Prot. 0008998 del 19/10/2022 |-6 (Uscita) Al sig. Fabio Pietrosanti OGGETTO: riscontro vs. istanza di accesso civico generalizzato. Con riferimento all'istanza di cui in oggetto, acquisita agli atti di questa Istituzione scolastica con protocollo n. 8982, si riscontra quanto segue. 1) Copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023. Alleghiamo alla presente copia dei contratti e dei documenti accessori relativi ai servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e registro elettronico utilizzati dalla presente istituzione scolastica nel corso degli anni scolastici oggetto della richiesta. 2) Copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022. L'art. 35 del Regolamento (UE) 2016/679 (“Regolamento Generale sulla Protezione dei Dati”, “RGPD” o “GDPR”) afferma che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”. Nel caso dei servizi online di videoconferenza o di piattaforme che consentono il monitoraggio sistematico degli utenti, locuzioni che fanno chiaro riferimento ai sistemi informatici utilizzati per la didattica a distanza e didattica digitale integrata negli A.S. 2020-2021 e 2021-2022, la presente istituzione scolastica , sentito il responsabile per la protezione dei dati, non ha effettuato una valutazione d'impatto sulla protezione dei dati personali (c.d. “DPIA”) avente come oggetto l’impiego di tali sistemi. Nel corso di quegli anni scolastici, come premesso dall’istante, era in vigore lo stato di emergenza in conseguenza del quale si è sviluppata la normativa di gestione e contenimento della pandemia da Sars-CoV-2. In ragione dei provvedimenti che hanno regolamentato lo svolgimento delle attività scolastiche nel contesto pandemico, i trattamenti insiti nell'utilizzo di tali piattaforme risultavano funzionali all'esecuzione delle attività didattiche e formative in ambito scolastico , il compito di interesse pubblico di cui è investita l'istituzione scolastica nella sua veste di titolare del trattamento. Ciò è stato ribadito nel Provvedimento del 26/03/2020 del Garante per la protezione dei dati personali [doc. web n. 9300784], nel quale l'autorità di controllo afferma che la DPIA non risulta necessaria se il trattamento in questione, sebbene riguardante minori e lavoratori (come d'altronde la quasi totalità dei trattamenti posti in essere dalle istituzioni scolastiche), non presenta ulteriori condizioni che aggravano i rischi per i diritti e le libertà degli interessati. Convenendo con tale interpretazione, che non reputa su larga scala il trattamento effettuato da una singola istituzione scolastica , né basato su nuove soluzioni tecnologiche particolarmente invasive, anche in virtù degli accorgimenti e delle impostazioni adottate, volti a scongiurare il ricorso a tecniche innovative che potessero pregiudicare la riservatezza dei soggetti interessati, la presente istituzione scolastica non ha svolto la DPIA. A questo proposito, si evidenzia che i trattamenti oggetto della richiesta sopracitata, anche al di fuori del contesto emergenziale — le cui conseguenze operative, frutto della già citata normativa in materia di gestione e contenimento della pandemia, sono perdurate fino al termine dell’A.S 2021/2022, codice meccanografico: MEIC87300T - MEMM87301V- MEEE873032 — MEAA87304T — MEAA87302Q pag. 1 anche dopo la fine dello stato di emergenza — sono sempre stati limitati a quanto necessario ad adempiere le finalità didattico-formative proprie dell'istituzione scolastica . Inoltre, si sottolinea come la scelta sia stata anche suffragata dal Ministero dell'Istruzione — anche in virtù della presenza dei fornitori nel catalogo dei fornitori di servizi cloud per la PA qualificati da AgiD — in una nota e, in seguito, nella pagina tematica sul proprio sito web, oggi non più raggiungibile ma ugualmente rinvenibile al seguente link. Per di più, la decisione di adottare i servizi forniti da Google e Microsoft (nello specifico G Suite for Education, poi divenuta Google Workspace for Education, e Microsoft Office 365 Education) è stata presa anche in ragione della semplicità di adottare misure che rendessero più sicure, oltre che istituzionalizzate, le attività didattiche in forma digitale. In definitiva, per le ragioni sopra esposte non si è ravvisato un rischio di monitoraggio sistematico su larga scala di soggetti vulnerabili mediante l'utilizzo di tali sistemi, il cui impiego è stato esclusivamente volto all'esercizio delle attività didattico-formative. Di conseguenza, la presente istituzione scolastica , in qualità di titolare del trattamento, non ha effettuato una valutazione d'impatto sulla protezione dei dati relativamente ai trattamenti oggetto della richiesta. 