Ministero dell’Istruzione UFFICIO [omissis] LAZIO I.T.C.G.S. “PAOLO TOSCANELLI” 00122 Roma Lido - Via delle Rande, 22 - XXI Distretto Mail: rmtd640001@pec.istruzione.it - rmtd640001@istruzione.it - Web: https:/itcegtoscanelli.edu.it Tel: 06.121127590 — Fax: 06.56000338 — CF: 8019629058 Sede succursale: 00122 Roma Lido—Via Capo Sperone, 52 Tel: 06.121127480 Fax: 06.67666347- Vicepresidente: 06.121127481 Roma, 18.10.2022 Al Sig. Fabio Pietrosanti, con domicilio digitale all’indirizzo Pec: comunicazioni@pec.monitora-pa.it; p.c. Al Direttore Generale Ufficio Scolastico Regione Lazio Pec: drla@postacert.istruzione.it Oggetto: Richiesta FOIA-01-RMTD640001 Egr. sig. Fabio PIETROSANTI, facciamo seguito alla Sua richiesta FOIA di Accesso Civico Generalizzato, pervenuta via PEC allo scrivente Istituto in data 19/09/2022 e protocollata con protocollo n. 5187/2022 del 21/09/2022 per comunicarLe i risultati della procedura di esame e valutazione delle richieste da Lei inoltrate. PREMESSA Il D.Lgs. n. 33 del 2013, modificato dal successivo D.Lgs. 97 del 2016, “Recante revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione pubblicità e trasparenza” ha introdotto nel nostro ordinamento, quale ultima tappa della trasparenza amministrativa, l’istituto dell'accesso civico generalizzato (art. 5, comma 2, d.lgs. 97/2016). Quest'ultimo lascia inalterato il comma 1 dell’articolo 5 del D.Lgs. 33/2013, che prevede l’accesso per gli atti oggetto dell'obbligo di pubblicazione (accesso civico c.d. semplice) e introduce al comma 2 un accesso anche per quegli atti non oggetto di pubblicazione (accesso civico generalizzato). La nuova tipologia di accesso, legata sempre ad una dimensione generalizzata dell’accessibilità, dispone il diritto del cittadino di accedere anche a tutti gli altri documenti e dati che non sono espressamente contemplati dagli obblighi di pubblicazione sui siti istituzionali delle amministrazioni. La regola generale dell’accessibilità deve però essere temperata dalla previsione di eccezioni poste a tutela di interessi pubblici e privati che possono subire un pregiudizio dalla diffusione generalizzata. Ai sensi dell’articolo 5-bis, l’accesso può essere escluso tutte le volte che si debba evitare un “pregiudizio concreto” alla tutela di interessi pubblici connessi a sicurezza e ordine pubblico, sicurezza nazionale, difesa e questioni militari, relazioni internazionali, politica e stabilità finanziaria ed economica dello Stato, conduzioni di indagini sui reati e loro perseguimento, regolare svolgimento di attività ispettive. La stessa limitazione opera per evitare un pregiudizio concreto a interessi privati quali la protezione dei dati personali conformemente alla vigente normativa, la libertà e la segretezza della corrispondenza e gli interessi economici e commerciali (tra questi la proprietà intellettuale, il diritto d’autore e i segreti commerciali) delle persone fisiche e giuridiche. Vi è poi una terza serie di esclusioni, con rinvio alle ipotesi di segreto e divieto di divulgazione previste dalla legge, compresi i casi in cui l’accesso è subordinato a limiti e condizioni, inclusi quelli ex. articolo 24 della |. n. 241 del 1990. Il “decreto trasparenza” nel delineare i limiti dell'accesso civico generalizzato non si ferma ai soli interessi pubblici, ma si occupa anche del pregiudizio che da tale istituto possa arrecare alla tutela di interessi privati specificamente individuati. Tra questi, oltre la libertà e la segretezza della corrispondenza (art. 5-bis, comma 2, lett. b.) e gli interessi economici e commerciali di una persona fisica o giuridica, ivi compresi proprietà intellettuale, diritto d’autore e segreti commerciali (art.5-bis, comma 2, lett. c.), vi è anche la necessaria protezione dei dati personali «in conformità con la disciplina legislativa in materia» (art. 5-bis, c. 2, lett. a). In particolare, se l’istanza ha ad oggetto dati personali (art. 5, comma 2, lett. a.), l'ente destinatario dell’istanza deve valutare se la conoscenza da parte di chiunque del dato personale arrechi (o possa arrecare) un pregiudizio concreto alla protezione dello stesso. Per fare ciò l’amministrazione tiene presente i criteri di valutazione e i principi individuati nelle linee guida ANAC, n. 1309 del 2016. In primo luogo si fa riferimento ad una serie di principi che guida l’ente nella individuazione del pregiudizio concreto. Il richiamo espresso alla disciplina legislativa sulla protezione dei dati personali da parte dell’art. 5, comma 2, lett. a) del d. lgs. 33 del 2013 richiede che “nella valutazione del pregiudizio concreto, si