BGIC861008 - A39CD89 - REGISTRO PROTOCOLLO - 0005338 - 18/10/2022 - 1.4 - U



                                       Ministero       dell'Istruzione
                          ISTITUTO       COMPRENSIVO           DI OSIO     SOTTO     (BG)
                                         Tel.035/88.12.46 - Fax 035/482.37.32
                         e-mail:   bgic861008@istruzione.it —- bgic861008@pec.istruzione.it
                                             Codice fiscale n, 95119430163



                                                                                    AI signor Fabio Pietrosanti
                                                                             comunicazioni(@pec.monitora-pa



Oggetto: Riscontro a richiesta di accesso civico generalizzato presentato da Fabio Pietrosanti



Con riferimento alla Sua richiesta di accesso civico generalizzato ricevuta all’indirizzo PEC della
scuola in data 19/09/2022 dall’indirizzo PEC: comunicazioni@pec.monitora-pa eletto a suo domicilio
digitale nell’ambito del progetto Monitora-PA

                                                  si comunica



che la stessa non può essere accolta


                                             per i seguenti motivi

        1)   Richiesta di copia del contratto (o altro atto giuridico) sottoscritto per l’utilizzo di
             Posta elettronica istituzionale, piattaforme DAD/DDI, software house che fornisce il
             registro elettronico relativamente agli anni scolastici 2020/2021, 2021/2022,
             2022/2023;

In merito al punto 1 della richiesta pervenuta si segnala preliminarmente la richiesta presentata allo
scrivente Ufficio appare troppo onerosa coinvolgendo servizi erogati anche da altri enti pubblici e
amministrazioni con cui la scuola interagisce (come l’amministrazione centrale del Ministero
dell’Istruzione). Inoltre, la richiesta copre un periodo di tre anni scolastici, con la conseguenza di
apparire esorbitante rispetto allo scopo e rischiando di cagionare una paralisi all'attività scolastica .
Unitamente, si rappresentano altre ragioni di diniego, che si dettagliano come di seguito.

   a)   in relazione alla posta elettronica istituzionale, gli istituti usufruiscono in concessione di una
        casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne
        consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte
        a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’ amministrazione
        centrale del Ministero. Pertanto, questo Istituto non può quindi accogliere la sua richiesta, in
        quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità
        della scuola.
   b)   In relazione alle piattaforme DaD/DDI utilizzate dall’Istituto, si rammenta che queste sono
        concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo
        motivo il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma,
        che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio. Tali termini di
        utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione:
        https://explore.zoom.us/it/terms/
BRIGSSTOOS        ASSODSP         REGISTRO PROTOCQLLO » OOOSISS. TS'1Oedze. Ls                          U


      L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili
      pubblicamente.

      In relazione alla richiesta dei contratti sottoscritti tra lo scrivente Istituto e le software house,
      che forniscono 1 servizi di Registro Elettronico e Segreteria Digitale si segnala che questi sono
      stati pubblicati nell’apposita sezione di Amministrazione Trasparente (Bandi di gara e
      contratti), raggiungibile dal sito istituzionale, in osservanza del d.lgs. n. 33/2013.
      L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili
      pubblicamente.

 d)   Richiesta — DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22

      In riscontro a tale punto, si richiama il provvedimento del 26 marzo 2020, con cui il Garante
      per la protezione dei dati personali ha voluto fornire una serie di chiarimenti in merito
      all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici.
      In particolare, il Garante, con riferimento alle valutazioni di impatto ha affermato che “/a
      valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non
      è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché
      relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori
      caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad
      esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola
      scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di
      videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli
      utenti   o comunque   non   ricorre   a nuove   soluzioni   tecnologiche particolarmente     invasive
      (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione
      o biometrici).”
      A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha
      in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo
      solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua
      massiva adozione.
      La DPIA, quindi, è obbligatoria in casi specifici e normati, tra i quali non ricadono 1 trattamenti
      di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere
      a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto
      b) né sistematici (punto c).
      L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti
      né obbligatori.

