ISTITUTO COMPRENSIVO MAHATMA GANDHI - C.F. 97712150586 C.M. RMIC8ESOOL - A5566 - ic mahatma gandhi Prot. 0006087/U del 18/10/2022 12:12 » ISTITUTO COMPRENSIVO “MAHATMA GANDHI” Via Corinaldo, 4I ROMA 00156 - M06.4112298 - 4116443. C.F. 97712150586 — Codice Meccanografico RMIC8ES00L C.U.: UFW8GW rmic8es00la istruzione.it - _rmic8es001 (@PEC.ISTRUZIONE.IT www.icmahatmagandhi.it La presente viene redatta in risposta alla richiesta di Accesso Civico Generalizzato, effettuata dal [omissis] in data 19 settembre 2022, In data 19 settembre il Sig. Pietrosanti Fabio. (c.f. PTRFBA80M31E472W), identificato a mezzo carta di identità CA16562AG, inviava una pec all'istituto comprensivo [omissis] (di qui in avanti “istituto”), esercitando il proprio diritto di Accesso Civico Generalizzato a documenti di pertinenza dell'istituto, Sentito il Dpo in carica per l'istituto e di concerto con la [omissis] richiesta del Sig. Pietrosanti è stata attentamente valutata da parte dello scrivente istituto. Risposte ai quesiti. 1. Relativamente alla richiesta “copia del contratto o altro atto giuridico il forza del quale /Tstituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023;", \’istituto ha espresso la seguente posizione: a in considerazione del fatto che i fornitori dei servizi di posta e posta elettronica certificata sono stati scelti a livello ministeriale e che la scuola è obbligata ad utilizzare detti strumenti (caselle @istruzione.it e @pec.istruzione.it), b in considerazione del fatto che alcuni contratti sono stabiliti con stake holder del mercato mondiale e che gli stessi rendono disponibile gratuitamente i loro servizi per l'istituto, in considerazione del fatto che i contratti dei servizi a carattere gratuito sono reperibili nei seguenti link: Weschool: https://www.weschool.com/termini-e-condizioni/ c in considerazione del fatto che i contratti di Registro elettronico e segreteria digitale sono pubblicati nella sezione “amministrazione trasparente” reperibile nei seguenti ISTITUTO COMPRENSIVO MAHATMA GANDHI - C.F. 97712150586 C.M. RMIC8ESOOL - A5566 - ic mahatma gandhi Prot. 0006087/U del 18/10/2022 12:12 link: https://www.icmahatmagandhi.edu.it/ in considerazione a quanto sopra la richiesta viene soddisfatta. Le evidenze documentali in merito sono reperibili attraverso i link indicati nei punti c e d. 2. Relativamente alla richiesta “copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022;", l'istituto ha espresso la seguente posizione: a in considerazione che i trattamenti effettuati dall'istituto in qualità di Titolare del trattamento non rientrano nella definizione di larga scala, come richiamato dall'Autorità Garante per la privacy nel parere del 26 Marzo 2020, paragrafo 2 (“La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuole (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)."),jn considerazione della valutazione di assenza di rischi rilevanti valutati dall'istituto, b in considerazione del provvedimento del Garante Privacy del 26 marzo 2020 che recita “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, NON E' NECESSARIA se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati”, in considerazione a quanto sopra la richiesta non può essere soddisfatta. 3. Relativamente alla richiesta “ copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2025;", l'istituto ha espresso la seguente posizione: a in considerazione della non chiara definizione “piattaforme più complesse che eroghino servizi più complessi ...”, la quale non sembra essere applicabile ai servizi utilizzati da questo istituto poiché lo stesso ha attivato unicamente i soli servizi essenziali che vincolano i fornitori degli stessi alla non registrazione ed alla non divulgazione dei dati personali, ISTITUTO COMPRENSIVO MAHATMA GANDHI - C.F. 97712150586 C.M. RMIC8ESOOL - A5566 - ic mahatma gandhi Prot. 0006087/U del 18/10/2022 12:12 b in considerazione del continuo progresso tecnologico che ha portato con cadenza anche mensile all'adozione di misure di diversa natura nonché alla continua modifica delle stesse, c in considerazione dello sforzo produttivo sproporzionato che occorrerebbe per poter ricostruire esaustivamente le misure adottate nel corso degli anni oggetto della richiesta, d in considerazione della necessità di mantenere riservate le misure di sicurezza interne dell'Istituto, poiché la loro ostensione permetterebbe di comprendere eventuali fragilità della struttura IT implementata ovvero la comprensione di rischi ritenuti come “accettabili” dal Titolare nel rispetto dell'Art. 32 del Reg.Ue. 2016/679 (‘tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le liberta delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:”), e in