| 2014-2020 Distretto Scolastico n° 34 ISTITUTO COMPRENSIVO “Don Milani — Dorso” ad indirizzo musicale 80046 San Giorgio a Cremano (Na)- Cupa San Michele, 32 -tel/fax 081/5743410 CODICE MECCANOGRAFICO NAIC8FFO00G - C.F. 95186780631 e-mail naic8ff00g@istruzione.it — PEC NAIC8FF00G@PEC.ISTRUZIONE.IT sito web: www.icdonmilanidorso.edu.it I.C, 3 -DORSO-S.Giorgio a Crem.-NA- San Giorgio a Cremano,21/12/2022 Prot. 0008946 del 21/12/2022 III-1 (Uscita) AI Sig. Fabio Pietrosanti, con domicilio digitale all’indirizzo Pec: comunicazioni @ pec.monitora-pa.it p.c. Al Direttore Generale Ufficio Scolastico Regione Campania pec: drca@postacert.istruzione.it Oggetto: Risposta alla richiesta di accesso civico generalizzato presentata dal sig. Fabio Pietrosanti in data 15.11.2022 a seguito richiesta di riesame da parte del responsabile della prevenzione della corruzione e della trasparenza. A seguito della Sua istanza del 19/09/2022 trasmessa via PEC, nella quale richiedeva l’accesso ai vari documenti ai sensi dell’art. 5 del D. Lgs. n. 33 del 2013 ovvero: “I. copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; S. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Vista la nota prot. n. 45623 del 02/12/2022 a firma del direttore generale dell’USR Campania [omissis] n.q. di Responsabile per la Prevenzione della Corruzione e della Trasparenza nelle istituzioni scolastiche della Campania, con la quale viene accolta l'istanza di riesame relativa alle richieste di accesso civico generalizzato da Lei inoltrate in data 19 settembre 2022, nei confronti delle istituzioni scolastiche che non avrebbero fornito alcun riscontro alla richiesta (Allegato A); Visto il riscontro richiesto dal Ministero dell’Istruzione, Dipartimento per le Risorse umane, Finanziarie e Strumentali con Nota n. 1868 del 04/10/2022 all’ Avvocatura Generale dello Stato in ordine alla legittimità dell’accesso civico generalizzato cd. “massivo” da Lei promosso per conto dell’associazione Monitor PA; Tenuto conto del parere formulato dall’ Avvocatura Generale dello Stato con Nota 636585 del 12/10/2022, nell’ambito dell’affare legale CS 39482/22- Sez. VII; con riferimento alla citata richiesta di riesame si espone quanto segue In merito alla richiesta dei documenti di cui al sopracitato punto 1 (“copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”), si segnala, preliminarmente, che la stessa coinvolge diversi servizi quali, ad esempio posta elettronica e PEC, erogati da altri enti pubblici e amministrazioni di cui la scuola è sottoposta (come l’amministrazione centrale del Ministero dell’Istruzione e ora del Merito). SI presuppone, pertanto, il carattere meramente esplorativo di almeno una parte della richiesta di cui al punto 1, che renderebbe la stessa inaccettabile per quanto indicato dalla Determinazione n. 1309 del 28/12/2016, pag 9, con rif. al parere del Consiglio di Stato 18.2.2016, par. 11.3. Adogni buon conto, in relazione alla richiesta di cui al sopracitato punto 1 la Argo Software srl (con la quale la scrivente intrattiene rapporti per la erogazione dei “servizi” di cui al sopracitato ‘registro elettronico”) ha fornito ai [omissis] seguente risposta che opportunamente si riporta: ...Il Registro Elettronico è adottato dagli Istituti Scolastici in ossequio a vigenti disposizioni di legge quali: * Codice dell’ Amministrazione Digitale (CAD) D. Lgs. 82 del 7 marzo 2005 ed in particolare art. 40 che impone alle pubbliche amministrazioni di formare gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici; * Piano Triennale dell’ AgID; * D. L. n. 95/2012 contenente “Disposizioni urgenti per la razionalizzazione della spesa pubblica”, convertito dalla legge n. 135/2012; * Nota del MIUR del 3 ottobre 2012, [omissis] . Uff. 1682/U; * Legge 13 luglio 2015, n. 107. L'adozione dello stesso è peraltro incentivata, in applicazione della normativa sopra citata, dal cosiddetto PNNR, come formalizzato dallo stesso Ministero “L'investimento 1.2 della Componente 1 della Missione 1 del Piano Nazionale di Ripresae Resilienza si pone come obiettivo la migrazione dei dataset e delle applicazioni utilizzate dalle Istituzioni scolastiche verso un'infrastruttura cloud sicura e che rispecchi i requisiti definiti da AgID all’interno della Determinazione n. 628/2021. L'investimento, pertanto, propone la dismissione di tutti gli applicativi gestiti tramite software on premise o tramite soluzioni custom, a favore del passaggio ad applicativi ospitati su ambienti cloud certificati”. Il Registro Elettronico non è stato adottato dagli Istituti Scolastici in seguito alla pandemia da COVID-19 ed in nessun caso si può collegare la sua adozione allo stato di emergenza cessato lo scorso marzo. Non è quindi in discussione la legittimità della soluzione, in quanto prevista dalla normativa Non è in discussione neppure il trattamento dei dati personali effettuato dagli Istituti Scolastici tramite il Registro Elettronico, che trova il suo fondamento di liceità nello svolgimento di attività di interesse pubblico rilevante per l’istruzione e la formazione in ambito scolastico , anche in adempimento di svariati obblighi di legge e come definito dagli artt. 2-ter e 2-sexies comma 2 lettera bb) del D. Lgs 196/03 (testo vigente) ed evidentemente non nel consenso degli interessati. Non è in discussione neppure il contratto stipulato dagli Istituti Scolastici con la scrivente azienda, formalizzato sempre per ogni Istituto da apposito ordine