I 3) {) dit niche. RRRgI ione surorea RegioneLombardia Via Garofani, 11 — 20089 ROZZANO (MI) @® 028250036 www,.icbeltramirozzano.edu.it e-mail mucstcooe(aistruzione.it pec mix sf 0O0ela pec Istruzione.it Fabio Pietrosanti Co-fondatore di Monitora — Pa comunicazioni@pec.monitora.pa.it Oggetto: MIIC8FCOOE - Riscontro a richiesta di accesso civico generalizzato presentato da Monitora-PA nella persona di Fabio Pietrosanti, ai sensi dell’art. 5, comma 2 del d.lgs. 14 marzo 2013, n. 33 Con riferimento alla Sua richiesta FOIA di Accesso Civico Generalizzato, pervenuta via PEC allo scrivente Istituto in data 20/09/2022 e protocollata con protocollo n.5103/1.4, volta ad ottenere l’accesso civico generalizzato ai sensi dell’art. 5 e segg. del d.lvo 33/2013 alla seguente documentazione: 1 copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, 1/6 videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo; Premesso che dalla sopracitata richiesta si legge al punto 3 (pagina 1): “con la fine dello stato di emergenza è venuto meno parte di quanto indicato dal Garante per la protezione dei dati personali nel Provvedimento del 26 marzo 2020 — “Didattica a distanza: prime indicazioni [n. doc 9300784], il quale prevedeva la possibilità di allentare alcune stringenti prescrizioni in materia di trattamento dei dati, pur ribadendo la vigenza, anche nel corso dell'emergenza sanitaria, di obblighi ben precisi da parte degli istituti scolastici” A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per gli asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. La richiesta presentata allo scrivente Ufficio appare sproporzionata e onerosa, esigendo la produzione, per un periodo di tre anni scolastici, di contratti e altri atti giuridici alcuni dei quali andrebbero estrapolati a partire da contratti stipulati online peraltro con software house suggerite dal Ministero, accreditate presso AgID e con termini e condizioni di utilizzo sempre pubbliche e ben disponibili anche al richiedente. L’onerosità del carico di lavoro per l’Istituto è evidente anche in considerazione delle esigue risorse di personale di cui la scrivente istituzione dispone. Infatti, presso l'ufficio di segreteria, al fine di garantire il corretto funzionamento dell’ordinaria attività amministrativa rivolta ad una popolazione studentesca pari a 970 alunni prestano servizio n. 6 assistenti amministrativi assegnati ai seguenti ambiti: - 1unità gestione alunni - 3 unità gestione personale - 1unità affari generali - 1unità gestione finanziaria contabile. Alla luce di quanto sopra indicato si rappresenta quanto segue: Richiesta 1 — Copia del contratto (o altro atto giuridico) sottoscritto per l'utilizzo di Posta elettronica istituzionale, piattaforme DAD/DDI, software house che fornisce il registro elettronico relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023 Servizi di posta elettronica L'Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. Pertanto, “Il Documento non è presente agli atti di questa Istituzione” Per quanto attiene ai contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono 2/6 raggiungibile dal sito web istituzionale. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documentazione già disponibile pubblicamente. Piattaforma DaD/DDI L'Istituto, da marzo 2020 a giugno 2022, per la DID e la DAD ha utilizzato i servizi gratuitamente offerti da Google Suite for Education, come da nota MI n.388 del 17/03/2020, Nota MI n.1934 del 26/10/2020 e Linee guida per la Didattica Digitale Integrata ai sensi del DM n.79 del 07/08/2020 rintracciabile al seguente link 1d8e-4809-a359a8a7512f Le piattaforme DaD/DDI utilizzate dall'Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini e condizioni di utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio. I termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: - Google for Workspace: https://workspace.google.it/intl/it/terms/education terms.html - Google for Workspace (Termini integrativi): https://workspace.google.it/intl/it/terms/service- terms/index.html Pertanto, “Il Documento non è presente agli atti di questa Istituzione”, in quanto trattasi di documenti pubblicati ed aggiornati da altro soggetto, pubblicamente accessibili sul sito della piattaforma in questione e già disponibili pubblicamente. Registro Elettronico e Segreteria Digitale Lo scrivente Istituto ha acquistato dalla software house SPAGGIARI, mediante rivenditori, i servizi di Registro Elettronico e Segreteria Digitale mediante consultazione del “Catalaoghi e Brochure” pubblicato sul sito Gruppo Spaggiari, servizi e strumenti multimediali per la scuola. Le relative L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 2 — DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 Si trasmette estratto del Documento delle Misure a Tutela dei Dati delle Persone (D.M.T.D.P.) contenente la D.P.I.A. relativamente agli anni richiesti. (allegati n. 1 e n. 2) Richiesta 3 — Misure tecniche previste e adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023 La richiesta non è chiara, dal momento che non specifica “piattaforme più complesse” rispetto a cosa, 0 “servizi più complessi” rispetto a cosa. L'Istituto non fa uso di applicativi aggiuntivi complessi 3/6 non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. La scuola ha attivato una gestione peculiare della piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche OU con specifici permessi. La scuola ha attivato i soli servizi essenziali (Gmail, Classroom e Meet) regolati da termini di utilizzo che vincolano Google alla non registrazione e alla non divulgazione. Servizi non essenziali possono essere attivati solo per specifiche OU non collegate agli studenti. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Richiesta 4 — DPIA per posta elettronica, DDI, registro elettronico per l’A.S. 2022-23 Posta Elettronica Come già rappresentato in riscontro alla Richiesta di cui ai punti 1) e 2), le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell'epidemia. Pertanto, “Il Documento non è presente agli atti di questa Istituzione” Registro elettronico L'Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. L'Istituto scrivente ha sottoscritto un contratto di prestazione di servizio con la software house SPAGGIARI. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgilD: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 5 — Valutazione di impatto sul trasferimento di dati all’estero per l’A.S. 2022-23 Posta elettronica Come già rappresentato in riscontro alla Richiesta di cui ai punti 1) e 2), le software house sono scelte a livello Ministeriale; la necessità di valutazione di impatto per TIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) 4/6 L'Istituto scrivente ha attivato i soli servizi essenziali (Gmail, Classroom e Meet) regolati da un contratto che vincola Google alla non registrazione e alla non divulgazione. L'Istituto scrivente ha altresì provveduto a impostare correttamente la Data Region e i dati di conformità al GDPR, configurabili dal pannello di amministrazione di Google for Workgroup. Queste scelte rendono inutile la redazione della TIA. A questi link sono reperibili le documentazioni Google legate alla scelta della data region e ai servizi essenziali attivati: https://support.google.com/a/answer/6356441?hl=en https://support.google.com/a/answer/7630496 https://support.google.com/a/answer/9223653?hl=en https://support.google.com/a/answer/60762?hl=en Trattandosi di una particolare valutazione di impatto sulla protezione dei dati (in questo specifico caso trasferiti all’estero), questa tipologia di trattamento è anch'essa regolata dall'art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La TIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro elettronico L'Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la TIA redatta dalla software house fornitrice. L'Istituto scrivente ha sottoscritto un contratto di prestazione di servizio con la software house SPAGGIARI. Le TIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 6 — Copia della valutazione comparativa per l’A.S. 2022-23 per le piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 Posta elettronica Come già rappresentato in riscontro alla Richiesta di cui ai punti 1) e 2), le software house sono scelte a livello Ministeriale; la necessità di Valutazione Comparativa è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. [omissis] Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo per l’anno scolastico 2022-2023 è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell’epidemia. Pertanto, “Il Documento non è presente agli atti di questa Istituzione” Registro Elettronico 5/6 Si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l'applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. Stante la peculiare struttura del mercato di riferimento, il contenuto numero di operatori attivi, la particolare soddisfazione maturata nel precedente rapporto contrattuale e la relativa competitività del prezzo offerto, valutati gli eccessivi oneri in termini di costi (per migrazione, formazione del personale docente, formazione del personale non docente) e valutati i rischi per l'integrità dei dati trattati in caso di migrazione, l’Istituto scrivente ha confermato e rinnovato in affidamento diretto il contratto stipulato con il fornitore degli anni precedenti, aggiornate al D.Lgs 56/2017. Di conseguenza non è stata effettuata alcuna valutazione comparativa. Pertanto, “Il Documento non è presente agli atti di questa Istituzione” Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. Rozzano, 21/10/2022 Il Dirigente Scolastico responsabile del procedimento [omissis] 6/6