I, 280 mos n° ditamura-da Vinci E ul Distretto Scolastico 32 . . Chimica, Materiali e Biotecnologie. si A Via Gen. F. Rotundi, 4 | Elettronica ed Elettrotecnica - Elettrotecnica ed Automazione Progetto Sirio Via G. Imperiale, 50 71121 FOGGIA (corso serale). 71122 FOGGIA lo Informatica e Telecomunicazioni - Informatica (corso serale). Centr. 0881/687527 " Meccanica, Meccatronica ed Energia - Meccanica Progetto Sirio (corso serale). Pres. 0881/684014 Fax 0881/772196 Trasporti e logistica Fax 0881/687528 Prot. n. 10005 del 21/10/2022 AI Sig. Fabio Pietrosanti, con domicilio digitale all'indirizzo Pec: comunicazioni@pec.monitora-pa.it p.c. Al Direttore Generale Ufficio Scolastico Regione Pec: drpu@postacert.istruzione.it OGGETTO: riscontro ad istanza di Accesso Generalizzato del Sig. Fabio Pietrosanti di Monitora-PA La presente a riscontro della Sua istanza di "Accesso generalizzato" protocollata al n. 8618 del 22/09/2022 Premesso che: - a mezzo della suddetta istanza Lei richiedeva l'accesso ai seguenti documenti: 1. "copia del contratto o altro atto giuridico in forza del quale l'Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. Lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo." - la suddetta istanza veniva inviata indistintamente a tutte le istituzioni scolastiche del territorio nazionale; tutto ciò premesso, la suddetta richiesta di accesso generalizzato va rigettata per le seguenti Sito internet: www.ittaltamuradavinci.edu.it email: fgtf13000c@istruzione.it PEC: fgtf13000c@pec.istruzione.it Cod. Mecc.: FGTF13000C - FGTF13050T (corso serale) Codice fiscale: 94090750715 ° gitamura-ga Vinci O Distretto Scolastico 32 . _ Chimica, Materiali e Biotecnologie. . . Via Gen. F. Rotundi, 4 | Elettronica ed Elettrotecnica - Elettrotecnica ed Automazione Progetto Sirio Via G. Imperiale, 50 71121 FOGGIA (corso serale). 71122 FOGGIA Centr. 0881/720283 | Informatica e Telecomunicazioni - Informatica (corso serale). Centr. 0881/687527 pi vai ninO Meccanica, Meccatronica ed Energia - Meccanica Progetto Sirio (corso serale). PORRI. SSsEDa: sx Trasporti e logistica MOTIVAZIONI - Una richiesta massiva e indiscriminata a tutte le PA, in questo caso a tutte le Scuole, di documenti che questa amministrazione, come si dirà di seguito, non è obbligata a redigere, già di per sé giustifica il diniego in quanto contrario allo spirito della normativa di cui al D.Lgs. 33/2013 che è quello di garantire al cittadino la possibilità di accedere a informazioni o dati in possesso della PA al solo scopo di verificare se questa abbia correttamente operato rispetto ad una specifica finalità. La ratio della richiesta, come si evince dalle premesse, è invece diretta più che a tutelare i cittadini, o lo stesso istante, ad individuare motivi o pretesti per attaccare i colossi del web che questa organizzazione di "hacker" sembra voler colpire. - Nella stessa istanza si riportano le parole del Garante Privacy che ha appunto sostenuto che "in vigenza dell'emergenza non fosse necessaria la valutazione di impatto, prevista dal Regolamento europeo peri casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presentasse ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non era richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consentisse il monitoraggio sistematico degli utenti". L'art. 35 del GDPR prescrive che "1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. (...) La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico". - ilconsiderando n.91 del GDPR precisa che "Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l'esercizio dei propri diritti. È opportuno altresì effettuare una valutazione d'impatto sulla protezione dei dati nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza". - Non è necessario essere un esperto in materia per comprendere come la gestione di un registro elettronico, piuttosto che di una normale indirizzo mail o di una piattaforma di videoconferenze non rientra assolutamente nei suddetti casi. Tra l'altro, se così non fosse, ogni singola azienda piuttosto che ogni amministrazione anche di piccolissime dimensioni che però utilizza le mail sarebbe costretta ad una Sito internet: www.ittaltamuradavinci.edu.it email: fgtf13000c@istruzione.it PEC: fgtf13000c@pec. istruzione.it Cod. Mecc.: FGTF13000C - FGTF13050T (corso serale) Codice fiscale: 94090750715 Lol. Distretto Scolastico 32 via Gennaninuia Chimica, Materiali e Biotecnologie. 71121 FOGGIA | I _ Elettronica ed Elettrotecnica - Elettrotecnica ed Automazione Progetto Centr. 0881/720283 (corso serale). Sirio Via G. Imperiale, 50 i _ 71122 FOGGIA Pres. 0881/721195 Informatica e Telecomunicazioni - Informatica (corso serale). Fax 0881/772196 Meccanica, Meccatronica ed Energia - Meccanica Progetto Sirio (corso serale). Centr. 