ISTITUTO COMPRENSIVO “PASCOLI - CRISPI” MESSINA
Via Gran Priorato n. 11 — Via Monsignor D'Arrigo 15.401 n. 18 - 98121 MESSINA
Telefono: 09047030 - C.F.: 80006860839 — codice univoco IPA: UFNHZ3
www.istitutocomprensivopascoli-crispi.edu.it/wp/ — E-mail: meic87300t@istruzione.it - meic87300t@pec.istruzione.it
Al sig. Fabio Pietrosanti
OGGETTO: riscontro vs. istanza di accesso civico generalizzato.
Con riferimento all'istanza di cui in oggetto, acquisita agli atti di questa Istituzione scolastica con
protocollo n. 8982, si riscontra quanto segue.
1) Copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato
ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica
digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022,
2022/2023.
Alleghiamo alla presente copia dei contratti e dei documenti accessori relativi ai servizi di posta
elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e
registro elettronico utilizzati dalla presente istituzione scolastica nel corso degli anni scolastici
oggetto della richiesta.
2) Copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata nell’ambito dell'utilizzo
di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico
degli utenti, negli anni scolastici 2020/2021, 2021/2022.
L'art. 35 del Regolamento (UE) 2016/679 (“Regolamento Generale sulla Protezione dei Dati”, “RGPD”
o “GDPR”) afferma che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove
tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un
rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima
di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei
dati personali”. Nel caso dei servizi online di videoconferenza o di piattaforme che consentono il
monitoraggio sistematico degli utenti, locuzioni che fanno chiaro riferimento ai sistemi informatici
utilizzati per la didattica a distanza e didattica digitale integrata negli A.S. 2020-2021 e 2021-2022, la
presente istituzione scolastica , sentito il responsabile per la protezione dei dati, non ha effettuato
una valutazione d'impatto sulla protezione dei dati personali (c.d. “DPIA”) avente come oggetto
l’impiego di tali sistemi.
Nel corso di quegli anni scolastici, come premesso dall’istante, era in vigore lo stato di emergenza in
conseguenza del quale si è sviluppata la normativa di gestione e contenimento della pandemia da
Sars-CoV-2. In ragione dei provvedimenti che hanno regolamentato lo svolgimento delle attività
scolastiche nel contesto pandemico, i trattamenti insiti nell'utilizzo di tali piattaforme risultavano
funzionali all'esecuzione delle attività didattiche e formative in ambito scolastico , il compito di
interesse pubblico di cui è investita l'istituzione scolastica nella sua veste di titolare del trattamento.
Ciò è stato ribadito nel Provvedimento del 26/03/2020 del Garante per la protezione dei dati
personali [doc. web n. 9300784], nel quale l'autorità di controllo afferma che la DPIA non risulta
necessaria se il trattamento in questione, sebbene riguardante minori e lavoratori (come d'altronde
la quasi totalità dei trattamenti posti in essere dalle istituzioni scolastiche), non presenta ulteriori
condizioni che aggravano i rischi per i diritti e le libertà degli interessati. Convenendo con tale
interpretazione, che non reputa su larga scala il trattamento effettuato da una singola istituzione
scolastica , né basato su nuove soluzioni tecnologiche particolarmente invasive, anche in virtù degli
accorgimenti e delle impostazioni adottate, volti a scongiurare il ricorso a tecniche innovative che
potessero pregiudicare la riservatezza dei soggetti interessati, la presente istituzione scolastica non
ha svolto la DPIA.
A questo proposito, si evidenzia che i trattamenti oggetto della richiesta sopracitata, anche al di fuori
del contesto emergenziale — le cui conseguenze operative, frutto della già citata normativa in materia
di gestione e contenimento della pandemia, sono perdurate fino al termine dell’A.S 2021/2022,
codice meccanografico: MEIC87300T - MEMM87301V- MEEE873032 — MEAA87304T — MEAA87302Q
pag. 1
anche dopo la fine dello stato di emergenza — sono sempre stati limitati a quanto necessario ad
adempiere le finalità didattico-formative proprie dell'istituzione scolastica . Inoltre, si sottolinea come
la scelta sia stata anche suffragata dal Ministero dell'Istruzione — anche in virtù della presenza dei
fornitori nel catalogo dei fornitori di servizi cloud per la PA qualificati da AgiD — in una nota e, in
seguito, nella pagina tematica sul proprio sito web, oggi non più raggiungibile ma ugualmente
rinvenibile al seguente link. Per di più, la decisione di adottare i servizi forniti da Google e Microsoft
(nello specifico G Suite for Education, poi divenuta Google Workspace for Education, e Microsoft
Office 365 Education) è stata presa anche in ragione della semplicità di adottare misure che
rendessero più sicure, oltre che istituzionalizzate, le attività didattiche in forma digitale.
