MINISTERO DELL’ISTRUZIONE Istituto di Istruzione Superiore S. Ten. Vasc.“A. BADONI” Via Rivolta,10 — 23900 LECCO - Tel. 0341/365339 - Cod. FIisc.83007840131 - Cod. Univoco Ufficio UFWO063 Il: Icis00900x@istruzione.it : Icis00900x@pec.istruzione.it Meccanica, Meccatronica ed Energia — Elettronica, Elettrotecnica e Automazione Informatica e Telecomunicazioni — Liceo Scientifico delle Scienze Applicate FONDI Ministero dell'Istruzione, dell'Università Dipartimento per la programmazione Risorse Umane, Finanziarie è della Ricerca e la Geslione delle e Strumentali STRUTTURALI Direzione Generale per interventi in materia di Edilizia Scolastica per la geslione dei Fondi Strutturali per Unione Europea EUROPEI RO 2014- LI l'Istruzione a per l'Innovazione Digitale Ufficio [omissis] SCUOLA - COMPETENZE E AMBIENTI PER APPRENDIMENTO ({FSE-FESR) Finanziato dall'Unione Europea Next Generation EU Prot. digitale Al sig. Fabio Pietrosanti p.Cc. USR Lombardia UST Lecco Oggetto: Riscontro accesso civico generalizzato - LCISO00900X Egr. sig. Fabio PIETROSANTI, facciamo seguito alla Sua richiesta FOIA - Accesso Civico Generalizzato -, pervenuta via PEC all’Istituto in intestazione in data 19/09/2022 assunto al n. di prot. 10810/2022, per comunicarLe i risultati della procedura di esame e valutazione delle richieste da Lei inoltrate. Richiesta 1 - Copia dei contratti per gli A.S. 2020-21, 2021-22, 2022-23 Servizi di posta elettronica L'Istituto usufruisce della casella di posta elettronica e della casella di posta certificata PEC ministeriali; pertanto, l'individuazione della software house fornitrice dei servizi di posta (Microsoft e Aruba) e la contrattualizzazione, non rientrano tra le attivita dell’Istituto. La richiesta non é ostensibile trattandosi di documento sottratto alla disponibilità della Scuola. Piattaforma DaD/DDI Di seguito le condizioni generali di contratto e di utilizzo relative alle piattaforme DaD e DDI utilizzate dall’Istituto e fornite a titolo gratuito. AA. SS 2020/2021 e 2021/2022 utilizzo prevalente di Google for Workspace, utilizzo residuale di Microsoft 365: Google for Workspace: https://workspace.soogle.com/terms/education_terms.html https://nuvola.madisoft.it/file/api/public-file-preview/LCIS00900X/ 3aaa92ca-303c-445/-a0c8-9fe d4891a5df Registro Elettronico Si indicano i link per i contratti del registro elettronico con Argo aa.ss. 2020/2021 e 2021/2022. Di seguito il link del contratto per il registro elettronico stipulato con Nuvola Madisoft srl per l’ a. s. 2022/2023. https://nuvola.madisoft.it/bacheca-digitale/459/documento/LCIS00900X/1 Richiesta 2 - DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 La valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b), né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: _27_ [omissis] normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattamento effettuato da una singola scuola nell'ambito di un servizio online di videoconferenza o di una piattaforma. In ogni caso, pur in assenza di obbligo circa la redazione dello specifico DPIA richiesto, si produce l’estratto dal Documento delle Misure a Tutela dei Dati delle Persone (D.M.T.D.P.). https://nuvola.madisoft.it/bacheca-digitale/455/documento/LCIS00900X/1 Richiesta 3 - Misure tecniche previste ed adottate La suddetta richiesta non risulta chiaramente formulata: il riferimento a “piattaforme più complesse” / “servizi più complessi” è sprovvisto del termine di paragone. In ogni caso la scuola ha attivato le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche QU con specifici permessi. Inoltre, ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da termini di utilizzo che vincolano Google alla non registrazione e alla non divulgazione. Servizi non essenziali possono essere attivati solo per specifiche QU non collegate agli studenti. La formazione per l’utilizzo degli applicativi in uso della segreteria è garantita dall’operatore fornitore dell’applicativo stesso. https://nuvola.madisoft.it/bacheca-digitale/462/documento/LCIS00900X/1 https://nuvola.madisoft.it/file/api/public-file-preview/LCIS00900X/e2b77a48-19f2-4914-a26a-49402a6148 3c Richiesta 4 - DPIA per posta elettronica, DDI, registro elettronico per l’A.S. 2022-23 [omissis] Documento non è presente agli atti di questa Istituzione; tanto per le stesse ragioni di cui al riscontro 61 richiesta ” n. 1”.” Piattaforme DAD e DDI (Messaggistica, videoconferenza, etc.) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell’epidemia. È pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. L’Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” Il Documento non è presente agli atti di questa Istituzione. Registro elettronico L’Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice Nuvola Madisoft S.p.A. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AglD: https://catalosocloud.agid.gov.it/ Documenti già disponibili pubblicamente. Richiesta 5 - DPIA del trasferimento di dati all’estero per l’A.S. 2022-23 Posta elettronica Il Documento non è presente agli atti di questa Istituzione; tanto per le stesse ragioni di cui al riscontro 61 richiesta ” n. 1”.” Piattaforma DAD e DDI (Messaggistica, videoconferenza, etc) vincola Google alla non registrazione e alla non divulgazione, e ha scelto come base dati la server farm europea di Google. La valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” Il Documento non è presente agli atti di questa Istituzione. Registro elettronico L’Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice Nuvola Madisoft S.p.A. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AglD: https://catalosocloud.agid.gov.it/ Documento già disponibile pubblicamente. Richiesta 6 - Valutazione comparativa per l’A.S. 2022-23 Posta elettronica Il Documento non è presente agli atti di questa Istituzione; tanto per le stesse ragioni di cui al riscontro 61 richiesta ” n. 1”.” [omissis] Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell’epidemia. E pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. Per quanto concerne le piattaforme DDI, nell’anno scolastico 2022/2023 l’Istituto scrivente ha operato in continuità con gli anni scolastici precedenti: non è stata quindi effettuata nessuna valutazione comparativa, poiché è stato confermato l’utilizzo degli strumenti già attivati in precedenza. Il Documento non è presente agli atti di questa [omissis] determina è l’atto di Questa Istituzione corrispondente alla comparazione effettuata dalla Scuola. https://nuvola.madisoft.it/bacheca-digitale/141/documento/LCIS00900X/1 il richiedente può presentare istanza di reclamo al Responsabile della prevenzione e della corruzione e della trasparenza che decide con provvedimento motivato entro 20 giorni. Avverso la decisione dell’Amministrazione competente, o in caso di richieste di riesame, avverso quella del Responsabile della prevenzione e della corruzione e della trasparenza il Richiedente può presentare ricorso al TAR ai sensi dell’art. 16 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. Lecco, 18 ottobre 2022 La Dirigente Scolastica