MINISTERO DELL'ISTRUZIONE - Ufficio Scolastico Regionale per la Lombardia ISTITUTO COMPRENSIVO STATALE "A. GRAMSCI" - Lodi Vecchio Piazza S. Giovanni da Lodi Antica, 4 - 26855 Lodi Vecchio (LO) Scuola dell'Infanzia - Primaria - Secondaria di I Grado Cod. Mecc. LOIC80300E Cod. Univoco UFGMXG © C.F. 92532000152 Tel 0371752792 - fax 0371752796 PEC: loic80300e@pec.istruzione.it - mail: loic80300e@istruzione.it Sito web: www.scuolalodivecchio.edu.it Egr. Sig. Fabio Pietrosanti con domicilio digitale all’indirizzo Pec: LOIC80300E - AF255C6 - REGISTRO PROTOCOLLO - 0003229 - 20/10/2022 - 1.4 - U comunicazioni@pec.monitora-pa.it e p.c. Direttore Ufficio Scolastico Regionale Lombardia PEC: drlo@postacert.istruzione.it Oggetto: Risposta Accesso civico generalizzato — riscontro. A seguito della Sua istanza del 19.09.2022, trasmessa via PEC, nella quale richiedeva l’accesso a vari documenti ai sensi dell'art. 5 del D. Lgs. n. 33 del 2013, siamo, con la presente, a dare riscontro alla stessa. La richiesta formulata non presenta indicazione di motivazione di un interesse conoscitivo, ma ha la sola finalità di costituire una banca dati per l’utilizzo successivo ed eventuale, da parte di non meglio definiti studiosi ed esperti della privacy e del software libero. Inoltre, ai punti due e quattro, si richiedono documenti (le valutazioni di impatto DPIA) che questa amministrazione non ha l'obbligo di redigere, e quindi non fornibili. Si è considerato, nella disamina dell’istanza in parola, quanto affermato dal Consiglio di Stato, sez. Ill, 25.01.2021 n. 495, per il quale: “se da un lato l’interesse alla trasparenza non richiede una motivazione specifica, dall’altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi.” La sua richiesta, alla luce di quanto riportato, pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo immotivato in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative, rientrando in quanto previsto dal Consiglio di Stato. Firmato digitalmente da GABRIELE MONTI MINISTERO DELL'ISTRUZIONE - Ufficio Scolastico Regionale per la Lombardia ISTITUTO COMPRENSIVO STATALE "A. GRAMSCI" - Lodi Vecchio Piazza S. Giovanni da Lodi Antica, 4 - 26855 Lodi Vecchio (LO) Scuola dell'Infanzia - Primaria - Secondaria di I Grado Cod. Mecc. LOIC80300E Cod. Univoco UFGMXG © C.F. 92532000152 Tel 0371752792 - fax 0371752796 PEC: loic80300e@pec.istruzione.it - mail: loic80300e@istruzione.it Sito web: www.scuolalodivecchio.edu.it Si è considerato, inoltre, ad ulteriore approfondimento, la pronuncia del Consiglio di Stato, Sezione AP, Sentenza n.10 del 2 aprile 2020, che, al punto 36.6., recita: Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. LOIC80300E - AF255C6 - REGISTRO PROTOCOLLO - 0003229 - 20/10/2022 - 1.4 - U 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Nello specifico si precisa che la Sua richiesta è arrivata dopo altre comunicazioni, in un breve arco temporale, dall’associazione Monitora PA, di cui si dichiara attivista. La prima riguardava i codici di tracciamento visite sul sito web [omissis] seconda relativa alla presenza nel sito di Google Fonts. Inoltre, l'associazione “Monitora PA” mediante un'istanza comune a tutte le istituzioni scolastiche, dichiara e propaganda di aver avviato “il primo FOIA massivo della storia italiana, come primo passo di una strategia che si svilupperà completamente nei prossimi 3/4 mesi”. Trattasi, dunque, di più richieste riconducibili ad uno stesso centro di interessi in un breve arco temporale, a cui ne seguiranno altre a breve termine secondo le dichiarazioni, finalizzate non dall’effettiva esigenza di conoscenza di documenti amministrativi (tutelata dal FOIA) ma caratterizzate da mere finalità esplorative al fine di attuare una strategia di contrasto alle multinazionali informatiche: le GAFAM con intenti vessatori, emulativi e pretestuosi tali per cui, secondo la sentenza del Consiglio di Stato citata, è possibile e doveroso evitare e respingere. Le richieste dei punti 3 e 5, e cioè le misure tecniche adottate per l’utilizzo di piattaforme che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica e la TIA, richiedono una estrapolazione e una decontestualizzazione dall'analisi dei rischi effettuata per la definizione di una struttura adeguata al rischio ai sensi dell’art. 32 del GDPR 679/2016. La produzione della documentazione specificamente prodotta per l’uso delle piattaforme, la TIA che ne consegue, le istruzioni agli autorizzati del trattamento dati, il