C OMP/A, FONDI Pi x° ‘, STRUTTURALI ci ro, E Unione Europes EUROPEI 2014-2020 MIA i +) si —_ PERLA SCUOLA - COMPETENZE E AMBIENTI PER L'APPRENDIMENTO [FSE-FESR) dl » Ministero dell'Istruzione, dell’Università e della Ricerca fa? O Istituto Comprensivo Statale DEAD WU , de Scuola: Infanzia — Primaria- Secondaria I grado a “ri Diaz - Laterza Via Roma, 59 - 74014 - LATERZA (TA) - Tel. 099/8216127 — Cod. Mecc.: TAIC84300A - C.F: 90214500739 - Sito web: www.icdiazlaterza.edu.it — Email: taic84300a @istruzione.it — Pec: taic84300a@ pec.istruzione.it ISTITUTO COMPRENSIVO - "DIAZ"LATERZA Al Sig. Fabio Piersanti . . Prot. 0006610 del 15/10/2022 comunicazioni @ pec.monitora-pa.it | {Uscita} p.c. AI Direttore Generale Ufficio Scolastico Regione PUGLIA Pec: drpu@postacert.istruzione.it Oggetto: Risposta Accesso civico generalizzato A seguito della Sua istanza del 19/09/2022 trasmessa via pec, nella quale richiedeva l’accesso ai vari documenti ai sensi dell’art. 5 del D. Lgs. n. 33 del 2013 siamo con la presente a dare riscontro e rispondere alle sue n. 6 domande, procedendo con ordine. RICHIESTA N. 1: “copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023” Con riferimento a questo punto si precisa che la sua richiesta è quantomeno imprecisa. In base all’orientamento di ANAC, difatti, “l’accesso agli atti della P.A. deve avere ad oggetto una specifica documentazione in possesso dell’ Amministrazione, indicata in modo sufficientemente preciso e circoscritto e non può riguardare dati ed informazioni generiche relative ad un complesso non individuato di atti di cui non si conosce neppure con certezza la consistenza”. Non è quindi possibile una precisa risposta essendo la domanda del tutto generica. RICHIESTA N. 2: “copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenzao di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022” Sul punto si evidenzia che con provvedimento del 26 marzo 2020 1l Garante Privacy ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, 11 Garante, con riferimento alle DPIA, ha così affermato: “/a valutazione di impatto, chel’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarnei rischi per i diritti e le libertà degli interessati.” A tal riguardo, occorre precisare che, con predetto provvedimento, il Garante non ha in alcun modo derogato all’applicazione del GDPR per asseriti motiviemergenziali (come sotteso nella sua in esame), in quanto, in primis, non ne avrebbe nemmeno i1l potere.L’ Autorità ha solo fornito interpretazioni e precisazioni utili a comprendere il corretto approccio alla didattica a distanza in vista della sua massiva adozione, evitando così il frammentarsi delle prassi e il dilagare della confusione in un momento già di per sé particolarmente complicato. Per questo la sua richiesta è da ritenere inammissibile. RICHIESTA N. 3: “copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023” Tale richiesta è eccessivamente generica e meramente esplorativa, motivo per cui non può essere soddisfatta. Sul punto, le linee guida ANAC precisano che “/’istanza di accesso civico identifica i dati le informazioni o i documenti richiesti”, pertanto non è ammissibile una richiesta meramente esplorativa, volta semplicemente a “scoprire” di quali informazioni l’amministrazione dispone. Le richieste, inoltre, non devono essere generiche, ma consentire l'individuazione del dato, del documentoo dell’informazione con riferimento, almeno, alla loro natura e al loro oggetto. RICHIESTA N. 4: “copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” Sul punto, si precisa che l’art. 35 del GDPR prevede precisi casi in cui è necessaria la DPIA. Tra questinon rientrano quelli in esame. Non solo, il Garante Privacy ha pubblicato altresì un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA e, tra questi, non sono presenti quelli citati dal richiedente. L’osservatore attento noterà tuttavia che, al numero 6, si fa riferimento al trattamento di dati di minori. Ebbene, sul punto, nella pagina dedicata proprio alla valutazione d’impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "nonoccasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, dasottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "largascala". Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimentoalla singola scuola. RICHIESTA N. 5: “copia della valutazione di impatto del trasferimento dei dati all’estero(TI A), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’UnioneEuropea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” In merito a questo punto occorre evidenziare che le scuole italiane possono utilizzare solo fornitori accreditati AGID, secondo rigide procedure di accreditamento. Non solo. Il Ministero dell’Istruzione ha selezionato, per tutte le scuole, le tre piattaforme utilizzabili, suggerendole anche sul proprio sito. Lascuola pertanto non ha effettuato alcuna valutazione di impatto essendo il rischio calcolato a monte dallecitate istituzioni centrali. Se ci fossero stati dei problemi, AGID e Ministero sarebbero intervenuti revocando le certificazioni. RICHIESTA N. 6: “copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” La richiesta appare meramente esplorativa; come è noto gli acquisti delle scuole vanno fatti applicandotutte le norme in vigore, quindi non solo il CAD citato dal richiedente ma anche il codice dei contrattie il regolamento di contabilità delle scuole, che non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sottosoglia. Inoltre e quale considerazione più generale va ribadito quanto segue. L’art 5 bis del D.Igs 33/2013, stabilisce che l’accesso civico deve essere rifiutato, fra l’altro, se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali,in conformità alle disposizioni vigenti in materia. La medesima normativa sancisce che l’accesso civico è rifiutato «se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bls, comma 2, lett. a) e che «l'amministrazione cui è indirizzatala richiesta di accesso, se individua soggetti controinteressati, ai sensi dell'articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entrodieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso» (art. 5, comma $). L’Adunanza Plenaria n. 10/2020, ha affermato che “resta ferma la verifica della compatibilità dell'accesso con le eccezioni relative di cui all'art. 5-bis, comma I e 2, a tutela degli interessi-limite, pubblici e privati, previsti da tale disposizione, nel bilanciamento tra il valore della trasparenza e quello della riservatezza.”. Se esiste, in altri termini, l’interesse ad una conoscenza diffusa dei cittadini nell'esecuzione dei contratti pubblici, volta a sollecitare penetranti controlli da parte delle autorità preposte a prevenire e asanzionare l'inefficienza, la corruzione o fenomeni di cattiva amministrazione e l'adempimento delle prestazioni dell'appaltatore, tali da rispecchiare esito di un corretto confronto in sede di gara, a maggiorragione gli operatori economici, che abbiano partecipato alla gara. Sono, pertanto, interessati a conoscere illegittimità o inadempimenti manifestatisi dalla fase di approvazione del contratto sino alla sua completa esecuzione, non solo per far valere vizi originari dell'offerta nel giudizio promosso control'aggiudicazione (Cons. St., sez. V, 25 febbraio 2009, n. 1115), ma anche con riferimento alla sua esecuzione, per potere, una volta risolto 1l rapporto con l'aggiudicatario, subentrare nel contratto od ottenere la riedizione della gara con chance di aggiudicarsela. Ma tale interesse alla trasparenza, di tipo conoscitivo, che non esige una motivazione specifica,deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, come accade nel caso in esame, pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimentoimmotivato delle procedure di espletamento dei servizi. Emerge, inoltre, che dalla semplice lettura della domanda di accesso che, l’interessato ha, con tale istanza, richiesto un gran numero di documenti che obbligherebbe lo scrivente a fornire migliaia dipagine, senza, peraltro, che tale richiesta sia giustificata da esigenze tali da imporre di sopportarne l’onerosità. Una tale richiesta, così sproporzionata e onerosa, è espressamente qualificata comeinammissibile così come stabilito dall’ Adunanza plenaria n. 10/2020, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. di Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Non da ultimo, e non meno importante, perché andando a fornirLE informazioni dettagliate su proprie valutazioni dei rischi e DPIA che riguardano non solo i fornitori "big" ma anche l'infrastruttura dell'ente punti 3) e 4) della richiesta, si andrebbe indirettamente a rendere pubblici anche informazioni sull'infrastruttura TT e quindi ad esporre ad eventuali vulnerabilità tecniche note nel mondo degli hacker l’Istituto, andando in pieno contrasto con l'interesse dello scrivente di garantire e proteggere il buon funzionamento dell’ente stesso scuola. In un momento storico come questo poi di intensa attività di cybercrime (noti, infatti, alle cronache dell’ultimo periodo gli attacchi al MITE, ABI,GSE, Ospedale Sacco di Milano, ecc), questo rischio diventa poi molto concreto e probabile Condizioni che ricorrono innegabilmente nel caso di specie, per tale ragione la richiesta di accesso non può essere accolta. Cordiali saluti IL DIRIGENTE SCOLASTICO 15.10.2022 09:54:32 UTC