ZA VUOI =. i Ciraci Tae ì : LICEO ARTISTICO STATALE MINISTERO DELL’ ISTRUZIONE VELI TE: United Nations +. UNESCO È Î Educational, Scientific and * ; MILANO Cultural Organization * Associated . Schools Liceo Artistico StatalegiBrera - Milano Sede centrale: via Hajech, 27 - 20129 MILANO Tel. 02.71.34.43 - 02.70.10.20.93 - Fax. 02.76.11.01.85 Succursale: via Papa Gregorio XIV, 1 - 20123 MILANO Tel. 02.86.45.52.80 - Fax. 02.80.45.52.32 codice fiscale: 80107950158 e-mail: misl01000c@istruzione.it posta certificata: misl01000c@ pec.istruzione.it sito web www.liceoartisticodibrera.edu.it Prot. N°6669/2022 3.1 Milano, 17 ottobre 2022 AI Sig. Fabio Pietrosanti, con domicilio digitale comunicazioni @ pec.monitora-pa.it e p.c. Alla Dirigente dell'Ufficio I Ufficio Scolastico per la Lombardia [omissis] drlo@postacert.istruzione.it Oggetto: RISPOSTA ISTANZA DI ACCESSO CIVICO GENERALIZZATO (RIF FOIA-01.MISLO1000C) A seguito della sua istanza PROT. N. 6043/2022 del 20/09/2022, nella quale richiedeva l’accesso civico generalizzato ai sensi dell’ art. 5 del D.Lgs 33/2013 ai seguenti documenti: 1. copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didatticaa distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d ’impatto della protezione dei dati (DPIA) effettuata dall Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivoltiesclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all’attività amministrativa; Considerato che l’istanza di accesso civico generalizzato è suscettibile di rigetto in ragione dei limiti previsti dall’art. 5 bis, commi 1,2 e 3 del d. Igs. n.. 33/2013 a tutela di interessi pubblici e privati. Considerato che l’istanza di accesso civico generalizzato può essere altresì rigettata quando la richiesta è tale da comportare un carico di lavoro in grado di interferire con il buon funzionamento dell’amministrazione come nel caso di richieste: - massive (grandi quantità di dati richiesti - ripetute (numerose istanze in arco temporale ristretto) - | vessatorie (richieste con carattere pretestuoso o irritante per via del grado di ripetitività in un intervallo di tempo limitato ovvero del tono della richiesta) Ricordando che nelle linee guida contenute nella delibera n. 1309 del 28 dicembre 2016 Anac ha precisato che non è ammissibile una richiesta meramente esplorativa, volta semplicemente a “scoprire” di quali informazioni l’amministrazione dispone. Le richieste, inoltre, non devono essere generiche, ma consentire l’individuazione del dato, del documento o dell’informazione, con riferimento, almeno, alla loro natura e al loro oggetto. Ricordando che nelle linee guida contenute nella delibera n. 1309 del 28 dicembre 2016 Anac ha precisato che “quando viene presentata domanda di accesso civico generalizzato perun numero manifestamente irragionevole di documenti tale da paralizzare il buon funzionamento dell’amministrazione, quest’ultima può ponderare da un lato l’interesse dell’accesso del pubblico ai documenti e dall'altro il carico di lavoro che ne deriverebbe e decidere di salvaguardare l’interesse ad un buon andamento dell’amministrazione”. Considerato che la sentenza del 13 agosto 2019 del consiglio di Stato - Sezione VI stabilisce che l'accesso civico serve a favorire forme diffuse di controllo sull’attività dell’ente e sull’uso delle risorse pubbliche ma non può intralciare il buon funzionamento della Pubblica Amministrazione. Va svolta quindi una valutazione caso per caso per garantire, secondo un delicato ma giusto bilanciamento, che non se ne faccia un uso malizioso e non si creiuna sorta di effetto "boomerang" sull’ente destinatario. Considerato che il Consiglio di Stato nell’ Adunanza Plenaria, n.10 del 02/04/2020 ha stabilito che “l’accesso civico generalizzato finalizzato a garantire, con il diritto all’informazione, il buon andamento dell’amministrazione, non può finire per intralciare il funzionamento della stessa. Pertanto, è possibile respingere: richieste manifestamente onerose o sproporzionate, ovvero tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche, contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedenteo da parte di più richiedenti ma comunque riconducibili a uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi in base aparametri oggettivi”. Constatata la natura massiva della