Ya Liceo Scientifico : i NI Liceo Artistico Liceo “A. Volta - E Fellini” Via Piacenza, 28 - 47838 Riccione (RN) - Tel. 0541 643126 Codice meccanografico RNPS060003 - Codice Fiscale 91150420403 - Codice Univoco di Fatturazione UFIHW2 www.liceovoltafellini.edu.it - rnps060003@istruzione.it - rnps060003@pec.istruzione.it Gent.mo Sig. Fabio Pietrosanti Spett.le Monitora PA comunicazioni @ pec.monitora-pa.it OGGETTO: Rigetto richiesta di accesso civico generalizzato. In merito alla sua richiesta di accesso civico generalizzato si rappresenta quanto segue. L’accesso civico generalizzato ha una finalità tesa a garantire il controllo democratico sull'attività amministrativa, nel quale 1l c.d. right to know, l'interesse individuale alla conoscenza è attuabile solo nel caso in cui non vi siano contrarie ragioni di interesse pubblico O privato, ragioni espresse dalle cc.dd. eccezioni relative di cui all'art. 5-bis, commi 1 e 2, del D.lgs. n. 33 del 2013. Le eccezioni presenti all'articolo 5, comma 2, giustificano un diniego ove sia necessario per evitare un pregiudizio concreto alla protezione dei dati personali, in conformità con la disciplina legislativa in materia. Di conseguenza, tenuto conto che è fatto notorio ed è riportato anche nel sito di MonitoraPA, che la S.V ha proposto la medesima richiesta nei confronti di tutte le scuole italiane è necessario fare una preliminare valutazione in merito alla documentazione oggetto di istanza ed al soggetto richiedente. La S.V. rappresenta di far parte di un gruppo di hacker facente parte del gruppo o associazione MonitoraPa. Nel sito di Monitora non sono riportati i dati per individuare l’associazione ovvero lo Statuto, l’iscrizione a registri pubblici ed addirittura risulta non indicata la sede legale dell’associazione. La S.V. non si qualifica come rappresentante di un’associazione di soggetti interessati nel trattamento dati di istituzioni scolastiche quali potrebbero essere docenti, genitori o dipendenti amministrativi. Tenuto conto di queste premesse diventa necessario valutare la legittimità dell’accesso e le conseguenze che potrebbero esserci rispetto a una ostensione della documentazione richiesta. Tale istanza, di conseguenza, diventa dannosa ed infondata, sotto diversi profili, che andremo di seguito ad analizzare. 1. Mancata applicazione del GDPR Il primo elemento da esaminare è il trattamento che effettuerebbe il suo gruppo di “hacker attivisti” di dati personali su larga scala ottenendo i dati richiesti della nostra Istituzione Scolastica e di tutte le altre scuole d’Italia. Si ritiene, infatti, che tali trattamenti non sarebbero effettuati nell’ambito di attività a carattere esclusivamente personale o domestico e, quindi, non possano essere sottratti all’applicazione del RGPD, infatti la S.V. si qualifica come membro che agisce in modo coordinato nell’ambito di una comunità impegnata nell’esecuzione di verifiche e segnalazioni, condotte metodicamente e con mezzi automatizzati. La S.V. quindi non ha comunicato alla Istituzione scolastica di aver messo in atto gli adempimenti richiesti ai Titolari del trattamento, quindi, rischiando voi stessi di divenire autori di violazioni di norme del GDPR (si pensi, ad es., alla mancata informativa), nonché destinatari di richieste di esercizio dei diritti di cui agli artt. 15 - 22 sanciti dal RGPD da parte dei soggetti contattati, o ancora di reclami presentati presso l’ Autorità Garante per la protezione dei dati personali. X Liceo Scientifico | SÒ Liceo Artistico Liceo “A. Volta - F. Fellini” Via Piacenza, 28 - 47838 Riccione (RN) - Tel. 0541 643126 Codice meccanografico RNPS060003 - Codice Fiscale 91150420403 - Codice Univoco di Fatturazione UFIHW2 www.liceovoltafellini.edu.it - rnps060003@istruzione.it - 'nps060003@pec.istruzione.it Oltre a questo elemento, la S.V. si troverebbero in difetto rispetto a adempimenti quali la tenuta del registro dei trattamenti, l’effettuazione di una analisi del rischio o una valutazione di impatto (quanto meno, opportuna, visti i trattamenti su larga scala) e tutti gli altri adempimenti previsti dal RGPD a carico del Titolare del trattamento. Qualora, poi, come in concreto sono stati utilizzati sistemi automatizzati per l’invio delle mail a tutte le istituzioni scolastiche d’Italia, le implicazioni e i rischi sono addirittura superiori per via dell’applicazione dell’art 22 del RGPD e della conseguente inadempienza rispetto ai puntuali obblighi informativi imposti dal Regolamento europeo. Pertanto la S.V., ha posto in essere delle azioni in evidente violazione del RGPD e, a causa dei contenuti perentori delle comunicazioni, dei diritti e le libertà delle persone fisiche. 