3) Copia degli atti riportanti le misure tecniche previste ed adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023. Come già affermato, nell'utilizzo delle piattaforme di didattica a distanza e didattica digitale integrata abbiamo adottato, sulla base delle competenze di cui disponiamo, le impostazioni più stringenti in materia di protezione e sicurezza dei dati, volte a ridurre al minimo il rischio di impiego di nuove soluzioni tecnologiche particolarmente invasive della riservatezza degli interessati. Tali piattaforme sono state dunque esclusivamente utilizzate per le finalità di natura didattico-formativa proprie dell'istituzione scolastica , ai sensi dei principi di limitazione delle finalità e minimizzazione dei dati di cui all'art. 5 del RGPD e nell'alveo del processo di responsabilizzazione del titolare del trattamento di cui all'art. 24 del RGPD. Detto ciò, la richiesta di supposti atti che riportino tali misure appare eccessivamente generica in quanto non va a individuare con precisione la documentazione richiesta, risultando dunque connotata da un carattere meramente esplorativo. 4) Copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. In merito all'utilizzo delle piattaforme abilitanti didattica a distanza e didattica digitale integrata, comprendenti servizi di posta elettronica, messaggistica e videoconferenza, nel corso del corrente anno scolastico 2022-2023, l'istituzione scolastica , sulla base delle prime indicazioni da parte del Ministero dell'Istruzione, che escludono il ricorso alla didattica digitale integrata per gli alunni positivi al Sars-CoV-2 per il venir meno degli effetti della normativa emergenziale, reputa che tali piattaforme siano destinate a un impiego di natura prettamente amministrativa e, per quanto concerne la didattica, in maniera integrativa alle forme tradizionali. AI momento, l'istituzione scolastica sta aggiornando la propria offerta formativa delineando il ruolo che assumerà la didattica digitale, ma indipendentemente da ciò le osservazioni secondo cui l’uso di tali sistemi, anche in virtù delle impostazioni adottate, non costituisce un monitoraggio sistematico su larga scala degli interessati continuano a essere valide. Per questa ragione, riteniamo di non essere di fronte a un caso di rischio elevato per i diritti e le libertà degli interessati che comporterebbe l'obbligo della redazione di una valutazione d'impatto sulla protezione dei dati e, di conseguenza, non l'abbiamo svolta. Tuttavia, qualora dalle autorità competenti dovessero pervenire indicazioni in senso opposto, ci riserviamo di valutare, di concerto con il responsabile della protezione dei dati, la possibilità di effettuarla nell'ottica del nostro processo di responsabilizzazione in qualità di titolari del trattamento. codice meccanografico: MEIC87300T — MEMM87301V - MEEE873032 — MEAA87304T — MEAA873020Q pag. 2 Sulla base di valutazioni analoghe in ordine alla possibilità di monitoraggio sistematico su larga scala degli interessati, è stata fatta per quanto riguarda il registro elettronico e i servizi forniti da Argo Software, del quale è possibile consultare la documentazione (politiche sulla protezione e sulla sicurezza dei dati, responsabilità condivisa, qualità e sicurezza delle informazioni) che alleghiamo alla presente. 5) Copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023. Per quanto concerne la valutazione di impatto del trasferimento dei dati all’estero nel caso di eventuale trasferimento dei dati verso paesi terzi, vale a dire al di fuori dello Spazio economico europeo, siamo al corrente delle criticità scaturite successivamente alla decisione della Corte di Giustizia dell’Unione Europea sul cosiddetto caso Schrems II, nello specifico per quanto riguarda i trasferimenti verso gli Stati Uniti d’ America, il cui ordinamento non fornirebbe le stesse garanzie di quello europeo riguardo la tutela dei dati personali, in particolare per quanto riguarda le norme che permettono alle autorità di intelligence di accedere ai dati personali detenuti dalle aziende statunitensi per ragioni di sicurezza nazionale. Come affermato dal Garante per la protezione dei dati personali, “i titolari del trattamento che utilizzino clausole contrattuali tipo sono tenuti a verificare, caso per caso e, ove opportuno, in collaborazione con il destinatario dei dati nel paese terzo, se la legislazione del paese terzo garantisca un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello vigente nello Spazio economico europeo”. | trattamenti effettuati nell'utilizzo delle piattaforme di didattica a distanza e didattica digitale integrata, comprendenti servizi di posta elettronica, messaggistica e videoconferenza, avvengono sulla base di clausole contrattuali tipo adottate dal fornitore di servizi, nel caso specifico Google e Microsoft, che come noto sono aziende statunitensi. Senza entrare nel merito di una questione che può essere realisticamente risolta soltanto dai legislatori, va ricordato che l'art. 49, par. 1 del RGPD ammette alcune deroghe per il trasferimento dei dati all’estero in assenza di garanzie adeguate. Tra queste vi è il caso in cui esso sia necessario per ragioni di interesse pubblico, che sappiamo essere la base giuridica sulla quale si fondano i trattamenti posti in essere dall’istituzione scolastica , vale a dire l'esercizio delle attività didattico-formative e di quelle funzionali all'espletamento delle stesse, che ribadiamo essere l’unico scopo per le quali sono state e sono utilizzate tali piattaforme. Inoltre, sottolineiamo come ancora oggi Google Workspace for Education e Microsoft Office 365 Education siano presenti nel catalogo dei fornitori di servizi cloud qualificati da AgID, così come Amazon Web Services, selezionato da Argo Software, fornitore del registro elettronico, come cloud service provider della propria infrastruttura. Come detto in precedenza, tuttavia, qualora dalle autorità competenti dovessero pervenire chiare indicazioni in relazione allo svolgimento della valutazione sull'impatto sul trasferimento dei dati all’estero (ricordiamo che tale valutazione non è prevista dal RGPD, ma si tratta di un atto non standardizzato che trova origine in un’interpretazione delle linee guida 05/2021 del Comitato europeo per la protezione dei dati), ci riserviamo di valutare, insieme al responsabile della protezione dei dati, la possibilità di includere un'analisi sui rischi dell'eventuale trasferimento di dati personali verso gli Stati Uniti nell’ambito di una futura valutazione d'impatto sulla protezione dei dati relativa all'impiego di tali sistemi. 6) Copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, codice meccanografico: MEIC87300T — MEMM87301V - MEEE873032 — MEAA87304T — MEAA873020Q pag. 3 didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. Con riferimento alla documentazione richiesta, siamo al corrente di quanto disposto dall'art. 68 del D.Lgs. n. 82 del 07/03/2005 (“Codice dell’Amministrazione Digitale”), che dà alle pubbliche amministrazioni la possibilità di acquisire programmi informatici, tra cui anche software di tipo proprietario mediante ricorso a licenza d’uso e fruibile in cloud computing, a seguito di una valutazione comparativa di tipo tecnico-economica. Nel caso delle piattaforme abilitanti sistemi di didattica a distanza e didattica digitale integrata, comprendenti servizi di posta elettronica, messaggistica e videoconferenza, queste sono state — e continuano a essere — fornite gratuitamente dai fornitori e scelte, come già affermato, sulla base delle indicazioni rese dal Ministero dell'Istruzione anche in virtù delle garanzie di questi ultimi in merito ai livelli di sicurezza e alla conformità alla normativa in materia di protezione dei dati personali. Inoltre, venendo ai termini temporali della richiesta, che si riferisce all’A.S. 2022-2023, si sottolinea come, essendo i contratti ancora in essere, non si è ritenuto necessario procedere a una valutazione comparativa. La Dirigente Scolastica [omissis] 19.10.2022 09:36:52 UTC codice meccanografico: MEIC87300T — MEMM87301V - MEEE873032 — MEAA87304T — MEAA873020Q pag. 4