) S.S. "LAPORTA/FALCONE-BORSELLINO” Sede centrale: Viale Don Tonino Bello snc— 73013 Galatina (LE) - Tel. 0836/561117 - 0836568481 Sede staccata: Viale Don Bosco, 48 - 73013 Galatina (LE) — Tel. 0836/561095 Codice Fiscale: 93140040— 754 Codice Ufficio: UFI - SEL Codice IPA: issifb EMail: leis0.4900g @istruzione.it - pec: leis04900g@pec istruzioneit Sito web: www.iisslfb.edu.it [.i5.5.‘LAPORTA- FALCONE - BORSELLINO” - «GALATINA AI Sig. PIETROSANTI Fabio Prot. 0012606 del 14/12/2022 Pec: comunicazioni@pec.monitora-pa.it |-3 (uscita) epe USR Puglia Pec: dipu@postacert istruzione. it Oggetto: Istanza di accesso civico generalizzato del 19/09/2022. Inoltrata a mezzo p.e.c. a: comunicazioni@pec.monitora-pa.it Egr. Sig. Fabio Pietrosanti, In riferimento alla richiesta pervenuta in data 20/09/2022 a questo l'accesso civico generalizz istituto e volta ad ottenere ato ai sensi dell'art. 5 e segg. del D.Lgs. 33/2013 alla seguente documentazione: 4 copia del contratto 0 altro atto giuridico in forza del quale l'Istituto Scolas utilizzato ed utilizzerà i servizi di posta elettr tico in indirizzo ha a distanza, didattica digitale integrata, registonica, ro messaggistica, videoconferenza, didattica elettr onico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023, sopia della valutazione d'impatto della protezione dei dati (DPIA) effettuata Scolastico in indirizzo nell'ambito dell'ut ilizzo di dall'Istituto un serviz io on line una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni di video confe renza 0 di 2020/2021, 2021/2022; scolas tici copia degli atti riportanti le misure tecnic indirizzo per attivare i soli servizi strettamenhete previs neces te ed adottate nell'istituto scolastico in sari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino serviz esclusivamente alla didattica, negli anni scolastici 2020/i 2021, più complessi anche non rivali 2021/2022, 2022/2023 copia della valutazione d'impatto della protezione dei dati (DPIA GDPR, effettuata nell'ambito dell'utilizzo delle. piattaforme) aidi sensi posta dell'art. 35 del Messaggistica, videoconferenza, didattica a distanza, didattica digitale integr elettronica ‘elettronico, adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; ata, registro copia della valutazione di impatto del trasferimento dei dati all'estero all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino (TIA), afferente Europea) necessario per la fruizione ed il funzionamento dei servizi di al di fuori dell'Unione Glensaggistica, videoconferenza, didattica a distanza, didattica digita posta elettronica elettronico, adottati nell'anno scolastico 2022/2023 dall'Istituto in indirizzo. le integr ata, registro copia della valutazione comparativ Pe drovwedere all'acquisizione adelleai sensi piatt dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata Videoconferenza, didattica a distanza, didattaform e di posta elettronica, messaggistica ica digitale integrata, registro elettronico: ‘adottate nell'anno scolastico 2022/2023 dall'Istituto in indirizzo; premesso che l'accesso generalizzato, previsto dall'art. 5, comma 2, del D. Lgs. 33/2013, presenta la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la parteci pazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all'attività amministrativa; premesso che è stato lo stesso Ministero dell'Istruzione a consigl di talune piattaforme di didattica digitale integrata nel periodo iare alle scuole l'utilizzo pandemico, nell'ambito dell'iniziativa denominata “Solidarietà digitale al servizio della scuola" definire, tramite call, addirittura una short list di piattaforme di e-learning e, risorse giungendo poi a digitali a supporto all'attività didattica selezionate e ulteriormente consigliate a titoloeducati ve gratuit (Decreto 1810 del 27.11.2020 a firma della Presidenza del Consiglio dei Ministri o— Dipartimento per la trasformazione digitale e Ministero dell'Istruzione - Dipartimento per il sistema educativo di istruzione e formazione); premesso che l'Istituto scolastico usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale e che le software house fornitrici dei servizi di posta sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero ‘competente; premesso che gli ulteriori strumenti digitali di supporto scolastico sono generalmente concessi in uso dai fornitorallai condidattica utilizzati dall'Istituto una licenza di utilizzo a pagamento e, per gli stessi, il contratto è rappresentato dalla mera accett azione dei “Termini di condizioni e utilizzo” della specifica piattaforma utilizzata; considerato che, in ogni caso, la determina di affidamento è pubbli Trasparente” della scuola, sezione “Bandi di gara e contratti” e cata i in “Amministrazione termini Pubblici e sono reperibili sui siti web delle piattaforme in questi di utilizzo sono one: - Google for Workspace: https:/workspace.google.com/terms/education terms.html premesso che il Registro Elettronico dell'Istituto scolastico viene fornito da “Infoschool” e che non è stato adottato da Codesto Istituto scolas tico in seguito alla pandemia da Covid- 19 e in nessun caso si può collegare la sua adozione allo stato di emergenza; tenuto conto che, con la fine dello stato di emergenza, el Garante per la protezione dei dati personali 26 marzonon2020è venut o meno il provvedimento indicazioni”, in quanto lo stesso esplica ancora i suoi effetti, fino- “Didat a tica a distanza: prime indic parte dell'Autorità Garante per la protezione dei dati (in quanto l'Autorità azionnon e contraria da le indicazioni al solo stato di emergenza, come erroneamente da voi sostenuto)ne circoscrive indicazioni di buon senso e di corretta applicazione della normativa privacy all'in , e contiene Scuole (a prescindere dallo stato di emergenza in cui lo stesso provvedime terno delle emanato); nto è stato vista la delibera ANAC n. 1309 del 28 dicembre 2016 nella quale vengono considerate non ammissibili le richieste meramente esplorative, volte semplicemente informazioni a “scoprire” di quali le amministrazioni dispongono e ad esercitare forme di controllo generalizzato sul loro operato; visto che la richiesta pervenuta ha altresì il dichiarato testi normativi (Codice dell'Amministrazione Digitale e ‘scopo di valutare la compliance a due Reg. UE 2016/679), attività di verifica la cui competenza non si ritiene essere nella potestà normativa di un'associazione quale “MonitoraPA” né di unsingolo individuo, ma delle Autorità a ciò preposte: Vista la Circolare n. 2 del 2017 del Ministro per la ‘amministrazione; semplificazione e la pubblica tenuto conto che presso l'ufficio di segreteria di questo istituto scolastico presta servizio un numero esiguo di personale amministrativo, già oberato dagli impegni di gestione ordinaria dell'Istituto; verificato che emerge, dalla semplice lettura della domanda di accesso, che l'interessato ha, con tale istanza, richiesto un gran numero di documenti che obbligherebbe la scrivente a fornire numerose pagine, senza, peraltro, che tale richiesta sia giustificata da esigenze tali da imporre di sopportarne l'onerosità; considerato che, anche a parere dell'Avvocatura di Stato - Ufficio Distrettuale di Napoli (3 ottobre 2022), una tale richiesta, così proporzionata e onerosa, con chiara finalità strumentale, ideologica e causidica, è espressamente qualificata come inammissibile così come stabilito dall’Adunanza plenaria n. 10/2020, in quanto comporta un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica ‘amministrazione, al pari delle richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702; Cons. St., 2021, n.6220), contenenti un numero cospicuo di dati o di documenti ovvero richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi; considerato che anche la giurisprudenza del Consiglio di Stato (ex multis Consiglio di Stato, sez. Ill, 