ISTITUTO COMPRENSIVO STATALE “DON BOSCO” Scuola dell’Infanzia | Scuola Primaria | Scuola Sec. di | grado con indirizzo musicale Via Catania, 30 Bis - 73020 CUTROFIANO (LE) - Tel. 0836 515145 - 513012 Distretto Scolastico LE 042 — C.F. 93057930757 e-mail: leic823007@istruzione.it - pec: leic823007@pec.istruzione.it web: www.istitutocomprensivocutrofiano.edu.it Al Sig. Fabio Pietrosanti, Ist, Comp, Don Bosco - Cutrofiano Prot. 0008754 del 19/10/2022 con domicilio digitale all’indirizzo Pec: |-1 {IUscita) comunicazioni@pec.monitora-pa.it Oggetto: istanza di accesso civico generalizzato ex art.5, comma 2, D.lgs. 33/2013 -MONITORA PA A seguito di richiesta FOIA di accesso civico inoltrata in data 19/09/2022, le precisiamo quanto segue : Si fa riferimento alla Adunanza Plenaria del Consiglio di Stato, che per quanto concerne il punto c), l’Adunanza plenaria del Consiglio di Stato, con la sentenza n. 10 del 2020, si è espressa in riferimento alla applicabilità, intutto o in parte, della disciplina dell’accesso civico generalizzato, di cui al d.lgs. n. 33 del 2013, come modificato dal d.lgs. n. 97 del 2016, ai documenti relativi alle attività delle amministrazioni disciplinate dal Codice dei contratti pubblici di lavori, servizi e forniture, inerenti al procedimento di evidenza pubblica e alla successiva fase esecutiva. La stessa sentenza ha riconosciuto anche la possibilità e doverosità di evitare e respingere richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. dj Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato. La stessa richiesta coincidente con l’avvio dell’anno scolastico , che può mettere in sofferenza il sistema e integri, pertanto, un esercizio abusivo del diritto di accesso generalizzato in ragione della onerosità e non proporzionalità delle richieste che, dal punto di vista soggettivo, determinano in concreto un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione. Ad ogni buon ragguaglio ed in riferimento alla sua richiesta di accesso agli atti le comunichiamo quanto segue. 1) Servizi di posta elettronica , messaggistica, videoconferenza, DAD, didattica digitale integrata, registro elettronico. L’istituto usufruisce in concessione di una casella elettronica ministeriale e di una casella di posta certificata PEC ministeriale, la quale contrattazione è stata fatta dal Ministero competente. Le software house fornitrici dei servizi innanzi indicati sono nominate responsabili esterne del trattamento, alle quali competono l’implementazione delle misure di sicurezza dei dati principali gestiti per conto della scuola e dove sul link delle stesse house fornitrici dei servizi informatici risulta il testo contrattuale nonché la correlata policy di sicurezza (https://www.argosoft.it/). 2) Le piattaforme DaD/DDI utilizzate sono concesse all'istituto scolastico con una licenza di utilizzo gratuito, non esiste un contratto economico, il rapporto tra le parti è regolato dai termini di condizioni e utilizzo della piattaforma che l’istituto ha sottoscritto prima dell’attivazione del servizio. | termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme Microsoft Office 365. Per altro la Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la Pag. 1 di 2 frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia 2) Per la valutazione di impatto della protezione dei dati {DPIA] la presente amministrazione non è tenuta alla redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali. Anche il Garante italiano per la Privacy con il prowedimento n.64 del 26 marzo 2020 (doc, web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se i trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza 0 di una piattaforma che non consente îl monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)" 3) l’Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. 4) La scrivente amministrazione nell'ambito di utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, non è tenuta alla redazione della DPIA che, ai sensi dell'art. 35 del GDPR, avviene per le sole finalità che riguardano prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell'elenco che l'autorità di controllo redige e rende pubblico. Nel caso in esame non vi siano i presupposti per il sorgere dell'obbligo di redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali awiene per le sole finalità istituzionali. Invero il Garante della Privacy, sempre nel Prowedimento del 26 marzo 2020, ha precisato che la DPIA non è necessaria nel caso in esame perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. 5). L'Istituto scrivente ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da un contratto che vincola Google alla non divulgazione, e ha scelto come hase dati la server farm europea di Google. La valutazione di impatto sulla trasferimento dei dati all’estero (TIA) afferente all'eventuale trattamento di dati in paesi terzi necessaria per la fruizione dei servizi elettronici, questa tipologia di trattamento è regolata dall'art. 35 comma 3 del Regolamento UE 679/2016 GDPR. Tale valutazione è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c) 6) Con riferimento al documento di cui al punto 6, della richiesta si comunica che non sia stata effettuata alcuna valutazione comparativa in quanto le piattaforme utilizzate duranteil periodo della pandemia sono statefornite gratuitamentee opzionate sulla base delle indicazioni rese dal Ministero dell'Istruzione. Per quanto innanzi indicato la richiesta d'accesso non può essere accolta. IL DIRIGENTE SCOLASTICO [omissis] ragzaz