e corredato di condizioni generali di contratto. Per la fornitura del servizio, la Argo software è regolarmente contrattualizzata quale responsabile del trattamento ai sensi dell’art. 28 del RGPD 2016/679, senza la quale nomina non è possibile procedere alla erogazione dei servizi. Pur non essendo la risposta pertinente alla nostra fattispecie, perché la soluzione software non eroga servizi più complessi fuori dalla unica finalità scolastico -didattica, ci teniamo a precisare che il registro elettronico, Argo DidUp, è un’applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dalla Argo Software, azienda dotata di sistema di gestione per la sicurezza delle informazioni certificato secondo la norma UNI qualificato SaaS per le P.A. per tutti gli applicativi in commercio. La famiglia di applicativi ScuolaNext/DidUp (area Didattica), cui il Registro Elettronico pertiene, risiede, come tutti gli altri applicativi Argo, nei server appositamente acquistati dal Cloud Service Provider Amazon Web Services EMEA s.a.r.l. (AWS), region Italia e Irlanda, ed in essi sono registrati e conservati 1 dati inseriti negli applicativi. La famiglia di applicativi comunica, al suo interno e verso l’esterno, attraverso appositi canali cifrati con protocollo SSL. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://www.argosofît.it/privacy.php. Il registro elettronico, Argo Didup, è un sottoinsieme di funzionalità del sistema ScuolaNext. Attraverso ScuolaNext, possono essere gestiti: e registri elettronici di classe e del docente, e rilevazione delle assenze, e orario scolastico , e prenotazione colloqui, e condivisione delle lezioni, e pubblicazione di documenti in bacheca e comunicazioni scuola-famiglia e scuola-personale scolastico , incluse la presa visione dei voti, degli scrutini, delle richieste di certificati e documenti e di ogni ulteriore informazione a supporto della gestione degli alunni. Attraverso il registro elettronico ed il sistema ScuolaNext non è possibile effettuare alcuna operazione di sorveglianza (nemmeno occulta) sugli utenti del sistema, siano essi gli alunni, i loro famigliari, i docenti o il personale scolastico che ne fruisce, al di là della raccolta dei log degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella sopra citata policy... Si conclude affermando che fino a quando il registro elettronico è prodotto da un fornitore qualificato AgID e utilizzato in maniera mirata (finalità didattica), come peraltro previsto dalla vigente normativa, l’unico documento che si può esibire è il contratto con il fornitore (punto 1 della FOIA). La richiesta di esibizione delle misure di sicurezza o delle DPIA non è applicabile in quanto il livello di sicurezza offerto dal provider dovrebbe garantire la minimizzazione dei rischi, la dimostrazione della valutazione della sicurezza del trasferimento dei dati extra UE (TIA) è applicabile solo qualora un fornitore abbia adottato un trasferimento extra SEE. Per quanto esposto si allegano alla presente i soli contratti stipulati con la Argo Software srl per i servizi utilizzati da questa istituzione scolastica nel periodo di riferimento indicato nella richiesta: registro elettronico. In merito alla richiesta dei documenti di cui ai sopracitati punti 2, 4 , 5, si tratta di atti relativi ad operazioni non obbligatorie per la singola istituzione scolastica , come indicato dall’art. 35 del Regolamento Europeo 679/16 (GDPR) e ribadito dal Provvedimento del Garante per la Protezione dei Dati Personali del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" nel quale si legge che: “non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Per tali motivi la richiesta non può essere accolta. In merito alla richiesta dei documenti di cui al sopracitato punto 3 la stessa deve ritenersi generica ed esplorativa e dunque inaccoglibile. Le piattaforme complesse utilizzate sono state “scelte” in emergenza, senza comparazione perché gratuite nella maggior parte dei casi, e comunque validate dalle indicazioni ministeriali sulla didattica a distanza. Questa istituzione ha utilizzato esclusivamente le piattaforme consigliate dal Ministero e accreditate presso AGID, nonché le metodologie e le indicazioni suggerite dallo stesso Ministero e dal Garante per la [omissis] ivando solo i servizi essenziali per la didattica 1 quali, non consentendo il monitoraggio sistematico degli utenti né tantomeno ricorrendo a soluzioni tecnologiche particolarmente invasive (1.e. utilizzo dei dati di geolocalizzazione o biometrici), non presentano caratteristiche suscettibili di aggravare 1 rischi per 1 diritti e le libertà degli interessati. Per tali motivi la richiesta non può essere accolta. Con riferimento al documento di cui al punto 6, non è stata effettuata alcuna valutazione comparativa, in quanto le piattaforme utilizzate durante il periodo della pandemia sono state fornite sraluitamente dai vendor e opzionate sulla base delle indicazioni rese dal Ministero dell'Istruzione. In ogni caso, considerato che la Scrivente non detiene altre informazioni sul punto specifico, si rimette agli approfondimenti in fatto che tale aspetto impone al fine di fornire indicazioni specifiche sul punto. Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. Il Dirigente Scolastico [omissis] Documento firmato digitalmente ai sensi del c.d. Codice dell’ Amministrazione digitale e norme ad esso connesse. Tale versione è alla presente allegata e ne forma parte integrante