la]
           i




  UNIONE EUROPEA                                                     i
                       MINISTERO      DELL’ISTRUZIONE DELL’UNIVERSITA’ E DELLA RICERCA
                                    UFFICIO SCOLASTICO  REGIONALE PER IL LAZIO
                                       ISTITUTO COMPRENSIVO VIA DEL CALICE
                                    VIA DEL CALICE 34/1 - 00178 ROMA - Tel. 06/95955158
                                              C.F. 97713080584 - C.M. RMIC8GF005
                               e-mail: rmic80f005@istruzione.it -PEC: rmic8£f005@pec.istruzione.it
                                                Sito WEB   www.viadelcalice.edu.it




Egr. sig. Fabio Pietrosanti,

facciamo seguito alla sua richiesta di accesso civico e, sulla base di quanto statuito dall’ USR in qualità
di RPCT, le forniamo il seguente riscontro ai sensi dell’art. 5 del D. Lgs. n. 33 del 2013, corredato di
tutte le risposte alle domande da lei poste.

RICHIESTA N. 1: “copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico 
in indirizzo ha utilizzato ed utilizzerà 1 servizi di posta elettronica, messaggistica, videoconferenza,
didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni
scolastici 2020/2021, 2021/2022, 2022/2023”
Pur ritenendo tale richiesta eccessivamente generica, possiamo fornire le seguenti indicazioni, restando
disponibili nel caso in cui si rendessero necessarie integrazioni.
POSTA ELETTRONICA
Lo scrivente Istituto utilizza la casella di posta ministeriale ed un indirizzo di posta certificata anch'esso
fornito direttamente dal Ministero. I fornitori di tali servizi sono scelti direttamente a livello ministeriale
motivo per cui eventuali contratti in tal senso dovranno essere domandati direttamente al Ministero
dell’Istruzione.
PIATTAFORMA DaD
Come tutti gli istituti scolastici italiani, anche lo scrivente ha negli anni utilizzato 1 soli sistemi indicati
come attendibili dal Ministero dell’Istruzione.
In particolare, si riporta il link per accedere ai Termini e Condizioni delle principali piattaforme in
quanto contenenti le clausole regolatrici del rapporto:
Google Workspace edu: LINK
Microsoft 365: LINK
Weschool: LINK
REGISTRO ELETTRONICO
I termini e condizioni che regolano il rapporto tra l’Istituto scrivente e la società distributrice del
Registro Elettronico sono 1 seguenti:
         Axios: LINK

RICHIESTA N. 2: “copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata
dall’Istituto Scolastico  in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza
o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici
2020/2021, 2021/2022”
Sul punto si evidenzia che con provvedimento del 26 marzo 2020 1l Garante Privacy ha voluto fornire
una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici.
In particolare, il Garante, con riferimento alle DPIA, ha così affermato: “/a valutazione di impatto, che
l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento
effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni
peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne
i rischi per i diritti e le libertà degli interessati.” A tal riguardo, occorre precisare che, con predetto
provvedimento, il Garante non ha in alcun modo derogato all’applicazione del GDPR per asseriti motivi
emergenziali (come sotteso nella sua in esame), in quanto, in primis, non ne avrebbe nemmeno il potere.
L'Autorità ha solo fornito interpretazioni e precisazioni utili a comprendere il corretto approccio alla
didattica a distanza in vista della sua massiva adozione, evitando così il frammentarsi delle prassi e il
dilagare della confusione in un momento già di per sé particolarmente complicato. Per questo la sua
richiesta è da ritenere inammissibile.

