Economico: Amministrazione Finanza e Marketing - Marketing e Relazioni Internazionali — Sistemi informativi aziendali Tecnologico: Biotecnologie Ambientali - Biotecnologie Sanitarie Piazza Palio 1 - LECCE Codice Fiscale 80013250750 - Codice Univoco Ufficio UFXZG4 - Segreteria Tel. 0832 316047 www.itdeleddalecce.edu.it E-mail: lete010002@istruzione.it p.e.c.: lete010002@pec.istruzione.it Prot. n. 11402/2022 Lecce, 18 ottobre 2022 Sig. Fabio Pietrosanti comunicazioni@ pec.monitora-pa.it p.c. Edu Consulting srl Responsabile della protezione dei dati (DPO) dell’ITS Deledda educonsulting@ pec.it Oggetto: riscontro Vs. istanza accesso civico generalizzato formulata in data 19/09/2022 Egregio Sig. Pietrosanti, in merito alla Sua richiesta di accesso civico generalizzato avanzata a questo istituto scolastico in data 19 settembre 2022, significhiamo quanto segue. 1) Conriferimento al punto 1 della Sua richiesta ( “copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”), il documento in questione è stato pubblicato sul sito della scuola nell’area Amministrazione Trasparente, sezione Bandi di gara e contratti, e può essere consultato e scaricato liberamente. https://web.spaggiari.eu/sdg/app/default/trasparenza.php?sede_codice=leit0004&referer=https://ww w.itdeleddalecce.edu.it/index.php 2) Per quanto concerne la Sua richiesta indicata nel punto 2 (“copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022”) si fa presente che il Garante per la Protezione dei Dati Personali ha chiarito con il provvedimento del 26 marzo 2020 che "la valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)". Inoltre, con il D.M. 7 agosto 2020 n. $9 il Ministero dell’Istruzione ha trasmesso a tutte le istituzioni scolastiche il documento predisposto da un Gruppo di lavoro congiunto tra Ministero dell'istruzione e l'Ufficio del Garante per la protezione dei dati personali, al fine di fornire linee di indirizzo comuni e i principi generali per l'implementazione della didattica digitale integrata, con particolare riguardo ai profili di sicurezza e protezione dei dati personali, sulla base di quanto previsto dal Regolamento (UE) 2016/679 . In tali linee guida si precisa che “la valutazione di impatto va effettuata, infatti, nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l'istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione: l. rientra nei casi previsti dall'art.35, par. 3 del Regolamento (trattamento automatizzato, profilazione, trattamento su larga scala di categorie particolari di dati personali, ecc.), tenendo conto sempre del contesto in cui il trattamento stesso si colloca; 2. comporta la compresenza di almeno di due criteri individuati come indici sintomatici del “rischio elevato” dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze o combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove 8 soluzioni tecnologiche od organizzative, trattamento che in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”. Questo Istituto Scolastico non ha ravvisato l’esigenza di effettuare una valutazione di impatto in quanto la piattaforma utilizzata non effettua il monitoraggio sistematico degli utenti né ricorre a soluzioni tecnologiche particolarmente invasive, pertanto non è possibile soddisfare la Sua richiesta perché non esiste il documento in questione (DPIA). 3) Per quanto riguarda la Sua richiesta formulata al punto 3 (“copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023”) si fa presente che il Dirigente Scolastico è tenuto ad adottare le misure tecniche ed organizzative adeguate sulla base del rischio derivante dall’utilizzo di piattaforme e/o servizi on line necessari alla didattica digitale integrata. Tali misure sono riassunte nel Regolamento di istituto per la Didattica Digitale Integrata tuttora in vigore e può essere consultato e scaricato liberamente dal sito della scuola https://sites.google.com/itdeleddalecce.gov.it/ddi/home-page 4) Con riferimento al punto 4 della Sua richiesta (“copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a di stanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”) valgano qui le stesse considerazioni in diritto e in fatto già esposte innanzi al punto 2. Questo Istituto Scolastico non ha proceduto ad effettuare una valutazione di impatto, pertanto non è possibile soddisfare la Sua richiesta perché non esiste il documento in questione (DPIA). 5) Per quanto riguarda la richiesta di cui al punto 5 (‘copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’ Istituto in indirizzo”) valgano qui analoghe argomentazioni già espresse al punto 2. Per tale motivo non è possibile soddisfare la Sua richiesta perché non esiste il documento in questione. 6) In ultimo, per quanto concerne la richiesta di cui al punto 6 (“copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”) s1 fa presente che la predetta valutazione comparativa di carattere tecnico, economico e di congruità ai fabbisogni della scuola è riportata nei relativi provvedimenti di acquisto, pubblicati sul sito della scuola nell’area Amministrazione Trasparente, sezione Bandi di gara e contratti, e può essere consultato e scaricato liberamente https://web.spaggiari.eu/sdg/app/default/trasparenza.php?sede codice=leit0004&referer=https://ww w.itdeleddalecce.edu.it/index.php. Il richiedente può presentare richiesta di riesame al responsabile della prevenzione della corruzione e della trasparenza che decide con provvedimento motivato, entro il termine di venti giorni. Si avverte l’interessato che, contro il presente provvedimento, nei casi di diniego totale o parziale all'accesso generalizzato, potrà proporre ricorso al T.A.R. Puglia, sezione di Lecce ai sensi dell’art. 116 del Codice del processo amministrativo di cui al D.Lgs. n. 104/2010. Distinti saluti. Il Responsabile del Procedimento Il Dirigente Scolastico [omissis] Firmato [omissis] CN = CARETTO C=1IT