ISTITUTO COMPRENSIVO STATALE AD INDIRIZZO MUSICALE “LUIGI PIRANDELLO” Via Molo, n°2 - 92014 PORTO EMPEDOCLE (AG) e-mailagic84000a @istruzione.it- pecagic84000a@ pec.istruzione.it- website www.icpirandellope.edu.it Tel./fax 0922 535371 - C.F. 80004480846 - C.M. AGIC84000A — Codice univoco UFAUK2 AI Sig. Fabio Pietrosanti con domicilio digitale comunicazioni @ pec.monitora-pa.it (ai sensi dell’art. 5, d.lgs. 14 marzo 2013, n. 33, così come modificato dall'art. 6, comma 1, d.lgs. n. 97 del 2016)) Oggetto: Riscontro a richiesta di accesso civico generalizzato presentato da Monitora PA nella persona di Fabio Pietrosanti, ai sensi dell’art. 5, comma 2 del d.lgs. 14 marzo 2013, n. 33 La presente con riferimento alla Sua richiesta di accesso civico generalizzato del 20/09/2022. Premesso che dalla sopracitata richiesta si legge al punto 3 (pagina 1): “con la fine dello stato di emergenza è venuto meno parte di quanto indicato dal Garante per la protezione dei dati personali nel Provvedimento del 26 marzo 2020 — “Didattica a distanza: prime indicazioni [n. doc 9300784], il quale prevedeva la possibilità di allentare alcune stringenti prescrizioni in materia di trattamento dei dati, pur ribadendo la vigenza, anche nel corso dell’emergenza sanitaria, di obblighi benprecisi da parte degli istituti scolastici” A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per gli asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. Tutto ciò precisato, a seguito della Sua istanza nella quale richiedeva l’accesso ai vari documenti al sensi dell’art. 5 del D. Lgs. n. 33 del 2013, con la presente per dare riscontro e rispondere alle sue n. 6 domande, procedendo con ordine. RICHIESTA N.1 copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; In merito al punto 1 della richiesta pervenuta si segnala, preliminarmente, che la stessa coinvolge diversi servizi quali, ad esempio posta elettronica e PEC, erogati da altri enti pubblici 1 e amministrazioni di cui la scuola è sottoposta (come l’amministrazione centraledel Ministero dell’Istruzione). Non essendo esplicitato puntualmente il documento richiesto si ritiene di comunicare quanto segue: 1. Posta elettronica: agic84000a@istruzione.it e agic84000a@pec.istruzione.it fornita dal Ministero; 2. Messaggistica: non utilizzato alcun sistema; 3. Registro elettronico; l'istituto ha utilizzato la piattaforma: Infoschool Gruppo Spaggiari Parma SpA. Si fornisce copia del contratto di servizio in allegato. RICHIESTA N. 2: “copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022” Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria come da provvedimento del Garante del 26 marzo 2020 “la valutazione di impatto, che l’art. 35 del Regolamento richiede per 1 casi di rischi elevati, non è necessaria se 1l trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne 1 rischi per 1 diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d’impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala”. Per quanto sopra non è possibile fornire alcun documento. RICHIESTA N. 3: “copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare 1 soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023” In merito alla richiesta dei documenti di cui al sopracitato punto 3, si specifica che questa istituzione ha utilizzato esclusivamente le piattaforme consigliate dal Ministero e accreditate presso AGID, nonché le metodologie e le indicazioni suggerite dallo stesso Ministero e dal Garante per la [omissis] ivando solo i servizi essenziali per la didattica 1 quali, non consentendo il monitoraggio sistematico degli utenti né tantomeno ricorrendo a soluzioni tecnologiche particolarmente invasive (i.e. utilizzo dei dati di geolocalizzazione o biometrici), non presentano caratteristiche suscettibili di aggravare 1 rischi per i diritti e le libertà degli interessati. Inoltre essendo la sua richiesta generale, si indicano i documenti seguenti riportanti le misure tecniche adottate dall’istituto scolastico : - Regolamento Didattica Digitale Integrata e Didattica a Distanza deliberato dal Consiglio d'Istituto; - Informazioni Didattica Digitale Integrata e Didattica a Distanza fornite al personale e alle famiglie. RICHIESTA N. 4: “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria con riferimento al provvedimento del Garante del 26 marzo 2020 ‘la valutazione di impatto, che l’art. 35 del 2 Regolamento richiede per 1 casi di rischi elevati, non è necessaria se il trattamento effettuato dalle x istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per 1 diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d’impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. Per quanto riportato non è possibile fornire alcun documento. RICHIESTA N. 5: “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” Si ribadisce che in merito alla richiesta dei documenti di cui ai sopracitati punti 2, 4 , e in merito alla n 5, si tratta di atti relativi ad operazioni non obbligatorie per la singola istituzione scolastica , come indicato dall’art. 35 del Regolamento Europeo 679/16 (GDPR) e ribadito dal Provvedimento del Garante per la Protezione dei Dati Personali del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784] nel quale si legge che: “non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma chenon consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Per quanto riportato non è possibile fornire alcun documento. RICHIESTA N. 6: “copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” La valutazione comparativa è richiesta per l’anno corrente. Non si è giunti ancora al rinnovo dei contratti relativi a piattaforme già in uso, e nemmeno si sono acquistate nuove piattaforme. Per questo non è possibile fornire alcun documento. Il dirigente responsabile del procedimento [omissis] (Firma autografa omessa ai sensi dell'art. 3 del D. Lgs. n. 39/1993)