      2)   Misure tecniche previste e adottate per attivare i soli servizi strettamente necessari
           alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi
           più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici
           2020/2021, 2021/2022, 2022/2023;

      In merito al punto in oggetto, si rappresenta che l’Istituto non fa uso di applicativi aggiuntivi
      complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali
      si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle
      attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020.
      L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti
      né obbligatori.
  BGIC861008 - A39CD89 - REGISTRO PROTOCOLLO - 0005338 - 18/10/2022 - 1.4 - U


        3)    Richiesta di copia di DPIA per posta elettronica, DDI, registro elettronico per 1 A.S.
              2022-23

Come già rappresentato in riscontro alla richiesta di cui al punto 2), si evidenzia che l’art 35 GDPR
prevede precisi casi in cui è necessaria la DPIA. Tra questi non rientrano quelli in esame. Inoltre, si
rammenta che il Garante per la protezione dei dati personali ha pubblicato un elenco esemplificativo
(non           esaustivo)           dei           trattamenti        soggetti          a           DPIA
(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9058979) e, tra
questi, non sono presenti quelli citati nella richiesta pervenuta.
Sulla valutazione d'impatto il Garante ha poi precisato che: "si evidenzia come le espressioni
trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti,
soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e
12 sono riconducibili al criterio della "larga scala"
(https://www.garanteprivacy.it/Regolamentoue/DPIA).
Non basta, quindi, la presenza di un trattamento verso minori ma serve anche la “larga scala”,
elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con
riferimento alla singola scuola.
L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né
obbligatori.

       4)     copia della valutazione di impatto del trasferimento dei dati all'estero (TIA),
              afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di
              fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi
              di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica
              digitale integrata, registro elettronico, adottati nell'anno scolastico  2022/2023;


Come già indicato nel riscontro alla richiesta di cui al punto 1), le software house sono scelte a livello
Ministeriale. L'eventuale necessità di DPIA è stata quindi esaminata centralmente dal Ministero
competente.
L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto
da soggetto terzo e non nella disponibilità della scuola.
Per quanto concerne i servizi relativi alla Piattaforma DDI (Messaggistica, videoconferenza, etc.), si
rappresenta che anche in questo caso la valutazione di impatto sulla protezione dei dati (DPIA) non
ricade in questa ipotesi, e ciò in quanto gli istituti scolastici non effettuano trattamenti automatizzati
(punto a art. 35, comma 3 GDPR), né su larga scala (punto b, art. 35 comma 3 GDPR) né sistematici
(punto c art. 35, comma 3 GDPR).
L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né
obbligatori.

        5)    Copia della valutazione comparativa per 1’ A.S. 2022-23 per le piattaforme di posta
              elettronica, messaggistica, videoconferenza,    didattica a distanza, didattica digitale
              integrata, registro elettronico, adottate nell’anno scolastico  2022/2023.

In riscontro al presente punto, si rileva come la normativa che regola gli acquisti da parte delle scuole
richiama non solo l’applicazione del CAD  [omissis]  ma anche del
codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28
agosto 2018, n. 129), 1 quali non indicano alcun chiaro obbligo di conservare agli atti della scuola
valutazioni comparative per acquisti sotto-soglia.
L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né
obbligatori.
  BGIC861008 - A39CD89 - REGISTRO PROTOCOLLO - 0005338 - 18/10/2022 - 1.4 - U


                                                 ve



Il richiedente può presentare istanza di riesame al responsabile della prevenzione della corruzione e
della trasparenza indicato sul sito istituzionale della scuola al link:

https://nuvola.madisoft.it/bacheca-digitale/1381/documento/BGIC861008/1

Il responsabile della prevenzione della corruzione e della trasparenza decide con provvedimento
motivato entro il termine di venti giorni.

Avverso   la decisione dell'amministrazione   competente   o, in caso di richiesta di riesame,   avverso
quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può
proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del
processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104.





                                                           La dirigente/ [omissis] 




                              Firmato  [omissis]