ARGO SOFTWARE s.r.l. Recapiti telefonici Web of CISO Federation «Member __ A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it RI‘A C.F.-P.lva e R.|. di RG (15 linee) info@argosoft.it RI)A 00838520880 ammin@argosoft.it software R.E.A.€ 200.000,00 CS n. 70205 iv Amm.ne Tel. 0932.667550 assist@argosoft.it ISOTIFO MANAGER 27001 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 DOCUMENTAZIONE PER RISPOSTA ALLA RICHIESTA DI ACCESSO CIVICO GENERALIZ- ZATO PERVENUTAAL VS ISTITUTO SCOLASTICO IN RIFERIMENTO ALL'ADOZIONE DEL REGISTRO ELETTRONICO DI ARGO SOFTWARE SRL In relazione alla richiesta di accesso civico generalizzato pervenuta a tutti gli Istituti Scolastici pubblici italiani, Argo Software srl fornisce ai Dirigenti Scolastici che ne fanno richiesta la se- guente risposta, altrettanto generalizzata. Il Registro Elettronico è adottato dagli Istituti Scolastici in ossequio a vigenti disposi- zioni di legge quali: e Codice dell’Amministrazione Digitale (CAD) D. Lgs. 82 del 7 marzo 2005 ed in particolare art. 40 che impone alle pubbliche amministrazioni di formare gli originali dei propri docu- menti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici; e Piano Triennale dell’AglD; e D.L. n. 95/2012 contenente “Disposizioni urgenti per la razionalizzazione della spesa pub- blica”, convertito dalla legge n. 135/2012; e Nota del MIUR del 3 ottobre 2012, [omissis] . Uff. 1682/U; e Legge 13 luglio 2015, n. 107. L'adozione dello stesso è peraltro incentivata, in applicazione della normativa sopra citata, dal per il processo di migrazione al cloud delle Istituzioni scolastiche: “L'investimento 1.2 della Componente 1 della Missione 1 del Piano Nazionale di Ripresa e Resilienza si pone come obiettivo la migrazione dei dataset e delle applicazioni utilizzate dalle Istituzioni scolastiche verso un'infrastruttura cloud sicura e che rispecchi i requisiti definiti da AgID all’interno della Determinazione n. 628/2021. L'investimento, pertanto, propone la dismissione di tutti gli appli- cativi gestiti tramite software on premise o tramite soluzioni custom, a favore del passaggio ad applicativi ospitati su ambienti cloud certificati”. Il Registro Elettronico non è stato adottato dagli Istituti Scolastici in seguito alla pande- mia da COVID-19 ed in nessun caso si può collegare la sua adozione allo stato di emer- genza cessato lo scorso marzo. Non è quindi in discussione la legittimità della soluzione, in quanto prevista dalla nor- mativa. Pag. 1 di 5 Risposta alla richiesta di accesso civico generalizzato del 19 settembre 2022 v. 1.0 A|R|G|O (Member of CISO Federation—_ ARGO SOFTWARE s.r.l. Recapiti telefonici Web Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it RIjJR © 00838520880 ammin@argosoft.it assist@argosoft it ia MANAGEMENT SYSTEM R.E.A. n. 70205 software C.S. € 200.000,00 i.v. Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 Non è in discussione, se del caso, neppure il trattamento dei dati personali effettuato dagli Istituti Scolastici tramite il Registro Elettronico, che trova il suo fondamento di li- ceità nello svolgimento di attività di interesse pubblico rilevante per l’istruzione e la for- mazione in ambito scolastico , anche in adempimento di svariati obblighi di legge e come definito dagli artt. 2-ter e 2-sexies comma 2 lettera bb) del D. Lgs 196/03 (testo vigente) ed evidentemente non nel consenso degli interessati. Non è in discussione neppure il contratto stipulato dagli Istituti Scolastici con la scri- vente azienda, formalizzato sempre e per ogni Istituto da apposito ordine e corredato di condizioni generali di contratto. Per la fornitura del servizio, la Argo software è regolar- mente contrattualizzata quale responsabile del trattamento ai sensi dell’art. 28 del RGPD 2016/679, senza la quale nomina non è possibile procedere alla erogazione dei servizi. Pur non essendo la risposta pertinente alla nostra fattispecie, perché la soluzione software non eroga servizi più complessi fuori dalla unica finalità scolastico -didattica, ci teniamo a preci- sare che il registro elettronico, Argo DidUp, è un’applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dalla