Prot. 0008982/U del 07/12/2022 15:43 Via Rocca di Papa, 113 - 00179 Roma CR s ISTITUTO DI ISTRUZIONE SUPERIORE tel. 06-121122305 - fax. 06-96040553 “l 4 tel. 06-121122185 - fax. 06-7821510 MINISTERO DELL'ISTRUZIONE PEC: rmis00800p@ pec.istruzione.it -PEO: rmis00800p@istruzione.it -SITO WEB: www.leopoldopirelli.edu.it- C.F. 80211390580- C.U. UFTLAA- Roma, 7 dicembre 2022 A Fabio Pietrosanti comunicazioni@pec.monitora-pa.it e p.c. AL DIRETTORE DELL’USR [omissis] Email: drla@ postacert.istruzione.it Oggetto: Riesame della richiesta di accesso civico generalizzato, ai sensi dell’art. 5 e seguenti del D.lgs. n. 33 del 14/03/2013 — Provvedimento del Responsabile della Prevenzione della Corruzione e della Trasparenza delle Istituzioni Scolastiche del Lazio Prot. n. 47740 del 01/12/2022. In riscontro al provvedimento in oggetto, con il quale il Direttore dell’USR Lazio, in qualità di RPCT, accoglie la richiesta presentata il 14/11/2022 dal Sig. Fabio Pietrosanti con riguardo si rappresenta quanto segue: 1. copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023: e L'Istituto utilizza le caselle di posta elettronica istituzionali fornite dal Ministero dell'Istruzione ma non è in possesso dei relativi contratti e L'istituto utilizza la posta istituzionale @istruzione.it e @pec.istruzione.it e Messaggistica: nonviene utilizzato alcun sistema e DAD e DDI e posta elettronica diversa da @istruzione.it: la scuola utilizza il dominio@leopoldopirelli.edu.it attraverso la piattaforma Google Workspace for Education di cui si evidenzia il link al contratto d’uso: https://workspace.google.com/terms/education _terms.html e Link al sito dell'Istituto nella sezione dedicata “Didatticaa distanza” contenente il regolamento e altra documentazione per l'utilizzo Gsuite for Education come piattaforma strumentale alla didattica a distanza, di cui alla Delibera n.3 del Consiglio d'Istituto del 28/10/2020 per integrazione al Regolamento di Istituto per la Didattica Digitale Integrata https://www.leopoldopirelli.edu.it/didattica-a-distanza/ e Contratto con il gestore della piattaforma Segreteria Digitale e Registro Elettronico, contratto stipulato con la società Axios Italia Service Srl, formalizzato attraverso il “Modulo d’ordine” che l’Istituto ha inviato in Axios (attraverso la rete vendita) e regolamentato attraverso i seguenti documenti: Contratto e Licenza d'Uso scaricabile dal sito web di Axios al seguente link: https://axiositalia.it/wpcontent/uploads/2022/09/M.GES 03.06 Licenza duso software Axios 20 22092 9 _signed.pdf e In conformità all'art. 28 del Regolamento UE 2016/679 (Responsabile del trattamento), Axios rende disponibile sul proprio sito web il documento “DPA (Data Processing Agreement)”: https://axiositalia.it/wp-content/uploads/2022/09/29.09.22- DPA Axios Italia Srl 2 signed.pdf e Le misure di sicurezza adottate nella gestione e protezione dei dati trattati da Axios sono descritte nel documento “Policy di sicurezza” scaricabile dal sito web di Axios: https://axiositalia.it/wp-content/uploads/2022/09/29.09.22, Policy Sicurezza Axios Italia Srl signed.pdf Link alla determina di aggiudicazione AXIOS e Rinnovo Pacchetto AXIOS Diamond 2022 già pubblicati in Amministrazione Trasparente: https://www.leopoldopirelli.edu.it/amministrazione- trasparente/ L'Istituzione scolastica “Leopoldo Pirelli” non ha esperito negli anni scolastici indicati alcuna procedura di acquisto di piattaforme per la didattica a distanza, limitandosi all’uso di software gratuiti autorizzati dal Ministero dell'Istruzione e da AGID, in conformità a quanto riportato nel provvedimento del Garante per la protezione dei dati personali del 26 marzo 2020. 