ISTITUTO TECNICO AGRARIO STATALE “CARLO GALLINI” 27058 VOGHERA (PV) Corso Rosselli, 22 - tel. 0383 343611 Posta Elettronica: pvta01000p@pec.istruzione.it - pvta01000p@istruzione.it Sito INTERNET: www.istitutocarlogallini.edu.it Certificazione UNI EN 150 9001:2015 - n. 6376 Alla cortese attenzione Sig. Fabio Pietrosanti Monitora PA comunicazioni@pec.monitora-pa.it Oggetto: Riscontro a richiesta di accesso civico generalizzato presentato dal sig. Fabio Pietrosanti ai sensi dell'art. 5, comma2 del d.lgs. 14 marzo 2013, n. 33 Con riferimento alla Sua richiesta di accesso civico generalizzato di cui alla nota prot. n. 7750/2022 del 21/09/2022 e si comunica quanto segue: 1.Richiesta di copia del contratto (o altro atto giuridico) sottoscritto per l'utilizzo di Posta elettronica istituzionale, piattaforme DAD/DDI, software house che fornisce il registro elettronico relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; In merito al punto 1 della richiesta pervenuta si segnala preliminarmente la richiesta presentata allo scrivente Ufficio appare troppo onerosa coinvolgendo servizi erogati anche da altri enti pubblici e amministrazioni con cui la scuola interagisce (come l’amministrazione centrale del Ministero dell'Istruzione). Inoltre, la richiesta copre un periodo ditre anni scolastici, con la conseguenza di apparire esorbitante rispetto allo scopo e rischiando di cagionare una paralisi all'attività scolastica . Unitamente, si rappresentano altre ragioni di diniego, che si dettagliano come di seguito. In relazione alla posta elettronica istituzionale, gli istituti usufruiscono in concessione di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. Questo Istituto, pertanto, non può accogliere la sua richiesta, in quanto trattasi di documento prodotto e sottoscritto dal Ministero dell'Istruzione e non in disponibilità diretta della scuola, anche se si segnala che i dati relativi ai medesimi sono stati nell'apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale www.istitutocarlogallini.edu.it , in osservanza del d.lgs. n. 33/2013. Il contratto dei servizi tipo Microsoft è disponibile al link: https://www.microsoft.com/it- it/servicesagreement/ Si segnala che la documentazione relativa ad Aruba è disponibile in chiaro al seguente link: https://www.pec.it/termini-condizioni. aspx ° = eis? [ico SISTEMA DI GESTIONE QUALITÀ CERTIFICATO We prepare for COY CERTIQUALITY EUROPEAN INFORMATICS PASSPORT English Qualifications The Digital Skills Standard ISTITUTO TECNICO AGRARIO STATALE “CARLO GALLINI” 27058 VOGHERA (PV) Corso Rosselli, 22 - tel. 0383 343611 Posta Elettronica: pvta01000p@pec.istruzione.it - pvta01000p@istruzione.it Sito INTERNET: www.istitutocarlogallini.edu.it Certificazione UNI EN 150 9001:2015 - n. 6376 In relazione alle piattaforme DaD/DDI /servizi di videoconferenze utilizzate dall'Istituto, l’Istituto ha acquistato n. 1 licenza per tre annualità Google Workspace For Education Plus 3Y come documentato su Amministrazione trasparente sul sito www.istitutocarlogallini.edu.it Microsoft Office : l’Istituto ha acquistato e rinnovato le licenze Microsoft Office come documentato in Amministrazione trasparente sul sito www.istitutocarlogallini.edu.it L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. In relazione alla richiesta dei contratti sottoscritti tra lo scrivente Istituto e le software house, che forniscono i servizi di Registro Elettronico e Segreteria Digitale si segnala che i dati relativi ai medesimi sono stati pubblicati nell'apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, in osservanza del d.lgs. n. 33/2013. Si segnala che la policy relativa ai servizi Argo è reperibile al seguente link https://www.argosoft.it/xargo/normativaprivacy/policy.pdf https://assistenza.argo.software/avviso-circa-una-comunicazione-ufficiale-relativamente-alla- diffida-rif-google-analytics/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di informazioni già disponibili pubblicamente. 2.Richiesta - DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 In riscontro a tale punto, si richiama il provvedimento del 26 marzo 2020, con cui il Garante per la protezione dei dati personali ha voluto fornire una serie di chiarimenti in merito all'utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle valutazioni di impatto ha affermato che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi peri diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).”A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. QU cmmcao SISTEMA DI GESTIONE 0 “i We prepare or CON CERTIQUALITY eis: EUROPEAN INFORMATICS PASSPORT ICDL 7 English Qualifications The Digital Skills Standard ISTITUTO TECNICO AGRARIO STATALE “CARLO GALLINI” 27058 VOGHERA (PV) Corso Rosselli, 22 - tel. 0383 343611 Posta Elettronica: pvta01000p@pec.istruzione.it - pvta01000p@istruzione.it Sito INTERNET: www.istitutocarlogallini.edu.it Certificazione UNI EN 150 9001:2015 - n. 6376 La DPIA, quindi, è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Le DPIA dei fornitori di piattaforme DDI sono, ad ogni modo, disponibili sui siti web delle piattaforme in questione. Microsoft: https://learn.microsoft.com/en-us/compliance/regulatory/adpr-dpia-office 365 Google: https://cloud.google.com/privacy/data-protection-impact-assessment L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. 3. Misure tecniche previste e adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusiva mente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023. La richiesta si palesa in modo assolutamente generico, dal momento che non specifica “piattaforme più complesse” rispetto a cosa, o “servizi più complessi” rispetto a cosa. L'Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori ed inoltre per la genericità della richiesta, dal momento che, secondo granitica giurisprudenza amministrativa, l'interesse sottostante a una siffatta istanza deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza. 4.Richiesta di copia di DPIA per posta elettronica, DDI, registro elettronico per l’A.S. 2022- 23 Posta Elettronica Come già rappresentato in riscontro alla Richiesta di cui al punto 1), le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può, quindi, accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto dal Ministero dell'Istruzione e non in disponibilità diretta della scuola, anche se si segnala che le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgiID: https://catalogocloud.agid.gov.it/ . Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia . ° = eis? [ico SISTEMA DI GESTIONE QUALITÀ CERTIFICATO We prepare for COY CERTIQUALITY EUROPEAN INFORMATICS PASSPORT English Qualifications The Digital Skills Standard ISTITUTO TECNICO AGRARIO STATALE “CARLO GALLINI” 27058 VOGHERA (PV) Corso Rosselli, 22 - tel. 0383 343611 Posta Elettronica: pvta01000p@pec.istruzione.it - pvta01000p@istruzione.it Sito INTERNET: www.istitutocarlogallini.edu.it Certificazione UNI EN 150 9001:2015 - n. 6376 L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall'art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Si rammenta che il Garante per la protezione dei dati personali ha pubblicato un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA ( https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-isplay/docweb/9058979 ) e, tra questi, non sono presenti quelli citati nella richiesta pervenuta. Lo stesso Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha esplicitamente dichiarato che non è prevista la DPIA per la richiesta tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede peri casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi peri diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici) ." Sulla valutazione d'impatto ha poi precisato che: "si evidenzia come le espressioni trattamenti "sistematici"e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala" (https://www.garanteprivacy.it/Regolamentoue/DPIA). Non basta, quindi, la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione. Microsoft: https://learn.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-office 365 Google: https://cloud.google. com/privacy/data-protection-impact-assessment L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori, o comunque già disponibili pubblicamente. Registro elettronico L'Istituto scrivente ha recepito all'atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fomitrice. L'Istituto scrivente ha sottoscritto un contratto di prestazione di servizio con la software house Argo. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/ ° = eis? [ico SISTEMA DI GESTIONE QUALITÀ CERTIFICATO We prepare for COY CERTIQUALITY EUROPEAN INFORMATICS PASSPORT English Qualifications The Digital Skills Standard 27058 VOGHERA (PV) Corso Rosselli, 22 - tel. 0383 343611 Posta Elettronica: pvta01000p@pec.istruzione.it - pvta01000p@istruzione.it Sito INTERNET: www.istitutocarlogallini.edu.it Certificazione UNI EN 150 9001:2015 - n. 6376 L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. 5. Copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023; Posta elettronica Come già rappresentato in riscontro alla Richiesta di cui al punto 1) le software house sono scelte a livello Ministeriale; la necessità di valutazione di impatto per TIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto pertanto non può accogliere la sua richiesta, in quanto trattasi di documento sottoscritto dal Ministero dell'Istruzione e non in disponibilità diretta della scuola, anche se si segnala che le DPIA e le relative TIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/. Piattaforma DDI (Messaggistica, videoconferenza, etc) Trattandosi di una particolare valutazione di impatto sulla protezione dei dati (in questo specifico casotrasferiti all’estero), questa tipologia di trattamento è anch'essa regolata dall'art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La valutazione d'impatto del trasferimento di dati all'estero -TIA- è obbligatoria in casi specificie normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infattinon effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. L'Istituto scrivente ha recepito all'atto della sottoscrizione del contratto di prestazione di servizio la TIA redatta dalla software house fornitrice. Lo stesso Istituto ha sottoscritto un contratto di prestazione di servizio con la software house ARGO. Le DPIA e le relative TIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https ://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente 6. Copia della valutazione comparativa per l’A.S. 2022-23 per le piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. In riscontro al presente punto, si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l'applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto - soglia. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. QU cmmcao SISTEMA DI GESTIONE 0 “i We prepare or CON CERTIQUALITY eis: EUROPEAN INFORMATICS PASSPORT ICDL. . English Qualifications The Digital Skills Standard 27058 VOGHERA (PV) Corso Rosselli, 22 - tel. 0383 343611 Posta Elettronica: pvta01000p@pec.istruzione.it - pvta01000p@istruzione.it Sito INTERNET: www.istitutocarlogallini.edu.it Certificazione UNI EN 150 9001:2015 - n. 6376 Il richiedente può presentare istanza di riesame al responsabile della prevenzione della corruzione e della trasparenza, che è il Direttore dell'Ufficio Scolastico Regionale di competenza. Contro la decisione dell’amministrazione competente o, in caso di richiesta di riesame avverso quella del Responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale Amministrativo Regionale si sensi dell'art. 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. Il Dirigente Scolastico [omissis] Documento firmato digitalmente ai sensi del Codice dell'Amministrazione Digitale e normativa connessa SISTEMA DI GESTIONE QUALITÀ CERTIFICATO ° " We prepare for COY CERTIQUALITY Cass! ICDL EUROPEAN INFORMATICS PASSPORT English Qualifications The Digital Skills Standard