1.0, STATALE - "G.PASCOLI"RIETI Prot. 0008819 del 17/10/2022 ES e |-1 (Uscita) L= vp per MINISTERO dell'ISTRUZIONE Ufficio Scolastico Regionale per il Lazio ISTITUTO COMPRENSIVO STATALE “G. PASCOLI” Via P. Pileri n. 9- Località Campomoro — 02100 Rieti — Distretto n.1 — Tel. 0746 / 201083 - 253203 -— C.F.:80007930573 Codice meccanografico RIIC82100A Email: RIIC82100A@ìistruzione.it - riic82100a@pec.istruzione.itwww.istitutopascolirieti.edu.it - Codice Univoco UFAGSW AI Sig. Fabio Pietrosanti, con domicilio digitale comunicazioni@pec.monitora- pa.it; Firmato [omissis] p.c. Al Direttore Generale CIT Ufficio Scolastico Regione Pec: drla@postacert.istruzione.it A seguito della Sua istanza Prot. n. 7828 del 19/09/2022 nella quale richiedeva l'accesso civico generalizzato ai sensi dell’art. 5 del D.Lgs 33/2013 ai seguenti documenti: 1. copia del contratto o altro atto giuridico in forza del quale l'Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall’Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; presenta la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all'attività amministrativa; Considerato che l’istanza di accesso civico generalizzato è suscettibile di rigetto in ragione dei limiti previsti dall'art. 5 bis, commi 1,2 e 3 del d. lgs. n.. 33/2013 a tutela di interessi pubblici e privati. Considerato che l’istanza di accesso civico generalizzato può essere altresì rigettata quando la richiesta è tale da comportare un carico di lavoro in grado di interferire con il buon funzionamento dell’amministrazione come nel caso di richieste: - massive (grandi quantità di dati richiesti) - ripetute (numerose istanze in arco temporale ristretto) - vessatorie (richieste con carattere pretestuoso o irritante per via del grado di ripetitività in un intervallo di tempo limitato ovvero del tono della richiesta) Ricordando che nelle linee guida contenute nella delibera n. 1309 del 28 dicembre 2016 Anac ha precisato che non è ammissibile una richiesta meramente esplorativa, volta semplicemente a “scoprire” di quali informazioni l'amministrazione dispone. Le richieste, inoltre, non devono essere generiche, ma consentire l'individuazione del dato, del documento o dell’informazione, con riferimento, almeno, alla loro natura e al loro oggetto. Ricordando che nelle linee guida contenute nella delibera n. 1309 del 28 dicembre 2016 Anac ha precisato che “quando viene presentata domanda di accesso civico generalizzato per un numero manifestamente irragionevole di documenti tale da paralizzare il buon funzionamento dell’amministrazione, quest'ultima può ponderare da un lato l'interesse dell'accesso del pubblico ai documenti e dall’altro il carico di lavoro che ne deriverebbe e decidere di salvaguardare l'interesse ad un buon andamento dell’amministrazione”. Considerato che la sentenza del 13 agosto 2019 del consiglio di Stato - Sezione VI stabilisce che l'accesso civico serve a favorire forme diffuse di controllo sull’attività dell'ente e sull'uso delle risorse pubbliche ma non può intralciare il buon funzionamento della Pubblica Amministrazione. Va svolta quindi una valutazione caso per caso per garantire, secondo un delicato ma giusto bilanciamento, che non se ne faccia un uso malizioso e non si crei una sorta di effetto "boomerang" sull’ente destinatario. Considerato che il Consiglio di Stato nell’Adunanza Plenaria, n.10 del 02/04/2020 ha stabilito che ‘accesso civico generalizzato finalizzato a garantire, con il diritto all'informazione, il buon andamento dell'’amministrazione, non può finire per intralciare il funzionamento della stessa. Pertanto, è possibile respingere: richieste manifestamente onerose o sproporzionate, ovvero tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche, contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili a uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi in base a parametri oggettivi”. Constatata la natura massiva della richiesta inoltrata a più di 8000 scuole italiane e parte di una campagna più ampia che si protrae da diversi mesi con istanze ricorrenti alle caselle PEC delle istituzioni scolastiche. Constatata la natura generica e meramente esplorativa delle richieste volte a “scoprire” di quali informazioni l'amministrazione dispone, peraltro su più anni scolastici, con aggravio di lavoro notevole. Visto il parere del DPO che