Unione Eurpcea inistero dell'istruzione, dell'Università è della Ficanca P.0.N, + Competenze par lo Sviluppo” (FSE) Diga tinte nto per la Pargrammazione PON - Ambiente per l'aparendimento (FESR) DG, per gli Affari Intermazionali- Lifficio IV DG. Ciequpazione, Affari Socialie pari Opportunità Frogrameiziane è geslione dei forli sbrutturali purapel D.G. Politiche Rasgional è nazionali per lb sviluppo e la cossione sociale LICEO STATALE CLASSICO - LINGUISTICO - SCIENZE UMANE Digital &Mindfulness school Via Flavio Gioia n° 16 - 80062 Meta (NA) TELEFONO: 0818786662 E-mail: napc130004@istruzione.it — napc130004@PEC .istruzione.it — Sito: www.liceovirgiliometa.it Codice Ministeriale NAPC130004 — CODICE FISCALE: 82007990631 — Codice Univoco UFHZJE LICEO CLASSICO LINGUISTICO SCIENZE UMANE AI Sig. Fabio Pietrosanti Prot. 0008054 del 18/10/2022 con domicilio digitale all'indirizzo | (Uscita) Pec: comunicazioni@pec.monitora-pa.it e.p.c. AI Direttore Generale Ufficio Scolastico Regione Campania Pec: drca@postacert.istruzione.it Oggetto: Risposta Accesso civico generalizzato A seguito della Sua istanza del 19/09/2022 trasmessa via PEC, nella quale richiedeva l’accesso al vari documenti ai sensi dell’art. 5 del D. Lgs. n. 33 del 2013 siamo con la presente a dare riscontro, alla luce dei pareri istituzionali pervenuti. La richiesta formulata non presenta indicazione di motivazione di un interesse conoscitivo, ma ha la sola finalità di costituire una banca dati per l’utilizzo successivo ed eventuale, da parte di non meglio definiti studiosi ed esperti della privacy e del software libero. La sua richiesta pertanto pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative rientrando in quanto previsto dal Consiglio di Stato. Si è considerato il Consiglio di Stato, sez. III, 25.01.2021 n. 495: “se da un lato l’interesse alla trasparenza non richiede una motivazione specifica, dall’altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi.” SI è considerato, inoltre, il Consiglio di Stato | Sezione AP | Sentenza | 2 aprile 2020 | n. 10 ... 36.6. Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o spro- porzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Unione Eurpcea inistero dell'istruzione, dell'Università è della Ficanca P.0.N, + Competenze par lo Sviluppo” (FSE) Diga tinte nto per la Pargrammazione PON - Ambiente per l'aparendimento (FESR) DG, per gli Affari Intermazionali- Lifficio IV DG. Ciequpazione, Affari Socialie pari Opportunità Frogrameiziane è geslione dei forli sbrutturali purapel D.G. Politiche Rasgional è nazionali per lb sviluppo e la cossione sociale La sua richiesta è arrivata dopo altre comunicazioni, in un breve arco temporale, dall’associazione Monitora PA di cui si dichiara attivista. La prima riguardava i codici di tracciamento visite sul sito web [omissis] seconda relativo alla presenza nel sito di Google Fonts. Inoltre, l'associazione “Monitora PA” mediante una istanza comune a tutte le istituzioni scolastiche, dichiara e propaganda di aver avviato “il primo FOIA massivo della storia italiana, come primo passo di una strategia che si svilupperà completamente nei prossimi 3/4 mesi”, aggiungendo di voler: “libe- rare 8 milioni di studenti dal controllo dei GAFAM a Scuola”. Trattasi dunque di più richieste riconducibili ad uno stesso centro di interessi in un breve arco tempo- rale, a cui ne seguiranno altre a breve termine secondo le dichiarazioni, finalizzate non dall’effettiva esigenza di conoscenza di documenti amministrativi (tutelata dal FOIA) ma caratterizzate da mere finalità esplorative al fine di attuare una strategia di contrasto alle multinazionali informatiche: le GAFAM con intenti vessatori, emulativi e pretestuosi tali per cui, secondo la sentenza del Consiglio di Stato citata, è possibile e doveroso evitare e respingere. In merito ai punti 2 e 4, come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria con riferimento al provvedimento del Garante del 26 marzo 2020 “Ia valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne 