Leverano (LE), 11 Ottobre 2022 Spettabile ISTITUTO DI ISTRUZIONE Alla C/A del [omissis] in merito alla Richiesta di accesso civico generalizzato avanzata da Monitora- [omissis] Scolastico Nel caso in esame ossia la richiesta di accesso e che nondimeno gli atti per i quali è stato richiesto l’accesso non costituiscono dati personali, conseguentemente il parere di seguito formulato è finalizzato unicamente ad acquisire meri spunti di riflessione rispetto a quanto ricevuto, inoltre il D.Lgs. 33/2013 non prevede di sentire il parere del D.P.O. e pertanto non è vincolante. La richiesta di accesso civico di MONITOR-PA è stata inviata a 8254 Scuole, un modus operandi massivo molto singolare che svilisce i principi di protezione dei dati personali meri strumento propagandistici, appunto per questo motivo lo STUDIO LEGALE LISI ha concretamente avvertito il dovere di rivolgere una segnalazione all'Autorità Garante, anche in considerazione delle possibili derive che potrebbero assumere tali iniziative, auspicando , che il Garante voglia autorevolmente intervenire per porre un freno, senza fare pressione su coloro che, di fatto, ne subiscono le conseguenze. Tutti sono a conoscenza che le [omissis] periodo della Pandemia sono state obbligate dal MI a garantire la DAD attraverso una circolare che segnalava l'utilizzo di piattaforma Gratuite, pertanto non esistono contratti e nessuna scuola ha potuto fare una DPIA (Atto non dovuto). Un po’ tutti gli uffici scolastici si sono pronunciati in modo controverso sulla “Richiesta di accesso civico generalizzato avanzata da Monitora-PA”, si riporta in allegato la circolare m_pi.AOODRVE.REGISTRO UFFICIALE(U).0021106.03-10-2022 dell’USR VENETO che indica la richiesta illegittima mentre l’USR Lazio (circolare m_pi.AOODRLA.REGISTRO_UFFICIALE (U).0039326.04-10-2022) si pronuncia indicando che la richiesta di accesso civico in questione è legittima e alla stessa deve essere data risposta, fermi i divieti temporanei e/o assoluti di cui all'art. 53 del d.lgs. n. 50 del 2016, salvo che l’onere che ne deriva sia manifestamente sproporzionato rispetto alla capacità della specifica segreteria amministrativa e comporti, perciò, un carico irragionevole di lavoro. In quest'ultimo caso “- ciascun dirigente valuterà se ricorra tenuto conto dell'eventuale attività di elaborazione che l’amministrazione dovrebbe svolgere per rendere disponibili i dati e documenti nonché delle risorse interne che occorrerebbe impiegare da quantificare in rapporto al numero di ore per unità di personale in effettivo servizio — sarà possibile e doveroso evitare e respingere la richiesta”. Come specificato nelle linee guida ANAC (cfr. paragrafo 5), tali circostanze ostative «, adeguatamente motivate nel provvedimento di rifiuto, devono essere individuate secondo un criterio di stretta interpretazione, ed in presenza di oggettive condizioni suscettibili di pregiudicare in modo serio ed immediato il buon ‘funzionamento dell’amministrazione. » Al momento il parere più autorevole per specifica competenza tecnica, è stato espresso dall'Avvocatura dello Stato distretto di Napoli (si riporta in allegato il parere aoona-P-2022- 146111) con una interpretazione innovativa ed interessante che in virtù delle condizioni che ricorrono innegabilmente nel caso di specie, e solo per tali ragioni la richiesta di accesso non può essere accolta. Secondo l'Avvocatura la richiesta, per contenuto e per forma, si configurerebbe non già come “richiesta di accesso civico generalizzato” nomen iuris ad essa attribuito dallo stesso richiedente, bensì come tradizionale richiesta di accesso agli atti ex Legge 241/1990 e quindi, al caso di specie, dovrebbe applicarsi tale normativa nella sua interezza. L'art. 24 comma 3 della citata Legge esclude che tale istituto possa essere invocato per istanze che si concretizzino come “controllo generalizzato dell'operato delle pubbliche amministrazioni” e considerato che la richiesta di monitora-PA avrebbe tale finalità, conclude ritenendo la stessa non accogliibile. Si fornisce il seguente Report: Sommario LA SEGNALAZIONE... 3 Monitora PA, se l'attivismo fa danni: intervenga il Garante privacy... ui 3 Trasferimento di dati personali verso gli USA: le azioni di “attivismo digitale” aumentano l'incertezza... 3 Perché la segnalaziONE............rrrrrrrreeeereee ieri eee eieriieee eee einer eeieriieee nei 4 Ricorso a fornitori statunitensi: qualsiasi iniziativa del Garante non dovrebbe prescindere dall’analisi del contesto............ 4 Profili di potenziale illiceità e pericoli delle azioni di attivismo digitale... 