ritiene non si possa concedere l’accesso integrale ai documenti ai punti 1, 2, 3,4 e 5 con ulteriore aggravio di lavoro per l'’amministrazione che dovrebbe procedere ad operare degli estratti di tali documenti e ad inserire degli omissis. Considerata la necessità di finalizzare prioritariamente l’attività dell'ufficio al buon andamento dell’amministrazione e alla regolare erogazione del servizio scolastico ; questa istituzione presenta una carenza di organico amministrativo per l'assenza del D.S.G.A. titolare, attualmente sostituito da un assistente amministrativo in possesso della seconda posizione economica ed è in attesa di nomina di un'ulteriore figura amministrativa. Si rende noto che la scrivente istituzione scolastica non darà seguito alla richiesta pervenuta in quanto non ammissibile. La Dirigente Scolastica [omissis] Vargiu Scuola Srl Via dei Tulipani 7/9 — Assemini (CA) - 09032 Sito: vargiuscuola.it commerciale@vargiuscuola.it tel: 070271526, 070271560 partita iva: 03679880926 Alle scuole che ci hanno affidato l'incarico di RPD o a cui forniamo servizi di consulenza privacy DPO 82/2022 Assemini 2/10/2022 (aggiornata al 16/10/2022) Accesso civico generalizzato di Monitora PA: cosa rispondere A seguito della richiesta di accesso civico generalizzato presentata da Monitora PA abbiamo prodotto nei giorni scorsi delle note in cui abbiamo cercato di chiarire la procedura da seguire per garantire il rispetto della normativa (nota VargiuScuola 80/2022) ed analizzato le motivazioni che stanno inducendo il gruppo di attivisti di Monitora PA a portare avanti la loro campagna (nota VargiuScuola 81/2022). In questa ultima nota veniamo infine a vedere in concreto come impostare la risposta da inviare a Monitora PA. 1. Come rispondere alla richiesta di accesso Per la gestione pratica della procedura ricordiamo che i giorni scorsi abbiamo inviato alle scuole da noi assistite i seguenti documenti che mettiamo a disposizione anche ai seguenti link: > Parere di VargiuScuola nel ruolo di DPO del 30/09/2022 (le scuole da noi assistite che ancora non l'avessero acquisito agli atti possono prendere in considerazione la nuova versione alla data 16/10/2022 che, a parte qualche particolare secondario, è sostanzialmente uguale al precedente): è questo un parere di Vargiu Scuola espresso nel suo ruolo di DPO che può essere tenuto agli atti dell'amministrazione nel fascicolo del procedimento (verificare prima che il contratto sottoscritto con VargiuScuola preveda effettivamente l'assunzione dell'incarico di DPO). Le scuole che invece, per conflitto di interessi con altri servizi da noi forniti, ci hanno affidato solo l'incarico di referenti per la privacy, la trasparenza e la digitalizzazione potranno, se lo ritengono, chiedere un parere al proprio DPO formalmente nominato. E' il caso di specificare che nel parere espresso nella veste di DPO abbiamo fatto esclusivo riferimento alla normativa in materia di protezione dei dati personali alla luce della quale abbiamo ritenuto sia possibile concedere l’accesso ai documenti richiesti solo per estratto e con l'introduzione di omissis. > Bozza risposta da inviare a MonitoraPA: nel nostro ruolo di referenti normativi abbiamo anche predisposto la bozza della risposta che la scuola deve inviare a Monitora PA entro 30 giorni dal ricevimento dell’istanza di accesso. Nella formulazione della risposta per conto della scuola non ci siamo limitati a valutare il rispetto della normativa sulla privacy (come dovevamo fare nel ruolo di DPO) ma abbiamo esteso le nostre valutazioni alla normativa vigente in materia di trasparenza ed accesso civico (come deve fare l'amministrazione che deve decidere in merito alla richiesta). Nella risposta da noi suggerita, quindi, si conclude con un rigetto della richiesta d’accesso considerata la natura massiva, reiterata, Î pag. 1: Vargiu Scuola Srl — sito: vargiuscuola.it - tel. 070271526 — email: commerciale@vargiuscuola.it (Vargiu generica ed esplorativa della richiesta e la necessità di garantire il buon andamento dell'amministrazione minacciato dall'aggravio di lavoro che comporterebbe una differente gestione della richiesta stessa. Per garantire il rispetto delle disposizioni in materia di accesso civico raccomandiamo che la risposta della scuola, qualunque essa sia, venga spedita entro 30 giorni dalla ricezione dell’istanza alla PEC presso cui il rappresentante dell’associazione di attivisti ha istituito domicilio digitale. Sulla decisione presa dalla scuola Monitora PA potrà presentare richiesta di riesame presso il Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT) individuato, per gli istituti scolastici, nel Direttore Generale dell'USR competente. L'USR dovrà decidere in merito con provvedimento motivato entro il termine di 20 giorni. In alternativa il richiedente può presentare ricorso al difensore civico competente per ambito territoriale che decide entro 30 giorni. 