ISTITUTO COMPRENSIVO VERNOLE C.F. 93025100756 C.M. LEIC85600E istsc_leic85600e - ISTITUTO COMPRENSIVO - VERNOL Prot. 0006546/E del 18/10/2022 10:26 Via dei Portoghesi, 12 - 00186 ROMA Roma, Partenza N. MINISTERO DELL’ISTRUZIONE MINISTERO DELL'ISTRUZIONE - dppr@ postacert.istruzione.it - 636585-12/10/2022-P-aoorm AL:39482/2022 Tipo CS 39482/22 — Sez. [omissis] Avv. M. T. Lubrano Lobianco PROGRAMMAZIONE E LA GESTIONE DELLE RISORSE UMANE, FINANZIARIE E STRUMENTALI Si prega di indicare nella successiva DPPR@POSTACERT.ISTRUZIONE.IT corrispondenza i dati sopra riportati Oggetto: ISTANZA MASSIVA DI ACCESSO CIVICO ALLE SCUOLE DA PARTE DELLA COMUNITA HACKER MONITORA PA - CONSULTIVO PILOTA Si riscontra la nota prot. n. 1868 del 4 ottobre u.s., con la quale codesto Ministero ha chiesto alla Scrivente di valutare le istanze di accesso civico generalizzato che l'associazione Monitora PA ha inviato in data 19 settembre a 8254 istituzioni scolastiche. In particolare, codesto Ministero ha domandato a questo G. U. di voler orientare l’azione dell’ Amministrazione Scolastica , nello specifico chiarendo: ‘- se la richiesta di accesso civico generalizzato cd. “massivo” promosso dal sig. Fabio Pietrosanti, per conto di Monitora PA, nei confronti delle 8254 scuole del Paese debba o meno considerarsi illegittima, in quanto violativa delle norme dettate dal legislatore in materia; - se di conseguenza, sussista o meno, per le Istituzioni Scolastiche italiane l'obbligo di dover dare seguito alle singole istanze inviate dal sig. Fabio Pietrosanti, per conto di Monitora PA.” Le istanze in esame sono state formulate ai sensi degli artt. 5 e ss. del D.Lgs. 14/03/2013, n. 33. Il comma 2 del richiamato articolo prevede che “...chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'articolo 5-bis. 3. L'esercizio del diritto di cui ai commi 1 e 2 non è sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva del richiedente. L'istanza di accesso civico identifica i dati, le informazioni o i documenti richiesti e non richiede motivazione. L'istanza può essere trasmessa per via telematica secondo le modalità Tel. 06/68291 tr Aran be MED previste dal decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, ed è presentata alternativamente ad uno dei seguenti uffici: a) all'ufficio che detiene i dati, le informazioni o i documenti;” Al riguardo, premesso che la richiesta di parere è priva di allegati oltre che di chiarimenti in ordine all’effettiva portata dell’istanza (specie in ordine alla dedotta ‘“massività” della richiesta dal punto di vista della copiosità dei documenti di cui si chiede l’accesso), si osserva, in termini generali che, a differenza del diritto di accesso procedimentale o documentale, il diritto di accesso generalizzato garantisce il bene “conoscenza” in via autonoma, a prescindere dalla titolarità di un interesse qualificato e differenziato, fatta salva la sussistenza di limiti ai sensi dell’art. 5 bis. Secondo gli ultimi approdi della giurisprudenza amministrativa, l’accesso civico generalizzato è dichiaratamente finalizzato a garantire il controllo democratico sull’attività amministrativa. Infatti, I Adunanza Plenaria 10/2020 ha chiarito che l’accesso civico generalizzato, nel quale la trasparenza si declina come “accessibilità totale” (Corte cost., 21 febbraio 2019, n. 20), è un diritto fondamentale, in sé, e contribuisce, nell’ottica del legislatore (v., infatti, art. 1, comma 2, del d. Igs. n. 33 del 2013), al miglior soddisfacimento degli altri diritti fondamentali che l’ordinamento giuridico riconosce alla persona. Nel fornire una ricostruzione completa che l’istituto in esame ha assunto nel nostro ordinamento, la citata sentenza della Plenaria ha osservato che il diritto di accesso civico è precondizione per l’esercizio di ogni altro diritto fondamentale nel nostro ordinamento perché solo conoscere consente di determinarsi, in una visione nuova del rapporto tra potere e cittadino che, improntata ad un aperto e, perciò stesso, dialettico confronto tra l'interesse pubblico e quello privato, fuoriesce dalla logica binaria e conflittuale autorità/libertà. La Corte costituzionale, sempre di recente (sent. n. 20 del 21 febbraio 2019), ha rimarcato che il diritto dei cittadini ad accedere ai