"D'OVIDIO - NICOLARDI" 80128 NAPOLI- Via S.Giacomo dei Capri n.43/b1s — Tel. Fax 081/5608026 mail namm60$800t@istruzione.it - Cod.mecc. NAMMG60800T c.f. 94156820634 Sig Fabio Pietrosanti comunicazioni @ pec.monitora-pa.it e p.c. Direttore Generale USR Campania drca@postacert.istruzione.it e p.c. DPO [omissis] luca@pec.maletta.it OGGETTO: RISCONTRO COMUNICAZIONE ATTA AD INSTAURARE DIALOGO COOPERATIVO DEL 18° OTTOBRE 2022- RICHIESTA DI ACCESSO CIVICO GENERALIZZATO (FOIA). Con riferimento alla Sua richiesta di accesso del 18/10/2022, assunta da questo Ente al protocollo con n. 10462 del 19/10/2022, si evidenzia quanto segue: 1) copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023 dal vostro Istituto; L'Istituto scolastico non è in possesso del documento richiesto poiché non è tenuto ad effettuare alcuna DPIA, fatta eccezione per quei casi limite in cui una Scuola abbia in concreto scelto di dotarsi di strumenti per 1 quali la DPIA fosse prevista come obbligatoria. Sul punto si evidenzia che con provvedimento del 26 marzo 2020 il Garante Privacy ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle DPIA, ha così affermato: “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.” Il sistema di videoconferenza o di piattaforma tecnologica DAD/DDI prescelto dal nostro Istituto rientra in tale caso. Il garante per la protezione dei dati personali ha fornito l'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d'impatto (Allegato 1 provvedimento 467 dell'11 ottobre 2018). Sono 12 tipologie di trattamenti sottoposti a DPIA: 1. trattamenti valutativi o di scoring su larga scala, compresi quelli che comportano la profilazione degli interessati; 2. trattamenti automatizzati volti ad assumere decisioni che producono significativi effetti giuridici o che incidono “in modo analogo significativamente” sull’interessato (es: screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi); 3. trattamenti che prevedono un utilizzo sistematico dei dati per osservazione, monitoraggio o controllo dei soggetti interessati; 4. trattamento su larga scala di dati estremamente personali, connessi alla vita familiare o privata, dati che incidono sull'esercizio di un diritto fondamentale o la cui violazione comporta un grave impatto sulla vita quotidiana dell'interessato; 5. trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici, che permettono di effettuare un controllo a distanza dell’attività dei dipendenti (es. videosorveglianza e geolocalizzazione); 6. trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo); 7. trattamenti per utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.); 8. trattamenti che comportano lo scambio, tra diversi titolari, di dati su larga scala con modalità telematiche; 9. trattamenti effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi quelli che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment); 10. trattamenti di categorie particolari di dati ai sensi dell’art. 9 o relativi a condanne penali e a reati di cui all’art. 10, interconnessi con altri dati personali raccolti per finalità diverse; 11. trattamenti sistematici di dati biometrici, trattati per identificare univocamente una persona fisica; 12. trattamenti sistematici di dati genetici. La DPIA è obbligatoria in presenza di almeno due dei criteri appena citati. L’ Autorità ha in tal modo fornito interpretazioni e precisazioni utili a comprendere il corretto approccio alla didattica a distanza in vista della sua massiva adozione nel periodo emergenziale , evitando così il frammentarsi delle prassi e il dilagare della confusione in un momento già di per sé particolarmente complicato. SI precisa, tra l’altro, che nell’anno scolastico 22/23 tutte le attività si svolgono in presenza. Per questo la sua richiesta è da ritenere inammissibile. 2) copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi ovvero (che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023dal vostro Istituto; L’Istituto non è in possesso del documento richiesto al punto 2) per il quale valgono analoghe argomentazioni già esposte per il punto 1), in quanto sono state svolte solo attività previste da norme o obblighi specifici e con l'ausilio di strumenti e piattaforme accreditate dal MI e/o dall’ A gid e nessun trasferimento dati è stato effettuato verso Paesi extracomunitari. Vale appena la pena di ricordare che le scuole italiane possono utilizzare solo fornitori accreditati AGID, secondo rigide procedure di accreditamento. Inoltre il Ministero dell’Istruzione ha selezionato, per tutte le scuole, le tre piattaforme utilizzabili per la DDI, suggerendole anche sul proprio sito. La scuola pertanto non ha effettuato alcuna valutazione di impatto essendo il rischio calcolato a monte dalle citate istituzioni centrali. Se ci fossero stati dei problemi, AGID e Ministero sarebbero intervenuti revocando le certificazioni. Inoltre, si rappresenta l’esclusione della necessità di TIA in tutti 1 casi in cui non siano effettuati trasferimenti extra UE, come nel caso dei fornitori per il registro elettronico. E° stato richiesto, a tal proposito, in data 22/9/2022 un parere in merito al Garante della Privacy ma ad oggi non vi è alcuna prova che 1 fornitori di servizi di un Istituto scolastico abbiano 1 loro archivi in paesi extra UE. Per questo la sua richiesta è da ritenere inammissibile. - copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs.7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023 dal vostro Istituto. La richiesta appare meramente esplorativa; come è noto gli acquisti delle scuole vanno fatti applicando tutte le norme in vigore; quindi, non solo il CAD, citato dal richiedente ma anche il Codice dei contratti e 11 regolamento di contabilità delle scuole che non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sottosoglia. Non è stata effettuata alcuna valutazione comparativa per l’acquisizione delle piattaforme di posta elettronica e didattica digitale integrata poiché le piattaforme utilizzate sono state fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni rese dal Ministero dell’ Istruzione. Si specifica infine che nella Gsuite, su indicazione del nostro DPO col quale la invito a confrontarsi per avere ulteriori dettagli tecnici, non sono stati memorizzati dati personali dei ragazzi, utilizzando la tecnica della pseudonimizzazione. Ogni funzionalità di profilazione e geolocalizzazione è stata disabilitata dalla console di amministrazione. Per quanto riguarda il servizio di posta elettronica, esso è offerto dal MI, sia la peo che la pec Per quanto riguarda il registro elettronico, esso è offerto dalla società Argo Software s.r.l. di Ragusa, indirizzo Viale 24 Zona Industriale III fase , 97100 Ragusa , telefono 0932666412- sito web argosoft.it — pec: ammin.argo@pec.ecert.it , che è stata nominata responsabile esterna del trattamento. Sulla nostra amministrazione trasparente trova il link alle loro policy sulla sicurezza. Alla suddetta società viene assegnato il servizio a mezzo affidamento diretto, senza alcun confronto, ai sensi dell'art. 36 comma 2a del D.Lgs 50/2016. Ogni altra informazione di cui lei possa necessitare sui contratti con fornitori esterni, procedure di affidamento, policy interne, recapiti DPO, è presente sul sito della scuola in amministrazione trasparente. Il Dirigente scolastico [omissis]