ISTITUTO SUPERIORE “GUIDO PARODI” — ACQUI TERME - (AL) Via De Gasperi 66, tel. 0144/320645 — fax 0144/350098 C.M.: ALISO0100E - C.F.: 81001730068 http:/ /www.istitutoparodi.edu.it - segreteria@istitutoparodi.edu.it LICEO CLASSICO STATALE - LICEO DELLE SCIENZE UMANE STATALE p Corso Bagni, 1 - tel. 0144322254 ISTITUTO PARODI LICEO SCIENTIFICO STATALE - — LICEO LINGUISTICO STATALE LICEO ARTISTICO STATALE ‘J. OTTOLENGHI” Via De Gasperi, 66 - tel. 0144320645 Protocollo come da segnatura Acqui Terme, 21/11/2022 A comunicazioni @ pec.monitora-pa.it Agli Atti Oggetto: Riscontro richiesta di accesso generalizzato Facendo seguito alla Vs comunicazione del 26/09/2022 protocollo 7935/2022 e del 25.10.2022 protocollo 8929/2022, collegata alla pregressa istanza, viste le comunicazioni dell’ Avvocatura dello Stato, dell'USR Veneto e dell’ USR Piemonte sul punto, sentito il DPO, si riscontra come segue. Il registro elettronico è adottato dal nostro istituto, così come da tutti gli Istituti Scolastici italiani, in ossequio alle vigenti disposizioni di legge ed in particolare del Codice dell'Amministrazione Digitale (oramai senza collegamenti contingenti allo stato di emergenza dovuto alla pandemia). La relativa adozione in modalità cloud è incentivata dal PNNR come cloud delle Istituzioni Scolastiche. I dati personali degli alunni, dei genitori e del personale scolastico sono trattati, all’interno del Registro, esclusivamente in esecuzione dell’interesse pubblico rilevante per l’istruzione e la formazione in ambito scolastico (non in virtù del consenso, posto che nessun consenso è o sarebbe applicabile). I fornitori di servizi cloud sono soggetti di diritto privato italiano e dispongono delle certificazioni e qualificazioni richieste da AgID (con iscrizione al marketplace) per la vendita di software in SaaS alle scuole. I subfornitori (CSP qualificati AgID) sono aziende europee e con data center residenti nel territorio dello Spazio Economico Europeo. I software sono dotati di misure di sicurezza. Attraverso il registro elettronico non è possibile effettuare alcuna operazione di “sorveglianza” sugli utenti del sistema e non è possibile svolgere alcuna altra operazione fuori dalle finalità scolastiche; non sono presenti strumenti di profilazione o pubblicità. Sotto il profilo oggettivo, si rileva che il protrarsi ed il moltiplicarsi di diverse richieste, quali quelle già pervenute a questo istituto, in un arco temporale limitato, appare onerosa per la Pubblica Amministrazione (quanto richiesto, con le modalità utilizzate) va ad interferire con il buon andamento della pubblica amministrazione. Più richieste formulate in un breve arco temporale, sono pertanto fonte di onere per la PA, oltretutto in relazione alla seria preoccupazione che esse siano finalizzate non dall’effettiva esigenza di conoscenza di documenti amministrativi (tutelata dal FOIA) ma caratterizzate da mere finalità esplorative. ISTITUTO SUPERIORE “GUIDO PARODI” — ACQUI TERME - (AL) Via De Gasperi 66, tel. 0144/320645 — fax 0144/350098 C.M.: ALISO0100E - C.F.: 81001730068 http:/ /www.istitutoparodi.edu.it - segreteria@istitutoparodi.edu.it LICEO CLASSICO STATALE - LICEO DELLE SCIENZE UMANE STATALE Corso Bagni, 1 - tel. 0144322254 ISTITUTO PARODI LICEO SCIENTIFICO STATALE - — LICEO LINGUISTICO STATALE LICEO ARTISTICO STATALE “J. OTTOLENGHI” Via De Gasperi, 66 - tel. 0144320645 Nella richiesta di accesso civico in oggetto è stato richiesto: 1. copia del contratto o altro atto giuridico in forza del quale la scuola ha utilizzato e utilizzerà 1 servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma, che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; copia degli atti riportanti le misure tecniche previste e adottate per attivare 1 soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi, anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023; copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione e il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023; copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. Le informazioni richieste ai punti 2-4-5-6 dell’istanza si riferiscono a operazioni non propriamente di competenza delle singole istituzioni scolastiche, come ad esempio la valutazione di impatto che, ai sensi dell’art. 35 del GDPR, riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico. Secondo la giurisprudenza amministrativa, le richieste esplorative — dirette a sapere se siano previsti una certa attività amministrativa o un determinato servizio