dati in possesso della pubblica amministrazione, sul modello del c.d. FOIA (Freedom of information act), risponde a principi di pubblicità e trasparenza, riferiti non solo, quale principio democratico (art. 1 Cost.), a tutti gli aspetti rilevanti dalla vita pubblica e istituzionale, ma anche, ai sensi dell’art. 97 Cost., al buon funzionamento della pubblica amministrazione (v. anche sentt. n. 69 e n. 177 del 2018 nonché sent. n. 212 del 2017). Peraltro, la natura fondamentale del diritto di accesso civico generalizzato, oltre che essere evincibile dagli artt. 1, 2,97 e 117 Coste riconosciuta dall’art. 42 della Carta dei diritti fondamentali dell’Unione europea per gli atti delle istituzioni europee, deve collocarsi anche in una prospettiva convenzionale europea, laddove essa rinviene un sicuro fondamento nell’art. 10 CEDU, come hanno rilevato le Linee guida dell’ ANAC, nel par. 2.1, e le Circolari FOIA n. 2/2017 (par. 2.1) e n. 1/2019 (par. 3) e come affermato nella sentenza della Corte EDU, Grande Camera, 8 novembre 2016, Magyar Helsinki Bizottsàg v. Hungary, in ric. n. 18030/11, allorché i giudici di Strasburgo hanno 7 e- e affermato che la disponibilità del patrimonio informativo delle pubbliche amministrazioni sia indispensabile per assicurare un esercizio effettivo del diritto individuale di esprimersi e per alimentare il dibattito pubblico su materie di interesse generale. L'ampiezza dell’accesso civico generalizzato si presta, nondimeno, ad un utilizzo improprio dell’istituto, come riconosciuto dalla stessa Plenaria che, proprio al fine di contrastare pratiche abusive chiarisce che l’accesso, finalizzato a garantire, con il diritto all'informazione, il buon andamento dell’amministrazione (art. 97 Cost.), non può finire per intralciare proprio il funzionamento della stessa, sicché il suo esercizio deve rispettare il canone della buona fede e il divieto di abuso del diritto, in nome, anzitutto, di un fondamentale principio solidaristico (art. 2 Cost.). Invero, il diritto di accesso civico generalizzato, se ha un'impronta essenzialmente personalistica, quale esercizio di un diritto fondamentale, conserva una connotazione solidaristica, nel senso che l’apertura della pubblica amministrazione alla conoscenza collettiva è funzionale alla disponibilità di dati di affidabile provenienza pubblica per informare correttamente 1 cittadini ed evitare il propagarsi di pseudoconoscenze e pseudocoscienze a livello diffuso, in modo — come è stato efficacemente detto — da «contribuire a salvare la democrazia dai suoi demoni, fungendo da antidoto alla tendenza [...] a manipolare i dati di realtà». In tale ottica, la Adunanza Plenaria ha riconosciuto la possibilità e doverosità di evitare e respingere richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. dj Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Così precisati in via generale i caratteri che il diritto di accesso civico generalizzato ha assunto nell’attuale quadro giuridico, richiamando il recente approdo dell’ Adunanza Plenaria in materia, si osserva quanto segue. In primo luogo, si evidenzia che, quanto meno sotto il profilo formale, le istanze in esame non paiono presentare vizi che ne possano determinare l’inammissibilità, innanzitutto con riferimento alla legittimazione attiva del richiedente, identificatosi con il proprio nominativo e il proprio documento di identità. In relazione allo specifico profilo, si evidenzia che la disposizione in commento, diversamente dagli artt. 22 e ss della legge n. 241 del 1990, non pone limiti alla Gato ENEL legittimazione attiva dell’istante e che in concreto le istanze in esame sono state trasmesse per via telematica secondo le modalità previste dal decreto legislativo 7 marzo 2005, n. 82 e nello specifico in conformità a quanto richiesto dall’art. 65, comma 1, lettera c), del decreto citato, ai sensi del quale le istanze presentate alle pubbliche amministrazioni per via telematica sono valide se sottoscritte e presentate unitamente alla copia del documento d'identità (v. anche Circolari funzione pubblica n. 2 del 2017 — “Attuazione delle norme sull’accesso pubblico generalizzato - FOIA” e n. 1 del 2019) e Linee Guida ANAC adottate con delibera n. 1309 del 2016”). Né pare poter