4 Cosa ci aspettiamo dal Garante............... e rrrrerireeeee ieri eee rien 6 NOLE....... ii 6 SEGNALAZIONE Al SENSI DELL'ART. 144 DEL D.LGS. N. 196/2003... 6 PRONUNCIAMENTO USR VENETO FOIA -MONITORA PA. . . . . . . ri 7 M_PI.AOODRLA.REGISTRO UFFICIALE.U.0039326.04-10-2022.H.16:36..........M ii 8 [omissis] ............... i 11 RISPOSTA ACCESSO CIVICO............. ii 14 Si allega il file “RISPOSTA ACCESSO CIVICO” in formato aperto compilabile nelle sezioni evidenziate. (Documento da protocollare , firmare digitalmente e inviare al Sig. Fabio Pietrosanti, con domicilio digitale all'indirizzo Pec: comunicazioni@pec.monitora-pa.it) Cordiali saluti. rizzo cosimo 11.10.2022 20:31:43 Monitora PA, se l’attivismo fa danni: intervenga Il Garante privacy Le azioni di attivismo digitale aumentano l'incertezza riguardo al trasferimento di dati personali verso gli Usa? Un gruppo di giuristi ed esperti del settore ha presentato all'Autorità Garante una formale segnalazione. Il fine non giustifica i mezzi 23 Set 2022 Carola Caputo avvocato, consulente di Studio Legale Lisi, esperta in diritto della protezione dei dati personali diritto della protezione dei dati personali la protezione dei dati personali (e portato all’attenzione di ANAC) una segnalazione relativa alle azioni di attivismo digitale condotte dal gruppo di attivisti che agiscono nell’ambito del collettivo di hacker denominato “Monitora PA”, ma che possa anche portare 1’ Authority a operare autorevolmente un’ampia riflessione sui ruoli e responsabilità nell’affidamento di soluzioni verso l’universo “GAFAM’”!!I Abbiamo ritenuto doveroso porre in evidenza 1 profili di illiceità e i pericoli insiti in tali azioni di “attivismo digitale” pur comprendendone le finalità. Ma il fine non giustifica 1 mezzi. Spieghiamo qui i motivi della nostra iniziativa e le richieste presentate all’ Autorità. Indice degli argomenti Trasferimento di dati personali verso gli USA: le azioni di “attivismo digitale” aumentano l’incertezza In mancanza di una nuova decisione di adeguatezza che renda leciti 1 trasferimenti di dati personali dall’Unione europea verso gli Stati Uniti, e a cui si auspicava potesse addivenirsi a seguito della sentenza C-311/18 (c.d. Sentenza Schrems II) emanata dalla Corte di giustizia dell’Unione europea, tantissimi professionisti, imprese, enti e organizzazioni italiane pubbliche e private, che intrattengono rapporti con fornitori statunitensi, si trovano oggi ad operare in una situazione di ambiguità, nella quale è percepito il rischio che della citata sentenza venga fornita un’interpretazione pericolosamente estensiva”! È in tale situazione di incertezza che mettono radice alcune recenti azioni di “attivisti/hacker” (così si sono definiti) che hanno coinvolto — in maniera automatizzata, indiscriminata e, per i motivi esposti nella segnalazione rivolta al Garante per la protezione dei dati personali e in seguito in parte illustrati, potenzialmente illegittima sotto diversi aspetti — un numero elevatissimo di soggetti, proprio facendo leva su quanto stabilito dalla sentenza Schrems II, proponendone, appunto, un’interpretazione arbitrariamente estensiva e dagli effetti giuridicamente distorsivi, di fatto non ragionevolmente sostenibile. Nell’ordine, la prima campagna condotta dagli “attivisti” è stata indirizzata nei confronti delle pubbliche amministrazioni colpevoli di integrare nei propri siti istituzionali Google Analytics. Migliaia di enti pubblici sono stati raggiunti da comunicazioni massive, automatizzate e contenenti richieste di rimozione dello strumento con minaccia di segnalazione all’autorità Garante per asserito trattamento illecito. Tale iniziativa è stata seguita da quella portata avanti da un singolo attivista, il [omissis] comunque attivo in Monitora PA, e che ha interessato sia soggetti pubblici sia soggetti privati accomunati dall’utilizzo di Google Analytics. Anche in questo caso, sono state inviate è rd rele Te, SAbsi, fa iper “SE de fit sei, daeta HI se Perché la segnalazione a e farlo, Va Tei Ricorso a fornitori statunitens i quals iasi inizialat iva del Garante non dovrebbe prescin dere dall’anal isi del contesto e,farlo, SRILA La ced dè Teesa Profili ipo l i delle azi ioni s i potenziale illicei t a € perico i attivismo digitale pretesto per colpire e minacciare, perdendo completamente di vista lo spirito e le ragioni di protezione che ne sono alla base Sono diversi i profili di illiceità e 1 pericoli che potrebbero scaturire da tali azioni. Di seguito, proponiamo un quadro di sintesi delle argomentazioni sottoposte al Garante per la