25.01.2021 n. 495) specifica che “se da un lato l'intere alla trasparenza non richiede una motivazione specifica, dall'altro deve in ogni caso ssepalesar si non in modo assolutamente generico e destituito di un benché minimo elemento di concret ezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all'esercizio delle amministrative e un appesantimento immotivato delle procedure di espletamento dei funzion i € l'istanza pervenuta a Codesto Istituto scolastico (come specificato anche dal parereservizi” reso dall'Ufficio Scolastico Regionale per il Veneto- Direzione Generale, del 03.10.2022) pare difettare di quella base di concretezza necessaria per qualificata come una mera istanza (vessatoria e nonessere accolta, riducendosi ad essere accoglibile) volta ad un controllo pretestuoso in ordine alla legittimità dell'azione amministrativa comunicative (in particolare per la richiesta di cui al punto n. 1); sull'utilizzo delle tecnologie vista la sentenza del C.d.S., sez. V, n. 2309/2020 sulle richieste di accesso civico, in base alla quale “la richiesta va rigettata quando non risulta in modo chiaro e inequivoco la sua rispondenza al soddisfacimento di un interesse pubblico"; vista la sentenza del TRGA Bolzano, n. 305/2020, che nega l'acces so civico quando l'istanza abbia carattere vessatorio o sia eccessivamente oneroso rispon dere per la quantità dei documenti e dati richiesti; verificato che l'invio di alcuni dei documenti di cui al su citato punto 1 oggetto di accesso non impone a questa istituzione scolastica un notevole carico di lavoro tale da paralizzare, in modo molto sostanziale, il corretto funzioname nto fondamentale per fornire il necessario e indispensabile dell'o rdinaria attività amministrativa. suppor quanto le determine di affidamento sono pubblicate on-lineto (sezio al servizio di istruzione, in Messaggistica, videoconferenza, didattica a distanza, didattica digitale integrelettr ata onica, sono regolati da specifiche condizioni di utilizzo pubblicate nelle rispettive piattaforme dei fornito ri (©, pertanto, sono già pubblici); verificato che la raccolta delle restanti informazioni richieste di cui ai su citati punti 2 4 — 5 — 6 oggetto di accesso imporrebbe invece a questa istituzione scolastica un notevo — 3 - carico di lavoro tale da paralizzare, in modo molto sostanziale, il corretto funzioname le ell'ordinaria attività amministrativa, fondamentale per fornire il necessario e indispensanto bile supporto al servizio di istruzione (trattasi, infatti, di istanze massive e di carattere dichiaratamente vessatorio); verificata la necessità di finalizzare prioritariamente l'attività dell'ufficio al buon ‘andamento dell'amministrazione e alla regolare erogazione del servizio ‘scolastico ; vista in ogni caso la presenza di ulteriori motivazioni in diritto, impedire l'ostensione dei documenti di cui ai su citati punti 2 di— seguito esplicate, volte ad 3 — 4 — 5 — 6 oggetto di accesso; verificato che, con riferimento al punto n. 2) della Vostra videoconferenza o di piattaforme tecnologiche prescelti dalla scuola richiest sono a, i sistemi di modo da impedire il monitoraggio sistematico del comportamento degli stati configurati in alunni, né viene effettuata alcuna forma di profilazione online (ad esempio con la inibizione di eventua li funzionalità di geolocalizzazione e l'utilizzo di servizi privi di qualunque forma di pubblicità comportamentale); Verificato che su tutte le piattaforme e strumenti sonfigurazioni per evitare l'uso dei dati degli studenti digitali vengono adottate specifiche per finalità ulteriori alla didattica (ad ‘esempio la chiusura del sistema di videoconferenza alle sole lezioni, la circoscrizione della possibilità di invitare o ammettere soggetti in aula virtuale solo ai docenti, la inibizione di geolocalizzazione, profilazione o interconnessione coi social networ k tramite gli account scolastici); verificato