DC ISTITUTO COMPRENSIVO STATALE PoLo 2 Borco CON INDIRIZZO MUSICALE AMBITO TERRITORIALE N. 20 leic879007 @istruzione.it - leic879007 @pec.istruzione.it www.icpolo2gallipoli.edu.it 73014 - GALLIPOLI (LE) ISTITUTO COMPRENSIVO N, 2 - "BORGO"GALLIPOLI Prot. 0006059 del 18/10/2022 AI Sig. Fabio PIETROSANTI |-4 {Uscita] comunicazioni@pec.monitora-pa.it Oggetto: Richiesta accesso civico generalizzato - LEIC879007 Egr. sig. Fabio PIETROSANTI, in riferimento alla richiesta FOIA di Accesso Civico Generalizzato, pervenuta via PEC allo scrivente Istituto in data 20/09/2022 e protocollata con n. 5532; premesso che l’accesso generalizzato, previsto dall'art. 5, comma 2, del D. Lgs. 33/2013, presenta la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all'attività amministrativa; premesso che, nel periodo pandemico, il Ministero dell'Istruzione ha definito, tramite call, una short list di piattaforme di e-learning e risorse educative digitali a supporto all’attività didattica selezionate e ulteriormente consigliate a titolo gratuito (Decreto 1810 del 27.11.2020 a firma della Presidenza del Consiglio dei Ministri - Dipartimento per la trasformazione digitale e Ministero dell'Istruzione - Dipartimento per il sistema educativo di istruzione e formazione); premesso che l’Istituto scolastico usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale e che le software house fornitrici dei servizi di posta sono scelte a livello ministeriale; premesso che il Registro Elettronico dell’Istituto scolastico viene fornito da “Argo” e che non è stato adottato da questo Istituto scolastico in seguito alla pandemia da Covid-19 e in nessun caso si può collegare la sua adozione allo stato di emergenza; tenuto conto che, con la fine dello stato di emergenza, non è venuto meno il provvedimento del Garante per la protezione dei dati personali 26 marzo 2020 - “Didattica a distanza: prime indicazioni”, in quanto lo stesso esplica ancora i suoi effetti, fino a indicazione contraria da parte dell'Autorità Garante per la protezione dei dati (in quanto l'Autorità non ne circoscrive le indicazioni al solo stato di emergenza), e contiene indicazioni di buon senso e di corretta applicazione della normativa privacy all’interno delle scuole (a prescindere dallo stato di emergenza in cui lo stesso provvedimento è stato emanato); vista la delibera ANAC n. 1309 del 28 dicembre 2016 nella quale vengono considerate non ammissibili le richieste meramente esplorative, volte semplicemente a “scoprire” di quali informazioni le amministrazioni dispongono e ad esercitare forme di controllo generalizzato sul loro operato; visto che la richiesta pervenuta ha altresì il dichiarato scopo di valutare la compliance a due testi normativi (Codice dell’Amministrazione Digitale e Reg. UE 2016/679), attività di verifica la cui competenza non si ritiene essere nella potestà normativa di un’associazione quale “MonitoraPA” né di un singolo individuo, ma delle Autorità a ciò preposte; Pag. 1a8 vista la Circolare n. 2 del 2017 del Ministro per la semplificazione e la pubblica amministrazione; tenuto conto che presso l’ufficio di segreteria di questo Istituto scolastico presta servizio personale amministrativo, già oberato dagli impegni di gestione ordinaria dell'Istituto; verificato che emerge, dalla semplice lettura della domanda di accesso, che l'interessato ha, con tale istanza, richiesto un gran numero di documenti che comportano un carico di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione, al pari delle richieste massive uniche (v., sul punto, parere dell'Avvocatura di Stato - Ufficio Distrettuale di Napoli (3 ottobre 2022), Adunanza plenaria n. 10/2020, Circolare FOIA n. 2/2017, par. 7, lett. dj; Cons. St., sez. VI, 13 agosto 2019, n. 5702; Cons. St, 2021, n. 6220), contenenti un numero cospicuo di dati o di documenti; considerato che anche la giurisprudenza del Consiglio di Stato (ex multis Consiglio di Stato, sez. III, 25.01.2021 n. 495) specifica che “se da un lato l'interesse alla trasparenza non richiede una motivazione specifica, dall'altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi” e l'istanza pervenuta a questo Istituto scolastico (come specificato anche dal parere reso dall'Ufficio Scolastico Regionale per il Veneto- Direzione Generale, del 03.10.2022) pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo in ordine alla legittimità dell’azione amministrativa sull'utilizzo delle tecnologie comunicative (in particolare per la richiesta di cui al punto n. 1); vista la sentenza del C.d.S., sez. V, n. 2309/2020 sulle richieste di accesso civico, in base alla quale “la richiesta va rigettata quando non risulta in modo chiaro e inequivoco la sua rispondenza al soddisfacimento di un interesse pubblico”; vista la sentenza del TRGA Bolzano, n. 305/2020, che nega l’accesso civico quando sia eccessivamente oneroso rispondere per la quantità dei