TERRACINA, 12/12/2022 13:47:03 Prot. Nr. 0012767/U del 12/12/2022 14:32:40 In riferimento all'oggetto, si precisa quanto segue: Per il punto 3 (copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023), si ribadisce che è stata rivolta attività di formazione ai docenti sull’attivazione della DaD e che non sono stati utilizzati servizi più complessi oltre a quelli strettamente necessari alla didattica. I profili di tutti gli utenti erano configurati in modo tale che, tramite il processo di autenticazione ed autorizzazione, fossero indirizzati solo alle funzioni attivate nella piattaforma. Al fine di dare una informazione più esaustiva, si linka il regolamento (già pubblicato a tempo debito) circa la didattica a distanza adottato dall'Istituto: [1]Regolamento attività Didattica Digitale Integrata (liceoterracina.edu.it). Per il punto 4 (copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo), si mette in chiaro che c'è stato solo un mero errore materiale nel riferimento interno al testo della risposta precedente. In modo più puntuale, quindi, si chiarisce che per il punto 4 in discussione, come già anticipato nelle premesse della prec. replica, non vi erano i presupposti per il sorgere dell’obbligo di redazione della DPIA, poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. Inoltre, il Garante della Privacy in persona, sempre nel Provvedimento del 26 marzo 2020, ha precisato che la DPIA non è necessaria nel caso in esame perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. Precisamente il citato provvedimento spiega che 'la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati'. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma che non consenta il monitoraggio sistematico degli utenti o comunque non ricorra a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportino nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). Per il punto 5 (copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo), si mette in chiaro che c'è stato anche qui solo un mero errore materiale nel riferimento interno al testo della prec. risposta. In modo più puntuale, quindi, si chiarisce che per il punto 4 in discussione, come già anticipato nelle premesse della prec. replica, non vi erano i presupposti per il sorgere dell’obbligo di redazione della DPIA, poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. Inoltre, il Garante della Privacy in persona, sempre nel Provvedimento del 26 marzo 2020, ha precisato che la DPIA non è necessaria nel caso in esame perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. Precisamente il citato provvedimento spiega che 'la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati'. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma che non consenta il monitoraggio sistematico degli utenti o comunque non ricorra a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportino nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). Distinti saluti. Il Dirigente [omissis] Liceo Scientifico " L.DA VINCI " Meccanografico: LTPS04000R Codice fiscale: 80005830593 Indirizzo: Via Pantanelle - TERRACINA (LT) C.A.P.: 04019 Mail: LTPS04000R@istruzione.it Pec: LTPS04000R@pec.istruzione.it Telefono: 0773/727931 Avvertenze ai sensi del Regolamento UE 679/2016 Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. -----Original Message----- Da: "Per conto di: drla@postacert.istruzione.it" Inviato: 01/12/2022 10:50:55 A: comunicazioni@pec.monitora-pa.it,ltps04000r@pec.istruzione.it Oggetto: POSTA CERTIFICATA: Protocollo nr: 47725 - del 01/12/2022 - AOODRLA - Ufficio Scolastico Regionale per il Lazio "Provvedimenti di riesame richieste di accesso civico MonitoraPA" Messaggio di posta certificata Il giorno 01/12/2022 alle ore 10:50:55 (+0100) il messaggio "Protocollo nr: 47725 - del 01/12/2022 - AOODRLA - Ufficio Scolastico Regionale per il Lazio "Provvedimenti di riesame richieste di accesso civico MonitoraPA"" è stato inviato da "drla@postacert.istruzione.it" indirizzato a: comunicazioni@pec.monitora-pa.it ltps04000r@pec.istruzione.it Il messaggio originale è incluso in allegato. Identificativo messaggio: 44B98541.037B6F7C.CD18A670.BF705C99.posta-certificata@legalmail.it L'allegato daticert.xml contiene informazioni di servizio sulla trasmissione. __________________________________________________________________ Certified email message On 01/12/2022 at 10:50:55 (+0100) the message "Protocollo nr: 47725 - del 01/12/2022 - AOODRLA - Ufficio Scolastico Regionale per il Lazio "Provvedimenti di riesame richieste di accesso civico MonitoraPA"" was sent by "drla@postacert.istruzione.it" and addressed to: comunicazioni@pec.monitora-pa.it ltps04000r@pec.istruzione.it The original message is attached. Message ID: 44B98541.037B6F7C.CD18A670.BF705C99.posta-certificata@legalmail.it The daticert.xml attachment contains service information on the transmission References 1. https://www.liceoterracina.edu.it/regolamenti/1946-regolamento-attivita-didattica-digitale-integrata