faccia, altresì, riferimento ai principi generali sul trattamento e, in particolare, a quelli di necessità, proporzionalità, pertinenza e non eccedenza, in conformità alla giurisprudenza della Corte di Giustizia Europea, del Consiglio di Stato, nonché al nuovo quadro normativo in materia di protezione dei dati introdotto dal Regolamento (UE) n. 679/20168”. Sottolineando come questi implichino che “i/ soggetto destinatario dell'istanza, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell'interessato, privilegiando l’ostensione di documenti con l’omissione dei «dati personali» in esso presenti, laddove l'esigenza informativa, alla base dell'accesso generalizzato, possa essere raggiunta senza implicare il trattamento dei dati personali”. La legge prevede innanzitutto l’applicazione delle tecniche di c.d. minimizzazione del pregiudizio (limitando o rendendo anonimi i dati personali contenuti nei documenti) ex. art. 5, comma 4, d. Igs. 33 del 2013 (se ciò non è sufficiente devono svolgere il c.d. test del danno). Oltre all'indicazione di una serie di principi che devono guidare l’attività dell’amministrazione, le linee guida ANAC elencano una serie di criteri pratici che consentono di indirizzare l'esame sulla presenza del pregiudizio concreto. Esse richiedono da parte delle pubbliche amministrazioni lo svolgimento di un’analisi approfondita della posizione in cui si verrebbe a trovare il soggetto controinteressato a seguito della diffusione dell’informazione contenente il dato personale (tale valutazione deve essere obbligatoriamente effettuata anche se il soggetto controinteressato sebbene interpellato, serbi silenzio). In particolare, viene richiesto di prendere in considerazione “/e conseguenze, anche legate alla sfera morale, relazionale e sociale che potrebbero derivare all'interessato (o ad altre persone alle quali esso è legato da un vincolo affettivo) dalla conoscibilità, da parte di chiunque, del dato o del documento richiesto, tenuto conto delle implicazioni derivanti dalla previsione di cui all’art. 3, comma 1, del d. lgs. n. 33/2013, in base alla quale i dati e i documenti forniti al richiedente tramite l’accesso generalizzato sono considerati come «pubblici», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali(art. 7 del d. lgs. n. 33/2013)”. Altri parametri che l’ente di riferimento deve prendere in considerazione, al fine di verificare l'impatto sfavorevole che potrebbe derivare ai soggetti controinteressati dalla conoscibilità da parte di chiunque delle informazioni richieste (art. 3, comma 1, del D. Lgs. n. 33/2013) riguardano la natura dei dati personali oggetto della richiesta di accesso o contenuti nei documenti ai quali si chiede di accedere, nonché il ruolo ricoperto nella vita pubblica, la funzione pubblica esercitata o l’attività di pubblico interesse svolta dalla persona cui si riferiscono i predetti dati. L'indice più determinante nell’accertamento del pregiudizio è rappresentato dalla motivazione fornita dal soggetto controinteressato che deve essere obbligatoriamente interpellato dall’ente destinatario della richiesta di accesso generalizzato. L'amministrazione destinataria della richiesta infatti, attraverso un esame puntuale di tutti i documenti, le informazioni e i dati, non deve solamente indagare se l'eventuale diffusione di uno di questi possa arrecare danno a uno degli interessi ritenuti dal legislatore meritevoli di tutela, ma deve anche individuare eventualmente a chi tale conoscenza possa arrecare pregiudizio. Dopo aver individuato gli eventuali controinteressati, l’amministrazione deve fare loro comunicazione mediante invio di copia con raccomandata di avviso di ricevimento o per via telematica. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso” (art. 5, comma 5, D.Lgs. n_33/2013). L'attività così delineata che l’amministrazione deve compiere a fronte di una richiesta di accesso civico contenente dati personali evidenzia le forti diversità rispetto all’attività che la stessa compie in presenza di una richiesta di accesso documentale. Il primo aspetto di distanza tra le due discipline è di ordine strutturale e riguarda la genericità dei criteri dell’art 5-bis rispetto a quelli previsti nella |. n. 241 del 1990, in base ai quali il diritto alla conoscibilità è sottoposto a stringenti requisiti di legittimazione. La legge sul procedimento amministrativo all'art. 24, comma 7, fornisce già alle stesse amministrazioni (dalla lettura combinata degli articoli 24 | n. 241/1990 e 59 e 60 del Codice della privacy) gli strumenti sui quali valutare l'accoglimento o il rigetto di una richiesta di accesso