documenti e dati richiesti; verificato che alcuni dei documenti di cui al su citato punto 1 oggetto di accesso, e nello specifico le determine di affidamento sono pubblicate sul sito web di questo Istituto; verificato che la raccolta delle restanti informazioni richieste di cui ai su citati punti 2 - 3 - 4- 5 - 6 oggetto di accesso imporrebbe a questa istituzione scolastica un notevole carico di lavoro tale da paralizzare, in modo molto sostanziale, il corretto funzionamento dell’ordinaria attività amministrativa, fondamentale per fornire il necessario e indispensabile supporto al servizio di istruzione; verificata la necessità di finalizzare prioritariamente l’attività dell'ufficio al buon andamento dell’amministrazione e alla regolare erogazione del servizio scolastico ; vista in ogni caso la presenza di ulteriori motivazioni in diritto, di seguito esplicate, volte ad impedire l’ostensione dei documenti di cui ai su citati punti 2 - 3 - 4- 5 - 6 oggetto di accesso; verificato che, con riferimento al punto n. 2) della Vostra richiesta, i sistemi di videoconferenza o di piattaforme tecnologiche prescelti dalla scuola sono stati configurati in modo da impedire il monitoraggio sistematico del comportamento degli alunni, né viene effettuata alcuna forma di profilazione online (ad esempio con la inibizione di eventuali funzionalità di geolocalizzazione e l'utilizzo di servizi privi di qualunque forma di pubblicità comportamentale); verificato che su tutte le piattaforme e strumenti digitali vengono adottate specifiche configurazioni per evitare l’uso dei dati degli studenti per finalità ulteriori alla didattica (ad esempio la chiusura del sistema di videoconferenza alle sole lezioni, la circoscrizione della possibilità di invitare o ammettere soggetti in aula virtuale solo ai docenti, la inibizione di geolocalizzazione, profilazione o interconnessione coi social network tramite gli account scolastici); Pag. 2a8 verificato che attraverso gli strumenti in uso nella scuola non è possibile effettuare alcuna operazione di sorveglianza (nemmeno occulta) sugli utenti del sistema, siano essi gli alunni, i loro familiari, i docenti o il personale scolastico che ne fruisce, al di là della raccolta dei log degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella policy di sicurezza dei rispettivi fornitori; considerato che gli istituti scolastici non effettuano trattamenti automatizzati, né su larga scala né sistematici; visto che gli strumenti utilizzati non presentano ulteriori caratteristiche suscettibili di aggravarne i rischi (come ribadito dall'Autorità Garante non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola - mancando il requisito della larga scala - nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti); verificato che le informazioni richieste (soprattutto con riferimento ai punti n. 2, 4 e 5 si riferiscono anche ad operazioni non di competenza delle istituzioni scolastiche, come la valutazione di impatto (DPIA) che, ai sensi dell’art. 35 del Regolamento del Parlamento Europeo e del Consiglio in materia di protezione dei dati personali n. 679 del 27 aprile 2016 (GDPR), riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su larga scala e/o trattamenti indicati nell'elenco che l'Autorità di controllo redige e rende pubblico (si veda Provvedimento dell'Autorità per la protezione dei dati personali del 11 ottobre 2018) e che l'esclusione della necessità di effettuare DPIA su tutti gli strumenti (per come sono acquisiti o configurati) deriva dal fatto che non ingenerano elevati rischi per i diritti e le libertà degli studenti come previsto dal citato articolo 35 del GDPR; verificato che, con riferimento al punto n. 3, l’Istituto scolastico non utilizza piattaforme “più complesse” che erogano servizi “più complessi” anche non rivolti esclusivamente alla didattica (con riferimento agli anni scolastici 2020/2021, 2021/2022, 2022/2023) e che la descrizione generale delle misure di sicurezza relative agli strumenti in uso sono già disponibili sulle stesse piattaforme e siti web dei fornitori; verificato altresì che la richiesta di esibizione delle misure di sicurezza o delle DPIA non è applicabile in quanto il livello di sicurezza offerto dal provider garantisce la minimizzazione dei rischi e la scuola ha comunque attivato i soli servizi essenziali regolati da termini di utilizzo che vincolano il fornitore alla non registrazione e alla non divulgazione e che, comunque, l’esibizione/comunicazione di tutta questa documentazione imporrebbe un notevole carico di lavoro alla scuola tale da paralizzare, in modo molto sostanziale, il corretto funzionamento dell’ordinaria attività amministrativa; verificato che il registro elettronico di ARGO [omissis] è un’applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dalla Argo Software, azienda dotata di sistema di gestione applicativi in commercio. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://www.argosoft.it/privacy.php verificato che, con riferimento al punto n. 4, come stabilito dal Ministero nelle sue Linee guida, per il nuovo anno scolastico 2022/2023 l'obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia; per questo motivo, l’Istituto scolastico , come tutte le scuole d’Italia, non farà al momento ricorso a piattaforme di messaggistica o videoconferenza ovvero alla DaD (didattica a distanza) o DID [omissis] ; impatto va effettuata nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l'istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione: 1. rientra nei casi previsti dall'art. 35, par. 3 del Regolamento (trattamento automatizzato, profilazione, Pag.3a8 trattamento su larga scala di categorie particolari di dati personali, ecc.), tenendo conto sempre del contesto in cui il trattamento stesso si colloca; 2. comporta la compresenza di almeno di due criteri individuati come indici sintomatici del “rischio elevato” dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze o combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, trattamento che in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” e che questo Istituto scolastico , come già indicato in precedenza, non utilizza piattaforme e/o servizi online che consentano il monitoraggio sistematico degli utenti né ricorre a soluzioni tecnologiche particolarmente invasive tali da rendere obbligatoria una valutazione di impatto della protezione dei dati; visto, in ogni caso, che la diffusione o l’ostensione a terzi di eventuali documenti idonei a rendere note le specifiche misure tecniche (con riferimento, soprattutto, alle richieste di cui ai punti 3 e 4) potrebbe costituire una concreta minaccia alla disponibilità, all’integrità, alla riservatezza e all’autenticità dei dati della Scuola e dei privati cittadini che utilizzano i sistemi oggetto di richiesta di accesso (e sotto tale profilo, pertanto, a valle del bilanciamento dei contrapposti interessi, questa amministrazione ritiene prevalente la tutela della protezione dei dati personali come declinata dall'articolo 5-bis, comma 2, lett. a del d.lgs. n. 33 del 2013); verificata la prevalenza della tutela della protezione dei dati personali come declinata dall'articolo 5-bis, comma 2, lett. a) del d.lgs. n. 33 del 2013 e in base alle disposizioni di cui al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, sempre tenendo conto dei principi generali sul trattamento dei dati e in particolare dei principi di adeguatezza, pertinenza e non eccedenza a quanto necessario rispetto alle finalità per le quali sono trattati i dati (cfr. articolo 5 del Regolamento); verificato che, con riferimento al punto 5, la scuola si affida a provider che adottano specifiche misure di sicurezza sui servizi utilizzati e che la predetta valutazione di impatto (DPIA) non rientra tra quelle previste dall’art. 35 del Reg. UE 2016/679; visto che, con riferimento al punto n. 6, l’art. 17, comma 1, del Codice dell’Amministrazione Digitale - CAD (D.Lgs. 82/2015) attribuisce al solo Responsabile per la Transizione Digitale - RTD i compiti di: ° pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all'articolo 16, comma 1, lettera b); ° coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni; ° indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione; ° indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia; ° pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione e quello di cui all'articolo 64-bis; visto che il RTD delle scuole italiane è stato individuato presso il MIUR con nota 2260 del 5/12/2019 nella persona del Direttore generale della Direzione Generale per i contratti, gli acquisti e per i sistemi informativi e la statistica; visto che il Codice dei Contratti Pubblici (D.Lgs. 50 del 2016 e s.m.i.) non richiama in alcun modo l'adempimento di cui all’art. 68 CAD, escludendone pertanto l'obbligatorietà ai fini dei processi di procurement disciplinati dal Codice; Pag. 4a 8 verificata la necessità di acquisire piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico al fine dell'erogazione del relativo servizio pubblico e la tutela del diritto all'istruzione costituzionalmente garantito, la detta acquisizione si è svolta direttamente in attuazione del Codice dei contratti pubblici (D.Lgs. 50 del 2016 e s.m.i.); vista la nota emanata dal Direttore Generale dell’USR per la Puglia in qualità di Responsabile della Trasparenza e della Prevenzione della Corruzione, prot. n. 4410 del 14.10.2022, recante riscontro alle richieste di parere su istanza di accesso civico presentata alle scuole da parte di Monitora PA; si comunicano i risultati della procedura di esame e valutazione delle richieste da Lei inoltrate. Richiesta 1 - Copia dei contratti per gli aa.ss. 2020-2021, 2021-2022, 2022-2023 Servizi di posta elettronica L'Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DaD/DDI