I.T.C.S. “ERASMO DA ROTTERDAM” Liceo Artistico indirizzo Grafica - Liceo delle Scienze Umane opz. Economico sociale UNI ENISO FOOT201S &I VIA VARALLI, 24 - 20021 BOLLATE (MI) TEL. 023506460/75 — Fax 0233300549 SISTEMA DIGESTIONE CERIIGUALITY È MEMBRO DELLA QUALITÀ CERTIFICATO i FEDERAZIONE CISCO MITD450009 — C.F. 97068290150 og «_ FONDI Ministero dell'Istruzione, dell'Università e della Ricerca Dipartimento per la Programmazione bei STRUTTURALI Direzione Generale per interventi in materia di edilizia scolastica , per la gestione dei fondi strutturali per l'istruzione e per l'innovazione digitale Ufficio UNIONE EUROPEA CFUROPEIÎ i R i fi Sf PIRLA Dott. Fabio Pietrosanti comunicazioni@pec.monitora-pa.it e, p.C. USR Lombardia Ufficio | Via Polesine,13 — 20139 Milano drlo@postcert.istruzione.it Oggetto: Richiesta FOIA-01- MITD450009 ai sensi dell’art. 5, comma 2 del D.Lgs 14 marzo 2013 n. 33 Egr. sig. Fabio PIETROSANTI, Con riferimento alla Sua richiesta FOIA di Accesso Civico Generalizzato, pervenuta via PEC allo scrivente Istituto in data 19/09/2022 si comunica che la stessa non può essere accolta per i seguenti motivi. per l'utilizzo di Posta Richiesta 1 — Copia del contratto (o altro atto giuridico) sottoscritto il registro elettronico elettronica istituzionale, piattaforme DAD/DDI, software house che fornisce relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023 Precisazioni “// contratto e' l'accordo di La definizione di contratto è contenuta nell'art. 1321 del Codice Civile: un rapporto giuridico patrimoniale.” due o piu' parti per costituire, regolare 0 estinguere tra loro i sottoscrittori. Per definizione, il contratto regola quindi rapporti economici tra allo scrivente Ufficio appare sproporzionata Sì segnala, preliminarmente, che la richiesta presentata pubblici e amministrazioni con cui la e onerosa, coinvolgendo servizi erogati anche da altri enti e del Ministero dell'Istruzione). Inoltre, la scuola interagisce (come l’amministrazione central la conseguenza di risultare esorbitante rispetto richiesta copre un periodo di tre anni scolastici, con allo scopo e cagionare la paralisi all’attività scolastica . che si dettagliano di seguito. Unitamente, si rappresentano altre ragioni di diniego, I.T.C. " ERASMO DA ROTTERDAM " - C.F. 97068290150 C.M. MITD450009 - ADDD563 - ITCS ERASMO DA ROTTERDAM Prot. 0004513/U del 06/12/2022 08:48 Normativa e disposizioni attuative Servizi di posta elettronica L'Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Per quanto attiene ai contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono i servizi di posta elettronica con dominio intestato all’Istituto, sono pubblicati nell’apposita sezione di amministrazione trasparente, raggiungibile dal sito web istituzionale, in osservanza del D. Lgs. 33/2013. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documentazione già disponibile pubblicamente. Piattaforma DaD/DDI Le piattaforme DaD/DDI utilizzate dall’Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini e condizioni di utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell'attivazione del servizio. | termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: - Google for Workspace: https://workspace.google.it/inti/itfterms/education terms.html - Google for Workspace (Termini integrativi): https://workspace.google.it/intl/it/terms/service- terms/index.html - Microsoft 365: https://www.microsoft.com/en/microsoft-365/business/terms-and-conditions - MOODLE: online.erasmoinrete.it https://moodle.com/privacy-notice/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti pubblicati ed già aggiornati da altro soggetto, pubblicamente accessibili sui siti delle piattaforme in questione e disponibili pubblicamente. Registro Elettronico e Segreteria Digitale o i servizi di Registro | contratti sottoscritti tra lo scrivente Istituto e le software house che forniscon e Segreteria Digitale sono pubblicati nell'apposita sezione di Amministrazione Elettronico dal sito istituzionale, in osservanza del D.LGS. N. 33/2013. Trasparente, raggiungibile di documenti già disponibili L'istituto non può quindi accogliere la richiesta, in quanto trattasi pubblicamente. Segreteria digitale: Axios Registro Elettronico: Gruppo Spaggiari Parma Spa. I.T.C. " ERASMO DA ROTTERDAM " - C.F. 97068290150 C.M. MITD450009 - ADDD563 - ITCS ERASMO DA ROTTERDAM Prot. 0004513/U del 06/12/2022 08:48 Normativa e disposizioni attuative | Richiesta 2 — DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 La valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall'art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: _37_ [omissis] normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattamento effettuato da una singola scuola nell'ambito di un servizio online di videoconferenza o di una piattaforma. A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione. - Microsoft: https://learn.