LICEO CLASSICO STATALE “G.B. MORGAGNI” ad indirizzo Classico — Linguistico - Scienze Umane - Sc. Um. opz. Economico Sociale tel. 0543 404140 - V.le Roma, 1/3 — 47122 - FORLÌ https://www.morgagni.cloud - email: fopc04000v@istruzione.it pec: fopc04000v@pec.istruzione.it - Cod. Mec. fopc04000V Prot. n. 19948/2022 Trasmesso via PEC AI sig. Pietrosanti Fabio Sua sede comunicazioni@pec.monitora-pa.it p.c. AID.P.O. d’Istituto Oggetto: risposta a richiesta di accesso civico generalizzato. Con la presente, in risposta a richiesta di accesso civico generalizzato, a firma Pietrosanti Fabio, pervenuta all'Istituto con PEC il 19/09/2022 e protocollata in entrata il 22/09/2022 con il n. 18073, si specifica quanto segue. Relativamente al punto 1, con il quale si richiede “copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023” si comunica l’invio del collegamento ipertestuale all'informazione di cui trattasi. Il contratto (Online) Google Workspace for Education è raggiungibile al link https://workspace.google.com/intl/it/terms/education _terms.html oppure al link https://www.morgagni.cloud/pubblicita legale archivio.asp in pubblicità legale (albo online) dell’Istituto, così come specificato in Amministrazione trasparente. Relativamente al punto 2, con il quale si richiede “copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022” preliminarmente si osserva che, secondo la normativa vigente, non vi sono i presupposti per il sorgere dell’obbligo, per un’Istituzione Scolastica , di redazione della DPIA, poiché le scuole non attuano un monitoraggio sistematico, né una profilazione, né un trattamento su larga scala dei dati e il trattamento dei dati personali avviene per le sole finalità istituzionali. Si osserva, in proposito, che la procedura descritta all'art. 35 del Regolamento 679/2016/UE (GDPR) si propone l’obiettivo di consentire al Titolare del Trattamento l’individuazione, all’esito della valutazione di impatto, delle misure utili ad affrontare le criticità sottese al trattamento dei dati, in relazione, nello specifico, ai profili della proporzionalità e della necessità del trattamento stesso. La valutazione, quindi, comprova l’adeguatezza e l'idoneità del trattamento dei dati, ma non ne è la sola prova efficace. Inoltre si sottolinea che la valutazione d'impatto sulla protezione dei dati è obbligatoria solo in determinati casi e precisamente qualora il trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (GDPR 26/03/2020, art. 35, par. 1, illustrato dall'art. 35, par. 3, e integrato dall'art. 35, par. 4). Il Garante della Privacy, nel citato Provvedimento, ha chiarito, infatti, sul punto, (AIL 1 par. 2. Privacy by design e by default: scelta e configurazione degli strumenti da utilizzare) che: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Si che “La valutazione di impatto deve essere effettuata solo se e quando ricorrono i presupposti dell’articolo 35 del Regolamento. Occorre precisare innanzitutto che, poiché l'istituzione scolastica , in genere, non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). La valutazione di impatto va effettuata, infatti, nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche”. Per le ragioni su esposte si comunica che tale valutazione di impatto della protezione dei dati (DPIA) non è stata effettuata dallo [omissis] al punto 3, con il quale si richiede “copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023” si evidenzia che la richiesta risulta generica e non consente di individuare con esattezza la documentazione richiesta, oltre ad essere connotata da carattere meramente esplorativo. Di conseguenza si comunicano che le misure tecniche adottate dalla Scuola sono reperibili nella sezione servizi/GSulte e nella sezione regolamenti ai seguenti link: https://www.morgagni.cloud/visualizza 02.asp?id _categoria=108&id sottocategoria=272 https://www.morgagni.cloud/visualizza 03.asp?id=929&id _m=127 oltre a tutte le altre specifiche raggiungibili ai link di seguito elencati: Posizioni di archiviazione di Google Cloud: Sedi data center Fornitori e personale di assistenza di Google Cloud: Fornitori e personale di assistenza di terze parti Informativa sulla privacy di Google Cloud: Informativa sulla privacy di Google Cloud Certificazioni sulla privacy: Certificato Privacy Shield Certificazioni di sicurezza e controlli di terze parti: Riepilogo Report SOC 3 Team dedicato alla protezione dei dati cloud di Google: Richiesta al responsabile della privacy dei dati Autorità di controllo: Italy - Garante per la protezione dei dati personali. Opzioni di condivisione, i dati archiviati o elaborati nei servizi di Google Cloud Platform sono soggetti ai Termini di servizio di [omissis] condivisione di Google Cloud Platform è Disattivata Termini di servizio aggiuntivi per sicurezza e privacy Cloud Data Processing Addendum (CDPA) La normativa europea sulla protezione dei dati è applicabile con certificazione ottenuta il giorno 27/09/2020. Relativamente al punto 4, con il quale si richiede “copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a di6https://www.agid.gov.it/sites/default/files/repository_files/adg-2021-0007647- allegatosegn 9 2020 esegn230 2021 invito402-2021.pdf 4 stanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” si comunica che si rinvia alle considerazioni illustrate al punto 2), che si intendono dunque valide anche per queste richieste. Relativamente al punto 5, con il quale si richiede “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” si comunica che anche in tal caso si rinvia alle considerazioni illustrate al punto 2), che si intendono dunque valide anche per queste richieste. Relativamente al punto 6, con il quale si richiede “copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” si comunica che non vi è stata valutazione comparativa di tipo economico, in considerazione del fatto che le piattaforme utilizzate durante il periodo della pandemia sono state fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni ministeriali. E° stata comunque effettuata la scelta in base alle indicazioni dei docenti in quanto si è compilata un'indagine online proponendo la scelta tra tre piattaforme gratuite (GSuite, Microsoft e Moodle) e il 92% dei docenti ha scelto GSuite. Per quanto online (v. sopra). Si specifica infine di aver adeguatamente informato il [omissis] si doveva. Distinti saluti Forlì, 17 ottobre 2022 IL DIRIGENTE SCOLASTICO [omissis] documento è firmato digitalmente ai sensi del D.Lgs. 82/2005 s.m.1. e norme collegate e sostituisce il documento cartaceo e la firma autografa