Argo Software, azienda dotata di si- stema di gestione per la sicurezza delle informazioni certificato secondo la norma UNI è fornitore qualificato SaaS per le P.A. per tutti gli applicativi in commercio. La famiglia di applicativi ScuolaNext/DidUp (area Didattica), cui il Registro Elettronico pertiene, risiede, come tutti gli altri applicativi Argo, nei server appositamente acquistati dal Cloud Service Provider Amazon Web Services EMEA s.a.r.l. (AWS), region Italia e Ir- landa, ed in essi sono registrati e conservati i dati inseriti negli applicativi. La famiglia di applicativi comunica, al suo interno e verso l’esterno, attraverso appositi canali cifrati con protocollo SSL. Tutte le politiche e le misure di sicurezza e protezione delle in- formazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://\/www.argosoft.it/privacy.php. Il registro elettronico, Argo Didup, è un sottoinsieme di funzionalità del sistema ScuolaNext. Attraverso ScuolaNext, possono essere gestiti: e registri elettronici di classe e del docente, e rilevazione delle assenze, Pag. 2 di 5 Risposta alla richiesta di accesso civico generalizzato del 19 settembre 2022 v. 1.0 ARGO SOFTWARE s.r.l. Recapiti telefonici Web of CISO Federation _ «Member Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it RI‘A C.F.-P.lva e R.|. di RG (15 linee) info@argosoft.it RI)A 00838520880 ammin@argosoft.it Lo AGI . . 1 Mi M Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 e Orario scolastico , e prenotazione colloqui, e condivisione delle lezioni, e pubblicazione di documenti in bacheca e comunicazioni scuola-famiglia e scuola-perso- nale scolastico , incluse la presa visione dei voti, degli scrutini, delle richieste di certifi- cati e documenti e di ogni ulteriore informazione a supporto della gestione degli alunni. Attraverso il registro elettronico ed il sistema ScuolaNext non è possibile effettuare al- cuna operazione di sorveglianza (nemmeno occulta) sugli utenti del sistema, siano essi gli alunni, i loro famigliari, i docenti o il personale scolastico che ne fruisce, al di là della raccolta dei log degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella sopra citata policy. KKK In relazione, infine, alle numerose richieste di pareri e indicazioni operative relativamente alla istanza pervenuta alle Istituzioni Scolastiche ci preme, pur se fuori dal nostro ambito di servizi ma nello spirito di continua e fattiva collaborazione che contraddistingue la nostra azienda, for- nire alcune indicazioni in merito ai documenti da fornire. Posto che la richiesta è volta a “valutare i danni che l’uso di piattaforme di sorveglianza per la didattica possono ingenerare agli studenti, soprattutto ai minori” (parafrasando il testo pubblicato al link https://monitora-pa.it/2022/09/19/8254 domande a Scuola.html dall’attivista mittente della richiesta), è possibile dare sequito alla risposta individuando quali dei sistemi di supposta sorveglianza sono stati adottati dal Vs Istituto scolastico ed affidati all'esterno ed allegare la documentazione pertinente. Gli elementi generici oggetto della richiesta sono: - La posta elettronica (se ad esempio gli studenti hanno ricevuto un account su dominio scolastico che consenta anche lo scambio di posta come con la GSuite) - lsistemidi messaggistica (se ad esempio avete adottato Teams, Google Chat altri sistemi di messaggistica conformi — non whatsapp!) - sistemidi videoconferenza (strumento utilizzato per le videolezioni) - Gli strumenti per la didattica digitale integrata (se ad esempio avete adottato altri stru- menti tecnologici oltre al registro ed alla videoconferenza per la gestione delle verifiche o dei compiti a casa) - Il registro elettronico Pag. 3 di 5 Risposta alla richiesta di accesso civico generalizzato del 19 settembre 2022 v. 1.0 (Member of CISO Federation ARGO SOFTWARE s.r.l. Recapiti telefonici Web A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it RI‘A \ C.F.-P.lva e R.I. di RG (15 linee) info@argosoft.it RI)A & 00838520880 ammin@argosoft.it mà PO ANAGLMER VAT . . 