© [omissis] “Yi D el 4 1ETE AMBI Di n 1@ Aci Istituto Comprensivo Statale “Vito De Blasi” via Comm.re Daniele, 23 - 73034 GAGLIANO DEL CAPO (Lecce) tel./fax 0833.548495 - Sito web: www.icgaglianodelcapo.edu.it e- mail: leic824003@istruzione.it - PEC: leic824003@pec.istruzione.it Cod. Mecc. LEIC824003 - C.F. 90018370750 AI Sig. Fabio Pietrosanti, con domicilio digitale all’indirizzo PEC: comunicazioni(@pec.monitora-pa.it Oggetto: Risposta alla richiesta di accesso civico generalizzato -f MONITORA PA A seguito di richiesta FOIA di accesso civico inoltrata in data 19/09/2022, le precisiamo quanto segue : SI fa riferimento alla Adunanza Plenaria del Consiglio di Stato, che per quanto concerne il punto c), 1 Adunanza plenaria del Consiglio di Stato, con la sentenza n. 10 del 2020, si è espressa in riferimento alla applicabilità, in tutto o in parte, della disciplina dell’accesso civico generalizzato, di cui al d. Igs. n. 33 del 2013, come modificato dal d. Igs. n. 97 del 2016, ai documenti relativi alle attività delle amministrazioni disciplinate dal Codice dei contratti pubblici di lavori, servizi e forniture, inerenti al procedimento di evidenza pubblica e alla successiva fase esecutiva. La stessa sentenza ha riconosciuto anche la possibilità e doverosità di evitare e respingere richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato. La stessa richiesta coincidente con l’avvio dell’anno scolastico , che può mettere in sofferenza il sistema e integri, pertanto, un esercizio abusivo del diritto di accesso generalizzato in ragione della onerosità e non proporzionalità delle richieste che, dal punto di vista soggettivo, determinano in concreto un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione. Adogni buon ragguaglio ed in riferimento alla sua richiesta di accesso agli atti le comunichiamo quanto segue. 1) Servizi di posta elettronica, messaggistica, videoconferenza, DAD, didattica digitale integrata, registro elettronico. L'istituto usufruisce in concessione di una casella elettronica ministeriale e di una casella di posta certificata PEC ministeriale, la quale contrattazione è stata fatta dal Ministero competente. Le software house fornitrici dei servizi innanzi indicati, sono nominate responsabili esterni del trattamento, alle quali competono l’implementazione delle misure di sicurezza dei dati principali gestiti per conto della scuola, dove sul link delle stesse house fornitrici dei servizi informatici risulta il testo contrattuale, nonché la correlata policy di sicurezza (https://www.argosoft.it)/). Le piattaforme DaD/DDI utilizzate sono concesse all'istituto scolastico con regolare licenza di utilizzo, il rapporto tra le parti è regolato dai termini di condizioni e utilizzo delle piattaforme che l’istituto ha sottoscritto prima dell’attivazione del servizio. I termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme stesse (G Suite for Education , Argo DidUP Famiglia). Per altro la Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell’epidemia. 2) Perla valutazione di impatto della protezione dei dati (DPIA) ja presente amministrazione non è tenuta alla redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali. Anche il Garante italiano per la Privacy con il provvedimento n.64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). 3) L'Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. 4) La scrivente amministrazione nell'ambito di utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, non è tenuta alla redazione della DPIA che, al sensi dell’art. 35 del GDPR, avviene per fe sole fmalità che riguardano prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico. Nei caso in esame non vi siano i presupposti per il sorgere dell'obbligo di redazione della DPIA poiché fe istituzioni scofastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su iarga scala dei dati, atteso che il trattamento dei dati personali avviene per fe sole finalità istituzionali. Invero i Garante della Privacy, sempre nel Provvedimento del 26 marzo 2020, ha precisato che fa DPIA non è necessaria nel caso in esame perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. 5) L'Istituto scrivente ha attivato 1 soli servizi essenziali (Gmail, Classroom) regolati da un contratto che vincola Google alla non divulgazione, e ha scelto come base dati la server farm europea di Google. La valutazione di impatto sul trasferimento dei dati all’estero (TIA) afferente all’eventuale trattamento di dati in paesi terzi necessaria per la fruizione dei servizi elettronici, questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. Tale valutazione è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). 6) Con riferimento al documento di cui al punto 6, della richiesta si comunica che non sia stata effettuata alcuna valutazione comparativa in quanto le piattaforme utilizzate durante ii periodo della pandemia sono state fornite gratuitamente e opzionate sulla base delle Indicazioni rese dai Ministero dell'Istruzione. Per quanto innanzi indicato la richiesta d'accesso non può essere accolta. Il DIRIGENTE SCOLASTICO [omissis] (*) (*) Il documento è firmato digitalmente ai sensi del D.Lgs. 82/2005 s.m.i. e norme collegate e sostituisce il documento cartaceo e la firma autografa.