Le piattaforme DaD/DDI utilizzate dall'Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio. I termini di utilizzo sono pubblici e sono reperibili sul sito web della piattaforma in questione: https://workspace.google.com/terms/education terms.html] L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Registro Elettronico e Segreteria Digitale I contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono i servizi di Registro Elettronico e Segreteria Digitale sono pubblicati in AmministrazioneTrasparente, raggiungibile dal sito istituzionale, in osservanza del D.LGS. N. 33/2013, al seguente link https://trasparenza- pa.net/?codcli=SC12864&node=26166 L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 2 - DPIA per piattaforma DDI per gli AA.SS. 2020-2021 e 2021-2022 La valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016GDPR. La DPIA è obbligatoria in casi specifici e normati, trai quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art. 35 del Regolamento richiede peri casi di rischi elevati, non è necessaria se il trattamento effettuatodalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischiper i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione obiometrici).” Pag. 5a 8 Stante la normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattamento effettuato da una singola scuola nell'ambito di un servizio online di videoconferenza o di una piattaforma. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Richiesta 3 - Misure tecniche previste ed adottate L'Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. La scuola ha attivato una gestione peculiare della piattaforma, attivando i soli servizi essenziali (Gmail, Classroom) regolati da termini di utilizzo che vincolano Google alla non registrazione e alla non divulgazione. Servizi non essenziali possono essere attivati solo per specifiche 0U non collegate agli studenti. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Richiesta 4 - DPIA per posta elettronica, DDI, registro elettronico per l’A.S. 2022-23 Posta Elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell’epidemia. L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art. 35 del Regolamento richiede peri casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischiper i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione obiometrici).” L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro elettronico L'Istituto scrivente ha recepito all'atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Pag. 6a8 Richiesta 5 - DPIA del trasferimento di dati all’estero per l’A.S. 2022-2023 Posta elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) L'Istituto scrivente ha attivato i soli servizi essenziali (Gmail,Classroom) regolati da un contratto che vincola Google alla nonregistrazione e alla non divulgazione, e ha scelto come base dati laserver farm europea di Google. La valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall'art. 35 comma 3 delRegolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casispecifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l'art. 35 del Regolamento richiede peri casi di rischi elevati, non è necessaria se il trattamento effettuatodalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischiper i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione obiometrici).” L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro elettronico L'Istituto scrivente ha recepito all'atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 6 - Valutazione comparativa per l’A.S. 2022-2023 Posta elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. [omissis] Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell’epidemia. Per quanto concerne le piattaforme DDI, nell’anno scolastico 2022/2023 l’Istituto scrivente ha operato in continuità con gli anni scolastici precedenti: non è stata quindi effettuata nessuna valutazione comparativa, poiché è stato confermato l’utilizzo degli strumenti già attivati in precedenza. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro [omissis] peculiare struttura del mercato di riferimento, il contenuto numero di operatori attivi, la particolare soddisfazione maturata nel precedente rapporto contrattuale e la relativacompetitività del prezzo offerto, e valutati gli eccessivi oneri in termini di costi (per migrazione, formazione del Pag. 7a8 personale docente, formazione del personale non docente), l’Istituto scrivente ha confermato e rinnovato in affidamento diretto il contratto stipulato con il fornitore degli anni precedenti, operandoin 56/2017. Di conseguenza non è stata effettuata alcuna valutazione comparativa. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento non previsto né obbligatorio. Distinti saluti, IL DIRIGENTE SCOLASTICO [omissis] Documento firmato digitalmente ai sensi del Codice dell’Amministrazione Digitale e norme ad esso connesse Pag.8a$8