inficiare la validità delle istanze in questione la circostanza che le medesime siano state inviate da un indirizzo pec non riconducibile all’istante persona fisica, bensì da un indirizzo pec dell’associazione MonitoraPa creato ad hoc per l'occasione, in quanto in tema di validità di domande inviate dall’indirizzo pec di un’altra persona, fisica o giuridica, l’orientamento prevalente della giurisprudenza è nel senso di ritenere le stesse valide se presentate conformemente a quanto disposto dall’art. 65, comma 1, lettera c), decreto legislativo 7 marzo 2005, n. 82!) . Sul punto, vedasi T.A.R. Campania Napoli Sez. V, 10/06/2020, n. 2285, che, sebbene emessa in materia di domanda di partecipazione a pubblici concorsi, ha affermato il seguente principio di diritto “Laddove la domanda di partecipazione ad un concorso venga inviata non tramite PEC dell'interessato, trova applicazione il disposto dell'art. art. 65, comma 1, lett. c), D.Lgs. 7 marzo 2005, n. 82 (C.A.D.) il quale dispone che, per essere valida, un'istanza presentata per via telematica alle PP.AA. e ai gestori dei servizi pubblici, se non proveniente dalla pec dell'interessato, deve essere non solo accompagnata da un documento di identità dell'interessato medesimo, ma anche da questi sottoscritta.” Per quanto attiene, invece, alla legittimazione passiva degli istituti scolastici ad evadere le istanze, pur non conoscendo se i singoli Istituti scolasti detengano effettivamente la documentazione richiesta o se parte della stessa sia in possesso di codesto Ministero, la Scrivente ritiene che ciascun Istituto sembri essere in grado di rispondere all’istanza ricevuta, fatti salvi i profili che si evidenzieranno oltre. Del resto, anche qualora si volesse affermare che l’amministrazione che detiene 1 documenti di cui è stata richiesta l’ostensione sia codesto Ministero, troverebbero comunque applicazione i principi generali, in base ai quali è onere dell’ufficio pubblico che riceva la richiesta, se incompetente, trasmetterla all’ufficio competente, senza opporre per queste ragioni dinieghi all’istanza del cittadino o gravarlo dell’onere di ritrasmettere la domanda ! Art. 65. Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica £?! “Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell'articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide: c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d'identità” all’ufficio che effettivamente detiene il dato. Sicché una eventuale eccezione di incompetenza da parte degli istituti scolastici non potrebbe portare alcuna utilità, mentre potrebbe, al contrario, apparire addirittura controproducente. Particolare attenzione merita poi il profilo relativo al fatto che risultano coinvolti migliaia di Istituti, aspetto questo che denota la particolarità della fattispecie all’esame oltre che il carattere di novità delle questioni poste, attesa l’assenza di precedenti in termini da parte della giurisprudenza in materia. A parere della Scrivente, la circostanza che le istanze siano state inviate contemporaneamente a 8254 scuole, se non rileva ex se quale motivo di illegittimità, potrebbe in ogni caso rilevare sotto il profilo del buon andamento della pubblica amministrazione, qualora, all’esito di un esame da svolgere necessariamente in concreto, si ritenga che evadere un cospicuo numero di richieste in un arco temporale così limitato e coincidente con l’avvio dell’anno scolastico , esigendo un coordinamento tra i vari istituti scolastici coinvolti, possa mettere in sofferenza il sistema e integri, pertanto, un esercizio abusivo del diritto di accesso generalizzato in ragione della onerosità e non proporzionalità delle richieste che, dal punto di vista soggettivo, determinano in concreto un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione. Quanto alla possibilità di individuare, come ipotizzato da codesto Ministero nella nota che si riscontra, un esercizio abusivo del diritto di accesso dal punto di vista oggettivo, si potrebbe intravedere un'ipotesi di abuso funzionale muovendo dall’art. 5, comma 2, D.Lgs. 14 marzo 2013, n. 33, che prevede l’accesso civico generalizzato “A//o scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico”. Effettivamente, in maniera non perfettamente