ISTITUTO COMPRENSIVO I VIA MARI C.F. 85019030155 C.M. MBIC8F4007 A7986E5 - ISTITUTO COMPRENSIVO 1 VIA MARIANI - LIS Prot. 0004825/U del 18/10/2022 15:37 SA MINISTERO DELL'ISTRUZION E Istituto Comprensivo I VIA MARIANI Via F. MARIANI, 1 - 20851 LISSONE (MB) Tel. 039481325 E mail uffici: PEC: mbic8f4007@pec.istruzione.it - mbic8f4007@istruzione.it - sito web: http://iclissoneprimo.edu.it CODICE ISTITUTO MBIC8F4007 - CODICE FISCALE 85019030155 - CODICE UNIVOCO UFPDSE Scuola secondaria di | grado “Benedetto Croce” ad Indirizzo Musicale Spett.le Monitora PA c.a. Sig. Fabio Pietrosanti Oggetto: Richiesta FOIA-01-MBIC8F4007ai sensi dell'art. 5, comma 2 del D.Lgs 14 marzo 2013 n. 33. Egr. Sig. Fabio Pietrosanti, Con riferimento alla Sua richiesta FOIA di Accesso Civico Generalizzato, pervenuta via PEC allo scrivente Istituto in data 19/09/2022 e protocollata con protocollo 4757/E, si comunica quanto segue: Richiesta 1 — Copia del contratto (o altro atto giuridico) sottoscritto per l'utilizzo di Posta elettronica istituzionale, piattaforme DAD/DDI, software house che fornisce il registro elettronic o relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023 Servizi di posta elettronica ministeriale @istruzione.it e @pec.istruzione.it L'Istituto usufruisce in concessione d’uso di una casella di posta elettronica ordinaria e di una PEC ministeriale. | contratti stipulati con i Provider di servizi sono selezionati dal MIUR e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Servizi di posta elettronica con dominio intestato all’Istituto | contratti sottoscritti tra lo scrivente Istituto e le software house che fornisco no i servizi di posta elettronica, devono essere pubblicati nell'apposita sezione di Amminis trazione Trasparente, raggiungibile dal sito istituzionale, in osservanza del Dlgs. 33/2013. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblica mente. Piattaforma DaD/DDI Le piattaforme DaD/DDI utilizzate dall'Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell'attivazione del servizio. | termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: https://workspace.google.com/terms/education_terms.html L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento pubblicato ed aggiornato da altro soggetto, pubblicamente accessibile sui rispettivi siti. Registro Elettronico, Segreteria Digitale e altri software che trattano dati di persone fisiche | contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono i servizi di Registro Elettronico e Segreteria Digitale devono essere pubblicati nell'apposita sezione di Amministrazione non può Trasparente, raggiungibile dal sito istituzionale, in osservanza del Dlgs. 33/2013. L’istituto quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Axios: https://axiositalia.it/wp- content/uploads/2022/09/M.GES 03.06 Licenza duso software Axios 20220929 signed.pdf Richiesta 2 — DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 3 del La valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall'art. 35 comma tra i quali non Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, di dati in ambito scolastico : gli istituti scolastici infatti non effettuano ricadono i trattamenti c). trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto 2020 (doc. web n. Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo di trattamento: “La 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia richiede per i casi di rischi elevati, non è valutazione di impatto, che l’art. 35 del Regolamento rie, ancorché relativo necessaria se il trattamento effettuato dalle istituzioni scolastiche e universita ulteriori caratteristiche a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta Ad esempio, non è richiesta suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. scuola (non, quindi, su larga la valutazione di impatto per il trattamento effettuato da una singola o di una piattaforma che non scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza degli utenti o comunque non ricorre a nuove soluzioni consente il monitoraggio sistematico che comportano nuove forme di tecnologiche particolarmente invasive (quali, tra le altre, quelle utilizzo dei dati di geolocalizzazione o biometrici)." in oggetto, il Garante Italiano ha Stante la normativa emergenziale in vigore negli anni scolastici nto effettuato da una singola scuola altresì dichiarato che NON era richiesta la DPIA per il trattame piattaforma. nell'ambito di un servizio online di videoconferenza o di una provvedimento, il Garante non ha in A tal riguardo occorre precisare che, con il già menzionato motivi emergenziali, fornendo alcun modo derogato all'applicazione del GDPR per asseriti didattica a distanza in vista della sua solamente precisazioni utili ad un corretto approccio alla massiva adozione. può accogliere la richiesta, in quanto trattasi di Per i servizi di videoconferenza l’Istituto non obbligatori. L'Istituto non utilizza piattaforme di monitoraggio documenti non previsti e non sistematico degli utenti. attivare i soli servizi strettamente necessari Richiesta 3 - Misure tecniche previste e adottate per e più complesse che eroghino servizi più alla formazione, nel caso di utilizzo di piattaform didattica, negli anni scolastici 2020/2021, complessi anche non rivolti esclusivamente alla 2021/2022, 2022/2023 specifica “piattaforme più complesse” rispetto a La richiesta non è chiara, dal momento che non tuto non fa uso di applicativi aggiuntivi complessi cosa, 0 “servizi più complessi” rispetto a cosa. L'Isti delle piattaforme multimediali si è sempre non confacenti ad un ambiente scolastico . L'utilizzo indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. La scuola ha attivato la gestione delle piattaforme attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche utenze con specifici permessi. La scuola ha attivato i soli servizi essenziali regolati da termini di utilizzo che vincolano i Provider di servizio alla non registrazione e alla non divulgazione dei dati. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. L'Istituto non utilizza piattaforme di monitoraggio sistematico degli utenti. Richiesta 4 — DPIA per posta elettronica, DDI, registro elettronico per l’A.S. 2022-23 Servizi di posta elettronica ministeriale @istruzione.it e @pec.istruzione.it Per i medesimi motivi di cui al punto 1) l’istituto non può accogliere la richiesta, in quanto trattasi di attività che non è di sua competenza e disponibilità. Servizi di posta elettronica con dominio intestato all'Istituto (tipicamente xoxxx@xxxx.edu.it) Per le motivazioni espresse in nota (1) questi trattamenti non ricadono nelle fattispecie di applicazione art. 35 GDPR. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. Piattaforma DaD/DDI Per le motivazioni espresse in nota (1) e nota (2) per questi trattamenti non ricadono le fattispecie di applicazione art. 35 GDPR. L’Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. Registro Elettronico, Segreteria Digitale e altri software che trattano dati di persone fisiche L'Istituto ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ Alcune software house hanno reso pubblica una copia della loro DPIA. Axios: https://axiositalia.it/wp-content/uploads/2022/09/29.09.22-DPA Axios Italia Srl 2 signed.pdf L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 5 — Valutazione di impatto sul trasferimento di dati all’estero per l’A.S. 2022-23 Servizi di posta elettronica ministeriale @istruzione.it e @pec.istruzione.it Per i medesimi motivi di cui al punto 1) l'istituto non può accogliere la richiesta, in quanto trattasi di attività che non è di sua competenza e disponibilità. Servizi di posta elettronica con dominio intestato all'Istituto Per le motivazioni espresse in nota (1) questi trattamenti non ricadono le fattispecie di applicazione art. 35 GDPR. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. Piattaforma DaD/DDI Per le motivazioni espresse in nota (1) e nota (2) per questi trattamenti non ricadono le fattispecie di applicazione art. 35 GDPR. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. Registro Elettronico, Segreteria Digitale e altri software che trattano dati di persone fisiche L'Istituto ha recepito all'atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiD: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 6 — Copia della valutazione comparativa per l’A.S. 2022-23 per le piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, | registro elettronico, adottate nell’anno scolastico 2022/2023 | Servizi di posta elettronica ministeriale @istruzione.it e @pec.istruzione.it Per i medesimi motivi di cui al punto 1) l'istituto non può accogliere la richiesta, in quanto trattasi di attività che non è di sua competenza e disponibilità. Servizi di posta elettronica con dominio intestato all'Istituto La scelta è stata sicuramente operata nel perimetro di legittimità previsti da CAD lettere d)ede)art. 68, vedi nota.(3), ma non è obbligatorio dar conto di comparazione e procedure negoziali magari basate sulla nei mera valutazione dell’opera di ingegno, per affidamento diretto o per valori che non rientrano di parametri operativi previsti dal Codice degli appalti, altresì operando in deroga al principio Di conseguenza non è stata effettuata alcuna valutazione comparativa. Piattaforma DaD/DDI da CAD lettere d) ed e) art. La scelta è stata sicuramente operata nel perimetro di legittimità previsti negoziali magari 68, vedi nota (3), ma non è obbligatorio dar conto di comparazione e procedure o per valori che non basate sulla mera valutazione dell’opera di ingegno, per affidamento diretto operando in deroga al rientrano nei parametri operativi previsti dal Codice degli appalti, altresì al DIgs 56/2017. Di conseguenza non è stata effettuata alcuna valutazione comparativa. dati di persone fisiche Registro Elettronico, Segreteria Digitale e altri software che trattano da CAD lettere d) ed e) La scelta è stata sicuramente operata nel perimetro di legittimità previsti e procedure negoziali art. 68, vedi nota (3), ma non è obbligatorio dar conto di comparazione ento diretto o per valori magari basate sulla mera valutazione dell’opera di ingegno, per affidam appalti, altresì operando in che non rientrano nei parametri operativi previsti dal Codice degli ANAC n. 4 aggiornate al Dlgs 56/2017. Di conseguenza non è stata effettuata alcuna valutazione comparativa. Nota (1) dall'art 35 GDPR, meglio descritta da La DPIA [omissis] , misura prevista di impatto sulla protezione dei dati Linee-guida del Gruppo Articolo 29 in materia di valutazione un “Analisi di rischio per la protezione (WP248), la possiamo tradurre semplificando il contesto, con quali non ricadono i trattamenti di dati in dei dati” che è obbligatoria in casi specifici e normati, tra i trattamenti automatizzati (punto a), ambito scolastico : gli istituti scolastici infatti non effettuano sistematico (punto c). nessun trattamento su larga scala (punto b) e nessun trattamento Il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattam ento: _41_ [omissis] normativa emergenziale in vigore negli anni scolastic i in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattam ento effettuato da una singola scuola nell'ambito di un servizio online di videoconferenza o di una piattaforma. Nota (2) Piattaforma DDI e DaD La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia. Nota (3) La norma citata è il CAD (Codice dell’Amministrazione Digitale) che all'Art. 68 recita: Le pubbliche amministrazioni acquisiscono programmi informatici o parti di essi nel rispetto dei principi di economicità e di efficienza, tutela degli investimenti, riuso e neutralità tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato: a) software sviluppato per conto della pubblica amministrazione; b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione; c) software libero o a codice sorgente aperto; d) software fruibile in modalità cloud computing; e) software di tipo proprietario mediante ricors o a licenza d’uso; f) software combinazione delle precedenti soluzi oni. Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente proporre ricorso al Tribunale amministrativo può regionale ai sensi dell'articolo 116 del Codic processo amministrativo di cui al decreto legisl e del ativo 2 luglio 2010, n. 104. Lissone, 18/10/2022 Il Dirigente Scolastico responsabile del proce dimento SL. Malvina Poggiagliolmi