protezione dei dati personali, rinviando per ogni approfondimento alla lettura della segnalazione. Riteniamo che tra le categorie di soggetti esposti ai pericoli derivanti dalle richiamate campagne di attivismo digitale, rientrino gli stessi “attivisti” promotori di tali iniziative. La ragione è basata, principalmente, sulla considerazione che le attività condotte da Monitora PA si traducono in trattamenti sistematici di dati personali su larga scala, riconducibili all'esecuzione metodica e coordinata di verifiche e segnalazioni, ad opera di una comunità che si auto descrive come un “Osservatorio Automatico Distribuito sulla PA”**, Riteniamo, quindi, che anche Monitora PA e i suoi componenti siano tenuti agli adempimenti che la normativa in materia di protezione dei dati personali pone in capo al titolare del trattamento, primo fra tutti l'obbligo di rendere l'informativa, che nessuno, tra i destinatari delle comunicazioni in questione, ha mai avuto modo di consultare. Gli autori di queste comunicazioni massive, pertanto, si sono resi responsabili di evidenti violazioni del RGPD, compromettendo al tempo stesso l’intera comunità degli attivisti, che potrebbero subire pregiudizi in termini di immagine e di reputazione, a causa di tali operazioni, non adeguatamente valutate nei dettagli. Ulteriori pericoli connessi alle iniziative in questione risiedono nelle distorsioni di interpretazione e percezione che possono essere generate nei soggetti raggiunti dalle richieste di Monitora PA. Tali azioni di attivismo digitale, infatti, potrebbero essere confuse con iniziative ufficiali promosse da parte delle istituzioni e delle autorità competenti. Il che è tanto più pericoloso, in quanto 1 toni perentori impiegati dagli “attivisti”, potrebbero far percepire le richieste formulate come decettive o addirittura “estorsive”, delegittimando sia le autorità Garanti, sia le norme stesse che garantiscono le libertà fondamentali e la protezione dei dati personali. Per altro verso, riteniamo che uno degli aspetti più criticabili di tali azioni sia quella di colpire i “piccoli” titolari del trattamento, spesso indotti a dare seguito alle intimazioni degli “attivisti” sull’onda della fretta e senza opportuna ponderazione. Non tutti, specialmente le piccole e medie imprese, dispongono di mezzi e risorse — anche economiche — per comprendere e gestire i complessi risvolti di azioni di questo genere. Nessuno, peraltro, si trova nelle condizioni di pretendere che Google (o altri provider, comunemente indicati come GAFAM) adeguino 1 propri servizi alla normativa europea in materia di protezione dei dati personali, disattendendo eventuali ordini di esibizione provenienti dalle autorità di intelligence statunitensi. Le asimmetrie informative circa le condizioni del servizio e l’assenza di un effettivo potere di controllo sull’eventuale cessione di dati personali ad agenzie di sicurezza straniera, fanno persino dubitare che i GAFAM siano qualificabili come responsabili del trattamento ai sensi dell’art. 28 del RGPD. Il responsabile del trattamento, come noto, svolge un ruolo prettamente esecutivo, dovendosi attenere alle istruzioni fornite dal titolare. Nel momento in cui tali istruzioni non dovessero essere rispettate o, comunque, dovessero essere adottate condotte basate sulla determinazione di finalità e mezzi del trattamento diversi da quelli stabiliti dal titolare, la qualità di responsabile verrebbe meno. Rispetto a tali attività di trattamento, il provider assumerebbe il ruolo di titolare. Anche per questa ragione, sarebbe stato più corretto, a nostro avviso, indirizzare queste azioni di attivismo direttamente e con coraggio nei confronti dei GAFAM, anziché assumere come (più facile) bersaglio i piccoli titolari del trattamento. Come evidenziato nella nostra segnalazione, peraltro, le modalità con cui sono state formulate le richieste degli “attivisti” presentano i connotati tipici dell’abuso nell’esercizio di un diritto, che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela, per assumere connotati pretestuosi e nocivi. In tal senso, è sicuramente legittimo esercitare uno dei diritti previsti dagli articoli 15 e ss. del RGPD, ma non quando, come nel caso in oggetto, tali diritti sono esercitati per effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire uno strumento ritorsivo o di intimidazione. Sono gli stessi “attivisti”, anzi, a proclamare il reale interesse che intendono perseguire, ossia l’esercizio di un controllo generalizzato dell’attività della P.A., com’è evidente dallo stesso nome del collettivo, e la correzione