che attraverso gli strumenti in uso nella operazione di sorveglianza (nemmeno occulta) sugli‘scuola utenti non è possibile effettuare alcuna del sistema, siano essi gli alunni, i loro familiari, i docenti o il personale scolas tico che ne fruisce , al di là della raccolta deilog degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella policy di sicurezza dei rispettivi fornitori; sonsiderato che gli istituti scolastici non effettuano trattamenti automatizzat scala né sistematici; i, né su larga visto che gli strumenti utilizzati non presentano ulteriori caratteristiche aggravare i rischi (come ribadito dall'Autorità Garante non é richiesta la valut suscettibili di Impatto per il trattamento effettuato da una singola scuola - mancando il requisito della azione di scala - nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una larga che non consente il monitoraggio sistematico degli utenti); piattaforma Verificato che le informazioni richieste (soprattutto con riferimento ai punti fiferiscono anche ad operazioni non di competenza delle istituzioni scolas n. 2, 4 e 5 si valutazione di impatto (DPIA) che, ai sensi dell'art. 35 del Regolamento tiche, come la Europeo e del Consiglio in materia di protezione dei dati personali n. 679 del Parlamento (GDPR), riguarda prevalentemente autorità pubbliche o enti pubblici per del 27 aprile 2016 Scala elo trattamenti indicati nell'elenco che l'Autorità di controllo redige progetti su larga (Si veda Provvedimento dell'Autorità per la protezione dei dati personali del e 11rende pubblico © che l'esclusione della necessità di effettuare DPIA su tutti gli strumenti ottobre 2018) ‘acquisiti 0 configurati) deriva dal fatto che non ingenerano elevati rischi peri (per come sono degli studenti come previsto dal citato articolo 35 del GDPR: diritti e le libertà verificato che, con riferimento al punto n. 3, l'istituto scolastico non utilizza complesse” che erogano servizi "più complessi” anche non rivolti esclupiattaforme “più didattica (con riferimento agli anni scolastici 2020/2021, 2021/2022, sivamente alla 2022/ avendo l'istante precisato o chiarito, tra l'altro, cosa intenda dire con l'aff 2023) - non più complessi" (e, per tale motivo, la richiesta non è chiara dal momento cheermazione “servizi ‘piattaforme più complesse” rispetto a cosa, 0 “servizi più complessi” non si specifica rispetto a cosa) e che la descrizione generale delle misure di sicurezza relative agli strumen ti in uso sono già disponibili sulle stesse piattaformee siti web dei fornitori indicati; verificato altresì che la richiesta di esibizione delle misure di sicurezza o delle DPIA non è applicabile in quanto il livello di sicurezza offerto dal provider garantis ce la minimizzazione dei rischi e la scuola ha comunque attivato i soli servizi essenziali regolati da termini di utilizzo che vincolano il fomitore alla non registrazione e alla non divulgazione e che comunque, l'esibizione/comunicazione di tutta questa documentazione notevole carico di lavoro alla scuola tale da paralizzare, in modo molto sostanziimporre bbe un ale, il corretto funzionamento dell'ordinaria attività amministrativa; verificato che il registro elettronico di Infoschool (ClasseViva) è un'applicazione web progettata, sviluppata e fornita in piena sicurezza dal Gruppo Spaggiari Parma SpA, azienda dotata di sistema di gestione per la sicurezza e in possesso di Certificato del Sistema di Gestione per la Sicurezza delle Informazioni ISONEC 27001:2 delle linee guida ISOMEC 27017:2015 e ISONEC 27018:2019 017, mediante l'applicazione [certificato n. 16650] icato che, con riferimento al punto n. 4, come stabilito dal Ministero nelle sue Linee guida, per il nuovo anno scolastico 2022/2023 l'obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia; per questo motivo, l'Istituto scolastico , come tutte le scuole d'Italia, non farà al momento ricorso a piattaforme di