tie Piazza San Domenico - 73042 - CASARANO (LE) Telefono 0833/332031 - e-mail LEIC861002@istruzione.it — PEC: leic861002@pec.istruzione.it www.polo3casarano.edu.it C.F. 90018430752 — Cod. MIUR: LEIC861002 Casarano, (fa fede la data del protocollo) o III (Uscita) con domicilio digitale all’indirizzo Pec: comunicazioni(@pec.monitora-pa.it; Oggetto: istanza di accesso civico generalizzato ex art.5, comma 2, D.Lgs. 33/2013 -MONITORA PA In riferimento alla Vostra richiesta di accesso agli atti le comunichiamo quanto segue: 1) Servizi di posta elettronica, messaggistica, videcoriferenza, DAD, didattica digitale integrata, registro elettronico. L’istituto usufruisce in concessione di una casella elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Come registro elettronico, per gli anni relativi alla Vostra richiesta, si è fatto utilizzo del registro elettronico del Gruppo Spaggiari Parma S.p.A. che è un’applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS, azienda dotata di un sistema di gestione per la sicurezza delle informazioni certificato secondo la norma UNI CEI commercio. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Spaggiari, sono descritte nei documenti pubblici e raggiungibili dalla pagina http://www.spaggiari.eu/sicurezza/sicurezza.html. Le software house fornitrici dei servizi innanzi indicati, sono nominate responsabili esterne del trattamento dati. A loro competono l’implementazione delle misure di sicurezza dei dati principali gestiti per conto della scuola. Sul link delle stesse house fornitrici dei servizi informatici risulta il testo contrattuale, nonchè la correlata policy di sicurezza. La piattaforma DaD/DDI utilizzata è stata Classe Viva del Gruppo Spaggiari Parma S.p.A. Pe quest’ultimo anno scolastico , la Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza. Per quanto concerne i servizi di videoconferenza, questo istituto, negli anni scolastici 2020- 2021 e 2021-2022 si è avvalso dei servizi posti gratuitamente a disposizione da Google G- Suite For Education. 2) Per la valutazione di impatto della protezione dei dati (DPIA) la presente amministrazione non è tenuta alla redazione della DPIA, poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati. Anche il Garante italiano per la Privacy con il provvedimento n.64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” 3) L’istituto scrivente non fa uso di applicativi aggiuntivi complessi. 4) La scrivente amministrazione, nell’ambito di utilizzo delle piattaforme di posta elettronica e registro elettronico, le sole previste per l’anno scolastico corrente, non è tenuta alla redazione della DPIA che, ai sensi dell’art. 35 del GDPR, avviene per le sole finalità che riguardano prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico. Quindi, non vi sono i presupposti per il sorgere dell'obbligo di redazione della DPIA poiché le istituzioni scolastiche non attuano un monitoraggio sistematico né una profilazione né un trattamento su larga scala dei dati, atteso che il trattamento dei dati personali avviene per le sole finalità istituzionali. Invero il Garante della Privacy, sempre nel Provvedimento del 26 marzo 2020, ha precisato che la DPIA non è necessaria, perché l'istituzione scolastica non effettua trattamenti di dati personali su larga scala. 5) La valutazione di impatto sul trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento di dati in paesi terzi, necessaria per la fruizione dei servizi elettronici, è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. Tale valutazione è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). 6) L’art. 17, comma 1, del Codice dell’ Amministrazione Digitale - CAD (D.Lgs. 82/2015) attribuisce al solo Responsabile per la Transizione Digitale — RTD i compiti di: pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all’articolo 16, comma 1, lettera b); coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni; indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione; indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia; pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione e quello di cui all'articolo 64-bis. Il Responsabile per la transizione digitale (RTD) delle scuole italiane è stato individuato presso il MIUR con nota 2260 del 5/12/2019 nella persona del Direttore generale della Direzione Generale per i contratti, gli acquisti e per i sistemi informativi e la statistica. Nessuna comunicazione è giunta allo scrivente istituto dal RTD scolastico in ordine agli avvenuti adempimenti di cui all’art. 68 CAD, come detto ricadenti nei compiti del citato RTD. Il Codice dei Contratti Pubblici (D.Lgs. 50 del 2016 e s.m.i.) non richiama in alcun modo l'adempimento di cui all’art. 68 CAD, escludendone pertanto l’obbligatorietà ai fini dei processi di procurement disciplinati dal Codice. La necessità di dotarsi, per il corrente anno scolastico , del registro elettronico da parte dello scrivente istituto, si è svolta direttamente in attuazione del Codice dei contratti pubblici (D.Lgs. 50 del 2016 e s.m.i.). Non è previsto per il corrente anno scolastico l’acquisto di piattaforme per videoconferenze e per l’erogazione della DAD e DID. Distinti saluti. ‘OX [omissis] Lupia >, È