Protocollo 0007796/2022 del 18/10/20220007796202218/10/2022 ad . stri UNICETE® ISTITUTO COMPRENSIVO STATALE BOVILLE ERNICA REPUBBLICA ITALIANA — UFFICIO SCOLASTICO REGIONALE DEL LAZIO PESTO Via Torrione dei Nobili, 2 - 03022 BOVILLE ERNICA C.F.80012790608 - CM FRIC828001 - Tel- 0775379008 www.bovillescuola.edu.it 59 fric828001@istruzione.it - fric828001@pec.istruzione.it Prot. vedi segnatura Boville Ernica lì, 18/10/2022 Al Sig. Fabio Pietrosanti Via Aretusa 34 - Milano (MI) PEC: comunicazioni@pec.monitora-pa.it Oggetto: Risposta accesso civico generalizzato |.C. Boville Ernica Egr. sig. Fabio Petrosanti, in seguito alla Sua richiesta di Accesso Civico Generalizzato, pervenuta via PEC allo scrivente Istituto in data 19/09/2022 e acquisita al protocollo con n. 7037, Le comunichiamo i risultati della procedura di esame e valutazione delle richieste da Lei inoltrate. RICHIESTA N. 1: “copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023” In premessa giova ricordare che l’art. 1321 del Codice Civile fornisce la seguente definizione di contratto: “// contratto è l'accordo di due o più parti per costituire, regolare o estinguere tra loro un rapporto giuridico patrimoniale.” Quindi, il contratto ha la funzione di regolare i rapporti economici tra i sottoscrittori dello stesso. Ciò premesso, si rileva quanto segue: e Servizi di posta elettronica L'Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. e Piattaforma DaD/DDI Le piattaforme DaD/DDI utilizzate dall'Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio. | termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: v Google for Workspace: https://workspace.google.com/terms/education terms.html L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. e RegistroElettronico e Segreteria Digitale | contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono i servizi di Registro Elettronico e Segreteria Digitale sono pubblicati nell'apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, in osservanza del D.LGS. N. 33/2013. Il link in riferimento è il seguente: https://web.spaggiari.eu/sdg/app/default/trasparenza.php?sede codice=FRME0028&referer=%3Cpagina% 20di%20ritorno%3E L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. RICHIESTA N. 2: “copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022” La valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall'art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Stante la normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattamento effettuato da una singola scuola nell'ambito di un servizio online di videoconferenza o di una piattaforma. Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione. v_ Google: https://cloud.google.com/privacy/data-protection-impact-assessment L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. RICHIESTA N. 3: “copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023” La richiesta è eccessivamente generica e poco chiara, dal momento che non specifica “piattaforme più complesse” rispetto a cosa, o “servizi più complessi” rispetto a cosa. L’Istituto non fa uso di applicativi aggiuntivi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. La scuola ha attivato una gestione peculiare della piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche OU con specifici permessi. La scuola ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da termini di utilizzo che vincolano Google alla non registrazione e alla non divulgazione. Servizi non essenziali possono essere attivati solo per specifiche OU non collegate agli studenti. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. RICHIESTA N. 4: “copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” e PostaElettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. e Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia. È pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione. v_ Google: https://cloud.google.com/privacy/data-protection-impact-assessment L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. e Registroelettronico L'Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice . Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ In particolare è possibile far riferimento al seguente link: https://catalogocloud.agid.gov.it/search/results?searchKey=spaggiari&searchType=&searchCategories=&se archFilter= L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. RICHIESTA N. 5: “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” e Postaelettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di valutazione di impatto per TIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. e Piattaforma DDI (Messaggistica, videoconferenza, etc) L'Istituto scrivente ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da un contratto che vincola Google alla non registrazione e alla non divulgazione, e ha scelto come base dati la server farm europea di Google. Questa scelta rende inutile la redazione della TIA. Trattandosi di una particolare valutazione di impatto sulla protezione dei dati (in questo specifico caso trasferiti all’estero), questa tipologia di trattamento è anch’essa regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La TIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. e Registroelettronico L'Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la TIA redatta dalla software house fornitrice. Le TIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ In particolare è possibile far riferimento al seguente link: https://catalogocloud.agid.gov.it/search/results?searchKey=spaggiari&searchType=&searchCategories=&se archFilter= L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. RICHIESTA N. 6: “copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” e Postaelettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di Valutazione Comparativa è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. e [omissis] Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo per l’anno scolastico 2022-2023 è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell'epidemia. E’ pertanto un errore richiedere una Valutazione Comparativa su un servizio (la DaD) non più attivabile. Per quanto concerne le piattaforme DDI, nell’anno scolastico 2022/2023 l’Istituto scrivente ha operato in continuità con gli anni scolastici precedenti: non è stata quindi effettuata nessuna valutazione comparativa, poiché è stato confermato l'utilizzo degli strumenti già attivati in precedenza. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. e Registro [omissis] peculiare struttura del mercato di riferimento, il contenuto numero di operatori attivi, la particolare soddisfazione maturata nel precedente rapporto contrattuale e la relativa competitività del prezzo offerto, valutati gli eccessivi oneri in termini di costi (per migrazione, formazione del personale docente, formazione del personale non docente) e valutati i rischi per l'integrità dei dati trattati in caso di migrazione, l’Istituto scrivente ha confermato e rinnovato il contratto stipulato con il fornitore degli anni precedenti. Di conseguenza non è stata effettuata alcuna valutazione comparativa. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento non previsto né obbligatorio. Boville Ernica 18/10/2022 Il Dirigente Scolastico Documento firmato digitalmente