SI e i U NION E EU ROPEA DI ISTRUZIONE SUPERIORE 4 Ministero dell Élruxione Fondo sociale europeo Fondo europeo di sviluppo regionale O ISTITUTO ISTITUTO D’ISTRUZIONE SUPERIORE “A. MASERATI” Sede centrale e Uffici: via Mussini, 22 - 27058 VOGHERA (PV) Sede Maserati — via Mussini, 22 Sede Baratta — via Don Milani, 21 E-mail: pvis00900q @istruzione.it PEC: pvis00900q @pec.istruzione.it Tel. 0383 43644 - Website: http://istitutomaserati.edu.it codice fiscale: 86007250185 - codice meccanografico: PVIS00900Q AI Sig. Fabio Pietrosanti, con domicilio digitale all’indirizzo Pec: comunicazioni @ pec.monitora-pa.it; p.c. AI Direttore Generale Ufficio Scolastico Regione Lombardia : drlo@postacert.istruzione.it Oggetto: Risposta Accesso civico generalizzato A seguito della Sua istanza del 21/09/2022 trasmessa via PEC, nella quale richiedeva l’accesso ai vari documenti ai sensi dell’art. 5 del D. Lgs. n. 33 del siamo con la presente a dareriscontro. La richiesta formulata non presenta indicazione di di un interesse conoscitivo, ma hala sola finalità di costituire una banca dati per l’utilizzo successivo ed eventuale, da parte di non meglio definiti studiosi ed esperti della privacy e del software libero. Inoltre ai punti due e quattrosi richiedono documenti, le valutazioni di impatto DPIA, che questa amministrazione non hal’obbligo di redigere, e quindi non fornibili. Si è considerato il Consiglio di Stato, sez. III, 25.01.2021 n. 495: “se da un lato l’interesse alla trasparenza non richiede una motivazione specifica, dall'altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all’esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi” La sua richiesta pertanto pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative rientrando in quanto previsto dal Consiglio di Stato. Si è considerato, inoltre, il Consiglio di Stato | Sezione AP | Sentenza | 2 aprile 2020 | n. 10 ... 36.6. Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose 0 sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Le richieste dei punti 3 e 3, e cioè le misure tecniche adottate per Putilizzo di piattaforme che eroghino servizi più complessi anche non rivolti esclusivamente alia didattica e la TIA, richiedono una estrapolazione e una decontestualizzazione dalla analisi dei rischi effettuata per la definizione di una struttura adeguata al rischio ai sensi delParti. 32 del GDPR 6759/2018. La fornitura della documentazione specificamente prodotta per ! uso delle piattaforme, la TIA che ne consegue, le istruzioni agli autorizzati del trattamento dati, il regolamento per uso dellopiattaforme approvato dai Consiglio di Istituto non sarebbero, da sole, sufficienti a fornire unquadro compieto, esaustivo delle misure tecniche adottate per il rispetto della privacy di cui Istituto si è dotato. Inoltre, la possibile divulgazione della documentazione relativa a tutte le contromisure adottate esporrebbe l'amministrazione ad un immotivato, ingiustificato rischio di sicurezza. La conoscenza delle contromisure, infatti, inficia Pefficacia delle stesse riportando quel rischio che cercano di mitigare a livelli inaccettabili è non conformi giPart. 32 del GDPR 679/2016 cherecita: *“// titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile, e l’estrapolazione di quelia richiesta comporta oneri per Pamministrazione e scarsi benefici per i richiedente peri motivi esposti, Inoltre è già riconosciuia una più ampia tutela al cittadino dalla stessa normativa sulla privacy che impone la redazione della documentazione richiesta. Ci riferiamo al “reclamo diretto al Garante” che ciascun cittadino, direttamente, autonomamente, liberamente, facilmente, e senza costi può richiedere direttamente all'Autorità, la sola che può formulare giudizi di legittimità e di merito in materia, applicare sanzioni e obbligare al rispetto delle norme. Rammentiamo, infine, che in base al principio di “accountabiliiy” il Titolare del trattamento dati ha fa responsabilità di progettare e impiementare una struttura adeguata al rischio e ha onere di dimostrare di averlo fatto. In base al principio di privacy by design e by defauit tali oneri a carico deli Titolare del trattamento, sono continui e costanti. Quanto progettato e implementato va rivisio in considerazione di riscontri empirici risultanti da audit di controlio a cui devono necessariamente seguire adempimenti operativi con l'applicazione di adeguate contromisure a contrasto del rischio. Mutevoli aspetti, anche legati ai contesto internazionale, indicazioni del MI, indicazioni dell'AgiD., provvedimenti esplicativi del Garante, devono essere. considerati nellanalisi. Ai titolare del trattamento, dunque, spetta ia responsabilità, comportamenti proaltivi, monitoraggi, comporiamenti adattivi e Ponere della prova. L'organo di controlio previsto dalle norme a tutela del cittadino può essere soltanto | Autorità Garante della Privacy che ne ha Ponere.la fegittimità e ie competenze. Non potendosi, nonostante le dichiarate intenzioni, sostituire all'Autorità di controllo, la richiesta di documentazione tecnica, valutabile solo nel merito, appare una immotivata richiesta di controllo generalizzato, non supportato da vero interesse conoscitivo, all'esistenza o meno della documentazione prodotta, fra Paliro di tutti gli Istituti d'Italia. La documentazione relativa alle misure tecniche adottate andrebbe poi “epurata” dai dati personali dei preposti coinvolti tutelati dallPari 5-bis comma 2 digs 33/2053 e, in alcuni casianche effettuata anche fa richiesta ai controinteressati. Tuito ciò rappresenta un carico irragionevole di lavoro idoneo @ interferire con il buon andamento della pubblica amministrazione e ia richiesta di tutta questa mole di informazioni eccessivamente OnCrosa. Molta della documentazione richiesta è da considerarsi atto interno e non documento amministrativo soggetto alla conoscibilità mediante Pacceso civico generalizzato. Per le motivazioni esposte si ritiene pertanio la sua richiesta di accesso civico inammissibile, I Dirigente Scolastico