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022. L'Istituto non ha redatto alcuna DPIA relativamente alle piattaforme informatiche utilizzate negli anni scolastici 2020/2021, 2021/2022 per le attività DAD/DDI. A questo proposito si richiama l’articolo 35 del GDPR che prevede che la valutazione d’impatto debba essere effettuata quando il trattamento dei dati “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” e riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell'elenco che l'autorità di controllo redige e rende pubblico. Si richiama altresì il provvedimento del Garante Privacy del 26 marzo 2020 che afferma che la valutazione d'impatto «non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)». Stesso parere è espresso nella nota 12 ottobre 2022, prot. 39482, dell’Avvocatura generale dello Stato che, proprio in relazione a tale punto della richiesta di accesso civico generalizzato presentata da Monitora PA, afferma: “sembrerebbe che nel caso in esame non vi fossero i presupposti per il sorgere dell'obbligo di redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali”. Prosegue poi il parere dell'Avvocatura generale dello Stato: “Conseguentemente, con riferimento alla richiesta di cui al punto 2 dell'istanza, sembrerebbe possibile rispondere che l’Istituto scolastico non è in possesso del documento richiesto poiché non era tenuto ad effettuare alcuna DPIA, fatta eccezione per quei casi limite in cui una Scuola abbia in concreto scelto di dotarsi di strumenti per i quali la DPIA fosse prevista come obbligatoria. Analoghe argomentazioni valgono con riferimento ai punti 4 e 5 della richiesta (“punto 4. copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023). 3. copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023. In riferimento al terzo quesito posto da Monitora PA si riporta il parere espresso nella nota 12 ottobre 2022, prot. 39482, dell'Avvocatura generale dello Stato: “In merito appare opportuno valutare se quanto richiesto (ndr: al punto 3 dell'istanza di Monitora PA) possa comportare un onere di lavoro eccessivo rispetto all'interesse conoscitivo sotteso all’istanza, fermo restando che con riferimento a tale punto dell’istanza, come certamente per il punto n. 1, parrebbero porsi in modo rilevante le esigenze di protezione dei dati dei controinteressati, con tutte le conseguenze già esaminate. La richiesta appare inoltre generica non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che in quanto “non rivolti esclusivamente alla didattica” sembrano esulare dai compiti istituzionali di codesta Amministrazione”. Constatata la natura generica e meramente esplorativa della richiesta, non essendo nemmeno chiaro cosa si intenda per “piattaforme più complesse” e “servizi più complessi” stante l’uso esclusivo delle piattaforme adottate per fini istituzionali, si trasmettono i documenti tecnici relativi alle misure tecniche adottate dall'Istituto scolastico con la precisazione che non vengono compiute operazioni complesse o ulteriori rispetto a quelle relative all’ordinaria didattica: link al regolamento DAD/DDI deliberata dagli OOCC: https://www.leopoldopirelli.edu.it/didattica-a-distanza/, link alle misure a tutela della privacy nell’utilizzo della piattaforma strumentale alla didattica a distanza: https://www.leopoldopirelli.edu.it/didattica-a- distanza/, https://www.leopoldopirelli.edu.it/privacy-ue/ 4. copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. L'istituzione scolastica non è in possesso del documento richiesto perché non tenuto alla sua redazione (al punto 2 i pareri del Garante Privacy e dell’Avvocatura Generale dello Stato). 5. copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023. L'istituzione scolastica non è in possesso del documento richiesto perché non tenuto alla sua redazione (al punto 2 i pareri del Garante Privacy e dell’Avvocatura Generale dello Stato). 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. Le soluzioni commerciali a pagamento per i servizi di segreteria digitale e registro elettronico sono state adottate nel rispetto del vigente codice degli appalti a seguito di una comparazione tecnico economica fra diverse soluzioni sul mercato. La piattaforma cloud per il supporto delle attività didattiche è stata scelta fra le risorse gratuite raccomandate dal Ministero in occasione dell’entrata in vigore delle misure di emergenza anticovid valutando parametri quali affidabilità, sicurezza, facilità d’uso e diffusione. Distinti saluti Il Dirigente Scolastico [omissis] Documento firmato digitalmente ai sensi del codice dell’amministrazione digitale e norme ad esso connesse