Centro territoriale per l’Inclusione o, Scuola capofila Rete territoriale per l'integrazione degli alunni stranieri Rete Nazionale Scuola all’Aperto Centro accreditato Trinity College of London Via Battitore ang. Via Giustetto - 10064 PINEROLO (TO) - Tel. 0121/201173 e-mail: toic8bj00c@istruzione.it - segreteria@icpinerolo2.it pec: toic8bj00c@pec.istruzione.it — SITO: www.icpinerolo2.edu.it - Codice Fiscale 94573130013 c.a. Prot. 0006444 del 19/10/2022 comunicazioni @ pec.monitora-pa.it 1-4 (Uscita) OGGETTO: Risposta in merito a RIF FOIA-01. TOIC8BJ00C - RICHIESTA DI ACCESSO CIVICO GENERALIZZATO PRESO ATTO della richiesta di cui all’oggetto [omissis] parere formulato in merito dall’ USR Piemonte, in qualità di Responsabile della Trasparenza e della Prevenzione della [omissis] parere formulato in merito dall’ Avvocatura dello Stato di Roma VV CONSIDERATO che lo scopo dell’accesso civico generalizzato è quello di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico e non, invece, di valutare la compliance normativa al GDPR o al Codice dell’ Amministrazione Digitale (CAD) Si dà riscontro a quanto richiesto nel modo di seguito indicato: «* Punto n. 1 - copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021,2021/2022, 2022/2023 Relativamente al punto n. 1, si precisa quanto segue: a. Servizi di posta elettronica, di video conferenza, didattica a distanza e didattica digitale integrata: L'Istituto si avvale della piattaforma Google Workspace. I dati relativi al contratto con il fornitore di tale piattaforma sono consultabili liberamente al seguente link https://workspace. google.it/intl/it/terms/2013/1/premier_ terms.html b. Messaggistica: servizio mai attivato da questa Istituzione scolastica c. Registro elettronico: l’Istituto si affida al provider Argo software s.r.1. Di seguito le precisazioni del provider che vengono riportate integralmente: Il Registro Elettronico è adottato dagli Istituti Scolastici in ossequio a vigenti disposizioni di legge quali: e Codice dell’Amministrazione Digitale (CAD) D. Lgs. 82 del 7 marzo 2005 ed in particolare art. 40 che impone alle pubbliche amministrazioni di formare gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici; e Piano Triennale dell’AgID; e DD. L. n. 95/2012 contenente “Disposizioni urgenti per la razionalizzazione della spesa pub- blica”, convertito dalla legge n. 135/2012; e Nota del MIUR del 3 ottobre 2012, [omissis] . Uff. 1682/U; e Legge 13 luglio 2015, n. 107. L'adozione dello stesso è peraltro incentivata, in applicazione della normativa sopra citata, dalcosiddetto migrazione al cloud delle Istituzioni scolastiche: “L'investimento 1.2 della Componente 1 della Missione 1 del Piano Nazionale di Ripresa e Resilienza si pone come obiettivo la migrazione dei dataset e delle applicazioni utilizzate dalle Istituzioni scolastiche verso un'infrastruttura cloud sicura e che rispecchi i requisiti definiti da AgID all’interno della Determinazione n. 628/2021. L'investimento, pertanto, propone la dismissione di tutti gli applicativi gestiti tramite software on premise o tramite soluzioni custom, a favore del passaggio adapplicativi ospitati su ambienti cloud certificati”. Il Registro Elettronico non è stato adottato dagli Istituti Scolastici in seguito alla pandemia da COVIDI19 ed in nessun caso si può collegare la sua adozione allo stato di emergenza cessato lo scorso marzo. Non è quindi in discussione la legittimità della soluzione, in quanto prevista dalla normativa. Non è in discussione, se del caso, neppure il trattamento dei dati personali effettuato dagli Istituti Scolastici tramite il Registro Elettronico, che trova il suo fondamento di liceità nello svolgimento di attività di interesse pubblico rilevante per l’istruzione e la formazione in ambito scolastico , anche in adempimento di svariati obblighi di legge e come definito dagli artt. 2-ter e 2-sexies comma 2 lettera bb) del D. Lgs 196/03 (testo vigente) ed evidentemente non nel consenso degli interessati. Non è in discussione neppure il contratto stipulato dagli Istituti Scolastici con la scrivente azienda, formalizzato sempre e per ogni Istituto da apposito ordine e corredato di condizioni generali di contratto. Per la fornitura del servizio, la Argo software è regolarmente contrattualizzata quale responsabile del trattamento ai sensi dell'art. 28 del RGPD 2016/679, senza la quale nomina non è possibile procedere alla erogazione dei servizi. Pur non essendo la risposta pertinente alla nostra fattispecie, perché la soluzione software non eroga servizi più complessi fuori dalla unica finalità scolastico -didattica, ci teniamo a precisare che il registro elettronico, Argo DidUp, è un’applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dalla Argo Software, azienda dotata di sistema di gestione per la applicativi in commercio. La famiglia di applicativi ScuolaNext/DidUp (area Didattica), cui il Registro Elettronico pertiene, risiede, come tutti gli altri applicativi Argo, nei server appositamente acquistati dal Cloud Service Provider Amazon Web Services EMEA s.a.r.l. (AWS), region Italia e Irlanda, ed in essi sono registrati e conservati i dati inseriti negli applicativi. La famiglia di applicativi comunica, al suo interno e verso l’esterno, attraverso appositi canali cifrati con protocollo SSL. Tutte le politiche e le misure di sicurezza e protezione delle in- formazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://www.argosoft.it/privacy.php. Il registro elettronico, Argo Didup, è un sottoinsieme di funzionalità del sistema ScuolaNext. Attraverso ScuolaNext, possono essere gestiti: registri elettronici di classe e del docente, rilevazione delle assenze orario scolastico , prenotazione colloqui, condivisione delle lezioni, pubblicazione di documenti in bacheca e comunicazioni scuola-famiglia e scuola- personale scolastico , incluse la presa visione dei voti, degli scrutini, delle richieste di certificati e documenti e di ogni ulteriore informazione a supporto della gestione degli alunni. Attraverso il registro elettronico ed il sistema ScuolaNext non è possibile effettuare alcuna operazione di sorveglianza (nemmeno occulta) sugli utenti del sistema, siano essi gli alunni, i loro famigliari, i docenti o il personale scolastico che ne fruisce, al di là della raccolta dei log degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella sopra citata policy. *«* % Punto n. 2 - copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021,2021/2022; ** Punto n. 4 - copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a di stanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; «* Punto n. 5 - copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. Relativamente ai punti n. 2-4-5 sopra riportati, si precisa quanto segue: Pur comprendendo l’obiettivo di sensibilizzazione verso la dovuta attenzione alla tutela dei dati personali trattati dall'Istituto, si fa osservare che le informazioni richieste ai punti di cui sopra, si riferiscono ad operazioni non propriamente di competenza delle singole istituzioni scolastiche o non necessarie. A supporto di tale dichiarazione, si fa presente che: vai sensi dell’art. 35 del GDPR, le valutazioni d’impatto riguardano prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico; vo le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, dal momento che il trattamento dei dati personali avviene per ie sole finalità istituzionali, e questo a prescindere dalle condizioni dettate dalla pandemia; v lo stesso Garante della Privacy (organo nazionale di massima tutela), nel Provvedimento del 26 marzo 2020, ha chiarito quanto segue: /a DPIA non è necessaria nel caso delle istituzioni scolastiche în quanto esse non effettuano trattamenti di dati personali su larga scala. La valutazione di impatto, che Vari. 35 del Regolamento richiede per î casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola {non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). v_ Si sottolinea, inoltre, che, in caso di ostensione di quanto richiesto ai punti n. 2-4- e 5, si metterebbero a rischio l’integrità e la sicurezza dei dati personali oggetto del trattamento da parte di questo Istituto, in violazione dell’art. 5 bis del D. Lgs. N. 33/2013 *«* Punto n. 3 - copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023 Relativamente al punto n. 3, si precisa quanto segue: Questo Istituto, sia negli a.s. 2020/21 e 2021/22, sia per l’a.s. in corso, per tutte le attività di formazione rivolte al personale scolastico , anche se non strettamente rivolte alla didattica (es. corsi di formazione sulla sicurezza nei luoghi di lavoro) si è avvalso e si avvarrà (laddove non sarà oggettivamente possibile erogare in presenza la formazione) esclusivamente della piattaforma Google Workspace. Per 1 dati relativi al contratto, si rimanda a quanto precisato al punto n. 1 della presente comunicazione. Per quanto riguarda, invece, 1 termini generali di servizio, essi sono consultabili liberamente al seguente link https://workspace.google.com/intl/it/terms/domain_terms_ie.html Punto n. 6 - copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; Relativamente al punto n. 6, si precisa quanto segue: Considerato che l’art. 17 del D.Lgs. 82/2005 (CAD), attribuisce al solo responsabile per la transizione digitale (RTD) i compiti elencati al comma n. 1 dello stesso articolo e, in particolare, quelli di: e coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi COMUNI; e analisi periodica della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell’azione amministrativa; e pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione e quello di cui all'articolo 64-bis. e pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all’articolo 16, comma 1, lettera b). Visto che il RTD delle scuole italiane è stato individuato presso il Ministero dell’Istruzione con Nota 2260 del 05-12-2019, nella persona del Direttore Generale della Direzione Generale per i contratti, gli acquisti, e per 1 sistemi informativi e la statistica. Visto che nessuna comunicazione è giunta allo [omissis] scolastico in ordine agli avvenuti adempimenti di cui all’art. 68 CAD (che - come detto - ricadono nei compiti del citato RTD) Visto che il Codice dei contratti pubblici (D.Lgs. 50/2016 e s.m.1.) non richiama in alcun modo l'adempimento di cui all’art. 68 CAD, escludendone pertanto l’obbligatorietà, ai fini dei processi di procurement disciplinati dallo stesso Codice; Preso atto della necessità impellente e improcrastinabile dello scrivente Istituto, nel silenzio del RTD scolastico , di acquisire piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, al fine dell’erogazione del relativo servizio pubblico e per la tutela del diritto all’istruzione, costituzionalmente garantito Considerati 1 costi relativi ai servizi elencati al punto precedente Si precisa che l’acquisizione dei servizi su elencati si è svolta nel pieno rispetto dell’art. 36, comma 2, lettera a), del Codice dei contratti pubblici (D.Lgs. 50/2016 e s.m.1.) che consente di procedere tramite affidamento diretto anche senza comparazione di due o più operatori economici. La presente comunicazione sarà portata a conoscenza anche del DPO dell’Istituto e del RPCT del Ministero dell’Istruzione Distinti saluti. Il Dirigente scolastico Documento firmato digitalmente ai sensi del c.d. Codice dell’Amministrazione digitale e norme ad esso connesse