richiesta inoltrata a più di 8000 scuole italiane e parte di una campagna più ampia che si protrae da diversi mesi con istanze ricorrenti alle caselle PEC delle Istituzioni scolastiche. SENTITO 1l DPO del Liceo Questa Istituzione risponde quanto segue: IN MERITO ALL’ISTANZA NI: Servizi di posta elettronica ministeriale @istruzione.it e @pec.istruzione.it: L'Istituto usufruisce in concessione d’uso di una casella diposta elettronica ordinaria e di una PEC ministeriale. I contratti stipulati con i Provider di servizi sono selezionati dal MIUR e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggettoterzo e non in nostra disponibilità. Servizi di posta elettronica con dominio intestato all’Istituto (xxxxx@liceoartisticodibrera.edu.it):I contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono 1 servizi di posta elettronica, devono essere pubblicati nell’apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, in osservanza del Dlgs. 33/2013. L'istituto non può quindi accogliere la richiesta, in quantotrattasi di documenti già disponibili pubblicamente. Piattaforma DaD/DDI: Le piattaforme DaD/DDI utilizzate dall'Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizionie utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio. I termini di utilizzo sono pubblici e sono reperibili sui sitiweb delle piattaforme in questione: Microsoft 365: h ttps://www.microsoft.com/en/microsoft-365/business/terms-and-conditions L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento pubblicato ed aggiornato da altro soggetto, pubblicamente accessibile sui rispettivi siti. Registro Elettronico, Segreteria Digitale e altri software chetrattano dati di persone fisiche: I contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono 1 servizi di registro Elettronico e Segreteria Digitale devono essere pubblicatinell’apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, in osservanza del DIgs.33/2013. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. IN MERITO ALL’ISTANZA N.2: Copia della d.p.i.a. effettuata dall’istituto nell’ambito dell’utilizzo diun servizio online di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti. Piattaforma DaD/DDI: Per i servizi di videoconferenza l’Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. L'Istituto non utilizza piattaforme di monitoraggio sistematico degli utenti. IN MERITO ALL’ISTANZA N.3: Copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023: PiattaformaDaD/DDI: La scuola ha attivato la gestione della piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specificheutenze con specifici permessi. La scuola ha attivato 1 soliservizi essenziali regolati da termini di utilizzo che vincolano 1 Provider di servizio alla non registrazione e alla non divulgazione dei dati. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. L'Istituto non utilizza piattaforme di monitoraggio sistematico degli utenti. IN MERITO ALL’ISTANZA N.4: Copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’istituto in indirizzo: Servizi di posta elettronica ministeriale @istruzione.it e @pec.istruzione.it: Per i medesimi motivi di cui al punto 1), /’istituto non può accogliere la richiesta, in quanto trattasi di attività che non è di sua competenza e disponibilità. Servizi di posta elettronica con dominio intestato all’Istituto (xxxxx@liceoartisticodibrera.edu.it) Per le motivazioni espresse in nota (1) questi trattamenti non ricadono le fattispecie di applicazione art. 35 GDPR. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. PiattaformaDaD/DDI: Per le motivazioni espresse in nota (1) e nota (2) perquesti trattamenti non ricadono le fattispecie di applicazione art. 35 GDPR. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. Registro Elettronico, Segreteria Digitale e altri software chetrattano dati di persone fisiche: L'Istituto ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dallasoftware house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. IN MERITO ALL'ISTANZA N.5: Copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’unione europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’istituto in indirizzo: Servizi di posta elettronica ministeriale @istruzione.it e @ pec.istruzione.it: Per i medesimi motivi di cui al punto 1), l'istituto non può accogliere la richiesta, in quanto trattasi di attività che non è di sua competenza e disponibilità. Servizi di posta elettronica con dominio intestato all’Istituto (xxxxx@liceoartisticodibrera.edu.it) Per le motivazioni espresse in nota (1) questi trattamenti non ricadono le fattispecie di applicazione art. 35 GDPR. L Istituto non può accogliere la richiesta, in quanto trattasidi documenti non previsti e non obbligatori. PiattaformaDaD/DDI: Per le motivazioni espresse in nota (1) e nota (2) perquesti trattamenti non ricadono le fattispecie di applicazione art. 35 GDPR. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. Registro Elettronico, Segreteria Digitale e altri software chetrattano dati di persone fisiche: L'Istituto ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dallasoftware house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, inquanto trattasidi documenti già disponibili pubblicamente. IN MERITO ALL'ISTANZA N.6: Copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023dall’istituto in indirizzo: Servizi di posta elettronica ministeriale @istruzione.it e @ pec.istruzione.it: Per 1 medesimi motivi di cui al punto 1) si risponde:L ‘istituto non può accogliere la richiesta, in quanto trattasi di attività che non è di sua competenza e disponibilità. Servizi di posta elettronica con dominio intestato all’Istituto (xxxxx@liceoartisticodibrera.edu.it) La scelta è stata operata nel perimetro di legittimità previsti da CAD lettere d) ed e) art. 68, vedi nota (3), ma non è obbligatorio dar conto di comparazione e procedure negoziali magari basate sulla mera valutazione dell’opera di ingegno, per affidamento diretto o per valori che non rientrano nei parametri operativi previsti dal Codice degli appalti, altresì operando in deroga al principio di conseguenza non è stata effettuata alcuna valutazione comparativa. PiattaformaDaD/DDI: La scelta è stata sicuramente operata nel perimetro di legittimità previsti da CAD lettere d) ed e) art. 68, vedi nota (3), ma non è obbligatorio dar conto di comparazione e procedure negoziali magari basate sulla mera valutazione dell’opera di ingegno, per affidamento diretto o per valori che non rientrano nei parametri operativi previsti dal Codice degli appalti, altresì operando in deroga al Di conseguenza non è stata effettuata alcuna valutazione comparativa. Registro Elettronico, Segreteria Digitale e altri software chetrattano dati di persone fisiche: La scelta è stata sicuramente operata nel perimetro di legittimità previsti da CAD lettere d) ed e) art. 68, vedi nota (3), ma non è obbligatorio dar conto di comparazione e procedure negoziali magari basate sulla mera valutazione dell’opera di ingegno, per affidamento diretto o per valori che non rientrano nei parametri operativi previsti dal Codice degli appalti, altresì operando in deroga al Di conseguenza non è stata effettuata alcuna valutazione comparativa. Nota (1) La DPIA [omissis] , misura prevista dall’art 35 GDPR, meglio descritta da Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248),la possiamo tradurre semplificando il contesto, con un “Analisi di rischio per la protezione dei dati” che è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), nessun trattamento su larga scala (punto b) e nessun trattamento sistematico (punto c). Il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: _37_ [omissis] normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per 1l trattamento effettuato da una singola scuola nell'ambito diun servizio online di videoconferenza o di una piattaforma. Nota (2) Piattaforma DDI e DaD La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell’epidemia. Nota (3) La norma citata è il CAD [omissis] che all’ Art. 68 recita: Le pubbliche amministrazioni acquisiscono programmi informatici o parti di essi nel rispetto dei principi di economicità e di efficienza, tutela degli investimenti, riuso e neutralità tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato: software sviluppato per conto della pubblica amministrazione; AauLuNai riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione; software libero o a codice sorgente aperto; software fruibile in modalità cloud computing; software di tipo proprietario mediante ricorso a licenza d’uso; Saiu software combinazione delle precedenti soluzioni. La Dirigente Scolastica [omissis]