messaggistica o videoconferenza ovvero alla DaD (didattica a distanza) o DID [omissis] , per permettere agli studenti di seguire le lezioni da casa: esercitare un dinitto 0 di avvalersi di un servizio 0 di un contratto” e che questo di Scolastico , come già indicato in precedenza, non utilizza piattaforme e/o servizi online Istituto consentano il monitoraggio sistematico degli utenti né ricorre a soluzioni tecnologiche che particolarmente invasive tali da rendere obbligatoria una valutazione di impatto protezione dei dati; della visto, in ogni caso, che la diffusione o l'ostensionea terzi di eventuali documenti idonei a rendere note le specifiche misure tecniche (con riferimento, soprattutto, alle richieste di cui ai punti 3 e 4) potrebbe costituire una concreta minaccia alla dispon ibilità, all'integrità, alla riservatezzae all'autenticità dei dati della Scuola e dei privati cittadini che utilizzano i sistemi oggetto di richiesta di accesso (e sotto tale profilo, pertanto, a valle del bilanciamento dei contrapposti interessi, questa amministrazione ritiene preva lente la tutela della protezione dei dati personali come declinata dall'articolo 5-bis, comma 2, lett. a del d.lgs. n. 33 del 2013); verificata la prevalenza della tutela della protezione dei dati personali come declinata dall'articolo 5-bis, comma 2, lett. a) del d.lgs. n. 33 del 2013 e in base alle disposizioni al Regolamento (UE) 2016/6579 del Parlamento europeo e del Consiglio del 27 aprile 2016, di cui sempre tenendo conto dei principi generali sul trattamento dei dati e in particolare dei principi di adeguatezza, pertinenza e non eccede finalità per le quali sono trattati i dati (cf. articolo 5 nza a quanto necessario rispetto alle del Regolamento): letti gli artt. 23, comma 1, e 37 del D. lgs. 33/2013, in combi nato con l'art. 29 del D.lgs. 50/2016, che prevedono l'obbligo di pubblicazione dei provvediment i finali dei procedimenti di scelta del contraente per l'affidamento di lavori forniture eservizi; verificato che, con riferimento al punto 5, si chiede copia della valutazione prima indicata, nelle precedenti richieste, come “DPIA") sul trasferimento deidi impatto (poco salvo poi denominarla “TIA” (termine che non esiste all'interno dati all’estero, “GDPR') e che, pertanto, tale richiesta è di fatto equivoca e non del Reg. UE 2016/679, c.d. conse nte a Codesto Istituto Scolastico di identificare correttamente la richiesta (oltre alla circostanza fichiesta, è connotata da che, anche tale quel carattere vessatorio o pretestuoso come sopra in precedenza evidenziato); verificato che, sempre con riferimento al punto 5, la scuola si affida ‘a provider che adottano specifiche misure di sicurezza sui servizi utilizzati e ha adottato ulteriori misure nella configurazione dei servizi e che la predetta valutazione di impatt o (DPIA) non rientra tra quelle previste dall'art. 35 del Reg. UE 2016/679; visto che, con riferimento al punto n. 6, l'art. 17, comma 1, del Codice dell'Amministrazione Digitale - CAD (D.Lgs. 82/2015) attribuisce al solo Responsabile per la Transizione Digita — RTD i compiti di: le * pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilità con gli obiettivi di attuazione dell'agenda digitale e, in partic triennale di cui all'articolo 16, comma 1, lettera b);olare, con quelli stabiliti nel piano * eoordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazio € fonia, in modo da assicurare anche la coerenza con gli standard tecnici ne© organizzativi comuni; * indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, sistemi informativi di telecomunicazione e fonia dell'amministrazione. forniti dai * indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo svilup £ la gestione dei sistemi informativi di telecomunicazione e fonia; po * pianificazione e coordinamento del processo di diffusione, dell'amministrazione, dei sistemi di identità e domicilio