contenente dati personali. Le norme in esame infatti distinguono il dato personale in diverse sottocategorie in base alla diversa natura dello stesso (sensibile, giudiziario, sensibilissimo), per le quali sono previste in termini via via più pregnanti forme di tutela differenti (Ai sensi dell’art. 24, comma 7, |. n. 241/1990 si permette la possibilità di accedere ad un'informazione contenente un dato sensibile o giudiziario se ciò risulta essere strettamente necessario, mentre in presenza di un dato c.d. sensibilissimo si rafforza la tutela permettendo l’accesso solo se ci sia da tutelare una situazione di «pari rango» rispetto a quella riferita alla tutela dei dati personali richiesti o se questa consiste in un diritto della personalità o in un altro diritto o libertà fondamentale). Nel caso di accesso generalizzato la situazione è diversa, sia sul piano della individuazione del dato personale che appare più semplificata in quanto l’identificazione del limite corrisponde a tutti i dati personali (non si fa una distinzione in base alla natura dello stesso), sia sul piano della tutela offerta che risulta essere indifferenziata, nel senso che l’amministrazione dovrà valutare, sulla base di un bilanciamento, la sussistenza del pregiudizio concreto indipendentemente dalla diversa tipologia del dato personale che si presenta nel caso concreto (non essendovi una differenziazione in base alla diversa natura del dato personale viene meno anche la differenziazione della tutela accordata). Questa formulazione della norma conduce a mettere in evidenza un’altra differenza fondamentale: il rapporto tra libertà di informazione e protezione dei dati personali nella materia dell’accesso civico generalizzato si contraddistingue, a differenza delle altre forme di accesso, per una prevalenza della tutela dei dati sul diritto all'accesso. Se nella disciplina dell'accesso procedimentale il legislatore ha garantito la prevalenza dell'interesse conoscitivo ogni qual volta esso si fondi su esigenze difensive, anche in presenza di dati personali sensibili o sensibilissimi, richiedendo criteri via via più restrittivi ma permettendo sempre la possibilità di veder recedere l’interesse alla riservatezza in presenza di tali condizioni, nella disciplina dell'accesso FOIA l'accertamento della presenza del pregiudizio concreto arrecato all'interesse limite privato è tale da comportare il rigetto della richiesta di accesso. Lo stesso riferimento alla tutela dei dati personali nel loro complesso, senza distinzione tra sottocategorie, determina una restrizione significativa dell’operatività dell'istituto. Tenendo presente anche l’interpretazione del pregiudizio concreto datane dalla giurisprudenza amministrativa risulta possibile negare una richiesta di accesso ogni qual volta l’amministrazione dimostri la relazione causale diretta tra la divulgazione e il danno (si tratta di fornire la prova a sostegno del fatto che nel caso concreto il danno è prevedibile, e non meramente ipotetico). In questo senso è evidente quindi come la disciplina dell'accesso generalizzato sia tendenzialmente “recessiva” rispetto a quella della protezione dei dati personali, così limitando di fatto in modo significativo l'operatività dell'istituto. Su questo piano si è posta anche la giurisprudenza amministrativa, la quale ha sottolineato che è “essenziale” tenere distinte le due fattispecie (quella dell'accesso procedimentale e quella dell'accesso civico generalizzato) al fine di “calibrare i diversi interessi in gioco allorché si renda necessario un bilanciamento caso per caso tra tali interessi”. Secondo tale prospettiva, l’accesso civico generalizzato permette la possibilità di raggiungere una maggiore quantità di documenti non necessariamente riconducibili ad uno specifico interesse dell'istante, ma tale estensione quantitativa sarebbe mitigata da una più debole consistenza della pretesa soggettiva all'accesso in presenza di interessi pubblici e privati confliggenti. Al contrario, l’accesso documentale di cui alla |. n. 241/1990 consentirebbe di ottenere una minore quantità di documenti (in quanto necessariamente correlati all'interesse concreto, diretto e attuale dell'istante) ma al tempo stesso garantirebbe una maggiore resistenza della pretesa conoscitiva all'eventuale conflitto di interessi pubblici e privati confliggenti. In questa prospettiva, i _due_ istituti dell'accesso disvelano _una_ diversa “declinazione _del bilanciamento tra i diversi interessi in gioco, e proprio sotto tale profilo che si rende necessario distinguere le rispettive discipline”. Se guardiamo al caso