di quelle che sono ritenute gravi storture del sistema. Cosa ci aspettiamo dal Garante Per le ragioni qui, sinteticamente, richiamate, abbiamo avvertito il dovere di rivolgere una segnalazione all’ Autorità Garante, anche in considerazione delle possibili derive che potrebbero assumere tali iniziative. Auspichiamo, dunque, che il Garante voglia autorevolmente intervenire per porre un freno a questo modus operandi, che svilisce 1 principi di protezione dei dati personali meri strumento propagandistici. Sarebbe una buona occasione, come speriamo, per smuovere la situazione di impasse generatasi in seguito alla sentenza Schrems II, senza fare pressione su coloro che, di fatto, ne subiscono le conseguenze. Note 1. Acronimo con cui sono indicati cinque tra i maggiori fornitori di servizi digitali sul mercato mondiale, Google, Apple, Facebook (oggi Meta), Amazon, Microsoft. 1 2. Sul punto, peraltro, si segnala il report reperibile al seguente link:https://dl.awsstatic.com/certifications/Information Request Report H1 2022.pdf, dal quale emergerebbe che nessun documento collocato al di fuori degli Stati Uniti sia stato consegnato al governo statunitense nel periodo intercorrente tra gennaio 2022 e giugno 2022. Tale circostanza, in ottica di accountability, sembra deporre a favore dell’efficacia della misura organizzativa — prevista nelle clausole della documentazione contrattuale del servizio IT scelto dal Titolare del trattamento — che vincola il provider a trattare 1 dati personali, per conto del Titolare, solo in Paesi UE. 1 3. Come evidenziato nella nostra segnalazione, le azioni portate avanti dal collettivo di hacker sono riconducibili all’allarmante fenomeno c.d. di “weaponization di DSAR” (Data Subject Access Request, richieste di accesso ai dati personali formulate ai sensi dell’art. 15 RGPD), per cui le richieste di accesso ai dati ai sensi dell’art. 15 RGPD, nonché l’esercizio degli altri diritti sanciti dallo stesso Regolamento europeo, sono strumentalmente utilizzati per esercitare pressione sul Titolare del trattamento. Î 4. Questo comporta, come meglio argomentato nella segnalazione, che l’utilizzo dei dati raccolti non rientra nella casistica di cui all’art 2, par. 2, lett. c) del RGPD, il quale prevede la non applicabilità del Regolamento in caso di uso di dati da parte di una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. ] 5. È quanto previsto dall’articolo 28.10 del RGPD, per cui “se un responsabile del trattamento viola il presente regolamento, determinando le finalità e 1 mezzi del trattamento, è considerato un titolare del trattamento in questione”. 1 SEGNALAZIONE AI SENSI DELLART. 144 DEL D.LGS. N. 196/2003 Spett.le Garante per la protezione dei dati personali Piazza Venezia 11 -00187 — Roma A mezzo PEC: protocollo@pec.gpdp.i e, p.c., Spett.le Autorità Nazionale Anticorruzione c/o Palazzo Sciarra, Via Minghetti, 10 -00187 Roma A mezzo PEC: protocollo@pec.anticorruzione.it PRONUNCIAMENTO USR VENETO FOIA -MONITORA PA m_pi.AOODRVE.REGISTRO UFFICIALE(U).0021106.03-10-2022 Alle Istituzioni scolastiche della regione Veneto di ogni ordine e grado OGGETTO: istanza di accesso civico generalizzato ex art. 5, comma 2, d.lgs. 33/2013- MONITORA PA In riscontro alle numerose richieste di parere pervenute a seguito dell'istanza di accesso civico generalizzato ex art. 5, comma 2, d.lgs. 33/2013 da parte del soggetto MONITORA PA alle Istituzioni scolastiche si precisa quanto segue. Lo Scrivente, nella sua veste di Responsabile della Prevenzione e della Corruzione delle Istituzioni scolastiche della regione Veneto, analizzata la richiesta di accesso civico generalizzato, ritiene che non meriti di essere accolta per diversi motivi. In primo luogo, come insegna la giurisprudenza del Consiglio di Stato (ex multis Consiglio di Stato, sez. III, 25.01.2021 n. 495), se da un lato l'interesse alla trasparenza non richiede una motivazione specifica, dall'altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi. e Sitratterebbe, quindi, di richiesta vessatoria, pertanto non accogliibile. e In secondo luogo, si sottolinea come le informazioni richieste ai punti 2-4-5-6 dell'istanza, si riferiscono ad operazioni non propriamente di competenza delle singole istituzioni scolastiche, come e Infine, dall’istanza in esame, si evince che la mole dei documenti oggetto di ostensione obbligherebbe le Scuole a fornire numerosissime pagine, senza, peraltro, che la predetta richiesta sia sostenuta da esigenze tali da giustificarne l’onerosità. (si veda la pronuncia dell’Adunanza plenaria n. 10/2020), M_PI.AOODRLA.REGISTRO