Protocollo 0008149/2022 del 19/10/2022 FONDI fiv STRUTTURALI vi d= pe EUROPEI 2014-2020 Mm UNIONE [omissis] SCUOLA - COMPETENZE E AMBIENTI PER L'APPRENDIMENTO (FSE-FESR) Ministero dell'Istruzione Istituto Comprensivo “Romeo Fusari” Via A. De Gasperi,30 - 26823 Castiglione d'Adda (LO) - Tel. 0377900482 C.F.82503260158 - C.M.LOIC80800N www.iccastiglione.edu.it e-mail uffici: Ioic80800n@istruzione.it Posta elettronica certificata: loic30800n@pec.istruzione.it Prot. si veda segnatura del 19 ottobre 2022 Egr. Sig. FABIO PIETROSANTI Via Aretusa 34 20147 MILANO comunicazioni@pec.monitora-pa.it Oggetto: riscontro a richiesta di accesso civico generalizzato presentato dal sig. Fabio Pietrosanti, attivista di Monitora-PA, ai sensi dell’art. 5, comma 2 del D.Lgs. 14 marzo 2013, n. 33 c.d. “FOIA”. In evasione alla richiesta di accesso civico generalizzato in oggetto, così come pervenuta allo scrivente Istituto, si comunica: 1. Contratti peri servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023. a) Inrelazione alla posta elettronica istituzionale, gli istituti usufruiscono in concessione di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. Pertanto, questo Istituto non può accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola. b) Inrelazione alla piattaforma DaD/DDI utilizzata dall'Istituto, si trasmettono le documentazioni negoziali di interesse, ivi compresa, anche, la Policy del Gruppo Spaggiari SpA di cui l’Istituto si avvale, la nomina a responsabile esterno del medesimo e la proposta di rinnovo contrattuale. La piattaforma ad utilizzo gratuito di cui l’istituto si è avvalso per l’organizzazione delle riunioni a distanza è Microsoft Teams. I termini di utilizzo sono pubblici e sono reperibili sui siti web della piattaforma in questione: Microsoft 365 https://www.microsoft.com/en/microsoft-365/business/terms-andconditions c) Nell'anno scolastico 2022/23, come da indicazioni del Ministero dell'Istruzione (Nota 1199 del 28 agosto 2022) non è prevista la didattica a distanza, saranno quindi messi a disposizione degli alunni/famiglie e lavoratori unicamente i servizi indispensabili alla didattica e alle attività amministrative. 2. Copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022. a) La DPIA per gli anni scolastici indicati nella richiesta non era necessaria (come si legge nell’art. 35 del GDPRe ribadito dal Garante della privacy nel provvedimento del 26 marzo 2020 recante le prime indicazioni sulla didattica a distanza <... Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.>). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. b) Per l’anno scolastico 2022-23, come da Nota 1199 del 28 agosto 2022 del Ministero, non è prevista la didattica a distanza, ma saranno attivati i soli servizi indispensabili all'attività didattica e istituzionale. Inoltre, nell’elenco dei trattamenti individuati come rischiosi e per i quali è obbligatoria la DPIA, non figura il trattamento dati in ambito scolastico (Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 - 11 ottobre 2018). c) Per i servizi di posta elettronica istituzionale, posta elettronica certificata e per altri servizi che presuppongono un trattamento dati personali messi a disposizione dal Ministero, i fornitori sono scelti dal Ministero competente e le DPIA delle software house fornitrici dei servizi alle pubbliche amministrazioni sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ 3. Copia degli atti riportanti le misure tecniche previste e adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023. a) In merito al punto in oggetto, si rappresenta che l’Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . La piattaforma Infoschool/ClasseViva del Gruppo Spaggiari SpA prescelta è strutturata in modo tale da permette di isolare determinate funzioni sulla base di scelte preordinate per l'utente, al fine di evitare l’uso dei dati degli studenti e dei docenti per finalità diverse rispetto alla didattica, quali: la chiusura del sistema di videoconferenza alle sole lezioni, la circoscrizione della possibilità di invitare o ammettere soggetti in aula virtuale solo ai docenti, la inibizione di geolocalizzazione, l’inibizione dell’utilizzo di terze parti, la limitazione delle comunicazioni tra gli studenti ai soli partecipanti all’organizzazione, la chiusura delle caselle di posta a domini esterni. Non si ritiene di dover mettere a disposizione il documento che riporta l’analisi dei rischi e l'applicazione delle contromisure per ogni trattamento dei dati, contenente la mappatura dei trattamenti compresi gli asset, il grado di rischio considerato per ogni area (riservatezza, integrità, disponibilità) e tutte le misure di sicurezza applicate, comprese quelle organizzative, in quanto la scelta di renderlo pubblico potrebbe rendere vulnerabile il sistema organizzativo privacy dell’istituto. Si allega la Policy del Gruppo Spaggiari SpA di cui l’Istituto si avvale e la nomina a responsabile esterno del medesimo. b) Nell'anno scolastico 2022/23, come da indicazioni del Ministero competente (Nota 1199 