coincidente con il fine previsto dalla legge, le istanze in esame evidenziano espressamente che _36_ [omissis] motivazione non sia necessaria in caso di istanze di accesso civico generalizzato, la precisazione effettuata dall’istante lascia emergere che la finalità per la quale viene utilizzato lo strumento dell’accesso civico generalizzato non coincide con il controllo sul perseguimento o meno delle funzioni istituzionali attribuite agli Istituti scolastici. Al contrario, le istanze, sembrando dare per scontato che le funzioni istituzionali degli istituti scolastici siano state perseguite con l’espletamento del servizio scolastico , appaiono volte a verificare che tipo azioni gli istituti scolastici abbiano posto in essere - nel perseguire il loro fine istituzionale - per proteggere 1 dati personali degli utilizzatori del servizio scolastico . Considerato che la protezione dei dati personali non costituisce il fine istituzionale degli istituti scolastici, le istanze in esame potrebbero essere respinte perché funzionalmente abusive in quanto tese a costituire una forma di controllo di un ambito già istituzionalmente presidiato, peraltro da un soggetto diverso rispetto al destinatario delle istanze, ossia il Garante per la protezione dei dati personali. Tuttavia, la citata Adunanza Plenaria 10/2020 ha affermato che la presenza di un’ Autorità indipendente istituzionalmente preposta a vigilare su un determinato settore non preclude ai cittadini l'esercizio del diritto di accesso civico generalizzato che, anzi, può ben porsi rispetto all’attività della stessa in funzione strumentale, in quanto in assenza di accesso generalizzato sarebbe di fatto impossibile per il cittadino segnalare eventuali violazioni all’ Autorità di settore. Sebbene la suddetta pronuncia sia stata emanata in materia di contratti pubblici, in principi nella stessa espressi sembrano potersi trasporre anche in materia di protezione dei dati personali atteso che l’art. 144 del Codice in materia di protezione dei dati personali prevede 1l potere di “chiunque” di rivolgere una segnalazione al Garante. Più in generale, una lettura meno formalistica della disposizione in esame e delle istanze in questione potrebbe indurre a ritenere queste ultime ammissibili, almeno in astratto, e fatti salvi 1 limiti di cui all’art. Sbis del D.Lgs. 14 marzo 2013, n. 33, considerato che sotto il profilo sostanziale le stesse sono volte a verificare come sono state utilizzate le risorse pubbliche partendo dall’analisi della documentazione atta a rivelare quali servizi sono stati acquistati per consentire lo svolgimento del servizio scolastico e dall’analisi dei rischi per la tutela dei dati personali che i servizi scelti comportano. Premesso quanto sopra, occorre verificare la sussistenza di limiti all’accesso civico generalizzato individuati nelle casistiche indicate dall’art. Sbis del D.Lgs. 14 marzo 2013, n. 33 cit. Innanzitutto, potrebbe venire in considerazione il limite della sicurezza pubblica di cui all’art. 1, comma 1), che ovviamente necessita di un approfondimento specifico dal punto di vista tecnico, da effettuare con l’ausilio del responsabile della protezione dati (DPO). A titolo esemplificativo si riportano le seguenti osservazioni svolte da un DPO nell’allegata relazione inviata alla Scuola secondaria I grado San Tommaso Mercato San Severino e pervenuta alla Scrivente unitamente ad un’altra, connessa, richiesta di parere: “/a pubblicazione integrale di una DPIA e/o la condivisione di specifiche dettagliate sulle misure di sicurezza in essere potrebbe agevolare attività malevole di terzi che, tramite tali informazioni, verrebbero a conoscenza di potenziali vulnerabilità dell’Istituto.