UFFICIALE.U.0039326.04-10- 2022.H.16:36 Ministero dell'Istruzione Ufficio scolastico regionale per il Lazio Direzione generale Alle Istituzioni scolastiche statali della Regione Lazio e, p.c.: Agli Ambiti territoriali provinciali uspfr@postacert.istruzione.it usplt@postacert.istruzione.it uspri(@postacert.istruzione.it usprm@postacert. istruzione. it uspvt(@postacert.istruzione.it Alle organizzazioni sindacali territoriali del Lazio rappresentative per l’area dirigenziale Istruzione e ricerca Oggetto: richieste di accesso civico a dati e documenti formulate, ai sensi dell’art. 5 del d.lgs. 33/2013, da PIETROSANTI Fabio Il 19 settembre 2022 il sig. PIETROSANTI Fabio ha inviato a molte scuole del Lazio, presentandosi quale co-fondatore di “Monitora PA”, una richiesta di accesso civico a dati e documenti formulata ai sensi dell’art. 5 del decreto legislativo 14 marzo 2013, n. 33. AI riguardo si danno alcune indicazioni generali, che completano senza contraddirle quelle puntuali già fornite ad alcune delle scuole che, nei giorni scorsi, hanno sollecitato un parere sull’ammissibilità delle richieste di accesso civico in oggetto. Le richieste riguardano dati e documenti relativi all’acquisto di beni e forniture digitali e relativi contratti, nonché la valutazione d’impatto della protezione dei dati e la valutazione d'impatto del trasferimento dei dati all’estero previste, rispettivamente, dall’art. 35 e dal Capo V del regolamento (UE) 2016/679. Secondo le scuole scriventi, sarebbe dubbia l’applicabilità della disciplina dell’accesso civico generalizzato ai contratti pubblici, vista la copiosa giurisprudenza contraria della V Sezione del Consiglio di Stato. Molte scuole segnalano, inoltre, la particolare onerosità della richiesta di accesso civico in questione, chiedendosi se occorra rispondere anche quando la mole di lavoro necessaria sia tale da interferire con il buon andamento dell’ Amministrazione. Su entrambi gli argomenti si è espressa 1’ Adunanza plenaria del Consiglio di Stato, con la sentenza n. 10 del 2020, alla quale è prevedibile che si conformino, per nomofilachia, le future decisioni dei giudici amministrativi di qualsiasi grado. Sul secondo argomento, inoltre, si trovano indicazioni nella circolare n. 2 del 2017 del Ministro per la semplificazione e la e-mail: direzione-lazio@istruzione.it pec: drla@postacert.istruzione.it pubblica amministrazione (cfr. paragrafo 7, lettera 9) nonché nelle linee guida dell’ ANAC (cfr. paragrafo 5). 1. Applicabilità della disciplina dell’accesso civico ai contratti pubblici Alla domanda «se /a disciplina dell’accesso civico generalizzato, di cui al d. lgs. n. 33 del 2013, come modificato dal d. Igs. n. 97 del 2016, sia applicabile, in tutto o in parte, in relazione ai documenti relativi alle attività delle amministrazioni disciplinate dal codice dei contratti pubblici di lavori, servizi e forniture, inerenti al procedimento di evidenza pubblica e alla successiva fase esecutiva» 1° Adunanza plenaria del Consiglio di Stato risponde, con la sentenza n. 10 del 2020, nel seguente modo: «la disciplina dell’accesso civico generalizzato. fermi i divieti temporanei e/o assoluti di cui all'art. 53 del d. lgs. n. 50 del 2016, è applicabile anche agli atti delle procedure di gara e. in particolare, all'esecuzione dei contratti pubblici, non ostandovi in senso assoluto l’eccezione del comma 3 dell'art. 5-bis del d. Igs. n. 33 del 2013 in combinato disposto con l’art. 53 e con le previsioni della LL n. 241 del 1990, che non esenta in toto la materia dall’accesso civico generalizzato, ma resta ferma la verifica della compatibilità dell’accesso con le eccezioni relative di cui all’art. 5-bis, comma 1 e 2, a tutela degli interessi-limite, pubblici e privati, previsti da tale disposizione, nel bilanciamento tra il valore della trasparenza e quello della riservatezza». 2. Abuso dell’istituto del diritto di accesso civico Con la medesima sentenza, 1° Adunanza plenaria del Consiglio di Stato avvisa che «Non deve nemmeno essere drammatizzato l’abuso dell'istituto, che possa condurre a una sorta di eccesso di accesso». Specifica, tuttavia: «è ovvio che l’accesso, finalizzato a garantire, con il diritto all'informazione, il buon andamento dell’amministrazione (art. 97 Cost.), non può finire per intralciare proprio il funzionamento della stessa, sicché il suo esercizio deve rispettare il canone della buona fede e il divieto di abuso del diritto, in nome, anzitutto, di un fondamentale principio solidaristico (art. 2 Cost.)» «Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione: richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi.) Occorre evidenziare che le richieste formulate dal sig. PIETROSANTI Fabio non sono “massive plurime” nel senso inteso dal Consiglio di Stato. Lo sarebbero sicuramente state se rivolte al Ministero o agli Uffici scolastici regionali, soggetti che si sarebbero trovati, in tale ipotesi, a dover raccogliere dati e documenti in merito, rispettivamente, a migliaia e centinaia di procedure. Ma sono rivolte alle singole scuole, sicché l’onere derivante dalla scala massiva dell’accesso grava sul richiedente. - possibile, comunque, che la richiesta rivolta a una specifica scuola sia “massiva unica”, cioè riguardante talmente tanti dati e documenti da comportare un carico irragionevole di lavoro. Sull’argomento delle richieste “massive” si sono espresse, negli stessi termini, anche la precedente circolare n. 2 del 2017 del Ministro per la semplificazione e la pubblica amministrazione (cfr. paragrafo 7, lettera d) nonché le linee guida dell’ANAC (cfr. paragrafo 5). 3. Conclusioni La richiesta di accesso civico in questione è legittima e alla stessa deve essere data risposta, fermi i divieti temporanei e/o assoluti di cui all’art. 53 del d.lgs. n. 50 del 2016, salvo che l’onere che ne deriva sia manifestamente sproporzionato rispetto alla capacità della specifica segreteria amministrativa e comporti, perciò, un carico irragionevole di lavoro. In tale ultimo caso — e ciascun dirigente valuterà se ricorra tenuto conto dell’eventuale attività di elaborazione che l’amministrazione dovrebbe svolgere per rendere disponibili i dati e documenti nonché delle risorse interne che occorrerebbe impiegare da quantificare in rapporto al numero di ore per unità di personale in effettivo servizio — sarà possibile e doveroso evitare e respingere la richiesta. Come specificato nelle linee guida ANAC (cfr. paragrafo 5), tali circostanze ostative «, adeguatamente motivate nel provvedimento di rifiuto, devono essere individuate secondo un criterio di stretta interpretazione, ed in presenza di oggettive condizioni suscettibili di pregiudicare in modo serio ed immediato il buon funzionamento dell’amministrazione.» IL DIRETTORE GENERALE ( [omissis] ) si #7 si ® Firmaito în aliI co n dlaig dop udè PRRERIROCCO \pee «i è e G=IT O=MINISTERO x DELL'ISTRUZIONE Sagl PARERE AVVOCATURA DELLO STATO DISTRETTO DI NAPOLI aoona-P-2022-146111 AVVOCATURA DELLO STATO UFFICIO DISTRETTUALE DI NAPOLI Mia Dee 11 9134 Manor - EL DER ASTOLI | rag di Arsia 1) PEC istrUzione.it - 146111-03/10/2022-P-acona AL:B204/2022 Da indicare nella risposta risposto a nota del. 26/09/2022 Oggetto: PARERE, iis Se e — | RETE ni ALL'USRCAMPANIA UFFICIO LEGALE Via Ponte della Maddalena, 55 80100 NAPOLI PEC:drcal@postacert.istruzione.it Si riscontra la richiesta di parere di codesto Istituto Scolastico , che, con la nota in riscontro, ha rimesso alla Scrivente l'istanza di accesso civico generalizzato ex art. 5 comma 2 D.Lgs. 33/2013 formulata da un soggetto, qualificatosi come “attivista del progetto Monitora PA”, e pertanto non difensore di alcuna unità di personale scolastico ovvero di alcun discente e dei suoi genitori, e si comunica quanto EE segue, per diretta competenza, anche all'USR Campania ed al Ministero dell'Istruzione, in ragione pere della serialità che connota l'istanza oggetto di richiesta di consultazione. Con l’istanza di accesso civico - peraltro formulata in modo seriale anche a numerosi altri [omissis] predetto attivista chiede, ai fini di un controllo in materia di gestione, specie in periodo di pandemia, da parte della scuola, di dati sensibili e della privacy del personale scolastico , di genitori e discenti della scuola, l’ostensione dei seguenti documenti; “i copia del contratto è altro atto giuridico in forza del quale l'Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 20202021, 2021/2022, 2022/2023) 2 copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell'ambito dell'utilizzo di um servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022) 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copio della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il ; Telefoni DBLASTUHILI Fax : DEI 3525513 Vate avvocarurasinnoI Indinzin: Via Diaz n, LI - Magli Finail AVVOCATURA DELLO STATO UFFICIO DISTRETTUALE DI NAPOLI , Via Ears, 11- 30034 ASILI = TEL. DAI ASTORIA] — Pa DEL SITL A funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell'art. 68 del d les. 7/3/2005 n, 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica. messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo". Questa Difesa, letta