MINISTERO DELL’ISTRUZIONE 15 PERTINEFALGONE UFFICIO SCOLASTICO REGIONALE PER IL LAZIO LI.S. Via Lentini 78 Pertini - Falcone RMIS10200L - C.F. 97712650585 — Distretto 16 - Ambito 4 Sede legale: LI.S. “VIA LENTINI 78” Via Lentini n.78 - 00133 Roma Tel, 06 97859616 - e-mail: rmis10200l@istruzione.it - rmis102001@pec.istruzione.it Oggetto: Richiesta FOIA-01-RM/S10200L Egr. sig. Fabio PIETROSANTI, facciamo seguito alla Sua richiesta FOIA di Accesso Civico Generalizzato, pervenuta via PEC allo scrivente Istituto in data 19/09/2022 e protocollata con protocollo n. 6107/22 per comunicarle i risultati della procedura di esame e valutazione delle richieste da Lei inoltrate. Richiesta 1— Copia dei contratti per gli A.S. 2020-21, 2021-22, 2022-23 Precisazione La definizione di contratto è contenuta nell'art. 1321 del Codice Civile: _28_ [omissis] contratto regola quindi rapporti economici tra i sottoscrittori. Servizi di posta elettronica L'Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DaD/DDI Le piattaforme DaD/DDI utilizzate dall'Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini e condizioni di utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell'attivazione del servizio. | termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: - Google for Workspace: https://workspace.google.it/intl/it/terms/education terms.html - Google for Workspace (Termini integrativi): https://workspace.google.it/intl/it/terms/service- terms/index.html - Microsoft 365: https://www.microsoft.com/en/microsoft-365/business/terms-and-conditions - Weschool: https://www.weschool.com/termini-e-condizioni/ - Weschool: https://wp-assets.weschool.com/wp-content/uploads/2021/09/10100756/WeSchool- Contratto-Scuole-V3-30092020-1.pdf L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Registro Elettronico e Segreteria Digitale raggiungibile dal sito istituzionale, in osservanza 1 L'istituto non può del D.LGS. N. quindi accogliere la richiesta, 33/2013. pubblicamente. in quanto trattasi di documenti già disponibili Richiesta 2 — DPIA per piatta forma DDI per gli A.S. 2020-2 1 e 2021-22 La valutazione di impatto sull a protezione dei dati (DPIA) UE 679/2016 GDPR. La DPIA è regolata dall'art. 35 comma è obbligatoria in casi Specifici 3 del Regolamento di dati in ambito scolastico : gli e normati, tra i quali non ric istituti scolastici infatti non eff adono i trattamenti né su larga scala (punto b) né sist ettuano trattamenti automatiz ematici (punto c). zati (punto a), Anche il Garante italiano per la Privacy con il provvedimento ha dichiarato che non è prevista n. 64 del 26 marzo 2020 (doc. la DPIA per questa tipologia di web n. 9300784) trattamento: _29_ [omissis] normativa emergenziale in vigore negli anni scolastici in dichiarato che NON era richiesta oggetto, il Garante Italiano ha la DPIA per il trattamento effettua altresì un servizio online di videoc to da una singola scuola nell'amb onferenza o di una piattaforma. ito di Le DPIA dei fornitori di piattaforme DDI sono comunq ue disponibili sui siti web delle questione. piattaforme in - . Microsoft: https://leam.micro soft.com/en-us/com pliance/regulatory/gdpr-dpia-offi ce365 L'istituto non può quindi accoglie re la richiesta, in quanto trattasi di documenti non previsti né obbl igatori, Richiesta 3 — Misure tecniche prev iste ed adottate per piattaforme e servizi più complessi La richiesta non è chiara, dal momento che non specifica “pia “servizi più complessi” rispetto ttaforme più complesse” rispetto a cosa. L'Istituto non fa uso di a cosa, o ad un ambiente scolastico . L'ut appl icativi aggiuntivi complessi non ilizzo delle piattaforme multimed confacenti l'ottenimento di uno strumento iali si è sempre indirizzato efficace e complementare dell verso dalla nota del Garante Italiano in e attività di didattica, così com data 26 marzo 2020. e rico rdat o La scuola ha attivato una gest ione peculiare della piattaforma attivando le sole funzionalità previste e non collegate agli studenti. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di docu menti non previsti né obbligatori. Richiesta 4 — DPIA per posta elet tronica, DDI, registro elettronico per l’A.S. 2022-23 Posta Elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia. E pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall'art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art, 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)." Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione. - Microsoft: https://learn.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-office365 - Google: https://cloud.google.com/privacy/data-protection-impact-assessment L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. Registro elettronico L'Istituto scrivente ha recepito all'atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. L'Istituto scrivente ha sottoscritto un contratto di prestazione di servizio con la software house Gruppo Spaggiari Parma S.p.A. