Protocollo 0011281/2022 del 18/10/2022 | Ministero dell'Istruzione ISTITUTO COMPRENSIVO “M.T. CICERONE” di ARPINO con annesso CONVITTO NAZIONALE “TULLIANO” Prot. n. vedi segnatura Arpino, 18/10/2022 AI Sig. Fabio Pietrosanti, con domicilio digitale all’indirizzo Pec: comunicazioni@pec.monitora-pa.it p.c. Al Direttore Generale Ufficio Scolastico Regione Lazio Pec: drla@postacert.istruzione.it Oggetto: Risposta Accesso civico generalizzato Facendo seguito alla Sua istanza di accesso civico generalizzato (FOIA) ai sensi dell’art. 5 del D. Lgs. n.33 del 2013, ricevuta via PEC in data 19/09/2022, lo [omissis] - all’esito di attività istruttoria svolta anche con il supporto del Data Protection Officer (DPO) dell’Istituto — dà il seguente puntuale riscontro alle sei domande poste nella predetta istanza. RICHIESTA N. 1: “Copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”. Non essendo esplicitato puntualmente il documento richiesto si ritiene di comunicare quanto segue: 1. Posta elettronica: @istruzione.it e @pec.istruzione.it fornita dal Ministero. 2. Messaggistica: non utilizzato alcun sistema. 3. DAD e DDI e posta elettronica diversa da @istruzione.it: l’istituto ha utilizzato le piattaforme: - Google Workspace si fornisce copia del contratto di servizio in allegato (Allegato 1); - Gotomeeting il cui contratto di servizio è reperibile al seguente link: https://\www.goto.com/it/company/legal/terms-and- conditions. 4. Registro elettronico: l’istituto ha utilizzato la piattaforma Spaggiari, di cui si fornisce copia dei contratti di servizio e relative condizioni generali di contratto per l’a.s. 2020/2021 (Allegato 2) e per l’a.s. 2021/2022 (Allegato 3). In riferimento ai punti 3 e 4, dal momento che la richiesta è generale, si ritiene che i documenti che meglio possono soddisfare l’interesse generale del richiedente siano i contratti sopracitati. RICHIESTA N. 2: “copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022” La valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall’art.35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici, infatti, non effettuano trattamenti automatizzati, né su larga scala, né sistematici. Anche il Garante italiano per la Privacy con il provvedimento n.64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art.35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione 0 biometrici)”. INFORMATIVA SINTETICA EX ART13 GDPR 2016/679 DELL'ISTITUTO COMPRENSIVO “M.T. CICERONE” DI ARPINO (FR) 1 dati personali trattati da responsabili e incaricati nell’ambito delle finalità istituzionali definite dalla normativa vigente che ne rappresenta la base giuridica. il loro conferimento è obbligatorio e l'eventuale rifiuto rende impossibile il raggiungimento delle finalità. L'Istituto in forza del regolamento non necessita del consenso per i dati definiti sensibili e giudiziari dal DLGS 196/2003. I dati trattati con strumenti informatici e cartacei saranno comunicati a soggetti terzi solo nei casi espressamente previsti per legge o regolamento ed il loro trattamento è improntato al rispetto dei principi sanciti nel GDPR679/2016, in particolare, responsabilizzazione e riservatezza. sono garantiti i diritti sanciti nell'art. 7 del DLGS 196/2003 ampliati dal GDPR 679/2016 artt. da 15 a 22 accesso, cancellazione, durata, opposizione, portabilità, rettifica, limitazione e il reclamo diretto Garante. Per l’esercizio dei suoi diritti può rivolgersi a titolare: Dirigente-Rettore Dott.ssa Gaita Reali o al [omissis] ilio Milli ai nostri recapiti ufficiali e direttamente scrivendo a questa mail fric82900r@istruzione.it. L'informativa completa è disponibile in segreteria e sul sito www.icciceroncarpino.it nella sezione privacy Via Vittoria Colonna snc — 03033 ARPINO (FR) AI fric82900r@istruzione.it Cod.Mec. FRIC82900R — Codice Fiscale 82007070608 - Tel 0776 849254 Sy fric82900r@pec.istruzione.it Convitto Nazionale Tulliano — Codice Fiscale 82000410603 W http://www.icciceronearpino.it Ministero dell'Istruzione ISTITUTO COMPRENSIVO “M.T. CICERONE” di ARPINO con annesso CONVITTO NAZIONALE _31_ [omissis] normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattamento effettuato da una singola scuola nell'ambito di un servizio online di videoconferenza o di una piattaforma. