MINISTERO DELL’ ISTRUZIONE, DELL'UNIVERSITA’ E DELLA RICERCA UFFICIO SCOLASTICO REGIONALE PER IL LAZIO LICEO STATALE CLASSICO - SCIENTIFICO - LINGUISTICO “Lorenzo ROCCI” Via Colle della Felce s.n.c. - 02032 Passo Corese - Fara in Sabina (RI) tel. 0765/487219 - c.f. 90053850575 rips070005@istruzione.it - rips070005@pec.istruzione.it — sito web: https://www.liceorocci.edu.it Fara in Sabina, 05/12/2022 LICEO CLASS, SCI -"L. ROCCIFARA IN SABINA Prot. 0008863 del 05/12/2022 AI Sig. Fabio Pietrosanti |-1 (Uscita) comunicazioni@pec.monitora-pa.it Al Direttore Generale dell’USR Lazio [omissis] RPCT nelle istituzioni scolastiche drla@postacert.istruzione.it OGGETTO: Riscontro istanza di accoglimento di riesame accesso civico generalizzato del Sig. Fabio Pietrosanti - nota del Direttore Generale USR Lazio - Responsabile della prevenzione della corruzione e della trasparenza nelle Istituzioni scolastiche del Lazio - prot.47738 del 1/12/2022. Dando riscontro al provvedimento prot. n. 47738 del 01/12/2022, con cui il [omissis] RPCT' nelle istituzioni scolastiche, accoglie la richiesta di riesame presentata il 14/11/2022 dal sig. Fabio Pietrosanti relativamente alla Sua istanza di accesso civico generalizzato pervenuta a questa Istituzione Scolastica tramite PEC il giorno 19/09/2022, si rappresenta quanto segue: e inmerito alla richiesta n. 1 (“copra del contratto 0 altro atto giuridico in forza del quale l'Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”), si precisa quanto segue: o l’Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Infocert) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente: l’Istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. o. Le piattaforme DaD/DDI utilizzate dall’Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini e condizioni di utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio, che sono pubblici e reperibili sui siti web delle piattaforme in questione: Google for Workspace https://workspace.google.it/intl/it/terms/education terms.html e Google for Workspace (Termini integrativi): https://workspace.google.it/intl /it/terms/service- terms/index.html. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. o I contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono 1 servizi di Registro Elettronico e tutti gli applicativi per la digitalizzazione della segreteria sono pubblicati nell'apposita sezione di Amministrazione ‘l'rasparente, raggiungibile dal sito istituzionale, in osservanza del D. Lgs. n. 33/2013. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. o si rileva che ogni altra richiesta non può essere accolta in quanto formulata in modo IMPrEcISO e SENErICO. in merito alla richiesta n. 2 (‘“copsa della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell'ambito dell'utibizzo di un servizio on line di videoconferenza 0 di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022”) si rileva che la valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono 1 trattamenti di dati in ambito scolastico : gli istituti scolastici, infatti, non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne 1 rischi per 1 diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on lme di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). Stante la normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattamento effettuato da una singola scuola nell’ambito di un servizio online di videoconferenza o di una piattaforma. Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione (Google: https://cloud.google.com/privacy/data-protection-impact-assessment). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. in merito alla richiesta n. 3 (‘copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare 1 soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”) si rappresenta quanto segue: Tale richiesta è eccessivamente generica e meramente esplorativa, motivo per cui non può essere soddisfatta. Sul punto, le linee guida ANAC precisano che “l’istanza di accesso civico identifica i dati, le informazioni 0 1 documenti richiesti’’; pertanto non è ammissibile una richiesta meramente esplorativa, volta semplicemente a “scoprire” di quali informazioni amministrazione dispone. Le richieste, inoltre, non devono essere generiche, ma consentire l'individuazione del dato, del documento o dell’informazione con riferimento, almeno, alla loro natura e al loro oggetto. La richiesta, infatti, non specifica “piattaforme più complesse” rispetto a cosa, 0 “servizi più complessî” rispetto a cosa. L'Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l’ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. La scuola ha attivato una gestione peculiare della piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche utenze con specifici permessi. La scuola ha attivato i soli servizi essenziali regolati da termini di utilizzo che vincolano Google alla non registrazione ec alla non divulgazione. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Una ipotetica raccolta della documentazione richiesta, la comunicazione ai controinteressati e l’oscuramento delle informazioni riservate eventualmente individuate dai controinteressati imporrebbero a questa istituzione scolastica un notevole carico di lavoro tale da paralizzare, in modo molto sostanziale, il corretto funzionamento dell’ordinaria attività amministrativa, fondamentale per fornire il necessario e indispensabile supporto al servizio di istruzione tenendo conto di scadenze fondamentali previste in questo periodo dell’anno scolastico . Ad ogni buon fine, si specifica che nell’anno scolastico 2022/2023 non è prevista la didattica digitale integrata. Negli anni scolastici 2020/2021 e 2021/2022 l’Istituto si è dotato di un apposito Regolamento per la DDI e di utilizzo della G-Suite, pubblicati sul registro elettronico e sul sito (raggiungibili al seguente uk: https://www.liceorocci.edu.it/attachments/article/143/Regolamento%20DDI pdf. in merito alla richiesta n. 4 (“copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo”) si rileva che nei casi sottoposti, per i quali tra l’altro non sono previste forme di trattamento su larga scala, non è prevista la DPIA ex art. 35 GDPR. in merito alla richiesta n. 5 (‘copia della valutazione di impatto del trasferimento dei dati all'estero (ITA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che st trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”) si rileva che la scuola ha utilizzato piattaforme autorizzate dal Ministero dell’Istruzione, che presuppongono fornitori accreditati presso AgID e che, pertanto, non risulta necessaria DPIA. Per quanto riguarda la posta elettronica, come enunciato nella risposta alla richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di valutazione di impatto per TIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Per la DDI VIstituto scrivente ha attivato 1 soli servizi essenziali regolati da un contratto che vincola Google alla non registrazione e alla non divulgazione, e ha scelto come base dati la server farm europea di Google. Questa scelta rende inutile la redazione della TIA. A questi link sono reperibili le documentazioni Google legate alla scelta della data region e ai servizi essenziali attivati: https://support.google.com/a/answer/6356441?hl=en; https://support.google.com/a/answer/763049G; https://support.google.com/a/answer/9223653?hl=en; https://support.google.com/a/answer/60762?hl=en. Trattandosi di una particolare valutazione di impatto sulla protezione dei dati (in questo specifico caso trasferiti all’estero), questa tipologia di trattamento è anch’essa regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La TIA è obbligatoria in casi specifici e normati, tra i quali non ricadono 1 trattamenti di dati in ambito scolastico : gli istituti scolastici, infatti, non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Si rimanda al provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) in cui il Garante della privacy ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Per quanto riguarda il registro elettronico l’Istituto scrivente ha sottoscritto un contratto di prestazione di servizio con la software house Argo. Le TIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/; l’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. e in merito alla richiesta n. 6 (‘copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo”) si rileva che tale richiesta risulta esplorativa e, pertanto, non può essere accolta e che la valutazione comparativa non risulta prevista dal D. Lgs. 50/2016 nella procedura di selezione dell'operatore economico, peraltro DID e DaD non sono consentite come da nota ministeriale. Si rinnova il diniego, per i motivi di cui sopra, all’accesso civico generalizzato come da istanza pervenuta a questo ufficio in data 19 settembre 2022. Il Dirigente Scolastico sostituita dall'indicazione a stampa del nominativo del soggetto responsabile ex art. 3, c.2, D.Lgs. 39/1993