pratico, la posizione del cittadino titolare di un interesse diretto, concreto ed attuale, collegato al documento da visionare che sceglie la strada dell’accesso documentale intraprende ad oggi il percorso più sicuro per ottenere l’accesso(infatti la dimostrazione dell'accesso basato su esigenze difensive è in grado di far recedere gli interessi-limite eventualmente contrapposti), soprattutto nel caso in cui fronteggi un interesse alla privacy, se invece non è titolare di un simile interesse e si trova necessariamente a ricorrere all’accesso civico generalizzato, la presenza di un contrapposto interesse (pubblico o privato) rende molto più debole la sua posizione. Di talché appare evidente ed assolutamente legittimo il diniego da parte di questo Ente a tale tipo di richiesta, sottolineando come l’ANAC nell'adunanza del 2 marzo 2022 ha stabilito che lo strumento dell'accesso civico generalizzato - grazie al quale ogni cittadino può chiedere la consultazione di dati, documenti e informazioni delle pubbliche amministrazioni - non può essere causa di intralcio al buon funzionamento di queste ultime. "Lo strumento- si legge nel testo che presenta il pronunciamento- va usato con buona fede e senza malizia, affinché non si crei una sorta di effetto boomerang sulla Pubblica amministrazione destinataria". Le precisazioni in tal senso sono state formulate a seguito della richiesta di un Comune della Campania, in difficoltà per la ricezione di numerose istanze di accesso civico generalizzato da parte di un'associazione, “volte a un vero e proprio controllo ispettivo sull'attività del comune e tali da comportare un notevole aggravio di lavoro”. Ricordando le linee guida contenute nella delibera n. 1309 del 28 dicembre 2016, il Consiglio dell'Autorità ha precisato che “quando viene presentata domanda di accesso civico generalizzato per un numero manifestamente irragionevole di documenti tale da paralizzare il buon funzionamento dell’amministrazione, quest’ultima può ponderare da un lato l’interesse dell'accesso del pubblico ai documenti e dall'altro il carico di lavoro che ne deriverebbe e decidere di salvaguardare l’interesse ad un buon andamento dell’amministrazione”. A conferma del proprio orientamento, l'atto ricorda anche la sentenza del 13 agosto 2019 del Consiglio di Stato, secondo la quale l'accesso civico “serve a favorire forme diffuse di controllo sull'attività dell'ente e sull'uso delle risorse pubbliche, ma non può intralciare il buon funzionamento della Pubblica Amministrazione”. Si passa, quindi, nello specifico, alle singole richieste. Richiesta 1 — Copia dei contratti per gli A.S. 2020-21, 2021-22, 2022-23 Precisazione La definizione di contratto è contenuta nell’art. 1321 del Codice Civile: “// contratto è l'accordo di due o più parti per costituire, regolare o estinguere tra loro un rapporto giuridico patrimoniale.” [omissis] contratto regola quindi rapporti economici tra i sottoscrittori. Servizi di posta elettronica L'Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DaD/DDI Le piattaforme DaD/DDI utilizzate dall'Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini e condizioni di utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio. I termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: - Google for Workspace: https://workspace.google.it/intl/it/terms/education_terms.html - Google for Workspace (Termini integrativi): https://workspace.google.it/intl/it/terms/service-terms/index.html L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Registro Elettronico e Segreteria Digitale | contratti di servizio e licenza d'uso fra l’Istituto e la software house Spaggiari che fornisce i servizi di Registro Elettronico e Segreteria Digitale sono rintracciabili al link: https://web.spaggiari.eu/sdg/app/default/view _documento.php?a=akVIEW FROM ID&id _docum ento=173302417&sede_codice=RMIT0006 https://web.spaggiari.eu/sdge/app/default/view documento.php?a=akVIEW FROM ID&id docum ento=176751997&sede codice=RMIT0006 L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 2 — DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 La valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: _45_ [omissis] normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattamento effettuato da una singola scuola nell'ambito di un servizio online di videoconferenza o di una piattaforma. Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione. - Google: https://cloud.google.com/privacy/data-protection-impact-assessment L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. Richiesta 3 — Misure tecniche previste ed adottate per piattaforme e servizi più complessi La richiesta non è chiara, dal momento che non specifica “piattaforme più complesse” rispetto a cosa, o “servizi più complessi” rispetto a cosa. L'Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. La scuola ha attivato una gestione peculiare della piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche OU con specifici permessi. La scuola ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da termini di utilizzo che vincolano Google alla non registrazione e alla non divulgazione. Servizi non essenziali possono essere attivati solo per specifiche OU non collegate agli studenti. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. | Richiesta 4 — DPIA per posta elettronica, DDI, registro elettronico per l’A.S. 2022-23 Posta Elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia. E' pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)." Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione. - Google:h L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. Registro elettronico L'Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. L'Istituto scrivente ha sottoscritto un contratto di prestazione di servizio con la software house Spaggiari. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 5 — Valutazione di impatto sul trasferimento di dati all’estero per l’A.S. 2022-23 Posta elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di valutazione di impatto per TIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) L'Istituto scrivente ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da un contratto che vincola Google alla non registrazione e alla non divulgazione, e ha scelto come base dati la server farm europea di Google. Questa scelta rende inutile la redazione della TIA. A questi link sono reperibili le documentazioni Google legate alla scelta della data region e ai servizi essenziali attivati: - https://support.google.com/a/answer/6356441?hl=en - https://support.google.com/a/answer/7630496 - https://support.google.com/a/answer/9223653?hlzen - https://support.google.com/a/answer/60762?hl=en Trattandosi di una particolare valutazione di impatto sulla protezione dei dati (in questo specifico caso trasferiti all’estero), questa tipologia di trattamento è anch'essa regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La TIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è 8 necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)." L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro elettronico L'Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la TIA redatta dalla software house fornitrice. L'Istituto scrivente ha sottoscritto un contratto di prestazione di servizio con la software house Spaggiari. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 6 — Valutazione comparativa per l’A.S. 2022-23 Posta elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di Valutazione Comparativa è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. [omissis] Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo per l’anno scolastico 2022-2023 è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia. E’ pertanto un errore richiedere una Valutazione Comparativa su un servizio (la DaD) non più attivabile. Per quanto concerne le piattaforme DDI, nell’anno scolastico 2022/2023 l’Istituto scrivente ha operato in continuità con gli anni scolastici precedenti: non è stata quindi effettuata nessuna valutazione comparativa, poiché è stato confermato l'utilizzo degli strumenti già attivati in precedenza, avendo osservato, nel caso di migrazione, un concreto rischio di eccessivi oneri in termini di costi di migrazione e formazione del personale. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro [omissis] peculiare struttura del mercato di riferimento, il contenuto numero di operatori attivi, la particolare soddisfazione maturata nel precedente rapporto contrattuale e la relativa competitività del prezzo offerto, valutati gli eccessivi oneri in termini di costi (per migrazione, formazione del personale docente, formazione del personale non docente) e valutati i rischi per l’integrità dei dati trattati in caso di migrazione, l’Istituto scrivente ha confermato e rinnovato in affidamento diretto il contratto stipulato con il fornitore degli anni precedenti, operando in deroga al principio di conseguenza non è stata effettuata alcuna valutazione comparativa. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento non previsto né obbligatorio. Il Dirigente Scolastico [omissis] D.Lgs 82/2005 s.m.i. e norme collegate, il quale sostituisce il documento cartaceo e la firma autografa 10