MONTALCINI " Signor Fabio Pietrosanti IPA/AOO: istsc_alis003006 Monitora PA n° 9461/ 2022 . 19/10/2022 via Aretusa n. 34 Protocollato in: 1.4. 20147 Milano (MI) Invio tramite pec: comunicazioni@pec.monitora-pa.it Atti Oggetto: Richiesta di accesso generalizzato - Riscontro comunicazione di rideterminazione dell’oggetto della richiesta del 18 ottobre 2022, prot. n° 9415/2022 del 18/10/2022 _2_ [omissis] richiesta di accesso civico generalizzato del 19/09/2022, pervenuta a questa Amministrazione tramite pec in data 20/09/2022, ore 16:41:01, ed acquisita al protocollo generale dell'Istituzione Scolastica con n° 8362/2022 del 21/09/2022; VISTA la propria nota prot. n. 9393/2022 del 18/10/2022, trasmessa tramite pec, avente ad oggetto: “Richiesta di accesso generalizzato; comunicazione atta ad instaurare con il richiedente un dialogo cooperativo”; VISTA la comunicazione in risposta alla suddetta nota, pervenuta a questa Amministrazione tramite pec in data 18/10/2022, ore 13:05, ed acquisita al protocollo generale dell’Istituzione Scolastica con n° 9415/2022 del 18/10/2022, in cui viene rideterminata la richiesta ai seguenti documenti: 1) copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023; 2) copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023; 3) copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023; PREMESSO che l’accesso generalizzato, previsto dall'art. 5, comma 2, del Decreto Legislativo n. 33 del 14/03/2013, presenta la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all'attività amministrativa; CONSIDERATO che l’istanza di accesso civico generalizzato è suscettibile di rigetto in ragione dei limiti previsti dall'art. 5 bis, commi 1, 2 e 3 del Decreto Legislativo n. 33 del 14/03/2013 a tutela di interessi pubblici e privati; CONSIDERATO che l’istanza, essendo diretta ad ottenere copie dei documenti e delle valutazioni di impatto della protezione dei dati (DPIA) e del trasferimento dei dati all’estero (TIA), prodotte dal titolare del trattamento di cui ai punti 1), 2) dell'istanza, non soddisfa le finalità di controllo garantite dall’art. 5 del Decreto Legislativo n. 33 del 14/03/2013, in quanto tali documenti nonché le eventuali misure integrative sono predisposti dal titolare per valutare la sicurezza dei trattamenti posti in essere all’interno dell'Istituzione scolastica e come tali sono già oggetto di controllo diretto da parte dell'Autorità Garante, ai sensi della normativa vigente in materia di protezione del trattamento dei dati personali; CONSIDERATO che la valutazione di impatto sulla protezione dei dati, prevista dall’art. 35 del GDPR si rende necessaria quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori; VISTE le “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017, nelle quali si afferma che “Il regolamento generale sulla protezione dei dati non richiede la realizzazione di una valutazione d'impatto sulla protezione dei dati per ciascun trattamento che può presentare rischi per i diritti e le libertà delle persone fisiche. La realizzazione di una valutazione d'impatto sulla protezione dei dati è obbligatoria soltanto qualora il trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (articolo 35, paragrafo 1, illustrato dall'articolo 35, paragrafo 3, e integrato dall'articolo 35, paragrafo 4). RILEVATO che il Garante della Privacy, nel provvedimento del 26/03/2020, ha precisato che la DPIA non è necessaria, nel caso in esame, poiché le istituzioni scolastiche non effettuano trattamenti di dati personali su larga scala: “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se iltrattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”; EVIDENZIATO che il Garante della Privacy, nel succitato provvedimento del 26/03/2020, ha precisato che “Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato”; RILEVATO che nelle Linee guida contenute nella delibera n. 1309 del 28/12/2016 ANAC ha precisato che non è ammissibile una richiesta meramente esplorativa, volta semplicemente a “scoprire” di quali informazioni l’Amministrazione dispone; PRESO ATTO che la sentenza n. 5702 del 13/08/2019 del Consiglio di Stato — Sezione VI stabilisce che l'accesso civico serve a favorire forme diffuse di controllo sull’attività dell'ente e sull'uso delle risorse pubbliche ma non può intralciare il buon funzionamento della Pubblica Amministrazione; esso deve, inoltre, essere applicato secondo buona fede e senza aggravare l'operato della Pubblica Amministrazione nonché entro il rispetto del limite della tutela dell'interesse alla riservatezza dei dati personali. Pertanto si rende necessaria una valutazione caso per caso al fine di garantire, secondo un delicato ma giusto bilanciamento, che non si faccia dell'accesso civico generalizzato un uso malizioso e che esso non sia causa di intralcio al buon funzionamento della Pubblica Amministrazione; EVIDENZIATO che, in considerazione del superamento dello stato di emergenza ex decreto-legge 24 marzo 2022, n. 24, la normativa speciale per il contesto scolastico legata al virus SARS-CoV-2, che consentiva la didattica digitale integrata, ha cessato i propri effetti con la conclusione dell’anno scolastico 2021/2022. Per l’a.s. 2022/2023, questo Istituto ha ripristinato la didattica in presenza, con le modalità attuate pre pandemia, e non si prevede, al momento, il ricorso alla DAD; RILEVATO che servizi di posta elettronica @istruzione.it sono esclusi dalla competenza di questa amministrazione, in quanto sono messi a disposizione da MI al personale e alle scuole, i quali sono gestiti non già a livello di singola autonomia scolastica , ma a livello centrale ministeriale; ACQUISITO il composito parere dell’USR Piemonte prot. n. 14633 del 06/10/2022; ACQUISITO il parere del DPO che ritiene non si possa concedere l’accesso integrale ai documenti di cui ai punti 1) e 2); CONCEDE l’accesso parziale ai sensi dell'art. 5 bis, comma 4, Decreto Legislativo n. 33 del 14/03/2013. 