firma autografa)