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 5 — Valutazione di impatto sul trasferimento di dati all’estero per l’A.S. 2022-23 Posta elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di valutazione di impatto per TIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, vide oconferenza, etc) L'Istituto scrivente (Gmail, Classroom, GoToMeeting) rego ha attivato i soli servizi essenziali lati da un contratto che vincola Goo alla non divulgazione, e ha scelto come gle/GoTo alla non registrazione e base dati la server farm europea di Goog inutile la redazione della TIA. le/GoTo. Questa scelta rende A questi link sono reperibili le document azioni Google legate alla scelta della attivati: data region e ai servizi essenziali - https://support.google.com/a/a nswer/6356441?hI=en - https://support.google.com/a/a nswer/7630496 - https://support.google.com/a/answ er/9223653?hl=en - https://support.google.com/a/a nswer/60762?hl=en - https://www.goto.com/it/company/l egal/privacy Trattandosi di una particolare valutazi one di impatto sulla protezione dei trasferiti all’estero), questa tipologi dati (in questo specifico caso a di trattamento è anch'essa regolata Regolamento UE 679/2016 GDPR. La dall'art. 35 comma 3 del TIA è obbligatoria in casi specifici e trattamenti di dati in ambito scolasti normati, tra i quali non ricadono i co: gli istituti scolastici infatti non effe (punto a), né su larga scala (punto b) ttuano trattamenti automatizzati né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marz ha dichiarato che non è prevista la DPIA o 2020 (doc. web n. 9300784) per questa tipologia di trattamento: “La valutazione di impatto, che degli interessati. Ad esempio, non è richiesta la valutazione di impatto singola scuola (non, quindi, su larga per il trattamento effettuato da una scala) nell’ambito dell'utilizzo di un di una piattaforma che non consente servizio on line di videoconferenza il monitoraggio sistematico degli utent o soluzioni tecn i o comunque non ricorre a nuove ologiche. particolarmente invasive (qual i, tra le altre, quelle che comportano utilizzo dei dati di geolocalizzazione 0 biom nuove forme di etrici).” L'istituto non può quindi accogliere la richiesta, in quanto trattasi di docu menti non previsti né obbligatori. Registro elettronico L'Istituto scrivente ha recepito all'atto della sottoscrizione del cont redatta dalla software house fornitrice. ratto di prestazione di servizio la TIA L'Istituto scrivente ha sottoscritto un contratt o di prestazione di servizio con Spaggiari Parma S.p.A. Le TIA delle soft la software house Gruppo ware house fornitrici del servizio sono scheda del servizio SaaS presente pubb liche e reperibili nella nel Marketplace AgiD: https://catalogo L'istituto non può cloud.agid.gov.it/ quindi accogliere la richiesta, in Quan pubblicamente, to trattasi di documenti già disponibili Richiesta 6 — Valutazione comparativa per l’A.S. 2022-23 E Posta elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte necessità di Valutazione Comparativa a livello Ministeriale; la è stata quindi esaminata centralmente L'istituto non può quin dal Ministero competente, di accogliere la richiesta, in Quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibil ità. [omissis] Didattica a Distanza (DaD) non è più uno strumento previsto dal Mini nella Nota 1199 del 28 agosto 2022 stero competente, come indicato nella quale si legge che l’obiettivo garantire la frequenza scolastica in per l’anno scolastico 2022-2023 è presenza, limitando al massimo l'imp atto delle misure di contenimento dell'epidemia. E' pertanto un errore richiedere una Valutazione Comparativa su un servizio (la DaD) non più attivabile. Per quanto concerne le piattaforme DDI, nell’anno scolastico 2022/2023 l’Istituto scrivente ha operato in continuità con gli anni scolastici precedenti: non è stata quindi effettuata nessuna valutazione comparativa, poiché è stato confermato l'utilizzo degli strumenti già attivati in precedenza, avendo osservato, nel caso di migrazione, un concreto rischio di eccessivi oneri in termini di costi di migrazione e formazione del personale. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro [omissis] peculiare struttura del mercato di riferimento, il contenuto numero di operatori attivi, la particolare soddisfazione maturata nel precedente rapporto contrattuale e la relativa competitività del prezzo offerto, valutati gli eccessivi oneri in termini di costi (per migrazione, formazione del personale docente, formazione del personale non docente) e valutati i rischi per l'integrità dei dati trattati in caso di migrazione, l’Istituto scrivente ha confermato e rinnovato in affidamento diretto il contratto stipulato con il fornitore degli anni aggiornate al D.Lgs 56/2017. Di conseguenza non è stata effettuata alcuna valutazione comparativa. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documento non previsto né obbligatorio. Roma, 18/10/2022 Il Dirigente Scolastico [omissis] rac cafminbam a sini iigitprac < n A ateie e il ee ha) tuba ppiBC ai ri LagrariaTia Marg Cip ep] fat iii pe eb cuenta Ù STEP IE tam o nei stente ‘2 sile ietnenita de ta fee e rg dit sten = I interi [omissis] pria tar al a Vla Sat iP peli dl mbustre1 epr e 1° Jana «e ni MLA Agra E E ptt 4 mam k se fatti qui pi, at alta hi Jet velina iL PPTRa La 24 1 ef