ISTITUTO COMPRENSIVO ARDEA II-TOR S.LORENZO Protocollo numero: 5927 / 2022 Data registrazione: 14/10/2022 Tipo Protocollo: USCITA Documento protocollato: Richiesta+RESPINTA.pdf IPA: UF99KZ Oggetto: Privacy Destinatario: Fabio Pietrosanti Ufficio/Assegnatario: SALE PIERO [omissis] Protocollato in: Titolo: 1 - AMMINISTRAZIONE Classe: 4 - Archivio, accesso, privacy, trasparenza e relazioni con il pubblico Sottoclasse: - - - COPIA CONFORME ALL'ORIGINALE DIGITALE FO N DI di Dadi sa reno rana e la Gestione del STRUTTURALI i e n 7 Fiscesa LUtnane, Finanziare a Strumanta Unione Europea EUROPEI 2014-2020 MIUR O PER LA SCUOLA - COMPETENZE E AMBIENTI PER L'APPRENDIMENTO (FSE-FESRI MINISTERO DELL'ISTRUZIONE UFFICIO [omissis] LAZIO ISTITUTO COMPRENSIVO ARDEA II TOR S.LORENZO 00040 ARDEA (RM) - VIA TANARO - tel. 0691010779 rmic8da006@istruzione.it - CODICE FISCALE 97714470586 Cod. Mecc. RMIC8DA006 - MATRICOLA INPS 7060743438 Codice univoco ufficio: UF99KZ — mail: rmic8da006@istruzione.it — rmic8da006@pec.istruzione.it — Sito web www.icardea2.edu.it AI Sig. Fabio Pietrosanti, con domicilio digitale all’indirizzo Pec: comunicazioni @ pec.monitora-pa.it p.c. Al Direttore Generale Ufficio Scolastico Regione Lazio Pec: drla@postacert.istruzione.it Oggetto: Risposta alla sua richiesta di accesso civico generalizzato A seguito della Sua istanza del 19/09/2022 trasmessa via PEC, nella quale richiedeva l’accesso a vari documenti ai sensi dell’art. 5 del D. Lgs. n. 33 del 2013 siamo con la presente a dare riscontro. La richiesta formulata non presenta indicazione di motivazione di un interesse conoscitivo, ma ha la sola finalità di costituire una banca dati per l’utilizzo successivo ed eventuale, da parte di non meglio definiti studiosi ed esperti della privacy e del software libero. Inoltre ai punti due e quattro si richiedono documenti, le valutazioni di impatto DPIA, che questa amministrazione non ha l’obbligo di redigere, e quindi non fornibili. Si è considerato il Consiglio di Stato, sez. III, 25.01.2021 n. 495: “se da un lato l'interesse alla trasparenza non richiede una motivazione specifica, dall’altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all’esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi La sua richiesta pertanto pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative rientrando in quanto previsto dal Consiglio di Stato. Si è considerato, inoltre, il Consiglio di Stato | Sezione AP | Sentenza | 2 aprile 2020 | n. 10 ... 36.6. Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. La sua richiesta è arrivata dopo altre comunicazioni, in un breve arco temporale, dall’associazione Monitora PA di cui si dichiara attivista. La prima riguardava i codici di tracciamento visite sul sito web [omissis] seconda relativa alla presenza nel sito di Google Fonts. Inoltre, l’associazione “Monitora PA” mediante una istanza comune a tutte le istituzioni scolastiche, dichiara e propaganda di aver avviato “il primo FOIA massivo della storia italiana, come primo passo di una strategia che si svilupperà completamente nei prossimi 3/4 mesi”, aggiungendo di voler: “liberare 8 milioni di studenti dal controllo dei GAFAM a Scuola”. Trattasi dunque di più richieste riconducibili ad uno stesso centro di interessi in un breve arco temporale, a cui ne seguiranno altre a breve termine secondo le dichiarazioni, finalizzate non dall’effettiva esigenza di conoscenza di documenti amministrativi (tutelata dal FOIA) ma caratterizzate da mere finalità esplorative al fine di attuare una strategia di contrasto alle multinazionali informatiche, le GAFAM, con intenti vessatori, emulativi e pretestuosi tali per cui, secondo la sentenza del Consiglio di Stato citata, è possibile e doveroso evitare e respingere. Le richieste dei punti 3 e 5, e cioè le misure tecniche adottate per l’utilizzo di piattaforme che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica