ISTITUTO COMPRENSIVO DI ALESSANDRIA -SPINETTA MARENGO
                         Via del Ferraio, 46 - 15122 Spinetta Marengo (AL) - CODICE FISCALE 96034490068
                                     MALIC81700X@istruzione.it Ddalic81700x@pec.istruzione.it
                                                   0131 216567 S0131 619109




                                                                   A    MONITORA                PA
                                                                       comunicazioni@pec.monitora-pa.it


                                                                       ATTI




Oggetto:     Richiesta   di    accesso     generalizzato    —   Riscontro          dopo        richiesta    dialogo     inoltrato    in    data
17/10/2022 ns prot. 7218

Con riferimento alla Sua riformulazione della richiesta di accesso pervenuta a questo Istituto e assunta a
protocollo con n. 7241 del 18/10/2022:

“1) copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR,
effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, didattica digitale integrata e
registro elettronico, adottate nell’anno scolastico  2022/2023 dal vostro Istituto;

2) copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale
trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la
fruizione ed il funzionamento dei servizi di posta elettronica, didattica digitale integrata e registro
elettronico, adottate nell’anno scolastico  2022/2023 dal vostro Istituto;

3) copia   della   valutazione       comparativa    ai sensi    dell’art.     68    del   d.     Igs. 7/3/2005        n. 82   realizzata    per
provvedere     all'acquisizione      delle piattaforme     di posta    elettronica,        didattica digitale integrata e registro
elettronico, adottate nell’anno scolastico  2022/2023 dal vostro Istituto.”

Si rappresenta quanto di seguito:

  -    chele informazioni richieste al punto 1           si riferiscono ad operazioni non propriamente di competenza
       delle singole istituzioni scolastiche, si rappresenta che l’art. 35 Reg. UE 2016/679 prevede che la DPIA
      sia obbligatoria        solo   in caso   di trattamenti   che    per natura,         oggetto,        contesto    e finalità,   possano
       presentare un rischio elevato peri diritti e le libertà delle persone fisiche. Il GDPR infatti non elenca
      tassativamente i casi nei quali è obbligatorio procedere a una DPIA, ma si limita a elencare tre ipotesi
       nelle quali essa è richiesta, in particolare:

       “1. quando il trattamento comporta una valutazione sistematica e globale di aspetti personali relativi
      a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si
      fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette
      persone fisiche;

      2. nel caso di trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9,
      paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;

      3. qualora il trattamento abbia ad oggetto la sorveglianza sistematica su larga scala di una zona
      accessibile al pubblico”.
           In codesto istituto sub 1) e 3) non rilevano, mentre il trattamento sub 2) non può essere considerato
           “su larga scala”, in quanto limitato alla comunità scolastica .
           Nondimeno, quand’anche si fosse redatta una DPIA nella piena discrezionalità, si fa presente che non
           è possibile renderla pubblica dal momento                   che essa contiene dati inerenti le modalità di protezione
           attuate e l'ubicazione fisica di alcuni archivi utilizzati per il trattamento:                         rendere        pubbliche queste
           informazioni significherebbe diminuirne la sicurezza. Abbastanza                            pacificamente, trasmettere a terzi
           le misure di protezione adottate implica favorirne o renderne più agevole la violazione;



     -     che   rispetto al punto         2e    3, la didattica      digitale integrata        non   è attiva, essendo           cessato    lo stato
           emergenziale; che           i servizi di posta elettronica @istruzione.it non sono gestiti a livello di singola
           autonomia scolastica , ma a livello centrale ministeriale;                      che l’uso del registro elettronico fa parte di
           un unico pacchetto denominato “Infoschool” offerto dalla ditta Spaggiari, il quale comprende anche
           altri servizi quali, a titolo d'esempio, la gestione documentale, il protocollo, PagoPA, ... Tale servizio,
           acquistato in anni precedenti, per il quale si procede al rinnovo annualmente con medesimo gestore,
           dal momento         che, nell’ottica del buon andamento                 della PA e     dell’efficienza del servizio, modificare
           il sistema di protocollo comporterebbe oneri gestionali e organizzativi contrari al principio del buon
           andamento e dell’economicità. Risulta peraltro a protocollo la regolare nomina della Spaggiari quale
           responsabile del trattamento.




                                                                                           LA DIRIGENTE SCOLASTICA 
                                                                                             [omissis] documento è firmato digitalmente ai sensi del D.Lgs. 82/2005 s.m.i. e norme collegate e sostituisce il documento cartaceo e    la firma autografa