FGIC819005 - ACC4466 - REGISTRO PROTOCOLLO - 0004071 - 17/10/2022 - 1.4 - U Member of STRUTTURALI VECI» S Unione Europea EUROPEI 2007-2013 Educational, Scientific and *+ Associated Con l'Europa investiamo nel vostro futuro! e ISTITUTO OMNICOMPRENSIVO “MARTIN LUTHER KING” Scuola dell'Infanzia, Primaria e Secondaria di 1° grado Via Roma, 24 - tel. e fax. 0881 981370 fgic819005@istruzione.it - www.icmlkaccadia.edu.it - fgic819005@pec.istuzione.it AI Sig. Fabio Pietrosanti, con domicilio digitale all'indirizzo Pec: comunicazioni@pec.monitora-pa.it; p.c. AI Direttore Generale Ufficio Scolastico Regione Puglia Pec: drpu@postacert.istruzione.it OGGETTO: riscontro ad istanza di Accesso Generalizzato del Sig. _1_ [omissis] presente a riscontro della Sua istanza di “Accesso generalizzato” del 20/09/2022. Premesso che: - a mezzo della suddetta istanza Lei richiedeva l’accesso ai seguenti documenti: 1. “copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, FGIC819005 - ACC4466 - REGISTRO PROTOCOLLO - 0004071 - 17/10/2022 - 1.4 - U messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo.” - la suddetta istanza veniva inviata indistintamente a tutte le istituzioni scolastiche del territorio nazionale; tutto ciò premesso, la suddetta richiesta di accesso generalizzato va rigettata per le seguenti MOTIVAZIONI - Una richiesta massiva e indiscriminata a tutte le PA, in questo caso a tutte le Scuole, di documenti che questa amministrazione, come si dirà di seguito, non è obbligata a redigere, già di per sé giustifica il diniego in quanto contrario allo spirito della normativa di cui al D.Lgs. 33/2013 che è quello di garantire al cittadino la possibilità di accedere a informazioni o dati in possesso della PA al solo scopo di verificare se questa abbia correttamente operato rispetto ad una specifica finalità. La ratio della richiesta, come si evince dalle premesse, è invece diretta più che a tutelare i cittadini, o lo stesso istante, ad individuare motivi o pretesti per attaccare i colossi del web che questa organizzazione di “hacker” sembra voler colpire. - Nella stessa istanza si riportano le parole del Garante Privacy che ha appunto sostenuto che “in vigenza dell'emergenza non fosse necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presentasse ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non era richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consentisse il monitoraggio sistematico degli utenti”. - L’art. 35 del GDPR prescrive che “1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. (...) La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; 0 c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. - Il considerando n. 91 del GDPR precisa che “Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri FGIC819005 - ACC4466 - REGISTRO PROTOCOLLO - 0004071 - 17/10/2022 - 1.4 - U trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l'esercizio dei propri diritti. È opportuno altresì effettuare una valutazione d'impatto sulla protezione dei dati nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza”. - Nonèé necessario essere un esperto in materia per comprendere come la gestione di un registro elettronico, piuttosto che di una normale indirizzo mail o di una piattaforma di videoconferenze non rientra assolutamente nei suddetti casi. Tra l’altro, se così non fosse, ogni singola azienda piuttosto che ogni amministrazione anche di piccolissime dimensioni che però utilizza le mail sarebbe costretta ad una produzione documentale relativa al GDPR certamente ultronea e contraria alla ratio stessa della normativa oltre che tecnicamente molto complessa. - Le modalità con cui sono state formulate le richieste degli “attivisti” presentano i connotati tipici dell'abuso nell'esercizio di un diritto che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela per assumere connotati pretestuosi e nocivi. In tal senso, è sicuramente legittimo esercitare uno dei diritti previsti dagli articoli 15 e ss. del GDPR, ma non quando, come nel caso in oggetto, tali diritti sono esercitati per effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire uno strumento ritorsivo o di intimidazione. - Inoltre, come insegna la Giurisprudenza del Consiglio di Stato (sent. 495/2021) “se da un lato l’interesse alla trasparenza non richiede una motivazione specifica dall’altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza anche sotto forma di indizio..., pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi”. Nel caso specifico, la richiesta formulata dal MonitorPA difetta di quella base di concretezza necessaria per essere accolta, potendosi qualificare come una mera istanza volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull'utilizzo delle tecnologie comunicative. Si tratta dunque di una richiesta vessatoria e dunque non accoglibile. - Aciòsi aggiunge che la mole dei documenti oggetto di ostensione obbligherebbe le Scuole a fornire numerosissime pagine senza peraltro che la predetta richiesta sia sostenuta da esigenze tali di giustificarne l’onerosità. Siffatta richiesta così sproporzionata ed abnorme viene espressamente qualificata come inammissibile dalla recente giurisprudenza del CdS addirittura in Adunanza plenaria (n. 10/2020) in quanto comporterebbe un carico irragionevole ed eccessivo di lavoro, idoneo a interferire con il buon andamento dell’amministrazione stessa. A questo proposito infatti la sentenza recita “Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi”. FGIGRISCOS- ACCSISSS REGISTRO PROTOCOLLO » OOGSOTT- PRIOROSS Ls U - Infine, come più volte ribadito dalla giurisprudenza amministrativa, l'eventuale ostensione dei documenti richiesti, anche se ne fosse dovuta la redazione, comporterebbe per il soggetto ricevente la possibilità di pubblicazione indiscriminata di quanto ottenuto. Pertanto, si finirebbe per rendere pubblici documenti come le DPIA e i documenti contenenti misure tecniche anche di protezione dei dati che, se diffuse in tal modo indiscriminato, paradossalmente metterebbero i dati stessi a maggior rischio di violazione. Tutto ciò premesso, per le ragioni sopra esposte, sentito il DPO, si nega l’accesso generalizzato richiesto, invitando questa associazione di attivisti a non vessare le amministrazioni pubbliche di continue e ridondanti richieste al solo fine di combattere i “colossi del web” nei confronti dei quali se ritiene che vi siano delle ragioni potrà introdurre le più opportune azioni giudiziarie. Distinti saluti IL DIRIGENTE SCOLASTICO [omissis] Firma autografa sostituita a mezzo stampa ai sensi dell’ art 3 comma 2 del D L 39/93