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. RICHIESTA N. 3 “Copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023” A fronte della richiesta - sebbene generica e poco chiara (non specifica “piattaforme più complesse” rispetto a cosa, o “servizi più complessi” rispetto a cosa) e sebbene si chiarisca fin d’ora che l’Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico - si forniscono i regolamenti riportanti le misure tecniche adottate dall’Istituto scolastico : - “Regolamento per la didattica digitale integrata” a.s. 2020/2021 (Allegato 4); - “Piano e Regolamento per la didattica digitale integrata (DDI)” a.s. 2021/2022 (Allegato 5). RICHIESTA N. 4 “Copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”. La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell'epidemia. È pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici, infatti, non effettuano trattamenti automatizzati, né su larga scala né sistematici. Anche il Garante italiano per la Privacy con il provvedimento n.64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. RICHIESTA N. 5 “Copia della valutazione di impatto del trasferimento dei dati all’estero ( TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”. Si premette che l’Istituto scolastico nel periodo di emergenza pandemica, al fine di garantire lo svolgimento delle funzioni istituzionali nell’interesse pubblico, ha utilizzato piattaforme Certificate AGID e/o suggerite dal Ministero dell’Istruzione sul proprio sito, per le quali il rischio per l’utilizzo doveva essere calcolato a monte, pena la revoca delle Certificazioni. L'Istituto ha provveduto alla verifica dell’utilizzo delle Piattaforme, per le sole finalità didattiche, limitandone l’uso per mezzo di opportune configurazioni e procedure. Per l’anno scolastico in corso, le indicazioni ricevute dal Ministero dell’Istruzione non prevedono l’utilizzo di piattaforme per erogare i servizi di istruzione a distanza. INFORMATIVA SINTETICA EX ART13 GDPR 2016/679 DELL'ISTITUTO COMPRENSIVO “M.T. CICERONE” DI ARPINO (FR) è obbligatorio e l'eventuale rifiuto I dati personali trattati da responsabili e incaricati nell’ambito delle finalità istituzionali definite dalla normativa vigente che ne rappresenta la base giuridica. il loro conferimento I dati trattati con strumenti informatici e rende impossibile il raggiungimento delle finalità. L'Istituto in forza del regolamento non necessita del consenso per i dati definiti sensibili e giudiziari dal DLGS 196/2003. al rispetto dei principi sanciti nel GDPR679/2016, in particolare, cartacei saranno comunicati a soggetti terzi solo nei casi espressamente previsti per legge o regolamento ed il loro trattamento è improntato opposizione, portabilità, rettifica, responsabilizzazione e riservatezza. sono garantiti i diritti sanciti nell'art. 7 del DLGS 196/2003 ampliati dal GDPR 679/2016 artt. da 15 a 22 accesso, cancellazione, durata, limitazione e il reclamo diretto Garante. Per l'esercizio dei suoi diritti può rivolgersi a titolare: Dirigente-Rettore [omissis] o al Responsabile della Protezione dei ufficiali e direttamente scrivendo a questa mail fric82900r@istruzione.it. L'informativa completa è disponibile in segreteria e sul sito www.icciceronearpino.it nella sezione privacy Via Vittoria Colonna snc — 03033 ARPINO (FR) L=] fric82900r@istruzione.it Cod.Mec. FRIC82900R — Codice Fiscale 82007070608 - Tel 0776 849254 SY fric82900r@pec.istruzione.it Convitto Nazionale Tulliano — Codice Fiscale 82000410603 € http://www.icciceronearpino.it Ministero dell'Istruzione ISTITUTO COMPRENSIVO “M.T. CICERONE” di ARPINO con annesso CONVITTO NAZIONALE “TULLIANO” Una volta terminate le intense attività di avvio dell’anno scolastico in corso che prevedono