1 rischi per i diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d'impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. Le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. In merito al punto 6, la valutazione comparativa è richiesta per l’anno corrente. Non si è giunti ancora al rinnovo dei contratti relativi a piattaforme già in uso, e nemmeno si sono acquistate nuove piattaforme. Negli anni precedenti non è stata effettuata alcuna valutazione comparativa, atteso che le piattaforme utilizzate durante il periodo della pandemia sono state fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni rese dal Ministero dell’Istruzione. Le richieste dei punti 3 e 5, e cioè le misure tecniche adottate per l’utilizzo di piattaforme che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica e la TIA, richiedono una estrapolazione e una decontestualizzazione dalla analisi dei rischi effettuata per la definizione di una struttura adeguata al rischio ai sensi dell’art. 32 del GDPR 679/2016. Inoltre, la possibile divulgazione della documentazione relativa a tutte le contromisure adottate esporrebbe l’amministrazione ad un Unione Eurpcea t; inistero dell'istruzione, dell'Università è della Ficanca P.O.R, è "Campatenza par lo: Avliuppo” [FSE] Dar. Diga tinte nto per la Pargrammazione PON - Ambiente per l'aparendimento (FESR) DG, per gli Affari Intermazionali- Lifficio IV DG. Ciequpazione, Affari Socialie pari Opportunità ; Frogrameiziane è geslione dei forli sbrutturali purapel D.G. Politiche Rasgional 1 è nazionali per lb sviluppo e la cossione sociale immotivato, ingiustificato rischio di sicurezza. La conoscenza delle contromisure, infatti, inficia l’efficacia delle stesse riportando quel rischio che cercano di mitigare a livelli inaccettabili e non conformi all’art. 32 del GDPR 679/2016 che recita: ‘“// titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile, e l’estrapolazione di quella richiesta comporta oneri per l’amministrazione e scarsi benefici per il richiedente per 1 motivi esposti. Inoltre è già riconosciuta una più ampia tutela al cittadino dalla stessa normativa sulla privacy che impone la redazione della documentazione richiesta. Ci riferiamo al “reclamo diretto al Garante” che ciascun cittadino, direttamente, autonomamente, liberamente, facilmente, e senza costi può richiedere direttamente all’ Autorità, la sola che può formulare giudizi di legittimità e di merito in materia, applicare sanzioni e obbligare al rispetto delle norme. Rammentiamo, infine, che in base al principio di “accountability” il Titolare del trattamento dati ha la responsabilità di progettare e implementare una struttura adeguata al rischio e ha l’onere di dimostrare di averlo fatto. In base al principio di privacy by design e by default tali oneri a carico del Titolare del trattamento, sono continui e costanti. Quanto progettato e implementato va rivisto in considerazione di riscontri empirici risultanti da audit di controllo a cui devono necessariamente seguire adempimenti operativi con l'applicazione di adeguate contromisure a contrasto del rischio. Mutevoli aspetti, anche legati al contesto internazionale, indicazioni del MI, indicazioni dell’ AgID, provvedimenti esplicativi del Garante, devono essere considerati nell’analisi. Al titolare del trattamento, dunque, spetta la responsabilità, comportamenti proattivi, monitoraggi, comportamenti adattivi e l’onere della prova. L’organo di controllo previsto dalle norme a tutela del cittadino può essere soltanto 1’ Autorità Garante della Privacy che ne ha l’onere, la legittimità e le competenze. Non potendosi, nonostante le dichiarate intenzioni, sostituire all’ Autorità di controllo, la richiesta di documentazione tecnica, valutabile solo nel merito, appare una immotivata richiesta di controllo generalizzato, non supportato da vero interesse conoscitivo, all’esistenza o meno della documentazione prodotta, fra l’altro di tutti gli Istituti d’Italia. Alla luce di questo, appare anche plausibile, ricondurre all’accesso civico