ISTITUTO COMPRENSIVO OZZANO M.TO/ VIGNALE M.TO k it Via Manzoni n. 38/3 Vignale M.to (AL) Tel. 0142-933057 * peg . . * e-mail alic823007@istruzione.it. + % ky sito internet https://icozzanovianale.edu.it Prot. n. 2992 Vignale M.to, 18/10/2022 Al Sig. Fabio Pietrosanti Attivista del progetto Monitora PA A seguito della ricezione della richiesta di accesso civico ai sensi del D.Lgs 14/03/2013 n.33 da parte di Fabio Pietrosanti, attivista del progetto Monitora PA, in data 19 settembre 2022, sono stati analizzati i seguenti documenti per redigere il presente parere: e La nota dell’Usr Piemonte del 5 ottobre, prot.0014633.05-10 -2022; e Il parere rilasciato al Ministero dell'istruzione dall’Avvocatura Generale dello Stato in data 12 ottobre 2022. sono doverose alcune premesse: ® Nellanota prot.n. 562 del 28 marzo 2020 del Miur, nel punto Ill relativo agli Strumenti per la didattica a distanza mette al corrente degli interessati non dell'implementazione delle piattaforme per l'apprendimento a distanza ma che l'elenco di queste è accessibile (all’epoca) ad una pagina dedica ta sul sito istituzionale del Ministero (link https://www.istruzione.it/coronavirus/dida ttica-a-distanza.html), ma che tali piattaforme telematiche siano certificate. Le predet te piattaforme per la didattica a distanza, sempre secondo quanto stabilito nel medes imo punto della nota, sono offerte a titolo gratuito a tutte le Istituzioni scolastiche da parte di operatori del settore, previa sottoscrizione con lo [omissis] apposito protocollo di intesa; e Nel “Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" del Garante della Privacy si riferisce alla “valutazione di impatt o, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necess aria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi peri diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche ISTITUTO COMPRENSIVO OZZANO M.TO/ VIGNALE M.TO k k Via Manzoni n. 38/3 Vignale M.to (AL) Tel. 0142-933057 * * e-mail alic823007@istruzione.it è * sito internet https://icozzanovianale.edu.it particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”; e il registro elettronico è adottato da tutti gli Istituti Scolastici italiani in ossequio alle vigenti disposizioni di legge ed in particolare del Codice della Amministrazione Digitale (e senza collegamenti contingenti allo stato di emerge nza dovuto alla pandemia); e A seguito della Circolare Agid n.2/2018 e Circolare n.3/2018 dal 20 novembre 2018, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi laaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace; e Nell’allegato A della Circolare Agid n.2/2018 sono presenti i criteri per ottenere la qualifica di fornitori per essere inserito nel Marketplace dell’Agid, in particolare si segnala che ai fini della sicurezza e della protezione dei dati è necessaria una delle ud-italia- circolari/it/latest/circolari/CSP/allegato_docs/requisiti-specifici.ht ml#sicurezza- privacy-e-protezione-dei-dati); e _ Tutti i fornitori di servizi utilizzati per l'erogazione della didattica, come registro elettronico e strumenti per la didattica a distanza sono presenti nel catalogo del Marketplace dell’Agid; ® L'art 5 bis del D.lgs 33/2013, stabilisce che l’accesso civico deve essere rifiutato, fra l’altro, se il diniego è necessario per evitare un pregiudizio concret o alla tutela della protezione dei dati personali, in conformità alle disposizioni vigenti in materia. e La medesima normativa sancisce che l’accesso civico è rifiutat o «se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezi one dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a) e che «l’amministrazione cui è indirizzata la richiest a di accesso, se individua soggetti controinteressati, ai sensi dell'articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consent ito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata Opposizione, anche per via telematica, alla richiesta di accesso» (art. 5, comma 5). Segue un'analisi dettagliata dell’istanza di Monitora PA, riguardo ai punti inerenti gli aspetti di protezione dei dati 2-3-4-5, e dei suddetti documenti ha portato alla realizzazione del suddetto documento. Si analizzeranno i singoli punti. ISTITUTO COMPRENSIVO OZZANO M.TO/ VIGNALE M.TO k k Via Manzoni n. 38/3 Vignale M.to (AL) Tel. 0142-933057 * * e-mail alic823007@istruzione.it ue “ 4” sito internet https://icozzanovianale.edu.it Richiesta 2 “copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022”. Nel primo periodo, fino all'implementazione dei servizi del registro elettronico, è stata utilizzato la Gsuite limitatamente a Classroom e Meet, anch'esso tra gli strumenti identificati come certificati dal Ministero stesso nella nota prot.n. 562 del 28 marzo 2020 del Miur. In via del tutto preventiva e senza vincoli normativi l'istituto ha deciso di effettuare una dpia sugli strumenti della Gsuite. La piattaforma utilizzata è Classe Viva di Spaggiari, registro elettronico già in uso presso l'istituto e la sua configurazione prevede la minimizzazione dei dati e non prevede l’attività di monitoraggio del comportamento degli alunni e del personale della scuola, così come descritto nelle loro Policy di Sicurezza reperibile al sito http://www.spaggiari.eu/privacy/ALLEGATO_C.pdf. Inoltre, non vi sono i presupposti per assolvere alla richiesta in quanto il Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784], precisa che la DPIA non è necessaria per la singola istituzione scolastica (non applicabile quindi la larga scala) nell’ambito dell’utilizzo di una piattaforma o servizio di videoconferenza che non prevede il monitoraggio sistemico degli utenti. Si sottolinea che gli strumenti utilizzati sono qualificati come fornitori presso il Marketplace dell’Agid. Richiesta 3 “copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”. Questo punto è quello che prevede la maggiore complessità, in quanto Monitora PA ha pubblicamente condiviso l'intenzione di condividere il materiale inviato, ciò potrebbe mettere rappresentare un reale rischio per la protezione dei dati dell'istituto scolastico . L'elenco esaustivo di tutte le misure di sicurezza potrebbe essere lungo, è necessario indicare le misure per tutti i servizi utilizzati anche a quelli “non rivolti esclusivamente alla didattica”. Quest'ultima richiesta appare eccessivamente generica e potrebbe aver senso una ridefinizione di tale parametro. Richiesta n.4 “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, ISTITUTO COMPRENSIVO OZZANO M.TO/ VIGNALE M.TO k k Via Manzoni n. 38/3 Vignale M.to (AL) Tel. 0142-933057 * * e-mail alic823007@istruzione.it a * x sito internet https://icozzanovianale.edu.it messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”. Con la conclusione dell'emergenza sanitaria e, come indicato nelle faq inserite nel vademecum del 28/08/2022 inerenti alle indicazioni per l'avvio dell'anno scolastico 2022/2023, la didattica a distanza non è stata rinnovata come metodologia didattica; pertanto, la maggior parte delle Istituzioni Scolastiche hanno deciso di non adottare nessuno dei servizi elencati ad eccezione del Registro Elettronico. Come già anticipato nelle premesse, l’Istituto Scolastico non ha attivato nessuno degli strumenti presenti nella richiesta, ad eccezione del Registro Elettronico. L'adozione di tale strumento non è legata all'emergenza sanitaria ma dalla normat iva vigente e non ha altre finalità se non quella legata alla gestione delle attività didatti che. Inoltre, si precisa che la DPIA non è necessaria per la singola istituzione scolastica (non applicabile quindi la larga scala) nell’ambito dell'utilizzo di una piattaforma o servizio di videoconferenza che non prevede il monitoraggio sistemico degli utenti., tale presupposto non è strettamente legato all'emergenza sanitaria ma alla natura del servizio stesso. Richiesta n.5 “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”. La richiesta di TIA, pertanto, potrebbe essere necessaria solo ed esclusivamente per tale strumento qualora il Registro Elettronico prescelto trasferisca dati verso Paesi extra SEE. Il Registro Elettronico prescelto ha sede in Italia e non prevede trasferimenti in paesi extraUe come si evince dalla policy di sicurezza del punto 2. I punti 1 e 6 non sono analizzati in tale sede in quanto non sono di competenze del Dpo ma del Responsabile Anticorruzione e Trasparenza. In conclusione, non è possibile rispondere ad alcuni dei quesiti in quanto non vi sono i presupposti normativi o fattivi, come il punto 4 e 5. Per quanto riguarda il punto 2 è possibile un accesso parziale come già evidenziato nel punto stesso. Per quanto riguarda il punto 3 la richiesta risulta generica e non consente di individuare con esattezza la documentazione richiesta, oltre ad essere connotata da carattere meramente esplorativo. Cordiali saluti “IL DIRIGENTE SCOLASTIC . [omissis] ZON USO