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-office365 - Google: https://cloud.google.com/privacy/data-protection-impact-assessment L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. L'Istituto non utilizza piattaforme di monitoraggio sistematico degli utenti. Richiesta 3 — Misure tecniche previste e adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023 e” rispetto a La richiesta non è chiara, dal momento che non specifica “piattaforme più compless i aggiuntivi complessi cosa, 0 “servizi più complessi” rispetto a cosa. L'Istituto non fa uso di applicativ ali si è sempre non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimedi di uno strumento efficace e complementare delle attività di indirizzato verso l'ottenimento 26 marzo 2020. didattica, così come ricordato dalla nota del Garante Italiano in data le sole funzionalità previste La scuola ha attivato una gestione peculiare della piattaforma attivando permessi. e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche OU con specifici regolati da termini di utilizzo che La scuola ha attivato i soli servizi essenziali (Google for Workspace) Servizi non essenziali possono vincolano Google alla non registrazione e alla non divulgazione. e essere attivati solo per specifiche OU non collegate agli studenti. trattasi di documenti non previsti né L'istituto non può quindi accogliere la richiesta, in quanto obbligatori. I.T.C. " ERASMO DA ROTTERDAM " - C.F. 97068290150 C.M. MITD450009 - ADDD563 - ITCS ERASMO DA ROTTERDAM Prot. 0004513/U del 06/12/2022 08:48 Normativa e disposizioni attuative | Richiesta 4- DPIA per posta elettronica, DDI, registro elettronico per l’A.S. 2022-23 Posta Elettronica Come già rappresentato in riscontro alla Richiesta di cui ai punti 1) e 2), le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell'epidemia. E’ pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall'art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Si rammenta che il Garante per la protezione dei dati personali ha pubblicato un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA ( https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-isplay/docweb/9058979 ) e, tra questi, non sono presenti quelli citati nella richiesta pervenuta. Il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione scala) di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga che non nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma nuove soluzioni consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove forme di tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano utilizzo dei dati di geolocalizzazione o biometrici). come le espressioni Sulla valutazione d'impatto il Garante ha poi precisato che: "si evidenzia delle tipologie di trattamenti, trattamenti "sistematici" e "non occasionali" indicate nell'Elenco di impatto di cui ai punti 6, 11 e 12 soggetti al meccanismo di coerenza, da sottoporre a valutazione sono riconducibili al criterio della "larga scala" (https://Awww.garanteprivacy.it/Regolamentoue/DPIA). ma serve anche la “larga scala”, Non basta, quindi, la presenza di un trattamento verso minori del 26 marzo 2020, non è rinvenibile con elemento che, ritornando anche al provvedimento riferimento alla singola scuola. disponibili sui siti web delle piattaforme in Le DPIA dei fornitori di piattaforme DDI sono comunque questione. - Microsoft: https://learn.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-office365 - Google: https://cloud.google.com/privacy/data-protection-impact-assessment quanto trattasi di documenti non previsti né L'istituto non può quindi accogliere la richiesta, in obbligatori, o comunque già disponibili pubblicamente. I.T.C. " ERASMO DA ROTTERDAM " - C.F. 97068290150 C.M. MITD450009 - ADDD563 - ITCS ERASMO DA ROTTERDAM Prot. 0004513/U del 06/12/2022 08:48 Normativa e disposizioni attuative Registro elettronico L'Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. L'Istituto scrivente ha sottoscritto un contratto di prestazione di servizio con la software house Gruppo Spaggiari Parma Spa. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AglD: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 5 — Valutazione di impatto sul trasferimento di dati all’estero per l’A.S. 2022-23 Posta elettronica Come già rappresentato in riscontro alla Richiesta di cui ai punti 1) e 2), le software house sono scelte a livello Ministeriale; la necessità di valutazione di impatto per TIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) L'Istituto scrivente ha attivato i soli servizi essenziali (Google for Workspace) regolati da un contratto che vincola Google alla non registrazione e alla non divulgazione. L'Istituto scrivente ha altresì provveduto a impostare correttamente la Data Region e i dati di conformità al GDPR, configurabili dal pannello di amministrazione di Google for Workgroup. Queste scelte rendono inutile la redazione della TIA. A questi link sono reperibili le documentazioni Google legate alla scelta della data region e ai servizi essenziali attivati: - https://support.google.com/a/answer/6356441?hl=en - https://support.google.com/a/answer/7630496 - https://support.google.com/a/answer/9223653?hl=en - https://support.google.com/a/answer/60762?hl=en Trattandosi di una particolare valutazione di impatto sulla protezione dei dati (in questo specifico caso trasferiti all’estero), questa tipologia di trattamento è anch'essa regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La TIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). previsti né L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non obbligatori. _ Registro elettronico one di servizio la L'Istituto scrivente ha recepito all'atto della sottoscrizione del contratto di prestazi TIA redatta dalla software house fornitrice. con la software house L'Istituto scrivente ha sottoscritto un contratto di prestazione di servizio — Gruppo Spaggiari Parma Spa. nella scheda del servizio Le TIA delle software house fornitrici del servizio sono pubbliche e reperibili o) SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ la richiesta, in quanto trattasi di documenti già disponibili L'istituto non può quindi accogliere pubblicamente. I.T.C. " ERASMO DA ROTTERDAM " - C.F. 97068290150 C.M. MITD450009 - ADDD563 - ITCS ERASMO DA ROTTERDAM Prot. 0004513/U del 06/12/2022 08:48 Normativa e disposizioni attuative Richiesta 6 — Copia della valutazione comparativa per l’A.S. 2022-23 per le piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 Posta elettronica Come già rappresentato in riscontro alla Richiesta di cui ai punti 1) e 2), le software house sono scelte a livello Ministeriale; la necessità di Valutazione Comparativa è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. [omissis] Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo per l’anno scolastico 2022-2023 è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia. E’ pertanto un errore richiedere una Valutazione Comparativa su un servizio (la DaD) non più attivabile. Per quanto concerne le piattaforme DDI, nell’anno scolastico 2022/2023 l’Istituto scrivente ha operato in continuità con gli anni scolastici precedenti: non è stata quindi effettuata nessuna valutazione comparativa, poiché è stato confermato l’utilizzo degli strumenti gia attivati in precedenza, avendo osservato, nel caso di migrazione, un concreto rischio di eccessivi oneri in termini di costi di migrazione e formazione del personale. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro Elettronico Si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l'applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. Stante la peculiare struttura del mercato di riferimento, il contenuto rapporto numero di operatori attivi, la particolare soddisfazione maturata nel precedente eccessivi oneri in termini di contrattuale e la relativa competitività del prezzo offerto, valutati gli non docente) e costi (per migrazione, formazione del personale docente, formazione del personale confermato valutati i rischi per l’integrità dei dati trattati in caso di migrazione, l’Istituto scrivente ha diretto il contratto stipulato con il fornitore degli anni precedenti, e rinnovato in affidamento n. 4 valutazione comparativa. aggiornate al D.Lgs 56/2017. Di conseguenza non è stata effettuata alcuna non previsto né L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento obbligatorio. di richiesta di riesame, avverso Avverso la decisione dell'amministrazione competente o, in caso e della trasparenza, il richiedente può quella del responsabile della prevenzione della corruzione sensi dell'articolo 116 del Codice del proporre ricorso al Tribunale amministrativo regionale ai 2010, n. 104. processo amministrativo di cui al decreto legislativo 2 luglio Bollate, 6 dicembre 2022 © Scolastico [omissis] Codice fiscale: PLURRL64A64F158A 06/12/2022 08:48:52 I.T.C. " ERASMO DA ROTTERDAM " - C.F. 97068290150 C.M. MITD450009 - ADDD563 - ITCS ERASMO DA ROTTERDAM Prot. 0004513/U del 06/12/2022 08:48 Normativa e disposizioni attuative