In definitiva, per le ragioni sopra esposte non si è ravvisato un rischio di monitoraggio sistematico su
larga scala di soggetti vulnerabili mediante l'utilizzo di tali sistemi, il cui impiego è stato
esclusivamente volto all'esercizio delle attività didattico-formative. Di conseguenza, la presente
istituzione scolastica , in qualità di titolare del trattamento, non ha effettuato una valutazione
d'impatto sulla protezione dei dati relativamente ai trattamenti oggetto della richiesta.
3) Copia degli atti riportanti le misure tecniche previste ed adottate per attivare i soli servizi
strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino
servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021,
2021/2022, 2022/2023.
Come già affermato, nell'utilizzo delle piattaforme di didattica a distanza e didattica digitale integrata
abbiamo adottato, sulla base delle competenze di cui disponiamo, le impostazioni più stringenti in
materia di protezione e sicurezza dei dati, volte a ridurre al minimo il rischio di impiego di nuove
soluzioni tecnologiche particolarmente invasive della riservatezza degli interessati. Tali piattaforme
sono state dunque esclusivamente utilizzate per le finalità di natura didattico-formativa proprie
dell'istituzione scolastica , ai sensi dei principi di limitazione delle finalità e minimizzazione dei dati di
cui all'art. 5 del RGPD e nell'alveo del processo di responsabilizzazione del titolare del trattamento di
cui all'art. 24 del RGPD.
Detto ciò, la richiesta di supposti atti che riportino tali misure appare eccessivamente generica in
quanto non va a individuare con precisione la documentazione richiesta, risultando dunque
connotata da un carattere meramente esplorativo.
4) Copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR,
effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica,
videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate
nell'anno scolastico 2022/2023.
In merito all'utilizzo delle piattaforme abilitanti didattica a distanza e didattica digitale integrata,
comprendenti servizi di posta elettronica, messaggistica e videoconferenza, nel corso del corrente
anno scolastico 2022-2023, l'istituzione scolastica , sulla base delle prime indicazioni da parte del
Ministero dell'Istruzione, che escludono il ricorso alla didattica digitale integrata per gli alunni positivi
al Sars-CoV-2 per il venir meno degli effetti della normativa emergenziale, reputa che tali piattaforme
siano destinate a un impiego di natura prettamente amministrativa e, per quanto concerne la
didattica, in maniera integrativa alle forme tradizionali. AI momento, l'istituzione scolastica sta
aggiornando la propria offerta formativa delineando il ruolo che assumerà la didattica digitale, ma
indipendentemente da ciò le osservazioni secondo cui l’uso di tali sistemi, anche in virtù delle
impostazioni adottate, non costituisce un monitoraggio sistematico su larga scala degli interessati
continuano a essere valide.
Per questa ragione, riteniamo di non essere di fronte a un caso di rischio elevato per i diritti e le
libertà degli interessati che comporterebbe l'obbligo della redazione di una valutazione d'impatto
sulla protezione dei dati e, di conseguenza, non l'abbiamo svolta. Tuttavia, qualora dalle autorità
competenti dovessero pervenire indicazioni in senso opposto, ci riserviamo di valutare, di concerto
con il responsabile della protezione dei dati, la possibilità di effettuarla nell'ottica del nostro processo
di responsabilizzazione in qualità di titolari del trattamento.
codice meccanografico: MEIC87300T — MEMM87301V - MEEE873032 — MEAA87304T — MEAA873020Q
pag. 2
Sulla base di valutazioni analoghe in ordine alla possibilità di monitoraggio sistematico su larga scala
degli interessati, è stata fatta per quanto riguarda il registro elettronico e i servizi forniti da Argo
Software, del quale è possibile consultare la documentazione (politiche sulla protezione e sulla
sicurezza dei dati, responsabilità condivisa, qualità e sicurezza delle informazioni) che alleghiamo alla
presente.
5) Copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale
trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per
la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza,
didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico
2022/2023.