l'istanza allegata alla missiva in riscontro, ritiene che essa non sia meritevole di accoglimento poiché, con la medesima, il richiedente, si ripete, non qualificatosi come effettivo portatore, in proprio o quale rappresentante di una collettività, di un interesse giuridico conereto e non di mero fatto, mira ad ottenere l'ostensione di documentazione, peraltro di notevoli dimensioni, relativa alla gestione, da parte della scuola, dei profili di informatizzazione è di tutela della privacy relativi della didattica, specie a distanza ovvero integrata, e delle attività amministrative durante l'intero periodo della pandemia, sostanzialmente ancora in corso. Infatti, pur qualificata come istanza di accesso civico generalizzato, come tale astrattamente tesa ad ottenere informazioni e documenti da una Pubblica Amministrazione senza ledere privacy v riservatezza di alcuno, e senza dover manifestare una specifica finalità della richiesta di ostensione, l'istanza allegata alla nota in riscontro sembra, invece, in tutto assimilabile ad una vera e propria istanza di accesso, e soggiace necessariamente alla disciplina ed alle condizioni di cui agli artt. 22 e ss, della Legge n, 241/1990, In linea generale e di principio si evidenzia che, al fine di ottenere visione ed estrarre copia di documenti detenuti da una P.A., è necessario formulare apposita e formale istanza di accesso ex artt, 22 e ss. L. 241/1990, proveniente da soggetto provvisto di idonco titolo di legittimazione attiva a richiedere la predetta documentazione, fondata su una posizione di interesse legittimo c qualificato in tal senso (interessi pubblici o diffusi, che abbiano un interesse diretto, concreto e attuale, corrispondente ad uma situazione giuridicamente tutelata e collegata al documento al quale è chiesto l'accesso” art, 22 comma 1 lett. b) L.241/1990), e debitamente motivata quanto alle specifiche finalità di utilizzo della documentazione di cui si richiede l'ostensione ("La richiesta di accesso ai documenti deve essere motivata. Essa deve essere rivolta all'amministrazione che ha formato il documento è che lo detiene stabilmente" art, 25 comma 2 L. 241/1990). Pertanto, nel caso di specie, la qualità di attivista dell'istante denota una finalità chiaramente strumentale, ideologica e causidica sottesa all'istanza, DI conseguenza, non potendosi ritenere che la predetta istanza sia qualificabile come accesso civico generalizzato, nonostante tale nomen iuris le sia stato attribuito, essa dovrà essere delibata secondo la disciplina sopra indicata. Ne discende, a giudizio della Scrivente, l'inaccoglibilità della medesima in ragione della mancanza dell'indicazione di un oggettivo e reale titolo di legittimazione attiva del richiedente - dichiaratosi semplicemente attivista di un'organizzazione, senza peraltro fornire neanche dettagli, riferimenti, riconoscimento giuridico, atto costitutivo ovvero statuto della medesima - nonché alla luce dell'oamessa indicazione delle reali © conerete finalità dell'istanza che, nei fatti, si risolve in un “controllo ceneralizzato dell'operato delle pubbliche amministrazioni", che costituisce caso espressamente previsto dal legislatore, dall'art. 24 comma 3 L. 241/1990, di esclusione addirittura del diritto d'accesso. Inoltre, non può essere sottaciuto che essa istanza comporti il concreto rischio di lesione della privacy e della riservatezza del personale scolastico , dei discenti e dei genitori dei medesimi, riguardati anch'essi di riflesso dall’istanza in oggetto, considerando che già i dati anagrafici contenuti nella plurima documentazione richiesta in ostensione rientrano tra quelli sensibili e non potendosi Cd x Feleltm TEIASTHINI Fas UG] 5343313 Web: avvocatutesbabo,il Endenzzo: Via Disz n. 11 - Mapoli Emas: AVVOCATURA DELLO STATO UFFICIO DISTRETTUALE DI NAFOLI Via Az: LT - BA MARI — TRI URI ASTITII — PADRI SIE escludere che da essi documenti possano desumersi ulteriori elementi informativi ancor più personali. In conclusione, ribadito che l'istanza costituisce di certo un meccanismo di controllo generalizza to preventivo e successivo dell'operato dell'Amministrazione Scolastica , stante il riferimento della medesima a documenti e contratti relativi sia ad anni scolastici precedenti sia a quello appena iniziato, la Scrivente ritiene la richiesta non accoglibile ed invita l'Istituto Scolastico , come necessaria mente supportato dal Ministero dell'Istruzione e dall'USR Campania, ad adottare gli opportuni provvedimenti di amministrazione attiva secondo le indicazioni sopra fornite. Reso, pertanto, il richiesto parere nei termini anzidetti, si archivia l'affare in oggetto, L'AVVOCATO INCARICATO L'AVVOCATO DISTRE LE DELLO STATO 4 ‘9 Firmato [omissis] Robe rto Data: 2022.09,30 13:26:44 +02'00' 1P/2022 @ Telefoni DELARTAL II Far 081 5125515 ‘eb. avvoconinaziabo.it Indinzzo: Mia Diaz e 1 - BMapoli Email: RISPOSTA ACCESSO CIVICO AI Sig. Fabio Pietrosanti, con domicilio digitale all’indirizzo Pec: comunicazioni@pec.monitora-pa.it; p.c. AI Direttore Generale Ufficio Scolastico Regione Pec: Oggetto: Risposta Accesso civico generalizzato A seguito della Sua istanza nella quale richiedeva l’accesso ai seguenti documenti: “1. copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici. 