ISTITUTO COMPRENSIVO STATALE DI RUFFANO Scuola dell'Infanzia - Primaria - Secondaria di 1° grado e-mail: leic85000g8@istruzione.it - leic85000g@pec.istruzione.it http://www.comprensivoruffano.edu.it ISTITUTO COMPRENSIVO STATALE Codice fiscale n. 81003230752 - Tel. 0833/691553 — 340 552 4775 RUFFANO Via De Gasperi - 73049 RUFFANO (LE) Giai ISTITUTO COMPRENSIVO DI RUFFANO > AI Sig. Fabio Pietrosanti, Prot. 0008310 del 18/10/2022 l-4 (Uscita) con domicilio digitale all’indirizzo Pec: comunicazioni@pec.monitora-pa.it, Oggetto: Istanza di accesso civico generalizzato ex art.5, comma 2, D.Lgs. 33/2213 — MONITORA PA A seguito di richiesta FOIA di accesso civico inoltrata in data 20/09/2022, acquisita agli atti con prot. n. 7332 del 21/09/2022, Le precisiamo quanto segue: SI fa riferimento alla Adunanza Plenaria del Consiglio di Stato, che per quanto concerne il punto c), I° Adunanza plenaria del Consiglio di Stato, con la sentenza n. 10 del 2020, si è espressa in riferimento alla applicabilità, in tutto o in parte, della disciplina dell'accesso civico generalizzato, di cui al d. lgs. n. 33 del 2013, come modificato dal d. Igs. n. 97 del 2016, ai documenti relativi alle attività delle amministrazioni disciplinate dal Codice dei contratti pubblici di lavori, servizi e forniture, inerenti al procedimento di evidenza pubblica e alla successiva fase esecutiva. La stessa sentenza ha riconosciuto anche la possibilità e doverosità di evitare e respingere richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato. La stessa richiesta coincidente con l’avvio dell’anno scolastico , che può mettere in sofferenza il sistema e integri, pertanto, un esercizio abusivo del diritto di accesso generalizzato in ragione della onerosità e non proporzionalità delle richieste che, dal punto di vista soggettivo, determinano in concreto un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione. Ad ogni buon ragguaglio ed in riferimento alla sua richiesta di accesso agli atti le comunichiamo quanto segue. 1) Servizi di posta elettronica, messaggistica, videoconferenza, DAD, didattica digitale integrata, registro elettronico. L'istituto usufruisce in concessione di una casella elettronica ministeriale e di una casella di posta certificata PEC ministeriale, la quale contrattazione è stata fatta dal Ministero competente. Le software house fornitrici dei servizi innanzi indicati, sono nominate responsabili esterno del trattamento, alle quali competono l’implementazione delle misure di sicurezza dei dati principali gestiti per conto della scuola; sul link delle stesse house fornitrici dei servizi informatici risulta il testo contrattuale, nonché la correlata policy di sicurezza (https://www.argosoft.it/privacy.php). Le piattaforme DaD/DDI utilizzate sono concesse all’istituto scolastico con una licenza di utilizzo gratuito, non esiste un contratto economico, il rapporto tra le parti è regolato dai termini di condizioni e utilizzo della piattaforma che l’istituto ha sottoscritto prima dell’attivazione del servizio. I termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme Google. Per altro la Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell’epidemia 2) Per la valutazione di impatto della protezione dei dati (DPIA) la presente amministrazione non è tenuta alla redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali. Anche il Garante italiano per la Privacy con il provvedimento n.64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” 3) L'Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. 4) La scrivente amministrazione nell’ambito di utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, non è tenuta alla redazione della DPIA che, ai sensi dell’art. 35 del GDPR, avviene per le sole finalità che riguardano prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico. Nel caso in esame non vi sono 1 presupposti per il sorgere dell’obbligo di redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico, né una profilazione, né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. Invero 11 Garante della Privacy, sempre nel Provvedimento del 26 marzo 2020, ha precisato che la DPIA non è necessaria nel caso in esame perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. 5) L'Istituto scrivente ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da un contratto che vincola Google alla non divulgazione, e ha scelto come base dati la server farm europea di Google. La valutazione di impatto sul trasferimento dei dati all’estero (TIA) afferente all’eventuale trattamento di dati in paesi terzi, necessaria per la fruizione dei servizi elettronici, è regolata 2 dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. Tale valutazione è obbligatoria in casi specifici e normati, tra i quali non ricadono 1 trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b), né sistematici (punto c). 6) Con riferimento al documento di cui al punto 6 della richiesta, si comunica che non è stata effettuata alcuna valutazione comparativa in quanto le piattaforme utilizzate durante 11 periodo della pandemia sono state fornite gratuitamente e opzionate sulla base delle indicazioni rese dal Ministero dell’Istruzione. Per quanto innanzi indicato la richiesta d'accesso non può essere accolta. LA DIRIGENTE SCOLASTICA [omissis] ai sensi del D.Lgs 82/2005 s.m.i. e norme collegate, il quale sostituisce il documento cartaceo e la firma autografa).