1) In relazione al primo documento richiesto (“copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023 dal vostro Istituto”), richiamando quanto già detto in premessa, si rappresenta che l’art. 35 Reg. UE 2016/679 prevede che la DPIA sia obbligatoria solo in caso di trattamenti che per natura, oggetto, contesto e finalità, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il GDPR infatti non elenca tassativamente i casi nei quali sia obbligatorio procedere a una DPIA, ma si limita ad elencare tre ipotesi nelle quali essa è richiesta, in particolare: “1. quando il trattamento comporta una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; 2. nel caso di trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; 3. qualora il trattamento abbia ad oggetto la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. In questo Istituto sub 1. e 3. non ricorrono, mentre il trattamento sub punto 2. non è stato considerato “su larga scala”, in quanto limitato al numero di iscritti alla scuola. L'Istituto non ha attuato né attua un monitoraggio sistematico, né una profilazione, né un trattamento su larga scala dei dati. Nondimeno, quand’anche si fosse redatta una DPIA, la pubblicazione della stessa non costituisce un obbligo formale ai sensi del Regolamento ed è quindi rimessa alla discrezionalità del titolare, anche in riferimento alla valutazione del pregiudizio concreto alla tutela del pubblico interesse alla sicurezza. La pubblicazione di informazioni, quali le modalità di protezione attuate e l'ubicazione fisica di alcuni archivi utilizzati per il trattamento, potrebbe infatti comportare un rischio per la sicurezza. Allo stesso modo, trasmettere a terzi le misure di protezione adottate implica favorirne o renderne più agevole la violazione. Ciò nondimeno, al fine dell’accountability e della promozione della fiducia nelle attività di trattamento svolte dal Titolare, secondo un approccio responsabile e trasparente, si trasmette una sintesi della DPIA elaborata per l’a.s. 2022/23. 2) Relativamente al secondo documento (“copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023”), si rimanda all’estratto della DPIA, relativamente alle parti di pertinenza. Si trasmette, inoltre, il Contratto (Online) Google Workspace for Education (versione gratuita senza addebiti), per quanto attiene alle modalità di trattamento dei dati, che escludono scopi pubblicitari o altri scopi commerciali. 3) Con riferimento al terzo documento (“copia della valutazione comparativa ai sensi dell'art. 68 del D.lgs. 7/3/2005 n.82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, didattica digitale integrata e registro elettronico, adottate nell’anno scolastico 2022/2023”), si evidenzia che la normativa che regola gli acquisti nelle scuole comprende non solo il CAD ma soprattutto il Codice dei contratti pubblici (Decreto Legislativo n. 50 del 18/04/16) ed il Regolamento di contabilità (Decreto interministeriale n. 129 del 28/08/2018), nei quali non è contenuta la previsione dell'obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto — soglia. Questo Istituto non può, pertanto accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. È opportuno, comunque, evidenziare che, con l'eccezione, del registro elettronico, le piattaforme che si intendono utilizzare nell’a.s. 2022/23, sono state fornite gratuitamente nella versione base. Relativamente al registro elettronico, trattasi di un servizio “Infoschool” offerto dalla ditta Spaggiari, per il quale si procede a rinnovo annuale dall’a.s. 2014/2015, dal momento che - nell’ottica del buon andamento della PA e dell'efficienza del servizio - modificare il sistema di protocollo e la migrazione dei dati comporterebbe imponenti oneri gestionali e organizzativi contrari al principio del buon andamento. Il richiedente può presentare richiesta di riesame al Responsabile della prevenzione della corruzione e trasparenza, che decide con provvedimento motivato entro il termine di venti giorni. Contro la decisione dell’amministrazione competente o, in caso di richiesta di riesame avverso quella del Responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale Amministrativo Regionale si sensi dell’art. 116 del Codice del processo amministrativo di cui al Decreto Legislativo n. 104 del 02/07/2010. Distinti saluti. Acqui Terme, 19/10/2022 La Dirigente Scolastica {*) il documento è firmato digitalmente ai sensi del D.Lgs. 82/2005 s.m.i. e norme collegate e sostituisce il documento cartaceo e la firma autografa