1 Mi M Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 Per quanto riguarda il registro elettronico, fino a che lo stesso è prodotto da un fornitore qualifi- cato AgID e mirato esclusivamente alla finalità didattica, come peraltro previsto dalla vigente normativa, l’unico documento che l'interessato chiede di ricevere è la delibera di acquisizione del prodotto in modalità cloud o il contratto con il fornitore (punto 1 della FOIA). La richiesta di esibizione delle misure di sicurezza o delle DPIA non è applicabile in quanto il livello di sicurezza offerto dal provider dovrebbe garantire la minimizzazione dei rischi, la dimostrazione della valu- tazione della sicurezza del trasferimento dei dati extra UE (TIA) è applicabile solo qualora un fornitore abbia adottato un trasferimento extra SEE. Per quanto riguarda invece le piattaforme che erogano, singolarmente o in maniera integrata, i sistemi utilizzati per la DID (la videoconferenza, la messaggistica e la posta elettronica), come ad esempio i prodotti delle suite di cloud collaboration di Google o Microsoft, è richiesto all’Isti- tuto Scolastico di esibire adeguata documentazione che dimostri (seguendo i punti della FOIA): 1. la deliberazione da parte dell'Istituto di destinare parte dei fondi scolastici alla contrattua- lizzazione del servizio cloud (allegare delibera o contratto) 2. l'esclusione dell'obbligo di DPIA perché il sistema di videoconferenza o di piattaforma tecnologica di DID prescelti dalla scuola sono stati configurati in modo da impedire il monitoraggio del comportamento degli alunni (ad esempio con la inibizione di eventuali funzionalità di geolocalizzazione e l'utilizzo di servizi privi di qualunque forma di pubblicità comportamentale) 3. l'evidenza - in forma schematica - delle configurazioni adottate per evitare l’uso dei dati degli studenti per finalità ulteriori alla didattica (ad esempio la chiusura del sistema di videoconferenza alle sole lezioni, la circoscrizione della possibilità di invitare o ammettere soggetti in aula virtuale solo ai docenti, la inibizione di geolocalizzazione, profilazione 0 interconnessione coi social network tramite gli account scolastici...) 4. l’esclusione della necessità di effettuare DPIA su tutti gli strumenti, perché per come sono acquisiti o configurati non ingenerano elevati rischi per i diritti e le libertà degli studenti come previsto dall’articolo 35 del GDPR (il provvedimento del Garante per la Protezione dei Dati non circoscrive le indicazioni al solo stato di emergenza, come erroneamente sostiene l'istante) 5. l'esclusione della necessità di TIA in tutti i casi in cui non siano effettuati trasferimenti extra UE, oppure l'esibizione delle misure di sicurezza adottate dai provider di servizi (che sono generalmente pubbliche come quelle di Argo) e delle ulteriori misure adottate in configurazione del servizio (come ad esempio la cancellazione dei dati entro brevi pe- riodi). Pag. 4 di 5 Risposta alla richiesta di accesso civico generalizzato del 19 settembre 2022 v. 1.0 Member of CISOQ Federation ARGO SOFTWARE s.r.l. Recapiti telefonici Web Zona Ind.le Ill Fase 97100 Ragusa —Assist. Tel. 0932.666412 —www.argosoft.it a I q Di Fa C.F.-P.lva e R.|. di RG (15 linee) info@argosoft.it p RI 00838520880 ammin@argosoft.it CRA . . 1 software .S. 3 .000,00 REA Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 Riteniamo di aver ampiamente provveduto a fornire il supporto richiesto da parte delle scuole che si avvalgono dei nostri servizi, pur essendo questo testo eccedente rispetto alle necessità (tutta la documentazione richiesta ad Argo Software era già disponibile e in massima parte pub- blica). Suggeriamo in ogni caso di valutare come dare seguito alla richiesta e di raccogliere gli altri eventuali documenti di risposta all'istanza anche coinvolgendo i vostri referenti informatici e Data Protection Officer (RPD-DPO). 21 settembre 2022, Argo Software srl Il Presidente [omissis] 0 ha Il Data Protection Officer Limitazioni d'uso: Explicit Text: Certificate issued through Sistema Pubblico di Identità Digitale (SPID) digital 22.09.2022 07:59:25 identity, VAT)other SÈID dig identity Pag. 5 di 5 Risposta alla richiesta di accesso civico generalizzato del 19 settembre 2022 v. 1.0