2. E dopo la risposta alla richiesta di accesso? Nella nota 81/2022 abbiamo approfondito le motivazioni che inducono Monitora PA a portare avanti la propria campagna che derivano principalmente da: > Conseguenze della sentenza Schrems Il del luglio del 2020 da parte della Corte di giustizia dell'Unione europea (CGUE) che ha fatto cadere il privacy shield e che quindi non consente di dichiarare adeguati a priori i trattamenti dei dati personali operati da aziende statunitensi. > Lo strapotere delle GAFAM (Google, Apple, Facebook, Amazon, Microsoft) fondato sull'uso dei dati personali il quale conduce ad una distorsione del mercato a favore delle grandi multinazionali statunitensi e a rischi per le libertà dei cittadini. Questi sono problemi reali di cui devono acquisire piena consapevolezza anche le scuole che, con un pragmatico e non ideologico, devono garantire il rispetto della normativa e adottare le misure atte a tutelare il dirigente scolastico secondo il principio dell'accountability. AI di là del rigetto della richiesta di accesso presentata da Monitora PA è allora necessario che ciascuna scuola verifichi le modalità di utilizzo delle piattaforme informatiche e telematiche nello svolgimento delle attività didattiche ed amministrative. 3. La comunicazione di Google sulla necessità della DPIA La concretezza dei temi alla base della campagna di MonitoraPA è dimostrata proprio da Google che nei mesi scorsi ha invitato i clienti di Google Workspace for Education a valutare la necessità di effettuare una valutazione di impatto sulla protezione dei dati (DPIA). Nella sua comunicazione, che ha raggiunto anche gli istituti scolastici che usano la sua piattaforma, Google ricorda che “alcuni clienti Cloud, compresi quelli che utilizzano Google Workspace for Education, potrebbero dover effettuare una valutazione di impatto sulla protezione dei dati (DPIA)”. In sostanza con la sua comunicazione Google ammette che la base legale adottata subito dopo la caduta del privacy shield, ossia il “trasferimento soggetto a garanzie adeguate” (clausole contrattuali standard), potrebbe non essere idonea in molti contesti (come dimostrano diverse sentenze dei Garanti europei intervenute anche negli ultimi mesi) rendendosi quindi necessaria un DPIA con la quale il titolare valuta la necessità, la proporzionalità ed i rischi associati all'uso della piattaforma. IL GDPR impone al titolare la redazione di una DPIA specifica quando il trattamento svolto potrebbe presentare un rischio elevato per idiritti e le libertà delle persone (vedere anche par. 3 dell'art. 35 del GDPR). Per aiutare i titolari nella valutazione della necessità di condurre una DPIA il Garante italiano ha redatto un elenco delle tipologie di trattamenti soggetti al requisito della DPIA (Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35, comma 4, del Regolamento (UE) n. 2016/679). pag. 2: Vargiu Scuola Srl- sito: vargiuscuola.it - tel. 070271526 — email: commerciale@vargiuscuola.it E' il caso di ricordare che il Ministero dell'Istruzione nella sua nota 388 del Ministero dell'Istruzione si era espresso dichiarando la necessità di fare una DPIA per l'uso degli strumenti informatici nella DAD mentre il Garante (Provvedimento 26 marzo 2020, n. 64) aveva dato indicazioni opposte (quando però era ancora in vigore il privacy shield che sarebbe caduto pochi mesi più tardi). Il nostro parere è che visto il trasferimento di dati all’estero, di natura anche sensibile e di soggetti vulnerabili quali i minori (ma anche i disabili se vengono usati strumenti quali mail, videoconferenze o cartelle in cloud per comunicare e gestire la documentazione di allievi con sostegno) è necessario condurre la valutazione di impatto per l'uso delle piattaforme informatiche per la DAD/DDI. Questo anche per tutelare i dirigenti scolastici che sono oggi particolarmente esposti ad azioni che possono intraprendere singoli cittadini o associazioni di attivisti con segnalazioni al Garante. 