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo.” va dedotto quanto segue. La richiesta di accesso civico in questione è legittima e alla stessa deve essere data risposta, fermi i divieti temporanei e/o assoluti di cui all'art. 53 del d.lgs. n. 50 del 2016, salvo che l'onere che ne deriva sia manifestamente sproporzionato rispetto alla capacità della specifica segreteria amministrativa e comporti, perciò, un carico irragionevole di lavoro. L'art 5 bis del D.lgs 33/2013, stabilisce che l’accesso civico deve essere rifiutato, fra l’altro, se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali, in conformità alle disposizioni vigenti in materia. La medesima normativa sancisce che l’accesso civico è rifiutato «se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a) e che «l’amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell'articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso» (art. 5, comma 5). L'Adunanza Plenaria n. 10/2020, ha affermato che “resta ferma la verifica della compatibilità dell'accesso con le eccezioni relative di cui all'art. 5-bis, comma 1 e 2, a tutela degli interessi-limite, pubblici e privati, previsti da tale disposizione, nel bilanciamento tra il valore della trasparenza e quello della riservatezza.”. Se esiste, in altri termini, l'interesse ad una conoscenza diffusa dei cittadini nell'esecuzione dei contratti pubblici, volta a sollecitare penetranti controlli da parte delle autorità preposte a prevenire e a sanzionare l'inefficienza, la corruzione o fenomeni di cattiva amministrazione e l'adempimento delle prestazioni dell'appaltatore, tali da rispecchiare l'esito di un corretto confronto in sede di gara, a maggior ragione gli operatori economici, che abbiano partecipato alla gara. Sono, pertanto, interessati a conoscere illegittimità o inadempimenti manifestatisi dalla fase di approvazione del contratto sino alla sua completa esecuzione, non solo per far valere vizi originari dell'offerta nel giudizio promosso contro l'aggiudicazione (Cons. St., sez. V, 25 febbraio 2009, n. 1115), ma anche con riferimento alla sua esecuzione, per potere, una volta risolto il rapporto con l'aggiudicatario, subentrare nel contratto od ottenere la riedizione della gara con chance di aggiudicarsela. Ma tale interesse alla trasparenza, di tipo conoscitivo, che non esige una motivazione specifica, deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, come accade nel caso in esame, pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi. La richiesta, per contenuto e per forma, si configurerebbe non già come “richiesta di accesso civico generalizzato” nomen iuris ad essa attribuito dallo stesso richiedente, bensì come tradizionale richiesta di accesso agli atti ex Legge 241/1990 e quindi, al caso di specie, dovrebbe applicarsi tale normativa nella sua interezza. L'art. 24 comma 3 della citata Legge esclude che tale istituto possa essere invocato per istanze che si concretizzino come “controllo generalizzato dell'operato delle pubbliche amministrazioni” e considerato che la richiesta di monitora-PA avrebbe tale finalità, conclude ritenendo la stessa non accogliibile. Emerge, inoltre, che dalla semplice lettura della domanda di accesso che, l'interessato ha, con tale istanza, richiesto un gran numero di documenti che obbligherebbe questa amministrazione a fornire migliaia di pagine, senza, peraltro, che tale richiesta sia giustificata da esigenze tali da imporre di sopportarne l’onerosità. Una tale richiesta, così sproporzionata e onerosa, è espressamente qualificata come inammissibile così come stabilito dall’Adunanza plenaria n. 10/2020, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Condizioni che ricorrono innegabilmente nel caso di specie, per tale ragione la richiesta di accesso non può essere accolta. Il Dirigente scolastico (documento informatico firmato digitalmente ai sensi dell'art. 24 D.Lgs. 82/2005 e ss.mm.ii.)