la didattica in presenza, si effettueranno/ri-effettueranno analisi come la valutazione di impatto TIA, attività correlata alla più ampia e dettagliata analisi dei rischi per la definizione di una struttura organizzativa ai sensi dell’art. 32 del GDPR 679/2016, che prevede una formalizzazione della stessa dopo attenta valutazione di elementi che investono il contesto internazionale (sentenza Schrems II, Privacy Shield, Privacy Shield 2), ed un profonda ed attenta analisi anche di elementi che, se correttamente applicati, eliminano l’impatto privacy del trattamento dati attraverso piattaforme con basi dati residenti all’estero come la pseudonomizzazione, la crittografia e le procedure di utilizzo Tutto ciò premesso, in ogni caso l’istituto ritiene (in attesa di diverse e/o ulteriori indicazioni ministeriali) di utilizzare piattaforme di uso generalista pseudonomizzando gli account e gli indirizzi mail, e di non trattare alcun dato personale in esse, ponendo limiti all’uso solo al fine didattico. Per questo motivo l’uso di suddette piattaforme, scevre dalla presenza di dati personali, non necessita di valutazione TIA (la Valutazione d’impatto sul trasferimento dati personali extra UE presuppone che ci sia la presenza di dati personali, presenza venuta meno attraverso la tecnica della pseudonimizzazione). Infatti, lo si ribadisce, questa tipologia di trattamento è anch’essa regolata dall’art.35 comma 3 del Regolamento UE 679/2016 GDPR. La TIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici, infatti, non effettuano trattamenti automatizzati, né su larga scala né sistematici. Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione 0 biometrici). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. RICHIESTA N. 6 “Copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione integrata, registro delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” a piattaforme già La valutazione comparativa è richiesta per l’anno corrente. Non si è giunti ancora al rinnovo dei contratti relativi in uso, e nemmeno si sono acquistate nuove piattaforme. Per questo non è possibile fornire i documenti richiesti al punto 6. è gente Scòlastico-Rettore = Dott.ssa sia ali rst rg mr f ALLEGATO 1 - Contratto di servizio Google Workspace; ALLEGATO 2 - Contratto Spaggiari per l’a.s. 2020/2021; ALLEGATO 3 - Contratto Spaggiari per l’a.s. 2021/2022; ALLEGATO 4 - “Regolamento per la didattica digitale integrata” a.s. 2020/2021; ALLEGATO 5 - “Piano e regolamento per la didattica digitale integrata (DDI)” a.s. 2021/2022. . . . INFORMATIVA SINTETICA EX ART13 GDPR 2016/679 DELL'ISTITUTO COMPRENSIVO “M.T. CICERONE” DI ARPINO (FR) è obbligatorio e l'eventuale rifiuto definite dalla normativa vigente che ne rappresenta la base giuridica. il loro conferimento 1 dati personali trattati da responsabili e incaricati nell’ambito delle finalità istituzionali sensibili e giudiziari dal DLGS 196/2003. 1dati trattati con strumenti informatici e rende impossibile il raggiungimento delle finalità. L'Istituto in forza del regolamento non necessita del consenso per i dati definiti nel GDPR679/2016, inparticolare, legge o regolamento ed il loro trattamento è improntato al rispetto dei principi sanciti cartacei saranno comunicati a soggetti terzi solo nei casi espressamente previsti per opposizione, portabilità, rettifica, 196/2003 ampliati dal GDPR 679/2016 artt. da 15 a 22 accesso, cancellazione, durata, Dirigente-Rettore Dott.ssa Gaita limitazione e il reclamo diretto Garante. Per l'esercizio dei suoi diritti può rivolgersi a titolare: è disponibile in segreteria e sul sito www.icciceronea Dino.it nella sezione privacy ufficiali e direttamente scrivendo a questa mail fric82900r@istruzione.it. L’informativa completa Via Vittoria Colonna snc — 03033 ARPINO (FR) II fric82900r@istruzione.it Cod.Mec. FRIC82900R — Codice Fiscale 82007070608 - Tel 0776 849254 Ng fric82900r@pec.istruzione.it Convitto Nazionale Tulliano — Codice Fiscale 82000410603 @ http://www.icciceronearpino.it