RICHIESTA N. 3: “copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto
scolastico  in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di
utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti
esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”
Tale richiesta è eccessivamente generica e meramente esplorativa, motivo per cui non può essere
soddisfatta. Sul punto, le linee guida ANAC precisano che “/’istanza di accesso civico identifica i dati,
le informazioni o i documenti richiesti’; pertanto non è ammissibile una richiesta meramente
esplorativa, volta semplicemente a “scoprire” di quali informazioni l’amministrazione dispone. Le
richieste, inoltre, non devono essere generiche, ma consentire l'individuazione del dato, del documento
o dell’informazione con riferimento, almeno, alla loro natura e al loro oggetto.
Ad ogni modo, si specifica che lo scrivente Istituto ha da anni adottato una seria di misure tecniche e
organizzative quali: formazione e nomina del personale; gestione delle password; gestione degli
incidenti informatici ecc. ecc.
A tali misure, a partire dal 2022, è stato aggiunto un complesso sistema di gestione dei dati fornito dal
DPO al fine di consentire una maggiore consapevolezza in merito alla tematica della protezione dei
dati, in costante aggiornamento e sviluppo. In tal senso, l’Istituto deve ritenersi al corrente della
necessità di minimizzare i trattamenti di dati, evitando processi superflui nonché evitando di fornire
dati a terzi non previamente nominati come responsabili del trattamento, in particolare qualora il ricorso
a                      tali                   soggetti                  sia                    superfluo.
Infine l’Istituto scrivente,   a garanzia della sicurezza dei sistemi utilizzati, si affida a soli fornitori
certificati AGID e presenti sul marketplace apposito.

RICHIESTA N. 4: “copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi
dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica,
messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico,
adottate nell’anno scolastico  2022/2023 dall’Istituto in indirizzo”
Sul punto, si precisa che l’art. 35 del GDPR prevede precisi casi in cui è necessaria la DPIA. Tra questi
non rientrano quelli in esame. Non solo, il Garante Privacy ha pubblicato altresì un elenco
esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA e, tra questi, non sono presenti quelli
citati dal richiedente. L’osservatore attento noterà tuttavia che, al numero 6, si fa riferimento al
trattamento di dati di minori. Ebbene, sul punto, nella pagina dedicata proprio alla valutazione
d'impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non
occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da
sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga
scala". Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”,
elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento
alla singola scuola.

RICHIESTA N. 53: “copia della valutazione di impatto del trasferimento dei dari all’estero( {A},
afferente alPeventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori delP’Unione
Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica,
messaggistica, videoconferenza, didattica 0 distanza, didattica digitale integrata, registro elettronico,
adottati nell'anno scolastico  2022/2023 dlIstituto in indirizzo”
In merito a questo punto occorre evidenziare che le scuole italiane possono utilizzare solo fornitori
accreditati AGID, secondo rigide procedure di accreditamento. Non solo. Il Ministero dell’Istruzione
ha selezionato, per tutte le scuole, le tre piattaforme utilizzabili, suggerendole anche sul proprio sito.
La scuola pertanto non ha effettuato alcuna valutazione di impatto essendo il rischio calcolato a monte
dalle citate istituzioni centrali. Se ci fossero stati dei problemi, AGID e Ministero sarebbero intervenuti
revocando le certificazioni.


RICHIESTA N. 6: “copia della valutazione comparativa ai sensi dell'art. 68 del & fos. 7/0/2065 n.
Si realizzata per provvedere all'acquisizione delle piattaforme di posta elefironica, messaggistica,
videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottare
nell’anno scolastico  2022/2023 dall'istituto in Indirizzo”
La richiesta appare meramente esplorativa; come è noto gli acquisti delle scuole vanno fatti applicando
tutte le norme in vigore; quindi, non solo il CAD citato dal richiedente ma anche il codice dei contratti
e il regolamento di contabilità delle scuole, che non indicano alcun chiaro obbligo di conservare agli
atti della scuola valutazioni comparative per acquisti sottosoglia.

A disposizione per eventuali ulteriori richieste.




                                                                            Il Dirigente scolastico 
                                                                         [omissis] 

                                                                        Firma autografa omessa ai sensi
                                                                          dell’art. 3 del D.Lgs. 39/1993