4. Cosa devono fare le scuole Per garantire il rispetto della normativa e mettere nelle condizioni il dirigente di poter dimostrare la correttezza del proprio operato (accountability) raccomandiamo quindi le scuole da noi assistite di provvedere alla verifica dei presenti punti: 4.1 [omissis] prima raccomandazione che facciamo, soprattutto alle scuole che hanno avuto un avvicendamento del dirigente scolastico , è quella di verificare l'effettiva vigenza di un contratto che stabilisce l'affidamento dell'incarico di DPO. Questa misura è talvolta trascurata dalle scuole che, con leggerezza, affrontano pericolosi periodi di vacanza del DPO fra un contratto e l’altro, fatto che può avere gravi conseguenze (ricordiamo la sentenza del Garante che ha condannato il Ministero dello Sviluppo Economico proprio per la ritardata nomina del RPD). 4.2 Nomina dei Responsabili del trattamento Secondo il [omissis] titolare del trattamento (l'istituzione scolastica rappresentata dal dirigente scolastico ) deve nominare responsabili del trattamento tutti coloro che, esterni all'amministrazione, operano per suo conto sui dati personali. Questo adempimento può essere semplice con certi fornitori (ad esempio quelli che forniscono le piattaforme di registro elettronico e di protocollo informatico o anche il sito web) e più difficile per altri. | fornitori più strutturati sottopongono alle scuole i loro modelli di nomina del responsabile del trattamento da firmare digitalmente dalle due parti. Altri, come Google per la G Suite, regolarizzano il rapporto mediante un check da apporre in un modulo allo scopo predisposto. 4.3 Informative Le scuole non devono richiedere il consenso per lo svolgimento delle attività DAD/DDI nell'ambito delle finalità istituzionali conseguire dall'istituto ma è sempre necessario fornire un’informativa sui trattamenti personali operati anche per le attività didattiche a distanza. Di seguito alcuni modelli VargiuScuola: 1. informativa didattica digitale integrata — modello generale (modello generale che può essere utilizzato, con lievi adattamenti, per lo svolgimento di qualunque attività di didattica a distanza) 2. informativa didattica a distanza — G Suite (modello che abbiamo realizzato appositamente per l'impiego della Suite Google for education) 3. informativa didattica a distanza — Office 365 Education (modello che abbiamo realizzato appositamente per l'impiego della soluzione Microsoft 365 education) pag. 3: Vargiu Scuola Srl sito: vargiuscuola.it - tel. 070271526 — email: commerciale@vargiuscuola.it Y 9 Le informative andrebbero pubblicate nella sezione privacy presente nella home page del sito e portate a conoscenza dei docenti (per mezzo di circolare) e delle famiglie (bacheca del registro elettronico). 4.4 Registro dei trattamenti Tutti i trattamenti operati dall'amministrazione devono essere riportati nel registro dei trattamenti che deve quindi contenere i trattamenti operati nello svolgimento delle attività didattiche a distanza (vedere modello VargiuScuola del Registro dei Trattamenti aggiornato al 5 settembre 2022). 4.5 Valutazione di Impatto Privacy (DPIA) Sulla necessità di effettuare una valutazione di impatto sulla protezione dei dati (DPIA) abbiamo già detto al punto 3. Di seguito presentiamo i nostri modelli già proposti alle scuole da noi assistite fin dal marzo 2020 e aggiornate alle più recenti evoluzioni: > DPIA perla DAD (DPIA su piattaforme cloud generiche) > DPIA per la DAD su piattaforma G Suite (per le scuole che utilizzano, anche in modo non esclusivo la G Suite) Le DPIA devono essere firmate digitalmente dal dirigente scolastico , protocollate e quindi tenute agli atti per essere esibite in caso di necessità. Come abbiamo già detto più sopra, sebbene il Garante si sia espresso per la non obbligatorietà, a certe condizioni, della redazione della DPIA da parte delle scuole per l'uso delle piattaforme cloud (Provvedimento 26 marzo 2020, n. 64) raccomandiamo che questa venga fatta dal dirigente scolastico a causa della evoluzione cui si è assistito negli ultimi mesi. C'è infatti da tenere presente che qualche mese dopo il pronunciamento del Garante italiano è intervenuta la sentenza Schrems II di cui abbiamo già detto e più di recente sono diverse le autorità garanti europee che si sono espresse sulla necessità della redazione della DPIA (fra le altre l'autorità arante danese citata da Monitora PA nella sua istanza). 