e la TIA, richiedono una estrapolazione e una decontestualizzazione dalla analisi dei rischi effettuata. Inoltre, la possibile divulgazione della documentazione relativa a tutte le contromisure adottate esporrebbe l’amministrazione ad un immotivato ed ingiustificato rischio di sicurezza. La conoscenza delle contromisure, infatti, inficia l’efficacia delle stesse riportando quel rischio che cercano di mitigare a livelli inaccettabili e non conformi all’art. 32 del GDPR 679/2016 che recita: “Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile, e l’estrapolazione di quella richiesta comporta oneri per l’amministrazione e scarsi benefici per il richiedente per i motivi esposti. Inoltre, è già riconosciuta una più ampia tutela al cittadino dalla stessa normativa sulla privacy che impone la redazione della documentazione richiesta. Ci riferiamo al “reclamo diretto al Garante” che ciascun cittadino, direttamente, autonomamente, liberamente, facilmente, e senza costi può richiedere direttamente all’ Autorità, la sola che può formulare giudizi di legittimità e di merito in materia, applicare sanzioni e obbligare al rispetto delle norme. Non potendosi, nonostante le dichiarate intenzioni, sostituire all’ Autorità di controllo, la richiesta di documentazione tecnica, valutabile solo nel merito, appare una immotivata richiesta di controllo generalizzato, non supportato da vero interesse conoscitivo, all’esistenza o meno della documentazione prodotta, fra l’altro di tutti gli Istituti d’Italia. La documentazione relativa alle misure tecniche adottate andrebbe poi “epurata” dai dati personali dei preposti coinvolti tutelati dall’art 5-bis comma 2 D. Lgs. n. 33/2013 e, in alcuni casi effettuata anche la richiesta ai controinteressati. Infine, pur non rientrando appieno nelle motivazioni di diniego che qui si stanno documentando, preme richiamare gli stessi attivisti di Monitora PA ai possibili pericoli derivanti dalle loro stesse campagne di attivismo digitale. La ragione è basata, principalmente, sulla considerazione che le attività promosse si traducono in trattamenti sistematici di dati personali su larga scala, riconducibili all’esecuzione metodica e coordinata di verifiche e segnalazioni. Fissata la finalità di questa iniziativa, dichiarata nella sua stessa richiesta: “tutti i documenti e le risposte positive o negative ricevute a seguito della presente richiesta di accesso civico generalizzato saranno automaticamente resi accessibili al pubblico, privati dei dati personali eventualmente presenti nella mail di accompagnamento, tramite una apposita sezione del nostro sito, così da poter essere analizzati da studiosi e specialisti nell’ambito della protezione dei dati e del software libero” e posto quindi che l’utilizzo dei dati raccolti non rientra nella casistica di cui all’art 2, par. 2, lett. c) del RGPD (non applicabilità del Regolamento in caso di uso di dati per motivi domestici), è da ritenere che anche Monitora PA e i suoi componenti siano tenuti agli adempimenti che la normativa in materia di protezione dei dati personali pone in capo al titolare del trattamento, primo fra tutti l’obbligo di rendere l'informativa, che nessuno, tra 1 destinatari delle comunicazioni in questione, ha mai avuto modo di consultare. Per di più, riferendoci ad un trattamento che, per la presenza stessa di numerosi dati di contesto, può portare ad una facile identificazione degli interessati, e che presumibilmente è stato effettuato attraverso strumenti automatizzati senza intervento di operatore, per cui è ipotizzabile l’applicazione anche della normativa in materia di comunicazioni indesiderate, la quale trova attuazione anche nei confronti dei dati di contatto di persone giuridiche. Per le motivazioni esposte si ritiene pertanto la sua richiesta di accesso civico inammissibile. Ardea, 14 ottobre 2022 La Dirigente scolastica