° In proposito si segnala, tuttavia, il rischio che una tale argomentazione possa prestarsi a diverse strumentalizzazioni, vista la finalità delle Cpt istanze in esame e che nei sistemi FOIA, il diritto di accesso va applicato tenendo conto della tutela preferenziale dell’interesse a conoscere. Pertanto, nei casi di dubbio circa l'applicabilità di una eccezione, le amministrazioni dovrebbero dare prevalenza all'interesse conoscitivo che la richiesta mira a soddisfare (v. in tal senso circolare funzione pubblica cit. e Linee guida A.N.AC., $ 2.1.). Meno controversa, almeno in relazione a parte della documentazione, appare la possibilità di valutare l’esclusione di cui all'art. 5-bis, comma 2, lett. c), del D.Lgs. n. 33 del 2013 che preclude l'accesso civico generalizzato quando il diniego appare necessario per evitare un pregiudizio concreto alla tutela degli “interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali”. In tale ipotesi la disposizione impone che la valutazione sia fatta in concreto e includa un bilanciamento dei contrapposti interessi. All’interno di quest’ultimo, non sembra potersi sottacere che l’interesse conoscitivo che la richiesta mira a soddisfare appare strumentale, come anticipato, a realizzare una forma di controllo di un ambito già istituzionalmente presidiato dall’ Autorità per la Privacy. Inoltre, considerato che parte della documentazione richiesta dagli istanti pare senza dubbio contenere dati la cui diffusione potrebbe pregiudicare gli interessi commerciali dei fornitori dei servizi, questi ultimi devono essere considerati alla stregua di soggetti controinteressati all'accesso e devono ricevere le comunicazioni previste dall’art. 5, comma 5, D.Lgs. n. 33 del 2013, il quale sancisce che “/l'amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell'articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso. A decorrere dalla comunicazione ai controinteressati, il termine di cui al comma 6 è sospeso fino all'eventuale opposizione dei controinteressati. Decorso tale termine, la pubblica amministrazione provvede sulla richiesta, accertata la ricezione della comunicazione.” Anche alla luce del numero dei controinteressati da coinvolgere, occorre valutare in concreto l’onere che le istanze in esame pongono in capo a ciascuna Amministrazione destinataria. In particolare, occorre verificare se le istanze in questione possano essere qualificate come massive, non tanto dal punto di vista numerico — considerato che è stata inviata una istanza per Istituto scolastico — quanto agli adempimenti che l’accoglimento di ciascuna istanza comporta per ciascun destinatario. In proposito si richiama la sentenza n. 503 del 3-12-2021, con la quale il T.A.R. per l'Abruzzo Pescara, Sez. I, ha affermato: “Ed infatti, in materia di accesso civico generalizzato, il diritto di accesso non può essere espletato in pregiudizio al buon andamento dell'amministrazione riversando sulla medesima un onere oltremodo gravoso e tale da sottoporla ad attività incompatibili con la funzionalità dei suoi plessi e con l'economicità e tempestività della sua azione, questo specialmente laddove, come nel caso in esame, sia in gioco altresì il coinvolgimento di un numero imprecisato di soggetti controinteressati. La natura massiva della istanza presentata imporrebbe all'amministrazione di porre in essere complessi oneri procedimentali al fine di acquisire il consenso dei numerosi controinteressati menzionati nell'istanza, nonché per la successiva rielaborazione del documento da esibire che dovrebbe essere emendato dei nominativi dei soggetti che si sono opposti all'ostensione dei loro dati, per cui ciascun documento dovrebbe essere ristrutturato e manipolato attraverso interventi selettivi con eventuale trasfusione del materiale acquisito in un documento finale utile a fornire le informazioni oggetto di richiesta, diversamente da quanto sarebbe accaduto in presenza di un'istanza dal perimetro quantitativo più ragionevole e coerente con le esigenze e le risorse operative dell'amministrazione. A fronte di queste oggettive controindicazioni, l'interesse ostensivo vantato dalla parte ricorrente, pur intrinsecamente apprezzabile, non può che risultare recessivo alla stregua della disciplina dell'accesso civico generalizzato. D'altra parte, osserva il Collegio, un'eventuale diffusione dei dati con l'oscuramento dei nominativi e degli altri dati idonei a identificare gli interessati - modalità ipotizzata dalla parte nel ricorso - avrebbe difficilmente potuto soddisfare ulteriormente l'esigenza conoscitiva di valenza pubblicistica del ricorrente e corrispondere maggiormente alla finalità di sapere come sono state utilizzate le risorse pubbliche comunali” Considerato che la Scrivente non conosce l’entità degli allegati che occorrono per una