Per quanto concerne la valutazione di impatto del trasferimento dei dati all’estero nel caso di
eventuale trasferimento dei dati verso paesi terzi, vale a dire al di fuori dello Spazio economico
europeo, siamo al corrente delle criticità scaturite successivamente alla decisione della Corte di
Giustizia dell’Unione Europea sul cosiddetto caso Schrems II, nello specifico per quanto riguarda i
trasferimenti verso gli Stati Uniti d’ America, il cui ordinamento non fornirebbe le stesse garanzie di
quello europeo riguardo la tutela dei dati personali, in particolare per quanto riguarda le norme che
permettono alle autorità di intelligence di accedere ai dati personali detenuti dalle aziende
statunitensi per ragioni di sicurezza nazionale. Come affermato dal Garante per la protezione dei dati
personali, “i titolari del trattamento che utilizzino clausole contrattuali tipo sono tenuti a verificare,
caso per caso e, ove opportuno, in collaborazione con il destinatario dei dati nel paese terzo, se la
legislazione del paese terzo garantisca un livello di protezione dei dati personali trasferiti
sostanzialmente equivalente a quello vigente nello Spazio economico europeo”. | trattamenti
effettuati nell'utilizzo delle piattaforme di didattica a distanza e didattica digitale integrata,
comprendenti servizi di posta elettronica, messaggistica e videoconferenza, avvengono sulla base di
clausole contrattuali tipo adottate dal fornitore di servizi, nel caso specifico Google e Microsoft, che
come noto sono aziende statunitensi. Senza entrare nel merito di una questione che può essere
realisticamente risolta soltanto dai legislatori, va ricordato che l'art. 49, par. 1 del RGPD ammette
alcune deroghe per il trasferimento dei dati all’estero in assenza di garanzie adeguate. Tra queste vi
è il caso in cui esso sia necessario per ragioni di interesse pubblico, che sappiamo essere la base
giuridica sulla quale si fondano i trattamenti posti in essere dall’istituzione scolastica , vale a dire
l'esercizio delle attività didattico-formative e di quelle funzionali all'espletamento delle stesse, che
ribadiamo essere l’unico scopo per le quali sono state e sono utilizzate tali piattaforme. Inoltre,
sottolineiamo come ancora oggi Google Workspace for Education e Microsoft Office 365 Education
siano presenti nel catalogo dei fornitori di servizi cloud qualificati da AgID, così come Amazon Web
Services, selezionato da Argo Software, fornitore del registro elettronico, come cloud service provider
della propria infrastruttura.
Come detto in precedenza, tuttavia, qualora dalle autorità competenti dovessero pervenire chiare
indicazioni in relazione allo svolgimento della valutazione sull'impatto sul trasferimento dei dati
all’estero (ricordiamo che tale valutazione non è prevista dal RGPD, ma si tratta di un atto non
standardizzato che trova origine in un’interpretazione delle linee guida 05/2021 del Comitato
europeo per la protezione dei dati), ci riserviamo di valutare, insieme al responsabile della protezione
dei dati, la possibilità di includere un'analisi sui rischi dell'eventuale trasferimento di dati personali
verso gli Stati Uniti nell’ambito di una futura valutazione d'impatto sulla protezione dei dati relativa
all'impiego di tali sistemi.
6) Copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per
provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza,
codice meccanografico: MEIC87300T — MEMM87301V - MEEE873032 — MEAA87304T — MEAA873020Q
pag. 3
didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico
2022/2023.
Con riferimento alla documentazione richiesta, siamo al corrente di quanto disposto dall'art. 68 del
D.Lgs. n. 82 del 07/03/2005 (“Codice dell’Amministrazione Digitale”), che dà alle pubbliche
amministrazioni la possibilità di acquisire programmi informatici, tra cui anche software di tipo
proprietario mediante ricorso a licenza d’uso e fruibile in cloud computing, a seguito di una
valutazione comparativa di tipo tecnico-economica.
Nel caso delle piattaforme abilitanti sistemi di didattica a distanza e didattica digitale integrata,
comprendenti servizi di posta elettronica, messaggistica e videoconferenza, queste sono state — e
continuano a essere — fornite gratuitamente dai fornitori e scelte, come già affermato, sulla base
delle indicazioni rese dal Ministero dell'Istruzione anche in virtù delle garanzie di questi ultimi in
merito ai livelli di sicurezza e alla conformità alla normativa in materia di protezione dei dati personali.
Inoltre, venendo ai termini temporali della richiesta, che si riferisce all’A.S. 2022-2023, si sottolinea
come, essendo i contratti ancora in essere, non si è ritenuto necessario procedere a una
valutazione comparativa.
La Dirigente Scolastica
[omissis]
codice meccanografico: MEIC87300T — MEMM87301V - MEEE873032 — MEAA87304T — MEAA873020Q
pag. 4