2 Errato utilizzo del diritto di accesso In merito all’utilizzo della modalità dell’accesso civico generalizzato si evidenzia una strumentalizzazione di questo diritto, con tutte le conseguenze che ciò comporta, tra cui la possibilità di banalizzazione di tale prezioso strumento. L’utilizzo dei diritti come arma di disturbo di massa, come atto ritorsivo verso chi utilizza un determinato servizio o si appoggia ad un determinato provider, indebolisce l’autorevolezza e l’importanza del diritto sia al controllo democratico della Pubblica Amministrazione che della protezione dei dati personali. Difatti, come accennato nel paragrafo precedente, se la finalità non troppo nascosta della S.V. è creare dei database partendo da dati pubblicamente accessibili, è legittimo dubitare della asserita inapplicabilità del RGPD anche a questo tipo di trattamenti effettuati. La particolare finalità di questi trattamenti è possibile evincerla in parte dal sito ufficiale del gruppo in questione, il quale si auto descrive come un “Osservatorio Automatico Distribuito sulla PA” (si veda https://monitora-pa.it/). Posto, quindi, che l’utilizzo dei dati raccolti non rientra nella casistica di cui all’art 2, par. 2, lett. c) del RGPD, il quale prevede la non applicabilità del Regolamento in caso di uso di dati per motivi domestici, è da ritenere che anche su MonitoraPA e sui suoi componenti gravino tutti gli obblighi in materia di cui alla normativa europea, primo fra tutti l’obbligo di rendere l’informativa. In merito alla richiesta di accesso quindi non è stato possibile visualizzare nel sito di Monitora PA una informativa da cui dedurre se sono in atto, ad esempio, trattamenti automatizzati, condivisione di dati con soggetti terzi, diffusione degli stessi. Quindi, dall’esterno non è dato sapere se la governance di questo autoproclamato “Osservatorio” sia stata organizzata in modo coerente con il Regolamento, tuttavia, è possibile osservare che le manifestazioni esterne dello stesso lasciano dubitare di tale circostanza, mancando del tutto l’elemento fondamentale che ogni Titolare del trattamento deve rilasciare agli interessati: l’informativa. Inoltre, trattandosi di raccolta e trattamento effettuato per mezzi automatizzati senza intervento di operatore, è legittimo sospettare la possibilità di applicare anche la normativa in materia di comunicazioni indesiderate la quale, come noto, trova attuazione anche nei confronti dei dati di contatto di persone giuridiche. X Liceo Scientifico | SÒ Liceo Artistico Liceo “A. Volta - F. Fellini” Via Piacenza, 28 - 47838 Riccione (RN) - Tel. 0541 643126 Codice meccanografico RNPS060003 - Codice Fiscale 91150420403 - Codice Univoco di Fatturazione UFIHW2 www.liceovoltafellini.edu.it - 'nps060003@istruzione.it - 'nps060003@pec.istruzione.it 3 Abuso dell'esercizio di un diritto L’esercizio di un diritto in modo anomalo per promuovere obiettivi non conformi con lo scopo di tutela per cui tale diritto è stato sancito, esula dalla ratio della previsione del legislatore. La fattispecie astratta di abuso si configura nel momento in cui il diritto viene esperito non per realizzare l’interesse per cui è stato sancito nell’ordinamento, ma il suo esercizio è piegato per rispondere a scopi che esulano dalla ratio legis di tutela, come effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire talvolta uno strumento ritorsivo o di intimidazione. In tal senso è sicuramente legittimo esercitare il diritto di accesso civico d.lgs. 33/2013 ma non quando, come nella fattispecie concreta, le finalità espresse e le peculiari modalità della richiesta di esercizio non corrispondono al paradigma delle finalità di controllo democratico della P.A. Quindi in relazione in relazione alla sua richiesta di accesso è evidente che la Sua condotta assuma i connotati tipici dell’abuso nell’esercizio di un diritto. A tale riguardo, in primis è utile considerare la sistematicità e l'organicità con cui è stato organizzato l’invio di queste richieste, che evidenzia una finalità diversa da quella che integra la ratio di tutela di prevista dal D.lgs. 33/2013 Tale richiesta, infatti, non risulta essere stata avanzata esclusivamente dalla S.V., ma quale figura di rappresentante di una o più organizzazioni di “hacker attivisti” e l’attribuzione dell’istanza a una persona fisica costituisce una mera finzione al solo fine di abusare dell’esercizio del diritto di accesso che altrimenti non sarebbe azionabile. 