Ministero della Pubblica Istruzione OMPRE, ISTITUTO COMPRENSIVO STATALE “G.D. ROMAGNOSI” AGNOSIO SCUOLA PRIMARIA E SECONDARIA DI PRIMO GRADO OOC cod. scuola MBIC830004 - C.F.83009860152 — Codice Univoco UF8ROH Va, CARATE BRIANZA tel. 0362/987451-456-458 - Via G. Cantore, 16 - 20841 CARATE B.ZA (MB) e-mail: MBIC830004@istruzione.it - MBIC830004@pec.istruzione.it sito: www.icromagnosicarate.edu.it 1.0, "ROMAGNOSI" CARATE B.ZA Carate Brianza, 18 Ottobre 2022 Prot. 0003606 del 18/10/2022 |-4 {Uscita} Monitor PA c.a. Gent.mo Fabio Pietrosanti comunicazioni@pec.monitora-pa.it ASSENSO ALLA RICHIESTA DI ACCESSO CIVICO GENERALIZZATO (c.d. FOIA) (ai sensi dell'art. 5, c. 6, d.lgs. 14 marzo 2013, n. 33) Oggetto: Riscontro alla richiesta di accesso civico generalizzato presentato da Monitor PA nella persona di Fa bio Pietrosanti, ai sensi dell'art. 5, comma 2 del d.lgs. 14 marzo 2013, n. 33 Con riferimento alla Sua richiesta di accesso civico generalizzato del 19 settembre 2022, pervenuta presso questa amministr: azione in data 20 settembre 2022, prot. n. 3226/1-4, COMUNICO che l'istanza viene accolta. Trasmetto le copie dei documenti richiesti che sono in possesso della scuola. 1. Richiesta di copia del contratto (o altro atto giuridico) sottoscritto per l'utilizzo di Posta elettronica istituzionale, piattaforme DAD/DDI, software house che fornisce il registro elettronico relativamente agli anni scolastici 2020/2021,2021/2022, 2022/2023 In merito al punto 1 si segnala, preliminarmente, che la richiesta presentata allo scrivente Ufficio coinvolge servizi erogati anche da altri enti pubblici ed amministrazioni con cui la scuola interagisce (come l’amministrazione centrale del Ministero dell’Istruzione). In particolare, in relazione alla posta elettronica istituzionale, l’istituto usufruisce, in concessione, di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fomitrici dei servizi di posta (Microsoft e Aruba) sono scelte da esperti del Ministero e la relati va contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. Sì inviano comunque le copie dei contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono i servizi di posta elettronica con dominio intestato all'Istituto. In relazione alle piattaforme DaD/DDI utilizzate dall'Istituto, si rammenta che queste sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che sono pubblici e sono reperibili sui siti web delle piattaforme in questione. In relazione alla richiesta dei contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono i servizi di Registro Elettronico e Segreteria Digitale si segnala che copia di questi vengono trasmessi in allegato. 2. Richiesta copia della valutazione d'impatto della protezione dei dati (DPIA} effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022 In riscontro a tale punto, si richiama il provvedimento del 26 marzo 2020, con cui il Garante per la protezione dei dati personali ha voluto fornire una serie di chiarimenti in merito all'utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle valutazioni di impatto ha affermato che “la valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravare i rischi per diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)." A tal riguardo occorre precisare che, con il giù menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. La DPIA, quindi, è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). La scuola ha utilizzato la piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche utenze con specifici permessi. La scuola ha abilitato i soli servizi essenziali regolati da termini di utilizzo che vincolano i Provider di servizio alla non registrazione e alla non divulgazione dei dati. L'Istituto non utilizza piattaforme di monitoraggio sistematico degli utenti. 3. Richiesta copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023 In merito al punto in oggetto, si rappresenta che l'Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali è sempre stato indirizzato verso l'ottenimento di uno strumento efficace e complementare alle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. L'Istituto non è in possesso dei documenti richiesti. 4. Richiesta copia della valutazione d'impatto della protezione dei dati (DPIA)} ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a di-stanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo In merito alla valutazione d'impatto il Garante ha precisato che: “si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". La presenza di un trattamento verso minori riguarda la singola scuola e non la “larga scala”. L'Istituto non è in possesso dei documenti richiesti. 5. Richiesta copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea} necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023 dall'Istituto in indirizzo. Come già indicato nel riscontro alla richiesta di cui al punto 1), le software house sono scelte a livello Ministeriale. L'eventuale necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'Istituto non è in possesso dei documenti richiesti. 6. Richiesta copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo In riscontro al presente punto si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l'applicazione del CAD (Codice dell'’Amministrazione Digitale) ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. Nell'anno scolastico 2022-2023 non è stata comunque. ancora. svolta. alcuna valutazione comparativa per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico. IL DIRIGENTE SCOLASTICO [omissis] Documento firmato digitalmente, ai sensi e per gli effetti dell'art. 20 c.2, d.lgs. 7 /3/2005, n.82, "Codice dell'Amministrazione Digitale"