a Istituto di Istruzione Secondaria di Secondo grado “A. Moro” AI Sig. Fabio Pietrosanti, con domicilio digitale all'indirizzo Pec: comunicazioni@pec.monitora-pa.it p.c. AI Direttore Generale Ufficio Scolastico Regione Pec: drpu@postacert.istruzione.it Oggetto: Risposta ad Accesso civico generalizzato. In riferimento alla Sua istanza del 19/09/2022, pari oggetto, ricevuta via PEC il 20/09/2022, con la presente si riscontra la richiesta di accesso ai vari documenti ai sensi dell'art. 5 del D. Lgs. n. 33 del 2013 comunicando quanto segue. RICHIESTA N. 1: “copia del contratto o altro atto giuridico in forza del quale l'Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023” Non essendo esplicitato puntualmente il documento richiesto si ritiene di comunicare quanto segue: 1. Posta elettronica: @istruzione.it e @pec.istruzione.it è fornita dal Ministero dell'Istruzione e pertanto questo Istituto non possiede alcun contratto o atto giuridico in merito; 2. Messaggistica: non viene utilizzato alcun sistema; 3. DAD e DDI e servizi di videoconferenza negli aa.ss. 2020/2021 e 2021/2022: l'istituto ha usato i servizi posti gratuitamente a disposizione da Google Gsuite for Education, le cui condizioni di servizio sono reperibili in rete da chiunque; 4, Registro elettronico: l'istituto utilizza il software fornito da AXIOS Italia s.r.l. che, opportunamente informata come controinteressata alla richiesta in oggetto, ha fornito le seguenti controdeduzioni: “Il Registro Elettronico è adottato dagli Istituti Scolastici in ossequio a vigenti disposizioni di legge quali: o Codice dell’Amministrazione Digitale (CAD) D. Lgs. 82 del 7 marzo 2005 e in particolareart. 40 che impone alle pubbliche amministrazioni di formare gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici; o Piano Triennale dell’AgID; o D. L. n. 95/2012 contenente “Disposizioni urgenti per la razionalizzazione della spesa pub-blica”, convertito dalla legge n. 135/2012; o Nota del MIUR del 3 ottobre 2012, [omissis] . Uff. 1682/U; o Legge 13 luglio 2015, n. 107. Non è in discussione, se del caso, neppure il trattamento dei dati personali effettuato dagli Istituti Scolastici tramite il Registro Elettronico, che trova il suo fondamento di liceità nello svolgimento di attività di interesse pubblico rilevante per l’istruzione e la formazione in ambito scolastico , anche in adempimento di svariati obblighi di legge e come definito dagli artt. 2-ter e 2-sexies comma 2 lettera bb) del D. Lgs 196/03 (testo vigente) ed evidentemente non nel consenso degli interessati. Liceo Scientifico — Liceo Linguistico — Scienze Applicate IPSAR: Enogastronomia, Sala e vendita, Accoglienza turistica Sito web: www.ipsarmoro.edu.it - Email: fgis05300r@istruzione.it - P.E.C. fgis05300r@pec.istruzione.it v* Istituto di Istruzione Secondaria di Secondo grado “A. Moro” Non è in discussione neppure il contratto stipulato dagli Istituti Scolastici con la scrivente azienda, formalizzato sempre e per ogni Istituto da apposito ordine e corredato di condizioni generali di contratto. Per la fornitura del servizio, AXIOS Italia s.r.l. è regolarmente contrattualizzata quale responsabile del trattamento ai sensi dell'art. 28 del RGPD 2016/679, senza la quale nomina non è possibile procedere alla erogazione dei servizi. La soluzione software non eroga servizi più complessi fuori dalla unica finalità scolastico -didattica, si precisa che il registro elettronico AXIOS, è un’applicazione web progettata, sviluppatae fornita in piena sicurezza in modalità SaaS da AXIOS Italia s.r.lI., azienda dotata di sistema di gestione per la sicurezza delle informazioni certificato La famiglia di applicativi AXIOS (area Didattica), cui il Registro Elettronico appartiene, risiede, come tutti gli altri applicativi AXIOS, nei server appositamente acquistati, e in essi sono registrati e conservati i dati inseriti negli applicativi. La famiglia di applicativi comunica, al suo interno e verso l’esterno, attraverso appositi canali cifrati con protocollo SSL. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni AXIOS, sono descritte nel documento Policy web AXIOS, pubblico e raggiungibile dalla pagina: https://axiositalia.it/wp-content/uploads/2022/09/29.09.22-Policy_Sicurezza_Axios_Italia_Srl signed.pdf (in allegato stralcio del contratto di rinnovo licenze, manutenzione e assistenza AXIOS Italia S.r.l. attualmente in vigore in questa Scuola). RICHIESTA N. 2: “copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022 Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria come da provvedimento del Garante del 26 marzo 2020 “la valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d'impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". Per quanto sopra non è possibile fornire alcun documento. RICHIESTA N. 3: “copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023” La richiesta è generica e non consente di individuare con chiarezza quale sia la documentazione richiesta, comportando, perciò, un onere di lavoro amministrativo eccessivo rispetto al mero carattere esplorativo e all'interesse conoscitivo sotteso all'istanza. Peraltro l’inciso “anche non rivolti esclusivamente alla didattica” presuppone un punto che esula dalle finalità istituzionali di questa scuola. Per quanto sopra non è possibile fornire alcun documento. Liceo Scientifico — Liceo Linguistico — Scienze Applicate IPSAR: Enogastronomia, Sala e vendita, Accoglienza turistica Sito web: www.ipsarmoro.edu.it - Email: fgis05300r@istruzione.it - P.E.C. fgis05300r@pec.istruzione.it v* Istituto di Istruzione Secondaria di Secondo grado “A. Moro” RICHIESTA N. 4: “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria con riferimento al provvedimento del Garante del 26 marzo 2020 ““la valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d'impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. Per quanto riportato non è possibile fornire alcun documento. RICHIESTA N. 5: “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Valgono analoghe argomentazioni di cui al punto 4, in quanto le scuole non attuano monitoraggi sistematici, né profilazione, né trattamento su larga scala dei dati, in ragione del fatto che il trattamento dei dati personali avviene solo per finalità istituzionali. Per quanto riportato non è possibile fornire alcun documento. RICHIESTA N. 6: “copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” La valutazione comparativa è richiesta per l'anno corrente. Non si è giunti ancora al rinnovo dei contratti relativi a piattaforme già in uso, e nemmeno si sono acquistate nuove piattaforme. Per questo non è possibile fornire alcun documento. IL DIRIGENTE SCOL.CO Valentino DI STOLFO Firma autografa sostituita a mezzo stampa ai sensi dellL'ART. 3, C. 2, D.Lgs.n. 39/93 Liceo Scientifico — Liceo Linguistico — Scienze Applicate IPSAR: Enogastronomia, Sala e vendita, Accoglienza turistica Sito web: www.ipsarmoro.edu.it - Email: fgis05300r@istruzione.it - P.E.C. fgis05300r@pec.istruzione.it