4. Fondamento Giuridico della richiesta In primo luogo, come insegna la giurisprudenza del Consiglio di Stato (ex multis Consiglio di Stato, sez.III, 25.01.2021 n. 495), “...se da un lato l’interesse alla trasparenza non richiede una motivazione specifica, dall’altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi”. Ebbene, la richiesta formulata da Monitora PA difetta di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative (in particolare la richiesta sub.1). Si tratterebbe, quindi, di richiesta vessatoria, pertanto non accoglibile. In secondo luogo, si sottolinea come le informazioni richieste ai punti 2-4-5-6 dell’istanza, si riferiscono ad operazioni non propriamente di competenza delle singole istituzioni scolastiche, come ad esempio la valutazione di impatto che, ai sensi dell’art. 35 del GDPR, riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico. In merito alla redazione di una valutazione di impatto da parte delle scuole si rappresenta, inoltre, che l’Autorità Garante della Protezione dei Dati Personali ha precisato con provvedimento del 26 marzo 2020 che tale documento, che l’art. 35 del Regolamento richiede X Liceo Scientifico | SÒ Liceo Artistico Liceo “A. Volta - F. Fellini” Via Piacenza, 28 - 47838 Riccione (RN) - Tel. 0541 643126 Codice meccanografico RNPS060003 - Codice Fiscale 91150420403 - Codice Univoco di Fatturazione UFIHW2 www.liceovoltafellini.edu.it - rnps060003@istruzione.it - 'nps060003@pec.istruzione.it per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Infatti cita ad esempio, che non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). In aggiunta a ciò, rispetto a quanto erroneamente dedotto dalla S.V., tale provvedimento non è certamente limitato al periodo emergenziale contingente all’epoca dell’emissione del provvedimento e né l’ Autorità Garante si è espressa in questo modo. 5. Documentazione relativa alle misure di sicurezza In merito alla documentazione riguardante le misure di sicurezza adottate, preliminarmente si rappresenta che procedere all’ostensione dei documenti richiesti esporrebbe l’Istituto Scolastico a gravi problematiche in merito alla sicurezza dei dati personali trattati venendo a mancare da parte dell’istante le indispensabili garanzie che questi dati ed informazioni sarebbero trattate nel rispetto della normativa vigente in materia di protezione dei dati personali. Infatti si ricorda che ogni analisi del rischio con l’adozione di conseguenziali misure di sicurezza non riduce totalmente il verificarsi del rischio ma residua sempre una probabilità esigua del verificarsi dello stesso. La S.V., nel caso in cui tutte gli Istituti scolastici italiani rispondessero alla sua richiesta procedendo all’invio della documentazione, verrebbe a conoscenza di tutte le problematiche esistenti in merito al trattamento dei dati esponendo l’Istituzione scolastiche a gravi problematiche in merito alla protezione dei dati e non comunicando alle stesse l'adozione da parte di MonitoraPA di misure adeguate previste dal GDPR. Tale conoscenza quindi non può essere motivata e supportata da una mera finalità di controllo democratico in quanto appare evidente, come detto precedentemente, quale un abuso del diritto esercitato. 6. Intralcio alle attività della Pubblica Amministrazione Infine, dall’istanza in esame, si evince che la mole dei documenti oggetto di ostensione obbligherebbe le Scuole a fornire documentazione composta da numerosissime pagine, senza, peraltro, che la predetta richiesta sia sostenuta da esigenze tali da giustificarne l’onerosità. Siffatta richiesta, così sproporzionata e abnorme, viene così espressamente qualificata da recente giurisprudenza del massimo consesso di giustizia amministrativa (si veda la pronuncia dell’Adunanza plenaria n. 10/2020), in quanto comporterebbe un carico irragionevole ed eccessivo di lavoro, idoneo a interferire con il buon andamento dell’amministrazione stessa. Inoltre si ricorda che l'Autorità Nazionale Anticorruzione in data 2 marzo 2022 con provvedimento, ha chiarito che l’accesso civico generalizzato non può essere causa di intralcio al buon funzionamento della Pubblica Amministrazione. Infatti ha ricordato che questo NW Lico Scientifico fs) GT) Lio Artico Liceo “A. Volta - F. Fellini” Via Piacenza, 28 - 47838 Riccione (RN) - Tel. 0541 643126 Codice meccanografico RNPS060003 - Codice Fiscale 91150420403 - Codice Univoco di Fatturazione UFIHW2 www.liceovoltafellini.edu.it - rmps060003@istruzione.it - rnps060003@pec.istruzione.it strumento “va usato con buona fede e senza malizia” affinché non si crei una sorta di effetto boomerang sulla Pubblica Amministrazione. Infine per quanto riguarda il punto 6 i software utilizzati dalla scuola sono ancora suggeriti dal Ministero dell’Istruzione, l’Istituto Scolastico ha provveduto a nominare i fornitori quali responsabili del trattamento ed ha richiesto agli stessi la presenza di standard in grado di assicurare l’interoperabilità e la cooperazione applicativa tra i diversi sistemi informatici della pubblica amministrazione; le garanzie in materia di livelli di sicurezza, di conformità alla normativa sulla protezione dei dati personali. Tutto ciò premesso L'Istituzione Scolastica rigetta la richiesta di accesso civico generalizzato per i motivi suesposti ed in quanto si è in presenza delle eccezioni relative presenti all’art 5 comma 2 del D.lgs. 33 del 2013. IL DIRIGENTE SCOLASTICO Paride Principi Documento firmato digitalmente ai sensi del c.d. Codice dell'Amministrazione Digitale e normativa connessa