[omissis] - n. 0005067 - 19/10/2022 - 1.04. Archivio, accesso, privacy, trasparenza e relazioni con il pubblico Ministero dell'Istruzione ISTITUTO COMPRENSIVO DI BORGO SAN GIACOMO Via Gabiano, 13 25022 BORGO SAN GIACOMO (BS)-C.F. 98175170178 — codice univoco IPA: UF94E0 Tel.030/948474 Fax. 030/9487968 Sito internet-www.icborgosangiacomo.edu.it e-mail: BSIC8AHO0E@ISTRUZIONE.IT — BSIC8AHO0E@PEC.ISTRUZIONE.IT AI Sig. Fabio Pietrosanti via pec comunicazioni@pec.monitora-pa.it Oggetto: Richiesta di accesso civico generalizzato del 19/ 9/2022 n. prot. 4475 Riscontro Gentile signor Pietrosanti, facciamo seguito alla richiesta di accesso civico generalizzato, acquisita in data 19/9/2022 con cui ha chiesto l’accesso ai seguenti documenti: 1. “copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023"; "copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022": 3. “copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023"; 4. “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”: 5. “copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo"; 6. “copia della valutazione comparativa ai sensi dell'art. 68 del d.lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”. [omissis] - n. 0005067 - 19/10/2022 - 1.04. Archivio, accesso, privacy, trasparenza e relazioni con il pubblico In ordine alle sue richieste, le rappresentiamo quanto segue. Con riguardo ai documenti di cui al punto n. 1, si segnala preliminarmente che: a) in relazione alla posta elettronica istituzionale, gli istituti usufruiscono in concessione di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. Rispetto a questi documenti, questo Istituto non può quindi accogliere la sua richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola; b) nrelazione alle piattaforme DaD/DDI utilizzate dall'Istituto, ci avvaliamo della piattaforma GOOGLE WORKSPACE FOR EDUCATION con una licenza di utilizzo gratuita, I Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell'attivazione del servizio, sono pubblici e sono reperibili sul sito web della predetta piattaforma consultabili a questo link: https://admin.google.com/terms/workspace/1/5/it/education terms.html?authuser=0 c) in relazione alla richiesta dei contratti sottoscritti tra lo scrivente Istituto e le software house, che forniscono i servizi di Registro Elettronico e Segreteria Digitale si segnala che questi sono stati pubblicati nell'apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, in osservanza del d.lgs. n. 33/2013. I documenti sono disponibili nella sezione del sito consultabile al seguente link: https://www.icborgosangiacomo.edu.it/000/amministrazione trasparente determine at tivita_ negoziale In merito ai documenti di cui al punto n. 2 e n. 4, si rappresenta che, anche alla luce del provvedimento? del 26 marzo 2020 del Garante per la protezione dei dati personali, da lei richiamato, l’Istituto non ha condotto alcuna DPIA in quanto non ne ricorrevano né ne ricorrono le condizioni normative per la sua adozione. Come le è noto, una DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Si specifica in particolare che l’Istituto non ha adottato alcuna “piattaforma che consenta il monitoraggio sistematico degli utenti”, non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico , limitando delle predette piattaforme alle funzionalità strettamente necessarie e complementare al corretto svolgimento delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. 1 Nel citato provvedimento, il Garante, con riferimento alle valutazioni di impatto ha affermato che “a valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” [omissis] - n. 0005067 - 19/10/2022 - 1.04. Archivio, accesso, privacy, trasparenza e relazioni con il pubblico In relazione alla richiesta di accesso agli atti riportanti le misure tecniche previste e adottate dall'Istituto, di cui al punto n.3, si rappresenta che non risulta chiaro il perimetro della richiesta, risultando generica e comunque particolarmente onerosa, parendo coinvolgere un rilevante numero di controinteressati (i fornitori dei servizi citati per i tre anni indicati). In particolare, non appare chiaro a questo Istituto il riferimento a “piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica a distanza”. Rispetto a tale ultimo punto, in ogni caso, si rappresenta che l’Istituto non ha adottato piattaforme diverse o che forniscono servizi diversi da quelli strettamente necessari per una corretta fruizione della DDI. L'istituto non può quindi accogliere la richiesta perché, nei termini in cui è formulata, risulta generica o comunque riferita a strumenti non in uso presso questo Istituto, riservandosi ogni ulteriore valutazione circa la sussistenza dei requisiti per l’ostensibilità dei documenti richiesti, a fronte di eventuali delucidazioni che vorrà fornirci al riguardo. In merito al punto n. 5, come già indicato nel riscontro alla richiesta di cui al punto n. 1, le software house fornitrici della posta elettronica et c., per l'anno 2022/2023, sono scelte a livello Ministeriale. L'eventuale necessità di TIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non nella disponibilità della scuola. Per quanto concerne i servizi relativi alle piattaforme per la DDI (Messaggistica, videoconferenza, etc.) e del registro elettronico, si rappresenta che l’Istituto ha in corso le opportune verifiche per effettuare ogni e più ampia valutazione sulla necessità di condurre tale valutazione di impatto sul trasferimento dei dati (TIA) all’estero rispetto ai propri fornitori. Ferma ogni altra valutazione circa l’ostensibilità del documento all'esito della sua adozione, allo stato, l’Istituto non può accogliere la richiesta, in guanto trattasi di documenti in corso di elaborazione. Infine, per quanto concerne la copia della valutazione comparativa per l’anno 2022/2023 di cui al punto n. 6, si deve preliminarmente osservare come la normativa che regola gli acquisti da parte delle scuole richiama non solo l'applicazione del CAD (Codice dell'Amministrazione Digitale) ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. Si rappresenta, inoltre, che le piattaforme per la DDI in uso presso questo Istituto sono state fornite gratuitamente e selezionate tra quelle indicate dal Ministero dell'Istruzione. Per quanto concerne il registro elettronico, trattandosi di contratto pluriennale comunque sotto-soglia, non si è al momento resa necessaria alcuna valutazione di nuovi fornitori. L'Istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Fermo tutto quanto sopra, nell'ottica di instaurare un dialogo collaborativo, ci si riserva di valutare nuovamente la Sua istanza in relazione al punto n.3, ove ci faccia pervenire una eventuale integrazione al riguardo, che ci consenta la corretta individuazione dei documenti di suo interesse, invitandola altresì, se in linea con il suo interesse, a circoscrivere il periodo di tempo indicato che potrebbe anche incidere, limitandolo, sul numero di eventuali controinteressati coinvolti. Il richiedente può presentare istanza di riesame al responsabile della prevenzione della corruzione e della trasparenza indicato sul sito istituzionale della scuola al link: https://www.icborgosangiacomo.edu.it/000/trasparenza/piano-triennale-la-prevenzione-della- corruzione-e-della-trasparenza Il responsabile della prevenzione della corruzione e della trasparenza decide con provvedimento motivato entro il termine di venti giorni. [omissis] - n. 0005067 - 19/10/2022 - 1.04. Archivio, accesso, privacy, trasparenza e relazioni con il pubblico Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. artt it la: Cora LS pi n ° ,. od a » i fa ", Vox 2% Fog jeNte Scolastico igjolinolAlbini (RE