del 28 agosto 2022), non è prevista la didattica a distanza, sono quindi messi a disposizione di alunni/famiglie e lavoratori unicamente i servizi indispensabili alla didattica e ,nel caso di utilizzo di piattaforme più complesse, sarà inibito l’uso di terze parti e/o di funzionalità che possano comportate il controllo sistematico del comportamento degli utenti, la geolocalizzazione e la profilazione, in linea con i principi di minimizzazione sanciti dal GDPR. 4. Copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. a) Il trattamento dati in ambito scolastico , anche con l’utilizzo di neotecnologie, è escluso dagli indici di valutazione per i quali un determinato trattamento debba essere sottoposto a DPIA, come da indicazioni del Garante contenute nel sopracitato provvedimento del 26 marzo 2020. b) Nell'anno scolastico 2022-23 non è prevista la didattica a distanza e sono attivati i servizi esclusivi alla didattica e amministrativi per i quali la DPIA non è richiesta. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. 5. Copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registroelettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. a) L'istituto non è in possesso del documento richiesto in quanto non previsto, non trovandosi nelle condizioni di dover effettuare la TIA. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. 6. Copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. a) Si allegano la determina per il rinnovo del contratto e il contratto con il Gruppo Spaggiari Parma S.p.A per l'acquisizione del servizio di segreteria digitale, registro elettronico e dei gestionali scolastici, adottati per l’a.s. 2022/23. Il contratto scadrà a febbraio 2023. Prot. n. 1048/2022 del 14/02/2022: determina per il rinnovo contrattuale del servizio di Segreteria digitale, Classeviva e i gestionali scolastici Infoschool Gruppo Spaggiari Parma S.p.A. aggiudicatrici e degli enti aggiudicatori distintamente per ogni procedura. Prot. 1064/2022 del 14/02/2022 contratto Infoschool Gruppo Spaggiari SpA pubblicato in Trasparenza - Bandi di gara e contratti. Si precisa che l'acquisto dei servizi di cui al precedente punto a), essendo sottosoglia, è stato effettuato nel rispetto dei riferimenti normativi e delle valutazioni di seguito riportati: l’art. 36 “contratti sotto soglia” c. 2 lett. a), del Decreto legislativo n. 50 del 18 aprile 2016 “Nuovo Codice dei contratti pubblici” e successive modifiche ed integrazioni come modificato dal D.Lgs 19 aprile 2017, n. 56 che prevede che “le stazioni appaltanti procedono all'affidamento di lavori, servizi e forniture ... per affidamenti di importo inferiore a 40.000 euro, mediante affidamento diretto, anche senza previa consultazione di due o più operatori economici”; la L. 145/2018 che statuisce l’innalzamento della soglia degli acquisti per cui il ricorso al MePa è previsto per importi di spesa elevati da 1.000 euro a 5.000 euro (art. 1 comma 130); l'art. 1, comma 510 della L. n. 208/2015 che prevede la possibilità di acquistare in deroga rispetto all'obbligo di utilizzare Convenzioni Consip nel caso in cui il bene o il servizio oggetto delle Convenzioni attive, alle quali sia possibile aderire, non sia idoneo al soddisfacimento dello specifico fabbisogno dell'amministrazione per mancanza di caratteristiche ritenute essenziali; l’art. 45 del D.Lgs 129/2018 in base al quale spettano al Consiglio di istituto i criteri e i limiti per affidamenti di lavori, servizi e forniture, secondo quanto disposto dal decreto legislativo 18 aprile 2016, n. 50 e dalle relative previsioni di attuazione, di importo superiore a 10.000,00 euro; la congruità del prezzo praticato dalla ditta in questione che risulta in grado di fornire un prodotto rispondente alle richieste dell'Istituto; la decisione di derogare all'applicazione del principio di rotazione, sulla base di quanto previsto dalle Linee-guida Anac n. 4, in quanto l’affidatario del servizio: - ha eseguito a regola d’arte le prestazioni del contratto, in termini qualitativi rispondenti allo stesso; - presenta per le sue prestazioni prezzi competitivi rispetto alla media dei prezzi praticati nel settore di mercato di riferimento; - comporta una specificità del servizio tale da richiedere continuità nell’utilizzo da parte del personale scolastico , degli alunni e delle famiglie. b) Periservizi di posta elettronica istituzionale e per altri servizi che presuppongono un trattamento dati personali messi a disposizione dal Ministero, i fornitori sono scelti dal Ministero competente che ne gestisce la relativa contrattualizzazione. c) La didattica a distanza non è prevista per l’anno 2022/23 quindi sono stati rinnovati i servizi espressamente indispensabili alla didattica e alle attività amministrative. Ritenendo di aver ottemperato alle istanze di cui all’accesso civico generalizzato di riferimento, si porgono distinti saluti. Il dirigente [omissis] Documento firmato digitalmente ai sensi del c.d. Codice dell’Amministrazione Digitale e normativa connessa. ALLEGATI Come elencati nel testo