| FONDI i | Ea STRUTTURALI € 3 = SIA ALBO EUROPEI W 2014-2020 9 dii ISTITUTO COMPRENSIVO STATALE “Terre del Magnifico” CORTEMAGGIORE (PC) via XX Settembre,40 CF. 80013930336 CC. U. UFJUHO pcic805006@istruzioneit pcic805006@pec.istruzioneit www.lccortemaggiore.edu.it tel. 0523836569 fax 0523836469 Prot. 6034/1.4 del 19/10/2022 Egregio Sig. Fabio Pietrosanti Co-fondatore di Monitora PA A mezzo pec al domicilio digitale indicato: comunicazioni@pec.monitora-pa.it Il [omissis] in qualità di Dirigente scolastico dell’Istituto Comprensivo Terre del Magnifico di Cortemaggiore (PC), in riferimento alla “Richiesta di accesso civico generalizzato” pervenuta in data 19-09-2022 a questo istituto e volta ad ottenere ai sensi dell’art. 5 e segg. del D.Lgs 33/2013 l’accesso ai seguenti documenti: 1. copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. Firmato [omissis] 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; considerata la normativa di cui all’art. 5 del D.Lgs 14/03/2013 n. 33, con la quale nell'introdurre nel nostro ordinamento l'istituto dell'accesso civico generalizzato, viene attribuito a chiunque il “diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione”, per la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all'attività amministrativa; vista la portata dell'art. 5 bis, c. 1 — 3, del D.Lgs 14/03/2013 n. 33, da cui risultano illegittimi i dinieghi fondati su motivi diversi da quelli riconducibili ai limiti indicati dal suddetto articolo; richiamata la nota “Rif. Prot. ANAC n. 2022-75508 del 23.09.2022” avente ad oggetto proprio il caso in esame, con la quale l'Autorità Nazionale Anti Corruzione, nel richiamare la norma e le proprie Linee guida emanate, ricorda ed evidenzia come non vi siano altre possibilità per rigettare un'istanza di accesso civico generalizzato al di là di quelle indicate espressamente nell’articolo citato nei commi da 1 a 3; tenuto conto della peculiare condizione in cui si trova ad operare l’Istituto scolastico in intestazione presso i cui uffici prestano servizio n. 5 assistenti amministrativi assegnati ai seguenti ambiti: - n.2 Ufficio Personale; - n.2 Ufficio Didattica; - n.1 Ufficio Acquisti-Patrimonio; valutato il carico di lavoro conseguente richiesto per evadere la pratica, in considerazione della genericità, della vastità delle informazioni oggetto della richiesta e della complessità dell’attività da svolgere; accertato che alcune informazioni richieste si riferiscono anche ad operazioni non di competenza delle istituzioni scolastiche, come ad esempio la valutazione di impatto che, ai sensi dell'art. 35 del Regolamento europeo 679/2016 in materia di protezione dei dati personali, riguarda prevalentemente autorità pubbliche o enti pubblici per progetti con effettuata nel caso in esame la valutazione dell'utilizzo secondo buona fede dell'istituto in questione, secondo bilanciamento da un lato della ratio della norma e dall’altro degli effetti pregiudizievoli sull'efficienza dell’Amministrazione; rilevato un effetto disfunzionale tale da trasformare la richiesta in una causa di intralcio al buon funzionamento dell’Amministrazione, comportando l'evasione della pratica un carico irragionevole di lavoro idoneo ad interferire con il buon andamento della pubblica amministrazione; HI 5 sega 4 d srt CLES d% Hr dr 4, 4, $35 se LE ga d, si considerando altresì che, ai sensi dell'art 7 del D.lgs 33/2013 i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli; visto che, alla luce di tale amplificato regime di pubblicità dell'accesso civico va valutata l'esistenza di un possibile pregiudizio concreto alla protezione dei dati personali ed alla sicurezza dell'Ente, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti; considerando che l'insieme dei documenti oggetto di richiesta di accesso civico custodiscono una quantità importante di dati e informazioni particolareggiate di tipo tecnico e organizzativo, atti ad esporre, sia direttamente che indirettamente, le specifiche peculiarità dell’organizzazione dell'Istituto, con livelli di dettaglio molto elevati; si pensi ad esempio ad informazioni “sensibili” quali: le soluzioni informatiche effettivamente adottate, le loro modalità di utilizzo, configurazione, implementazione ed i relativi livelli di servizio contrattualmente garantiti dai fornitori; le singole misure di sicurezza organizzative e tecniche e la postura di sicurezza effettivamente in essere a protezione dei dati personali; le valutazioni di impatto, la descrizione sistematica del funzionamento dell’Ente e l’analisi dei singoli trattamenti e relative finalità, l'individuazione e valutazione dei rischi per i diritti e le libertà degli interessati collegati ai singoli trattamenti e le correlate misure di sicurezza previste per mitigarli; tutte le procedure sottese, nonché le eventuali criticità di sicurezza ed i corrispondenti possibili ambiti di miglioramento, le risorse umane coinvolte ...). considerando che un simile set di dati può far parte, ad esempio, delle informazioni tipicamente raccolte presso le Organizzazioni, durante lo svolgimento dei programmi periodici di analisi, valutazione e gestione delle vulnerabilità delle Organizzazioni [omissis] da parte dei consulenti di Cyber Security; valutando che quindi l'insieme di tali dati e informazioni di tipo tecnico e organizzativo, una volta reso pubblico, sarebbe a disposizione di chiunque, e potrebbe quindi anche essere utilizzabile da eventuali “malintenzionati” come base per progettare attacchi di tipo informatico o di tipo “social engineering” o comunque attacchi in grado di eludere le difese informatiche ed organizzative erte a difesa dei dati personali trattati dall’Istituto, minacciando la sicurezza e i diritti e le libertà degli interessati (la cui maggior parte è oltretutto composta da studenti minori); prendendo atto, a tal proposito, anche della Sua dichiarata intenzione, cito testualmente tra virgolette, di rendere “automaticamente” accessibili al pubblico “tutti i documenti e le risposte ricevute (omissis)...privati dei dati personali eventualmente presenti nella mail di accompagnamento, tramite una apposita sezione” del Vostro sito, a disposizione di “studiosi e specialisti nell’ambito della protezione dei dati e del software libero”; ricordando anche l’importanza che il GDPR assegna alla sicurezza dei dati personali (si vedano ad esempio i doveri attribuiti al Titolare del Trattamento dall'Art. 24 nonché gli obblighi di sicurezza, in termini di realizzazione di misure tecniche ed organizzative adeguate, imprescindibili per garantire la difesa dei dati personali previsti dalla Sezione 2 del GDPR); tenendo conto delle indicazioni dell'UE riguardo la cyber security, con la richiesta di maggiore attenzione sulla sicurezza informatica, con la recente emanazione del Cyber Security Act, della Direttiva NIS2 e l'istituzione del Cyber Competence Center Europeo; Firmato [omissis] sulla base di quanto sopra, ai sensi dell’art. 5-bis D.Lgs 33/2013, ravvisata la necessità di tutelare l'interesse pubblico, la sicurezza pubblica, la protezione dei dati personali, per le ragioni esposte, comunica il rigetto della richiesta. Distinti saluti Cortemaggiore, 19/10/2022 Il Dirigente Scolastico Firmato [omissis]