sottoposto alla 241/90 in luogo dell’accesso civico generalizzato regolamentato dall’art. 5 comma 2 del D.Igs 33/2013, la richiesta pervenuta. In tal caso si prefigura il motivo di inammissibilità della richiesta per “controllo generalizzato” art. 24 comma 3 L. 241/90. La documentazione relativa alle misure tecniche adottate andrebbe poi ‘epurata” dai dati personali dei preposti coinvolti tutelati dall’art 5-bis comma 2 D. Lgs 33/2013. Inoltre molta della documentazione richiesta è da considerarsi atto interno e non documento amministrativo soggetto alla conoscibilità mediante l’acceso civico generalizzato. Mi Unione Eurpcea Ò 1 inistero dell'istruzione, dell'Università è della Ficanca P.O.h, + campetenze parlo Sviluppo” [FSE] fui Diga tinte nto per la Pargrammazione PON - Ambiente per l'aparendimento (FESR) i I DG, per gli Affari Intermazionali- Lifficio IV DG. Ciequpazione, Affari Socialie pari Opportunità ; Frogrameiziane è geslione dei forli sbrutturali purapel D.G. Politiche Rasgional Li = ih è nazionali per lb sviluppo e la cossione sociale È estoni ° mi te Tutto ciò rappresenta un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione e la richiesta di tutta questa mole di informazioni eccessivamente onerosa, comportando l’inammissibilità della richiesta di accesso civico generalizzato per le motivazioni già esposte delle sentenze del Consiglio di Stato già citate. In un'ottica collaborativa si rappresenta che l’Istituto utilizza il registro elettronico della ARGO Software srl. Il registro elettronico, Argo DidUp, è un'applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dalla Argo Software, azienda dotata di sistema di gestione per la sicurezza delle informazioni certificato secondo la norma UNI CEI EN ISO/IEC 27001:2017 e con applicazione dei controlli previsti dalle linee guida ISO/IEC 27017:2014 e ISO/IEC 27018:2019 [certificato n. 556/19 RINA Service S.p.A.], che è fornitore qualificato SaaS per le P.A. per tutti gli applicativi in commercio. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per 1 registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://www.argosoft.it/privacy.php,.. L'accesso al registro elettronico avviene con l’utilizzo di credenziali personali rilasciate agli utenti identificati in maniera univoca, in quanto docenti o genitori degli alunni o alunni trattandosi di scuola secondaria di secondo grado). Le determine di spesa sono atti pubblicati in Amministrazione trasparente del sito web ai link https://trasparenza-pa.net/?codcli=SS16216&node=26166 L'Istituto scolastico nel periodo di emergenza pandemica, al fine di garantire lo svolgimento delle funzioni istituzionali nell’interesse pubblico, ha utilizzato la Google Workspace, piattaforma certificata AGID e suggerite dal Ministero dell’Istruzione sul proprio sito, per le quali il rischio per l’utilizzo doveva essere calcolato a monte, pena la revoca delle Certificazioni. L'Istituto ha provveduto alla verifica dell’utilizzo della Piattaforma, per le sole finalità didattiche, limitandone l’uso per mezzo di opportune configurazioni e procedure. L'accesso alla piattaforma di DDI è avvenuto con l’utilizzo di credenziali personali rilasciate agli utenti identificati in maniera univoca in quanto personale della scuola o alunni iscritti all’istituzione scolastica dopo essere stati esplicitamente ragguagliati tramite apposita informativa ex art. 13 del Reg. 679/2016. Numerose sono state le circolari trasmesse tramite registro elettronico. Per le motivazioni esposte si ritiene pertanto la sua richiesta di accesso civico inammissibile. Con la presente, pertanto, si rifiuta la richiesta in oggetto e contestualmente si comunica di aver adeguatamente informato il DPO e 1l RPCT del MI in ordine a detta circostanza. Avverso la presente decisione è possibile proporre reclamo a un'autorità di controllo o ricorso giurisdizionale. Il Dirigente Scolastico [omissis] . ai sensi del d.lgs. 82/2005 s.m.i. e norme collegate, il quale sostituisce il documento cartaceo e la firma autografa