digitale, posta all'interno protocollo informatico, firma digitale o firma elettronica qualificata eelettronica, informatico, e delle norme in materia di accessibilità e fruibilità nonché del mandato diintegrazione e interoperabilità tra i sistemi e serviz processo i dell'amministrazione e quello di cui all'articolo 64--bis. visto che il RTD delle scuole italiane è stato individuato presso il MIUR con nota 5/12/2019 nella persona del Direttore generale della Direzione Generale per i 2260 del acquisti e per i sistemi informativi e la statistica; contratti, gli visto che nessuna comunicazione è giunta allo scrivente ordine agli avvenuti adempimenti di cui all'art. 68 Istituto dal RTD scolastico in CAD, come detto ricadenti nei compiti del citato RTD; visto che il Codice dei Contratti Pubblici modo l'adempimento di cui all'art. 68 CAD,(D.Lg s. 50 del 2016 e s.m.i.) non richiama in alcun processi di procurement disciplinati dal Codiescl ce; udendone pertanto l'obbligatorietà ai fini dei verificata la necessità impellente e improcrastinabile dello scrivente Istituto, nel silenzio del RTD scolastico , di acquisire piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico al fine dell'erogazione del relativo servizio pubblico e la tutela del diritto all'istruzione costituzionalmente garantito, la detta acquisizione si è svolta direttamente in attuazione del Codice dei contratti pubblici (D.Lgs. 50 del 2016 e s.mii.): visto il parere formulato dal Direttore Generale dell'USR (Puglia) in qualità di Responsabile della Trasparenza e della Prevenzione della Corruzione; visto che lo scopo dell'accesso civico generalizzato è quello di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico e non, invece, di valutare la compliance normativa al GDPR o al Codice dell'Amministrazione Digitale; si rende noto che la scrivente istituzione scolastica concede accesso parziale ai documenti di cui al su citato punto 1, limitatamente ai provvedimenti finali dei procedimenti di scelta del contraente per l'affidamento di contratti pubblici oggetto della richiesta che hanno comportato un esborso economico da parte della scrivente Istituzione scolastica (allegati alla presente). In ogni caso, si evidenzia che tali provvedimenti sono pubblicati anche nella sezione ‘Amministrazione Trasparente” del sito web istituzionale e, pertanto, possono essere liberamente consultati da chiunque ne abbia la necessità, mentre, per i servizi ['Google Workspace”, “Microsoft 365" o indicare altre piattaforme a licenza gratuita] le relative condizioni contrattuali sono rinvenibili on-line sul sito web del fornitore; si rende noto che la scrivente istituzione scolastica è impossibilitata a concedere accesso per le richieste di cui al punto 2, data l'assenza di obbligo di valutazione di impatto redatta ai sensi dell'art. 35 del GDPR in quanto isistemi di videoconferenza o di piattaforme tecnologiche prescelti dalla scuola impediscono il monitoraggio sistematico del comportamento degli utenti e, in ogni caso, il trattamento in oggetto non rientra nelle fattispecie previste dall'art. 35 del Regolamento Europeo 2016/679; si rende noto che la scrivente istituzione scolastica è impossibilitata a concedere accesso per le richieste di cui al punto 3, in quanto — vista anche la genericità della richiesta che non consente di individuare un termine di paragone - non si fa uso di ‘piattaforme più complesse” che erogano servizi “più complessi”, anche non rivolti esclusivamente alla didattica e, laddove ci fosse un utilizzo di piattaforme più complesse, si ritiene che l'Istituto scolastico non sia tenuto a rendere conoscibili tali informazioni a persone non autorizzate; si rende noto che la scrivente istituzione scolastica non darà seguito alle restanti richieste di cui ai su citati punti 4 — 5 — 6 per le motivazioni su ampiamente esposte Distinti saluti. Si allega: IL DIRIGENTE SCOLASTICO [omissis] Vario