D SCUOLA SECONDARIA DI I GRADO "GIOVANNI VERGA" Via Bosco di Capodimonte, 75/B - 80131 Napoli @@ Tel/Fax 081/7410128 Codice mecc. NAMMI0100P - C.F. 80069350637 e-mail: namm10100p@ìistruzione.it - pec: namm10100p@pec.istruzione.it Sito web: www.scuolamediaverganapoli.edu.it S1g Fabio Pietrosanti 6.5.1,G. "G, VERGA" - NAPOLI comunicazioni(@)pec.monitora-pa.it Prot. 0005633 del 08/11/2022 | (Uscita) e p.c. Direttore Generale USR Campania drca@postacert. istruzione. it e p.c. DPO [omissis] luca@pec.maletta.it OGGETTO: RISCONTRO COMUNICAZIONE ATTA AD INSTAURARE DIALOGO COOPERATIVO DEL 19 OTTOBRE 2022- RICHIESTA DI ACCESSO CIVICO GENERALIZZATO (FOIA). Con riferimento alla Sua richiesta di accesso del 19/10/2022, assunta da questo Ente al prot. n. 5250 del 19/10/2022 si evidenzia quanto segue: 1) copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, didattica digitale integrata e registro elettronico,adottate nell’anno scolastico 2022/2023 dal vostro Istituto; L'Istituto scolastico non è in possesso del documento richiesto poiché non è tenuto ad effettuare alcuna DPIA, fatta eccezione per quei casi limite in cui una Scuola abbia in concreto scelto di dotarsi di strumenti per i quali la DPIA fosse prevista come obbligatoria. Sul punto si evidenzia che con provvedimento del 26 marzo 2020 il Garante Privacy ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle DPIA, ha così affermato: “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.” Il sistema di videoconferenza o di piattaforma tecnologica DAD/DDI prescelto dal nostro Istituto rientra in tale caso. Il garante per la protezione dei dati personali ha fornito l'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto (Allegato 1 provvedimento 467 dell'11 ottobre 2018). Sono 12 tipologie di trattamenti sottoposti a DPIA: 1. trattamenti valutativi o di scoring su larga scala, compresi quelli che comportano la profilazione degli interessati; 2. trattamenti automatizzati volti ad assumere decisioni che producono significativi effetti giuridici o Via Bosco di Capodimonte, 75/B - 80131 Napoli @@ Tel/Fax 081/7410128 Codice mecc. NAMMI0100P - C.F. 80069350637 e-mail: namm10100p@ìistruzione.it - pec: namm10100p@pec.istruzione.it Sito web: www.scuolamediaverganapoli.edu.it 7. trattamenti per utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.) 8. trattamenti che comportano lo scambio, tra diversi titolari, di dati su larga scala con modalità telematiche; 9. trattamenti effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi quelli che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment); 10. trattamenti di categorie particolari di dati ai sensi dell’art. 9 o relativi a condanne penali e a reati di cui all’art. 10, interconnessi con altri dati personali raccolti per finalità diverse; 11. trattamenti sistematici di dati biometrici, trattati per identificare univocamente una persona fisica; 12. trattamenti sistematici di dati genetici. La DPIA è obbligatoria in presenza di almeno due dei criteri appena citati. L'Autorità ha in tal modo fornito interpretazioni e precisazioni utili a comprendere il corretto approccio alla didattica a distanza in vista della sua massiva adozione nel periodo emergenziale , evitando così Il frammentarsi delle prassi e il dilagare della confusione in un momento già di per sé particolarmente complicato. Per questo lasua richiesta è da ritenere inammissibile. 2) copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi ovvero (che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023dal vostro Istituto; L'Istituto non è in possesso del documento richiesto al punto 2) per il quale valgono analoghe argomentazioni già esposte per il punto 1), in quanto sono state svolte solo attività previste da norme o obblighi specifici e con l’ausilio di strumenti e piattaforme accreditate dal MI e/o dall’ Agid e nessun trasferimento dati è stato effettuato verso Paesi extracomunitari. Vale appena la pena di ricordare che le scuole italiane possono utilizzare solo fornitori accreditati AGID, secondo rigide procedure di accreditamento. Non solo. Il Ministero dell’Istruzione ha selezionato, per tutte le scuole, le tre piattaforme utilizzabili per la DDI, suggerendole anche sul proprio sito. La scuola pertanto non ha effettuato alcuna valutazione di impatto essendo 1l rischio calcolato a monte dalle citate istituzioni centrali. Se ci fossero stati dei problemi, AGID e Ministero sarebbero intervenuti revocando le certificazioni. Inoltre, si rappresenta l’esclusione della necessità di TIA in tutti i casi non siano effettuati trasferimenti extra UE, come nel caso dei fornitori per il registro elettronico. E’ stato richiesto, a tal proposito, in data 22/9/2022 un parere in merito al Garante della Privacy ma ad oggi non vi è alcuna prova che i fornitori di servizi di un Istituto scolastico abbiano i loro archivi in paesi extra UE. Per questo la sua richiesta è da ritenere inammissibile. - copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs.7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, didattica digitale integrata e registro elettronico,adottate nell’anno scolastico 2022/2023 dal vostro Istituto. La richiesta appare meramente esplorativa; come è noto gli acquisti delle scuole vanno fatti applicando tutte le norme in vigore; quindi, non solo il CAD citato dal richiedente ma anche il Codice dei contratti e il regolamento di contabilità delle scuole che non indicano alcun chiaro obbligo di conservare agli atti della scuolavalutazioni comparative per acquisti sottosoglia. Non è stata effettuata alcuna valutazione comparativa per l’acquisizione delle piattaforme di posta elettronica e didattica digitale integrata poiché le piattaforme utilizzate durante il periodo della pandemia sono state fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni rese dal Ministero dell’Istruzione. Si specifica infine che nella Gsuite, su indicazione del nostro DPO col quale la invito a confrontarsi per avere ulteriori dettagli tecnici, non sono stati memorizzati dati personali dei ragazzi, utilizzando la tecnica della SCUOLA SECONDARIA DI I GRADO Via Bosco di Capodimonte, 75/B - 80131 Napoli @@ Tel/Fax 081/7410128 Codice mecc. NAMMI0100P - C.F. 80069350637 e-mail: namm10100p@ìistruzione.it - pec: namm10100p@pec.istruzione.it Sito web: www.scuolamediaverganapoli.edu.it pseudonimizzazione. Ogni funzionalità di profilazione e geolocalizzazione è stata disabilitata dalla console di amministrazione. Per quanto riguarda il servizio di posta elettronica, esso è offerto dal MI, sia la peo che la pec; il servizio offerto da google suite non è utilizzato. Per quanto riguarda il registro elettronico, esso è offerto dalla società Argo Software s.r.1. di Ragusa, indirizzo Viale 24 Zona Industriale III fase , 97100 Ragusa , telefono 0932666412- sito web argosoft.it - pec ammin(@argopec.ecert.it , che è stato nominata responsabile esterna del trattamento. Sulla nostra amministrazione trasparente trova il link alle loro policy sulla sicurezza. Alla suddetta società viene assegnato il servizio a mezzo affidamento diretto, senza alcun confronto, ai sensi dell'art. 36 comma 2a del D.Lgs 50/2016. Ogni altra informazione di cui lei possa necessitare sui contratti con fornitori esterni, procedure di affidamento, policy interne, recapiti DPO, è presente sul sito della scuola in amministrazione trasparente. IL DIRIGENTE SCOLASTICO [omissis] Firmato [omissis] C=IT