regolamento per l’uso delle piattaforme approvato dal Consiglio di Istituto non sarebbero, da sole, sufficienti a fornire un quadro completo, esaustivo delle misure tecniche adottate per il rispetto della privacy di cui l’Istituto si è dotato. Inoltre, la possibile divulgazione della documentazione relativa a tutte le contromisure adottate esporrebbe l’amministrazione ad un immotivato ed ingiustificato rischio di sicurezza. La conoscenza delle contromisure, infatti, inficia l'efficacia delle stesse riportando quel rischio che cerca di mitigare a livelli inaccettabili lo stesso che non è conforme all’art. 32 del GDPR 679/2016 che recita: “// titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio, dunque, non è ammissibile e, inoltre, l’estrapolazione di quella richiesta comporta oneri per l’amministrazione e scarsi benefici per il richiedente, per i motivi esposti. Inoltre è già riconosciuta una più ampia tutela al cittadino dalla stessa normativa sulla privacy che impone la redazione della documentazione richiesta. Ci riferiamo al “reclamo diretto al Garante” che ciascun cittadino, direttamente, autonomamente, liberamente, facilmente e senza costi può richiedere direttamente all'Autorità, la sola che può formulare giudizi di legittimità e di merito in materia, applicare sanzioni e obbligare al rispetto delle norme. Firmato digitalmente da GABRIELE MONTI MINISTERO DELL'ISTRUZIONE - Ufficio Scolastico Regionale per la Lombardia « sun h ISTITUTO COMPRENSIVO STATALE "A. GRAMSCI" - Lodi Vecchio Piazza S. Giovanni da Lodi Antica, 4 - 26855 Lodi Vecchio (LO) Scuola dell'Infanzia - Primaria - Secondaria di I Grado Cod. Mecc. LOIC80300E Cod. Univoco UFGMXG © C.F. 92532000152 Tel 0371752792 - fax 0371752796 PEC: loic80300e@pec.istruzione.it - mail: loic80300e@istruzione.it Sito web: www.scuolalodivecchio.edu.it Rammentiamo, infine, che in base al principio di “accountability” il Titolare del trattamento dati ha la responsabilità di progettare e implementare una struttura adeguata al rischio e ha l’onere di dimostrare di averlo fatto. In base al principio di privacy by design e by default tali oneri a carico del Titolare del trattamento sono continui e costanti. Quanto progettato e implementato va rivisto in considerazione di riscontri empirici risultanti da audit di controllo a cui devono necessariamente seguire adempimenti LOIC80300E - AF255C6 - REGISTRO PROTOCOLLO - 0003229 - 20/10/2022 - 1.4 - U operativi con l'applicazione di adeguate contromisure a contrasto del rischio. Mutevoli aspetti, anche legati al contesto internazionale, indicazioni del MI, indicazioni dell’AGID, provvedimenti esplicativi del Garante, devono essere considerati nell'analisi. Al titolare del trattamento, dunque, spetta la responsabilità, comportamenti proattivi, monitoraggi, comportamenti adattivi e l’onere della prova. L'organo di controllo previsto dalle norme a tutela del cittadino può essere soltanto l'Autorità Garante della Privacy che ne ha l'onere, la legittimità e le competenze necessarie. Non potendosi, nonostante le dichiarate intenzioni, sostituire all'Autorità di controllo, la richiesta di documentazione tecnica, valutabile solo nel merito, appare una immotivata richiesta di controllo generalizzato, non supportato da vero interesse conoscitivo, all'esistenza o meno della documentazione prodotta, fra l’altro di tutti gli Istituti d’Italia. La documentazione relativa alle misure tecniche adottate andrebbe poi “epurata” dai dati personali dei preposti coinvolti (tutelati dall’art 5-bis comma 2 D.Lgs. 33/2013) e, in alcuni casi, anche effettuando la richiesta ai controinteressati. Tutto ciò rappresenta un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione, anche in considerazione del numero di personale inserito in ciascun ente scolastico ed in riferimento al carico di lavoro di questi ultimi che già risulta oltremodo notevole. Molta della documentazione richiesta, infine, è da considerarsi atto interno e non documento amministrativo soggetto alla conoscibilità mediante l’acceso civico generalizzato. Per le motivazioni esposte, in difetto di diversa indicazione da parte del Direttore Generale dell’USR della Lombardia, in qualità di Responsabile della Trasparenza e della Prevenzione della Corruzione, si ritiene pertanto la sua richiesta di accesso civico inammissibile. Il Dirigente Scolastico Firma autografa sostituita a mezzo stampa ai sensi e per gli effetti dell’art. 3, c.2, DLgs 39/93 Firmato [omissis]