o, ancora, l'adozione di un determinato atto — possono essere dichiarate inammissibili qualora siano preordinate unicamente alla verifica della posizione dell’amministrazione rispetto a un certo tema (Tar Lazio, sez. I-bis, 4 febbraio 2019, n. 1383). ISTITUTO SUPERIORE “GUIDO PARODI” — ACQUI TERME - (AL) Via De Gasperi 66, tel. 0144/320645 — fax 0144/350098 C.M.: ALISO0100E - C.F.: 81001730068 http:/ /www.istitutoparodi.edu.it - segreteria@istitutoparodi.edu.it LICEO CLASSICO STATALE - LICEO DELLE SCIENZE UMANE STATALE Corso Bagni, 1 - tel. 0144322254 ISTITUTO PARODI LICEO SCIENTIFICO STATALE - — LICEO LINGUISTICO STATALE LICEO ARTISTICO STATALE ‘J. OTTOLENGHI” Via De Gasperi, 66 - tel. 0144320645 E che l’«interesse alla trasparenza, di tipo conoscitivo, che non esige una motivazione specifica, deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio [...] pena rappresentare un inutile intralcio all’esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi» (Così Consiglio di Stato, sez. III, 25.01.2021 n. 495). Anche I’ Adunanza Plenaria del Consiglio di Stato, con sentenza del 2 aprile 2020, n. 10, ha evidenziato che «l’accesso, finalizzato a garantire, con il diritto all’informazione, il buon andamento dell’amministrazione (art. 97 Cost.), non può finire per intralciare proprio il funzionamento della stessa, sicché il suo esercizio deve rispettare il canone della buona fede e il divieto di abuso del diritto» con la conseguenza che sarà «possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche [...], contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi» Le richieste del punti 3 e 5 e cioè le misure tecniche adottate per l’utilizzo di piattaforme che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica e la TIA, richiedono una estrapolazione e una decontestualizzazione dalla analisi dei rischi effettuata per la definizione di una struttura adeguata al rischio ai sensi dell’art. 32 del GDPR 679/2016. Operazione che comporta oneri aggiuntivi e scarsi benefici per il richiedente. La semplice produzione della documentazione specificamente prodotta per l’uso delle piattaforme e la TIA che ne consegue, come ad esempio, le istruzioni agli autorizzati del trattamento dati ed 1l regolamento per l’uso delle piattaforme approvati in sede scolastica non sarebbero, comunque da sole, sufficienti a fornire un quadro completo, esaustivo delle misure tecniche adottate per il rispetto della privacy di cui l’Istituto si è dotato ; un insieme complesso di strumenti, tecniche e tecnologie (come la pseudonomizzazione e la crittografia) e procedure. La comunicazione della documentazione relativa a tutte le contromisure adottate a contrasto del rischio esporrebbe l’amministrazione ad un immotivato, ingiustificato rischio per la propria sicurezza dei dati, con effetti financo controproducenti, conseguentemente trattasi di una possibilità assolutamente da scongiurare. La conoscenza da parte di terzi delle contromisure di sicurezza adottate, infatti, inficia l'efficacia delle stesse elevando proprio il rischio che è invece doveroso contenere -art. 32 del GDPR 679/2016 che recita: “Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile, così come l’estrapolazione di quella proposta comporta oneri per l’amministrazione e scarsi benefici per il richiedente per 1 motivi esposti. Inoltre è già riconosciuta una più ampia tutela al cittadino dalla stessa normativa sulla privacy che impone la redazione della documentazione richiesta; si rimanda al “reclamo diretto al Garante” che ciascun cittadino, direttamente, autonomamente, liberamente, facilmente, senza costi può richiedere a tutela del rispetto della privacy ISTITUTO SUPERIORE “GUIDO PARODI” — ACQUI TERME - (AL) Via De Gasperi 66, tel. 0144/320645 — fax 0144/350098 C.M.: ALISO0100E - C.F.: 81001730068 http:/ /www.istitutoparodi.edu.it - segreteria@istitutoparodi.edu.it LICEO CLASSICO STATALE - LICEO DELLE SCIENZE UMANE STATALE p Corso Bagni, 1 - tel. 0144322254 ISTITUTO PARODI LICEO SCIENTIFICO STATALE - — LICEO LINGUISTICO STATALE o LICEO ARTISTICO STATALE “J. OTTOLENGHI” Via De Gasperi, 66 - tel. 0144320645 direttamente all’ Autorità, la sola che può formulare giudizi di legittimità e di merito in materia, applicare sanzioni e obbligare al rispetto delle norme. Rammentiamo che in base al principio di “accountability”, il Titolare del trattamento dati ha la responsabilità di progettare e implementare una struttura adeguata al rischio e ha l’onere di dimostrare all’ Autorità di averlo fatto. In base al