IIS "F.Bottazzi" - Protocollo 0007660/2022 del 28/09/2022 Casarano, lì __/09/2022 AI Sig.Fabio Pietrosanti, con domicilio digitale all'indirizzo Pec: comunicazioni@pec.monitora-pa.it; p.c. Al Direttore Generale 73042 CASARANO LE VIA NAPOLI, 1 Ufficio Scolastico Regione TEL 0833 502392 PEO LEISO17004@ISTRUZIONE.IT Pec: PEC LEISO17004@PEC.ISTAUZIONE.IT WWW.BOTTAZZI.GOV.IT LEISO17004 CF 81002550754 OGGETTO: Riscontro Istanza accesso civico generalizzato formulata in data 19/09 c.a. Provvedimento di diniego parziale Egregio Sig. Fabio Pietrosanti, SEDI COORDINATE in merito alla Sua richiesta di accesso civico generalizzato avanzata a questo istituto scolastico in data 19 c.m., IPSC “I. copia del contratto o altro atto giuridico il forza del quale l'Istituto Scolastico in indirizzo ha utilizzato 73055 RACALE LE ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica VIA DELLE MIMOSE digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, TEL 0933 552282 2022/2023; 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in IPSS indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che 73056 TAURISANO LE consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022: attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più IPSSAR complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica. negli anni 73059 UGENTO LE scolastici 2020/2021, 2021/2022, 2022/2023; VIA CADUTI DI TUTTE LE GUERRE 4. copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, TEL 0833 955081 effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; S. copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale 503 14L/ trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico .» , 2022/2023 dall'Istituto in indirizzo. va dedotto quanto segue: In via preliminare, L'art 5 bis del D.lgs 33/2013, stabilisce che l’accesso civico deve essere rifiutato, fra l’altro, se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali. in conformità alle disposizioni vigenti in materia. La medesima normativa sancisce che l'accesso civico è rifiutato «se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a) e che «l'amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell'articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso» (art. 5, comma 5). L’Adunanza Plenaria n. 10/2020, ha affermato che “resta ferma la verifica della compatibilità dell'accesso con le eccezioni relative di cui all'art. 5-bis, comma 1 e 2, a tutela degli interessi-limite, pubblici e privati, previsti da tale disposizione, nel bilanciamento tra il valore della trasparenza e quello della riservatezza.”. Se esiste, in altri termini, l’interesse ad una conoscenza diffusa dei cittadini nell'esecuzione dei contratti pubblici, volta a sollecitare penetranti controlli da parte delle autorità preposte a prevenire e a sanzionare l'inefficienza, la corruzione o fenomeni di cattiva amministrazione e l'adempimento delle prestazioni dell'appaltatore, tali da rispecchiare l’esito di un corretto confronto in sede di gara, a maggior ragione gli operatori economici, che abbiano partecipato alla gara. Sono, pertanto, interessati a conoscere illegittimità o inadempimenti manifestatisi dalla fase di approvazione del contratto sino alla sua completa esecuzione, non solo per far valere vizi originari dell'offerta nel giudizio promosso contro l'aggiudicazione (Cons. St., sez. V, 25 febbraio 2009, n. 1115), ma anche con riferimento alla sua esecuzione, per potere, una volta risolto il rapporto con l'aggiudicatario, subentrare nel contratto od ottenere la riedizione della gara con chance di aggiudicarsela. Ma tale interesse alla trasparenza, di tipo conoscitivo, che non esige una motivazione specifica, deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, come accade nel caso in esame, pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi. Emerge, inoltre, che dalla semplice lettura della domanda di accesso che, l'interessato ha, con tale istanza, richiesto un gran numero di documenti che obbligherebbe la scrivente a fornire migliaia di pagine, senza, peraltro, che tale richiesta sia giustificata da esigenze tali da imporre di sopportarne l’onerosità. Una tale richiesta, così sproporzionata e onerosa, è espressamente qualificata come inammissibile così come stabilito dall’ Adunanza plenaria n. 10/2020, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi: richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Condizioni che ricorrono innegabilmente nel caso di specie, per tale ragione la richiesta di accesso non può essere accolta. Nello specifico: Richiesta 1 — Copia dei contratti per gli A.S. 2020-21, 2021-22, 2022-23 Precisazione La definizione di contratto è contenuta nell’art. 1321 del Codice Civile: _41_ [omissis] contratto regola quindi rapporti economici trai sottoscrittori. Servizi di posta elettronica L'Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DaD/DDI Le piattaforme DaD/DDI utilizzate dall'Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio. I termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: - Google for Workspace: https://workspace.google.com/terms/education_terms.html - Microsoft 365: https://www.microsoft.com/en/microsoft- 365/business/terms-and-conditions - Weschool: https://www.weschool.com/termini-e-condizioni/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Registro Elettronico e Segreteria Digitale I contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono i servizi di Registro Elettronico e Segreteria Digitale sono pubblicati nell’apposita sezione di Amministrazione Trasparente, nella sezione “bandi di gara e contratti” e, pertanto, può consultarlo liberamente, raggiungibile dal sito istituzionale, in osservanza del D.LGS. N. 33/2013. