/ | ) SIN e UNIONE EUROPEA sd W % Fondo sociale europeo dì Per la scuola 14 Fondo europeo di sviluppo regionale per! apprendimento —=— Fse-FE ce Via M. Cicognini, 5 —- 25026 PONTEVICO - BS Tel. 030/930167 - fax 030/9930431 - C.F. 97016170173 — C.M. BSIC89500X bsic89500x @istruzione.it - bsic89500x @pec.istruzione.it - Codice Univoco Ufficio UFDFIX www.icpontevico.edu.it Prot n. 2099/VI.3 Pontevico, 18/10/2022 A Monitora PA c.a. Fabio Pietrosanti comunicazioni@pec.monitora-pa.it AI Registro degli Accessi Oggetto: Riscontro a richiesta di accesso civico generalizzato. Si fa riferimento alla Sua richiesta di accesso civico generalizzato, acquisita in data 19/09/2022 prot n. 2099/VI.3 concernente i seguenti documenti: 1. “copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023"; 2. "copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022"; 3. “copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023"; 4. “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo"; 5. “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”; Pag.la4 6. “copia della valutazione comparativa ai sensi dell'art. 68 del d.lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”. Con riguardo al punto n. 1, in relazione alla posta elettronica istituzionale, gli istituti usufruiscono in concessione di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. L'Istituto non può accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola; In relazione alle piattaforme DaD/DDI utilizzate dall'Istituto, si rammenta che queste sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell'attivazione del servizio. Tali termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: GOOGLE WORKSPACE. Per agevolarla le lasciamo il seguente link: https://workspace.google.it/intl/it/terms/2013/1/premier terms.html In relazione alla richiesta del contratto sottoscritto tra lo scrivente Istituto e le software house che fornisce il servizio di Registro Elettronico, si allega alla presente comunicazione copia del contratto stesso, unitamente a copia del contratto di nomina a responsabile del trattamento dei dati personali esterno. In merito al punto n. 2, si richiama il provvedimento del 26 marzo 2020, con cui il Garante per la protezione dei dati personali ha voluto fornire una serie di chiarimenti in merito all'utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle valutazioni di impatto ha affermato che ‘“/a valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). A tal riguardo occorre precisare che, con il citato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. La DPIA, quindi, è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. si evidenzia che l’art 35 GDPR prevede precisi casi in cui è necessaria la DPIA. Tra questi non rientrano quelli in esame. Inoltre, si rammenta che il Garante per la protezione dei dati personali ha pubblicato un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb- display/docweb/9058979) e, tra questi, non sono presenti quelli citati nella richiesta pervenuta. Pag.2a4 Sulla valutazione d'impatto il Garante ha poi precisato che: "si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala" https://www.garanteprivacy.it/Regolamentoue/DPIA). Non basta, quindi, la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. In merito al punto n. 3, si rappresenta che l’Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Con riguardo al punto n. 4, quanto già rappresentato al punto n. 2, In merito al punto n. 5 per il Registro Elettronico l'istituto non effettua trattamenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda). Per quanto concerne i servizi relativi alla Piattaforma DDI (Messaggistica, videoconferenza, etc.) le software house sono state selezionate a livello Ministeriale. L'eventuale necessità di TIA è stata quindi esaminata centralmente dal Ministero competente. Si segnala inoltre quanto riportato nel Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784] (“L’Autorità vigilerà sull'operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.” La scelta del fornitore è avvenuta fra quelli indicati dal Ministero e presenti sul marketplace AgiD. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. In riscontro al punto n. 6, si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l'applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sottosoglia. Per l’anno scolastico richiesto non sono state effettuati nuovi acquisti né adozioni a titolo gratuito, si è proceduto al rinnovo delle licenze d'uso dei programmi e dei servizi legati al registro elettronico in uso. La scelta dell’attuale registro è stata effettuata nel 2017 il rinnovo annuale non è soggetto a comparativi facendo riferimento ad un unico fornitore. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori Il richiedente può presentare istanza di riesame al responsabile della prevenzione della corruzione e della trasparenza indicato sul sito istituzionale della scuola al link https://icpontevico.edu.it/note-legali/privacy/ Pag.3a4 Il responsabile della prevenzione della corruzione e della trasparenza decide con provvedimento motivato entro il termine di venti giorni. Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. Il Dirigente scolastico [omissis] (firmato digitalmente ai sensi del C:A:D e s.m.i) Pag.4a4