ISTITUTO COMPRENSIVO DI CASTEL MELLA Via Onzato, 56 - 25030 - CASTEL MELLA (BS) Tel. 030 2551392 - Fax 030 2610103 - C.F. 98123140174 e-mail bsic856009@istruzione.it pec: bsic856009@pec.istruzione.it sito web www.iccastelmella.edu.it . C.U. UFD28F Castel Mella 18/10/2022 AI sig. Fabio Pietrosanti, attivista del progetto Monitora PA Oggetto: parere formale procedura FOIA da parte di Monitora PA del 19 settembre 2022 pervenuta a mezzo PEC Premesso che: La Corte di giustizia dell’Unione europea, con la sentenza C-311/18 (c.d. Sentenza Schrems II), ha proceduto ad esprimersi circa l'adeguatezza dello “scudo per la privacy” in materia di liceità del trasferimento dei dati personali dai Paesi UE verso gli U.S.A. dando di fatto parere negativo. Secondo il parere della Corte, la normativa interna degli Stati Uniti non presenta un livello adeguato di protezione dei dati personali, nella misura in cui rende possibile l'accesso da parte delle autorità pubbliche statunitensi, per finalità di sicurezza nazionale, ai dati personali trasferiti dall'Unione europea agli Stati Uniti. Visto che: dal sito di Monitora PA (http://monitorapa.it) sono facilmente evincibili i seguenti aspetti caratterizzanti l’attività posta in essere: e completa assenza di interazione umana sia nelle visite ai siti web delle PA coinvolte che nei controlli sugli effettivi trasferimenti dei dati essendo tutte le operazioni svolte in modo automatizzato da script/bot con mancanza, pertanto, di processi effettuati personalmente e direttamente dagli utenti/persone fisiche con conseguente mancata lettura di informative, rilascio di consensi e gestione delle scelte; e mancanza di verifiche, dalla valutazione precedente, da parte di utenti/persone fisiche finalizzate a porre in essere tutele nei confronti del Titolare del Trattamento (Ente scuola) e dei singoli gestori dei siti web (ad esempio i cd falsi positivi); e totale assenza di prove documentali circa il trasferimento di dati personali in atto, che viene semplicemente dato per scontato Considerato che: la descrizione, di cui al punto precedente, circa le modalità acquisitive dei dati da parte di Monitora PA, è identica a quella adottata da parte dei cd “attivisti”anche per l’invio, si rimarca sempre automatizzato tramite script/bot, di 8.245 PEC aventi come destinatari scuole su tutto il territorio nazionale. Tale procedura di contestazione tramite istanze “copia e incolla” rende le comunicazioni stesse non mirate ma del tutto generiche risultando carenti nei confronti del Titolare del trattamento, se formulate ai sensi dell'art. 15 RGPD, imponendo a quest'ultimo,quindi, secondo quanto previsto dall'art. 11 paragrafo 2 del RGPD, la necessità di richiedere ulteriori informazioni al fine di identificare adeguatamente l'interessato e poter procedere, quindi e nel caso, al soddisfacimento delle richieste di esercizio dei diritti. Che il soddisfacimento di detto diritto non è applicabile qualora il processo generante l'istanza non sia stato posto in essere da un utente/persona fisica che possa esprimere un consenso libero, informato e specifico rispetto l'informativa presente sul sito web visitato, aspetto che mette in dubbio la stessa definizione di “trattamento di un dato”. Che la richiesta da parte di Monitora PA di copia della DPIA è da considerarsi errata in quanto, come da linee guida dell'Autorità Garante, detta procedura non è, per le fattispecie descritte, un adempimento a Voi ascrivibile e comunque il contenuto di detto fascicolo ha caratteristiche tali che un inoltro a soggetti terzi deve passare attraverso un'attenta valutazione e bilanciamento delle esigenze, che per le finalità dichiarate in sede di istanza, farebbero propendere per un non accoglimento della richiesta. Preso atto che: le richieste, così come articolate, da parte di Monitora PA, non forniscono a ciascun Titolare del trattamento adeguate informazioni tecniche circa: > modalità di trattamento di url, domini di siti web, indirizzi PEC utilizzati; » mancanza di idonea informativa privacy così come previsto dagli artt. 13 e 14 del RE 679/2016; >». mancanza di indicazione di terze parti coinvolte nel processo ricadenti ex art. 28 quali Responsabili esterni del trattamento ed eventualmente sub responsabili da quest'ultimi nominati; >». mancanza dell'indicazione di un eventuale DPO nominato da parte di MonitoraPA (a nostro avviso nomina da ritenersi obbligatoria ex art. 37 tenuto conto della tipologia e della larga scala di dati trattati); >». mancanza di documentata preventiva analisi del rischioe valutazione d'impatto da parte di Monitoria PA alla luce dei trattamenti massivi dalla medesima posti in essere e richiesti. Valutato che: l’attività analizzata rientra nel preoccupante fenomeno definito come “weaponization di DSAR”, concetto, tra l’altro, declarato apertamente da Monitora PA quando pubblicamente dichiara la finalità ultima di voler “controllare” l'operato della Pubblica Amministrazione creando di fatto una serie di pericoli reali non solo nella gestione degli adempimenti degli Enti illegittimamente attenzionati ma creando distorsioni, con effetti nefasti, del mercato oltre che alla creazione di un parere diffuso quanto errato di inutilità e intralcio da parte del RGPD e non ultimo di una pericolosa delegittimazione del ruolo e delle prerogative dell'Autorità Garante. Si indica, per quanto nelle prerogative della nostra istituzione e del DPO, nella persona fisica nominata del [omissis] parere contrario e quindi diniego circa la trasmissione di dati da parte del nostro Ente verso Monitora PA e verso tutti quei soggetti fisici e/o giuridici riconducibili alla medesima. Il Dirigente scolastico Prof. Alberto Martinuz (documento firmato digitalmente)