principio di privacy by design e by default tali oneri a carico del Titolare del trattamento, sono continui, costanti e tutto quanto progettato e implementato viene anche rivisto, in considerazione di quanto empiricamente riscontrato sulla base di audit di controllo, a cui devono necessariamente seguire adempimenti operativi con l’applicazione di adeguate contromisure a contrasto del rischio, la cui valutazione è mutata proprio sulla base di quanto effettivamente si è nel tempo e nelle circostanze verificato. Inoltre, i mutevoli aspetti anche legati al contesto internazionale, indicazioni del MI, indicazioni dell’Agid, provvedimenti esplicativi del Garante devono essere considerati nell’analisi. AI titolare del trattamento, dunque, spetta la responsabilità, comportamenti proattivi, monitoraggi, comportamenti adattivi e l’onere della prova. L’organo di controllo previsto dalle norme a tutela del cittadino può essere soltanto I’ Autorità Garante della Privacy che ne ha l’onere, la legittimità e le competenze a cui il cittadino può accedere, direttamente, liberamente, agevolmente e senza costi per la propria tutela. Non potendosi, nonostante le dichiarate intenzioni, sostituire all’ Autorità di controllo, la richiesta di documentazione tecnica, valutabile solo nel merito, appare una immotivata richiesta di controllo generalizzato, verosimilmente non supportato da vero interesse conoscitivo, all’esistenza o meno della documentazione prodotta, fra l’altro, di tutti gli Istituti d’Italia. Alla luce di questo, appare anche plausibile, nonostante le difficoltà oggettive, ricondurre all’accesso civico sottoposto alla 241/90 in luogo dell’accesso civico generalizzato regolamentato dall’art. 5 comma 2 del D.Igs 33/2013, la richiesta pervenuta. In tal caso si prefigura il motivo di inammissibilità della richiesta per “controllo generalizzato” art. 24 comma 3 L. 241/90. La documentazione relativa alle misure tecniche adottate andrebbe poi “epurata” dai numerosi dati personali del personale coinvolto tutelati dall’art 5-bis comma 2 d.lgs 33/2013 e dovrebbe essere effettuata anche la richiesta ad ogni controinteressato. Tutto ciò rappresenta un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione e la richiesta di tutta questa mole di informazioni eccessivamente onerosa, comportando l’inammissibilità della richiesta di accesso civico generalizzato per le motivazioni già esposte delle sentenze del Consiglio di Stato. In ogni caso, si intende puntualizzare quanto segue: PUNTO 1) CONTRATTI La norma prevede che per i contratti vengano pubblicate le rispettive determine in amministrazione trasparente. Ulteriori documenti necessitano della notifica ai controinteressati. PUNTO 2) DPIA Come da indicazione del Garante e dello stesso Ministero, non sussiste obbligo di redazione DPIA ISTITUTO SUPERIORE “GUIDO PARODI” — ACQUI TERME - (AL) Via De Gasperi 66, tel. 0144/320645 — fax 0144/350098 C.M.: ALISO0100E - C.F.: 81001730068 http:/ /www.istitutoparodi.edu.it - segreteria@istitutoparodi.edu.it LICEO CLASSICO STATALE - LICEO DELLE SCIENZE UMANE STATALE p Corso Bagni, 1 - tel. 0144322254 ISTITUTO PARODI LICEO SCIENTIFICO STATALE - — LICEO LINGUISTICO STATALE LICEO ARTISTICO STATALE ‘J. OTTOLENGHI” Via De Gasperi, 66 - tel. 0144320645 PUNTO 3) MISURE TECNICHE Sono state adottate le misure tecniche prescritte e riepilogate nel REGOLAMENTO DDI ; sono state impartite istruzioni operative al personale operante. PUNTO 4) DPIA Come da indicazione del Garante e dello stesso Ministero, non sussiste obbligo di redazione DPIA PUNTO 5) TIA Il Ministero ha dichiarato che non è prevista la DAD. La scuola non effettua trasferimento di dati all'estero; qualora ciò dovesse avvenire, questo avverrebbe nel rispetto nella normativa UE PUNTO 6) VALUTAZIONE COMPARATIVA Non c’è obbligo di conservazione, in caso di nuovi acquisti per questo anno corrente è sufficiente riportare in determina l’esito della comparazione. I docenti hanno acquisito competenze negli ultimi due anni, pertanto questo sarebbe anche motivo sufficiente per riutilizzare le stesse piattaforme. Da ultimo, si segnala che, espressamente interpellati i fornitori dei servizi esterni, essi hanno prodotto 1 chiarimenti necessari. E° certamente cura dell’Istituto attenzionare ogni situazione possibile di rischio e valutare ogni possibile miglioramento funzionale ad una miglior tutela. Il Dirigente Scolastico Documento firmato digitalmente ai sensi del cosiddetto Codice dell’Amministrazione Digitale e normativa connessa