0881/687527 Trasporti e logistica Pres. 0881/684014 Fax 0881/687528 produzione documentale relativa al GDPR certamente ultronea e contraria alla ratio stessa della normativa oltre che tecnicamente molto complessa. - Le modalità con cui sono state formulate le richieste degli "attivist i" presentano i connotati tipici dell'abuso nell'esercizio di un diritto che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela per assumere connotati pretestuosi e nocivi. In tal senso, è sicuramente legittimo esercitare uno dei diritti previsti dagli articoli 15 e ss. del GDPR, ma non quando, come nel caso in oggetto, tali diritti sono esercitati per effettuare un'indebita pressione su altri soggetti, finendo in tal modo per costituire uno strumento ritorsivo o di intimidazione. - Inoltre, come insegna la Giurisprudenza del Consiglio di Stato (sent. 495/202 1) "se da un lato l'intere sse alla trasparenza non richiede una motivazione specifica dall'altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza anche sotto forma di indizio... pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi". Nel caso specifico, la richiesta formulata dal MonitorPA difetta di quella base di concretezza necessaria per essere accolta, potendosi qualificare come una mera istanza volta ad un controll o pretestuoso in ordine alla legittimità dell'azione amministrativa sull'utilizzo delle tecnologie comunic ative. Si tratta dunque di una richiesta vessatoria e dunque non accoglibile. - A ciò si aggiunge che la mole dei documenti oggetto di ostensione obbligherebbe le Scuole a fornire numerosissime pagine senza peraltro che la predetta richiesta sia sostenuta da esigenz e tali da giustificarne l'onerosità. Siffatta richiesta così sproporzionata ed abnorme viene espressamente qualificata come inammissibile dalla recente giurisprudenza del CdS addirittura in Adunanza plenaria (n. 10/2020) in quanto comporterebbe un carico irragionevole ed eccessivo di lavoro, idoneo a interferire con il buon andamento dell'amministrazione stessa. A questo proposito infatti la sentenza recita "Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblic a amministrazione; richieste massive uniche contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi". - Infine, come più volte ribadito dalla giurisprudenza amministrativa, l'eventuale ostensione dei documenti richiesti, anche se ne fosse dovuta la redazione, comporterebbe per il soggett o ricevente la possibilità di pubblicazione indiscriminata di quanto ottenuto. Pertanto, si finirebbe per rendere pubblici documenti come le DPIA e i documenti contene nti misure tecniche anche di protezione dei dati che, se diffuse in tal modo indiscriminato, paradossalmente metterebbero i dati stessi a maggior rischio di violazione. Tutto ciò premesso, per le ragioni sopra esposte, sentito il DPO, si nega l'accesso generalizzato richiesto, invitando questa associazione di attivisti a non vessare le amministrazioni pubblic he di continue e ridondanti richieste al solo fine di combattere i "colossi del web" nei confronti dei quali se ritiene che vi siano delle ragioni potrà introdurre le più opportune azioni giudiziarie. Distinti saluti . ss sea Slim "N sf era) en ate AP Sab sa | 4, "a, O) Sito internet: www.ittaltamuradavinci.edu.it email: fgtf13000c@istruzione.it PEC: fgtf13000c@pec.istruzione.it Cod. Mecc.: FGTF13000C - FGTF13050T (corso serale) Codice fiscale: 94090750715 % Tani de Ro pn ù o TOO ' x n = oa da pani e I a ml = Tel Ì mi i dt Sa ile È ne e loci aa © Ò i k " s.U ma n tori 4 Si U "* : x x © ti. de rai i , i - ai REIÈ n° Ea i î n i at n na nina — se Ò n =, di î I I "13 se : È : i x ld i IU BI a sn ' ' nia I " n > 0 " un nr 4 È "= na _ «it “al x . i i o o fa e tia do "dl : A t. . : x das N n i re UU. gine " CRE n ì = di LX + a SL ne © x i L E % " È bi de Pt3 one "a, RaRL ua2 Ò Ò x Ò ti i : ai iu “i. nei Set iI Eta. Ò Ì ° 5 Pet certa OI ri = i — ni " 3 "at! id " a A ' " » : n r sl Î : x " î Di R — *fedfigr to Mia © x -r Ò x © x x : Ò : Rigi at Sd ga ui si U c Psi cate ni ° ti ua = n I ' 3 " "a =") " ga È L al E dea sr n anta Ta = ' ì o Ò O Utr & . È i, È ' Ò ° uf e 1 i Li ° ° x è P ì Di T 50 ico r Fei da î a È ° 1° x x © © US . 1% ° on " " gni Ni st ia SR, DI ei ni : sua * «1 : — DACIA. x si Li iu dui È di ì DREI i e ST I tua © x : x ' ILE , ' o © n DI » te ui" n x ' x î sad sa 1 o Ni ra © nn 4 ati; ee i, ts n : x to, bi: Se se Di. si x Ò È " 5 ù I RUI a 1) : - ' "Led _ Soa ì ° 1 s i Ta ui. vec : x si è dia are Ra Gt x av o ri, ' ' x x — I x si _ - R © i x n : L dr perni n a tonali ni . " La ro Tia = Di a SITR dg mu "i! mono e! sane — o MR sa da. è i Li x " ' ue ' Dl SEAT anni bal fa a l l n n vd - sn : n n È ol de i Da E e Sas " x A x nr. # x x ns n i n n - È _ È Ù x Ò ° d a ° n x % " x x n — ' "où 2, ASP affi! usi >| dal o Soup Ò x a un a TI È 4 " ni ua Ò Pai ". _ î " x " Ute — 7 © Ò ° Ò ', O n l guri! a Me Wi. st sil Li x sl eli» Pa dI x i noie a] n TA x . È ’ Ò ' : : - Ò SI © " 30 a, 5 " sa x î 4° A EL x : di n bb mA bai È ONE Ki x ra È : n: Ò "A n = ° © 1 mo siria : pirate è Le