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 2 — DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 La valutazione di impatto sulla protezione dei dati (DPIA) è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). " va effettuata, infatti, nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l'istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione: 1. rientra nei casi previsti dall'art.35, par. 3 del Regolamento (trattamento automatizzato, profilazione, trattamento su larga scala di categorie particolari di dati personali, ecc.), tenendo conto sempre del contesto in cui il trattamento stesso si colloca; 2. comporta la compresenza di almeno di due criteri individuati come indici sintomatici del “rischio elevato” dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze o combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove 8 soluzioni tecnologiche od organizzative, trattamento che in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto"» Stante la normativa emergenziale in vigore negli anni scolastici in oggetto, il Garante Italiano ha altresì dichiarato che NON era richiesta la DPIA per il trattamento effettuato da una singola scuola nell'ambito di un servizio online di videoconferenza o di una piattaforma. Poiché questo Istituto Scolastico non utilizza piattaforme e/o servizi online che consentano il monitoraggio sistematico degli utenti né ricorre a soluzioni tecnologiche particolarmente invasive, non ha redatto alcuna valutazione di impatto della protezione dei dati e, pertanto, non può soddisfare la Sua richiesta. Richiesta 3 — Misure tecniche previste ed adottate + . 4 è . CL A 9 La richiesta non è chiara, dal momento che non specifica piattaforme più complesse rispetto a cosa, o “servizi più complessi” rispetto a cosa. L’Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. La scuola ha attivato una gestione peculiare della piattaforma attivando le sole funzionalità previste e gestendo gli accessi c le abilitazioni tramite la creazione di specifiche OU con specifici permessi. La scuola ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da termini di utilizzo che vincolano Google alla non registrazione e alla non divulgazione. Servizi non essenziali possono essere attivati solo per specifiche OU non collegate agli studenti. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Richiesta 4 — DPIA per posta elettronica, DDI, registro elettronico per l’A.S. 2022- 23 Posta Elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell’epidemia. E° pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche integrate (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” Poiché non era necessario effettuare una valutazione d’impatto della protezione dei dati ai sensi dell’art. 35 del Reg. UE 2016/679, questo Istituto non ha proceduto in tal senso. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro elettronico L’Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 5 — DPIA del trasferimento di dati all’estero per 1’ A.S. 2022-23 Posta elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Piattaforma DDI (Messaggistica, videoconferenza, etc) L'Istituto scrivente ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da un contratto che vincola Google alla non registrazione e alla non divulgazione, e ha scelto come base dati la server farm europea di Google. La valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione 0 biometrici). "' L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro elettronico L’Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AgID: https://catalogocloud.agid.gov.it/ L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 6 — Valutazione comparativa per 1’ A.S. 2022-23 Posta elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. [omissis] Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell’epidemia. E’ pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. Per quanto concerne le piattaforme DDI, nell’anno scolastico 2022/2023 l’Istituto scrivente ha operato in continuità con gli anni scolastici precedenti: non è stata quindi effettuata nessuna valutazione comparativa, poiché è stato confermato l’utilizzo degli strumenti già attivati in precedenza. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Registro [omissis] peculiare struttura del mercato di riferimento, il contenuto numero di operatori attivi, la particolare soddisfazione maturata nel precedente rapporto contrattuale e la relativa competitività del prezzo offerto, e valutati gli eccessivi oneri in termini di costi (per migrazione, formazione del personale docente, formazione del personale non docente), l’Istituto scrivente ha confermato e rinnovato in affidamento diretto il contratto stipulato con il fornitore degli anni precedenti, operando in deroga al principio di rotazione ai sensi non è stata effettuata alcuna valutazione comparativa. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento non previsto né obbligatorio. Il richiedente può presentare richiesta di riesame al responsabile della prevenzione della corruzione e della trasparenza che decide con provvedimento motivato, entro il termine di venti giorni. Si avverte l’interessato che contro il presente provvedimento, nei casi di diniego totale o parziale all’accesso generalizzato, potrà proporre ricorso al T.A.R. Lecce ai sensi dell’art. 116 del Codice del processo amministrativo di cui al D.Lgs. n. 104/2010. [omissis] Scolastico