4.6 Valutazione di Impatto del trasferimento dei dati all’estero (TIA) A seguito della caduta del privacy shield si rende necessaria anche la valutazione di impatto sul trasferimento dei dati all'estero (TIA) citata al punto 5 della richiesta di accesso presentata da Monitora PA. Di seguito i nostri modelli elaborati con la collaborazione di [omissis] : » TIA Google For Education >» TIA Microsoft For Education Anche le TIA devono essere firmate digitalmente dal dirigente scolastico (se ritenete, salvate prima in formato pdf), protocollate e quindi tenute agli atti per essere esibite in caso di necessità. 5. Il punto al 16/10/2022 Dopo aver riproposto la nostra nota del 2 ottobre (che mantiene la sua validità) è opportuno, in questo ultimo paragrafo, fare il punto della situazione alla data del 16 ottobre a seguito dei diversi pareri espressi che hanno avuto una evoluzione nel tempo da posizioni volte a negare la liceità della richiesta a posizioni più aperte e disponibili a valutazioni nel merito. Uno dei primi pareri è stato quello dell'Avvocatura dello stato — Ufficio distrettuale di Napoli che, dietro richiesta di un istituto scolastico , esprime in data 3/10/2022 il parere che l'istanza di Monitora PA non sia meritevole di accoglimento. Nello stesso modo si sono espressi negli stessi giorni, fra gli altri, anche USR Sardegna, USR Veneto ed USR Marche che hanno invitato le scuole del proprio territorio a rispondere entro 30 giorni dalla richiesta con un diniego all'accesso. Stessa posizione è stata espressa da diverse rappresentanze sindacali. pag. 4: Vargiu Scuola Srl- sito: vargiuscuola.it - tel. 070271526 — email: commerciale@vargiuscuola.it Successivamente altri uffici scolastici regionali, come quelli di Lazio, Sicilia e Puglia hanno invece espresso il parere che l'accesso civico presentato da Monitora PA è lecito e che le istituzioni scolastiche devono entrare nel merito della richiesta e valutare se sussistono le condizioni ostative stabilite dall'art. 5-bis del D. Lgs 33/2013 o se l'accoglimento della richiesta non comporti un carico di lavoro in grado di interferire con il buon funzionamento dell'’amministrazione. In questi giorni si è infine espressa anche l'Avvocatura Generale dello Stato cui si è rivolto il Ministero dell’Istruzione per un parere sull'accesso civico generalizzato proposto da Monitora PA. Nel suo parere viene presentato sinteticamente l'istituto dell'accesso civico generalizzato (come avevamo fatto anche noi con la nota Vargiu Scuola 80/22) per concludere che la richiesta avanzata da Monitora PA è lecita sia da un punto di vista soggettivo che oggettivo e che, correttamente formalizzata, è meritevole di risposta entro 30 giorni dalla richiesta (40 giorni se si dovessero coinvolgere i controinteressati). In conclusione anche l'Avvocatura di Stato conclude con l'invito alle scuole a rispondere alla richiesta di accesso salvo che non siano a rischio gli interessi privati tutelati dall'art. 5 bis, comma 2, D. Lgs 33/2013 e che l'accoglimento della richiesta non sia troppo onerosa. Questa è, in effetti, l'impostazione che avevamo suggerito fin dall'inizio alle scuole che avevamo invitato a formulare delle risposte puntuali alle richieste di Monitora PA. Ben conoscendo la difficoltà in cui versano gli istituti scolastici sovraccarichi di lavoro e con carenza di personale abbiamo quindi impostato una bozza di risposta nella quale viene rigettata la richiesta di Monitora PA a causa della natura massiva, reiterata (non dimentichiamo che Monitora PA ha già inviato nei mesi scorsi delle richieste alla PEC della scuola), generica ed esplorativa della richiesta e della difficoltà dell'istituto a farvi fronte senza compromettere la regolare erogazione del servizio scolastico . In ogni caso l'istante potrà sempre presentare richiesta di riesame all'Ufficio Scolastico Regionale nel suo ruolo di Responsabile per la prevenzione della corruzione dell'istituto scolastico . pag. 5: Vargiu Scuola Srl — sito: vargiuscuola.it - tel. 070271526 — email: commerciale@vargiuscuola.it Y 9