ISTITUTO COMPRENSIVO Ve “NICOLO’ BARABINO” tel. 0104801888 — 010414052 — sito web: www.icbarabino.edu.it peo: geic85200a@istruzione.it — pec: geic85200a@ pec.istruzione.it C.F. 95160130100 Al sig. Fabio Pietrosanti MONITORA PA Prot. N. 9647 del 17/10/2022 Oggetto: Riscontro rifiuto a dialogo cooperativo - Vostra comunicazione Pec del 17/10/2022 (ns. prot. 9645) Con riferimento alla Sua del 17/10/2022 si precisa quanto segue : 1. Richiesta di copia del contratto (0 altro atto giuridico) sottoscritto per l'utilizzo di Posta elettronica istituzionale, piattaforme DAD/DDI, software house che fornisce il registro elettronico relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; In merito al punto 1 della richiesta pervenuta si segnala, nuovamente, che la richiesta presentata allo scrivente Ufficioappare sproporzionata e onerosa, coinvolgendo servizi erogati anche da altri enti pubblici e amministrazioni con cui la scuola interagisce (come l’amministrazione centrale del Ministero dell’Istruzione). Inoltre, la richiesta copre un periodo di tre anni scolastici, con la conseguenza di risultare esorbitante rispetto allo scopo e cagionare la paralisi all’attività scolastica . Unitamente, si rappresenta altresì che i contratti sottoscritti tra lo scrivente Istituto e le software house, che forniscono i servizi di Registro Elettronico e Segreteria Digitale, si segnala che questi sono pubblicati nell’apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, in osservanza del d.lgs. n. 33/2013. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. 2. Richiesta— DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 In riscontro a tale punto, si richiama il provvedimento del 26 marzo 2020, con cui il Garante per la protezione dei dati personali ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle valutazioni di impatto ha affermato che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. La DPIA, quindi, è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). La scuola ha utilizzato la piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche utenze con specifici permessi. La scuola ha abilitato i soli servizi essenziali regolati da termini di utilizzo che vincolano i Provider di servizio alla non registrazione e alla non divulgazione dei dati. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. L'Istituto non utilizza piattaforme di monitoraggio sistematico degli utenti. 3. Copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento deidati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023; Le software house sono scelte a livello Ministeriale. L’eventuale necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non nella disponibilità della scuola. Per quanto concerne i servizi relativi alla Piattaforma DDI (Messaggistica, videoconferenza, etc.), si rappresenta che anche in questo caso la valutazione di impatto sulla protezione dei dati (DPIA) non ricade in questa ipotesi, e ciò in quanto gli istituti scolastici non effettuano trattamenti automatizzati (punto a art. 35, comma 3 GDPR), né su larga scala (punto b, art. 35 comma 3 GDPR) né sistematici (punto c art. 35, comma 3 GDPR). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. 4. Copia della valutazione comparativa per l’A.S. 2022-23 per le piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023. In riscontro al presente punto, si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l’applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. La richiesta di accesso, così come formulata, non può essere accolta, in quanto trattasi di documenti non previsti né obbligatori. Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. IL DIRIGENTE SCOLASTICO [omissis] (documento firmato digitalmente ai sensi del Codice dell’ Amministrazione Digitale e norme ad esso connesse)