DPIA o TIAo degli stessi allegati al contratto, si rimette a codesto Ministero ogni valutazione sul punto, anche confrontandosi con il proprio responsabile della protezione dati (DPO), alla luce dei principi appena esposti e di quanto scritto in apertura circa la possibilità e doverosità affermata dalla Plenaria 10/2020 di respingere le richieste manifestamente onerose o sproporzionate. Ciò premesso in via generale, nelle more di un’istruttoria tecnica avente ad oggetto i sei documenti la cui ostensione è stata richiesta con le istanze in esame, si forniscono le seguenti osservazioni in via di prima approssimazione. In relazione al primo documento richiesto (‘‘copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”), premesso che la richiesta è posta in forma disgiuntiva, la presenza di un contratto non dovrebbe essere posta in discussione, considerato che il Garante della Privacy, nel Provvedimento del 26 marzo 2020, reperito su internet, ha chiarito che “Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). E' il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento”. Occorre, tuttavia, verificare se le determine a contrarre e gli estremi della stipula di questi contratti rientrino, come sembrerebbe, nella documentazione di cui è necessaria la pubblicazione e nella sezione amministrazione trasparente delle istituzioni scolastiche e, pertanto, le istanze potrebbero essere accolte ai sensi del comma 6, art. 5, D.Lgs. n. 33 del 2013, il quale prevede che “ne/ caso in cui l'istanza riguardi dati, informazioni o documenti oggetto di pubblicazione obbligatoria ai sensi del presente decreto, a pubblicare sul sito i dati, le informazioni o i documenti richiesti e a comunicare al richiedente l'avvenuta pubblicazione dello stesso, indicandogli il relativo collegamento ipertestuale”. Inoltre, posto che la richiesta riguarda i contratti di servizi digitali stipulati con i relativi fornitori, ferma restando la necessità di individuare gli stessi quali controinteressati e la possibilità di opporre un diniego all’ostensione a tutela dei loro segreti commerciali, si evidenzia che, con le allegate note reperite sul sito di MonitoraPA e pertanto da sottoporre a verifica, due fornitori del registro elettronico, AXIOS e ASSOSCUOLA, sembrano aver già fornito all’istante i link dove reperire il testo integrale dei contratti nonché le correlate Policy di sicurezza contenenti le informazioni in merito alle garanzie che i sistemi dagli stessi forniti offrono in tema di protezione dei dati personali, seppure la documentazione da ultimo citata non sia stata formalmente indicata quale oggetto delle istanze in esame, sebbene ne pare costituire il fine ultimo. Pertanto, salvo che l’istanza venga considerata in concreto eccessivamente onerosa in ragione della copiosità della documentazione richiesta anche perché relativa al diversi servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e registro elettronico, che potrebbero trovare la loro fonte in diversi contratti — ferma restando in tal caso una adeguata motivazione a supporto del diniego — si invita a verificare l’ostensibilità della documentazione in esame, eventualmente privata delle informazioni riservate individuate dai controinteressati, alla luce di un’analisi concreta dei contenuti contrattuali anche tenendo in considerazione che la responsabilità sulla tutela dei dati personali, gestita dalle applicazioni, non grava solo sull’Istituto scolastico , in quanto fruitore del servizio (in virtù di contratti di cui al punto 1 dell’istanza) e Titolare, ma anche sul fornitore dei servizi informatici, che assume il ruolo di Responsabile esterno del Trattamento e al quale compete l’implementazione delle misure di sicurezza dei dati personali gestiti per conto della Scuola. In relazione al secondo documento richiesto (“copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022;”), sembrerebbe che nel caso in esame non vi fossero i presupposti per il sorgere dell’obbligo di redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. Invero, come rappresentato nella nota che si riscontra, il Garante della Privacy, sempre nel Provvedimento del 26 marzo 2020, ha precisato che la DPIA non è necessaria nel caos in esame perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. Precisamente il citato provvedimento chiarisce che _44_ [omissis] medesimo provvedimento fa riferimento anche a casi, che sembrerebbero marginali, in cui la DPIA risulta obbligatoria. Peraltro, tale provvedimento del Garante pare essere stato richiamato anche da un provvedimento del 3 settembre 2020 di codesto Ministero, richiamato nella allegata relazione del DPO, e non reperito dalla Scrivente. Conseguentemente, con riferimento alla richiesta di cui al punto 2 dell’istanza, sembrerebbe possibile rispondere che l’Istituto scolastico non è in possesso del documento richiesto poiché non era tenuto ad effettuare alcuna DPIA, fatta eccezione per quei casi limite in cui una Scuola abbia in concreto scelto di dotarsi di strumenti per 1 quali la DPIA fosse prevista come obbligatoria. Analoghe argomentazioni valgono con riferimento ai documenti 4 e 5 della richiesta (“4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta 10 QUALI! elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo”). Più complessa risulta la questione relativa al terzo documento richiesto (“3. copia degli atti riportanti le misure tecniche previste e adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi, anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023;”.In merito appare opportuno valutare se quanto richiesto possa comportare un onere di lavoro eccessivo rispetto all'interesse conoscitivo sotteso all’istanza, fermo restando che con riferimento a tale punto dell’istanza, come certamente per il documento n. 1, parrebbero porsi in modo rilevante le esigenze di protezione dei dati dei controinteressati, con tutte le conseguenze già esaminate. La richiesta appare inoltre generica non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che in quanto ‘non rivolti esclusivamente alla didattica” sembrano esulare dai compiti istituzionali di codesta Amministrazione. Con riferimento al documento di cui al punto 6, sembrerebbe evincersi che non sia stata effettuata alcuna valutazione comparativa, e ciò sembrerebbe dovuto al fatto che le piattaforme utilizzate durante il periodo della pandemia sono state fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni rese dal Ministero dell’Istruzione (cfr. allegata comunicazione del DPO alla Scuola secondariaI grado San Tommaso Mercato San Severino). In ogni caso, considerato che la Scrivente non detiene altre informazioni sul punto specifico, si rimette agli approfondimenti in fatto che tale aspetto impone al fine di fornire indicazioni specifiche sul punto. In conclusione, allo stato degli atti, ferma ogni valutazione di opportunità riservata a codesto Ministero e ogni verifica in concreto sul carattere massivo e proporzionale delle istanze in esame, si ritiene che le richieste di accesso civico generalizzato inviate dal sig. Fabio Pietrosanti nei confronti di 8254 Istituti scolastici, pur configurando un esercizio peculiare dell’istituto di cui agli art. 5 e ss. del D.Lgs. 14/03/2013, n. 33, non possano considerarsi illegittime, con la conseguenza che appare sussistere, per le Istituzioni Scolastiche destinatarie delle richieste, l’obbligo di dover 11 es dare seguito alle singole istanze, seppure con i limiti che verranno individuati all’esito di un’istruttoria concreta che dovrà essere svolta, anche con l’ausilio del responsabile della protezione dati (DPO) del Ministero o di ciascun istituto scolastico , sulla base della documentazione in possesso degli Istituti e di quanto sembrerebbe già essere stato diffuso da AXIOS e ASSOSCUOLA con le note allegate alla presente, tenendo in considerazione principi sopra indicati. Si rimane a disposizione per quant'altro possa occorre anche alla luce di un supplemento istruttorio. Si allegano, in via collaborativa, i documenti citati in parte motiva. de Il presente parere è sottratto all’accesso ai sensi dell’articolo 3, del D.P.C.M. 22 gennaio 1996, n. 200 e pertanto in caso di diniego all'accesso, parziale o totale, vorranno le amministrazioni interessate motivare espressamente, anche riproponendo le motivazioni utilizzate nel presente parere, senza richiamarlo per relationem. (Firme autografe sostituite dall’indicazione a stampa dei firmatari ai sensi dell’art. 3, comma 2, del D. Lgs. n. 39/1993) 12