considerazione dell'obbligo di non porre pregiudizio alla tutela dei dati personali, di cui l'istituto è Titolare, permettendo di mappare le aree maggiormente fragili della struttura IT implementata dall'Istituto e nel rispetto dell'Art. 5-bis del D.lgs 14/03/2013, n. 33 (2. L'accesso di cui all'articolo 5, comma 2, e' altresi’ rifiutato se il diniego e' necessario per evitare un pregiudizio concreto alla tutela di uno dei seguenti interessi privati: a) la protezione dei dati personali, in conformita’ con la disciplina legislativa in materia ..."), f in considerazione dell'utilizzo del Registro Elettronico fornito da Axios, sono state rese disponibili (https://axiositalia.it/wp-content/uploads/2022/09/29.09.22- Policy Sicurezza Axios Italia Srl signed.pdf) le misure di sicurezza previste per il servizio fornito dalla società stessa, in considerazione a quanto sopra la richiesta viene soddisfatta con l'ostensione delle misure di sicurezza adottate da Axios. Le evidenze documentali in merito sono reperibili attraverso il link indicato nel punto f. 4. Relativamente alla richiesta “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo;", V'istituto ha espresso la seguente posizione: a in considerazione dell'inapplicabilità della Dpia ai servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, stante quanto previsto dal Reg.Ue. 2016/679 in materia di Dpia, b in considerazione dell'abbandono della Didattica Digitale Integrata, considerata non più strumento previsto dal Ministero dell'Istruzione, come da nota 1199 del 28 agosto 2022, ( Faq “Gli alunni positivi possono seguire l’attività scolastica nella modalità della didattica digitale integrata? No. La normativa speciale per il contesto scolastico legata al virus SARS-CoV-2, che consentiva tale modalità, cessa i propri effetti con la conclusione dell’anno scolastico 2021/2022.” ISTITUTO COMPRENSIVO MAHATMA GANDHI - C.F. 97712150586 C.M. RMIC8ESOOL - A5566 - ic mahatma gandhi Prot. 0006087/U del 18/10/2022 12:12 c in considerazione del parere del 26 Marzo 2020, dell'Autorità Garante per la privacy, paragrafo 2 (‘La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non é richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti 0 comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra fe altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). °), d in considerazione della necessità di mantenere riservate le misure di sicurezza contenute nella Dpia del Registro Elettronico per l’anno 2022-2023, poiché la loro ostensione permetterebbe di comprendere eventuali fragilità della struttura IT implementata ovvero la comprensione di rischi ritenuti come “accettabili” dal Titolare nel rispetto dell'Art. 32 del Reg.Ue. 2016/679 (‘tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalita del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le liberta delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:"), e in considerazione dell'obbligo di non porre pregiudizio alla tutela dei dati personali, di cui l’istituto è Titolare, permettendo di mappare le aree maggiormente fragili della struttura IT implementata dall'Istituto e nel rispetto dell'Art. 5-bis del D.lgs 14/03/2013, n. 33 (2. L'accesso di cui all'articolo 5, comma 2, e' altresi' rifiutato se il diniego e' necessario per evitare un pregiudizio concreto alla tutela di uno dei seguenti interessi privati: a) la protezione dei dati personali, in conformita’ con la disciplina legislativa in materia 9), in considerazione a quanto sopra la richiesta non può essere soddisfatta. 5. Relativamente alla richiesta “copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo.”, l'istituto ha espresso la seguente posizione: a in considerazione del fatto che le scuole italiane possono utilizzare solo fornitori accreditati AGID secondo rigide procedure di accreditamento, b in considerazione del fatto che allo stato attuale non risulta un trattamento dati di cui istituto sia Titolare e che comporti il trasferimento di dati verso stati esteri, in considerazione a quanto sopra la richiesta non può essere soddisfatta. 6. Relativamente alla richiesta “ copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, ISTITUTO COMPRENSIVO MAHATMA GANDHI - C.F. 97712150586 C.M. RMIC8ESOOL - A5566 - ic mahatma gandhi Prot. 0006087/U del 18/10/2022 12:12 registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo;", \'istituto ha espresso la seguente posizione: a in considerazione dell'assenza, relativamente all'anno scolastico 2022/23, di rinnovi contrattuali o nuove collaborazioni con piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico; in considerazione di quanto sopra indicato la richiesta non può essere soddisfatta La Dirigente scolastica