LICEO STATALE ‘E.AINIS° Codice IPA: istsc-mepm010009 — Codice univoco F.E.: UF9PAM E-MAIL: mepm010009@ istruzione.it mepm010009 @ pec.istruzione.it SITO WEB: http://www.ainis.edu.it Fabio Pietrosanti Co-fondatore di Monitor PA OGGETTO: RIF FOIA-01.MEPM010009] RICHIESTA DI ACCESSO CIVICO GENERALIZZATO Con riferimento alla richiesta di accesso civico generalizzato, pervenuta a questa istituzione scolastica . in data 20.9.2022 e di seguito alla precedente nota prot. n. 15235 del 30.9.2022, si precisa quanto segue. 1) Copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023. Alleghiamo alla presente copia dei contratti e dei documenti accessori relativi ai servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e registro elettronico utilizzati dalla presente istituzione scolastica nel corso degli anni scolastici oggetto della richiesta. 2) Copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022. L’art. 35 del Regolamento (UE) 2016/679 (“Regolamento Generale sulla Protezione dei Dati”, “RGPD” o “GDPR”) afferma che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”. Nel caso dei servizi online di videoconferenza o di piattaforme che consentono il monitoraggio sistematico degli utenti, locuzioni che fanno chiaro riferimento ai sistemi informatici utilizzati per la didattica a distanza e didattica digitale integrata negli A.S. 2020-2021 e 2021-2022, la presente istituzione scolastica , sentito il responsabile per la protezione dei dati, non ha ritenuto di dover effettuare una valutazione d’impatto sulla protezione dei dati personali (c.d. “DPIA”) avente come oggetto l’impiego di tali sistemi. Nel corso di quegli anni scolastici, come premesso dall’istante, era in vigore lo stato di emergenza in conseguenza del quale si è sviluppata la normativa di gestione e contenimento della pandemia da Sars-CoV-2. In ragione dei provvedimenti che hanno regolamentato lo svolgimento delle attività scolastiche nel contesto pandemico, i trattamenti insiti nell’utilizzo di tali piattaforme risultavano funzionali all’esecuzione delle attività didattiche e formative in ambito scolastico , il compito di interesse pubblico di cui è investita l’istituzione scolastica nella sua veste di titolare del trattamento. Ciò è stato ribadito nel Provvedimento del 26/03/2020 del Garante per la protezione dei dati personali [doc. web n. 9300784], nel quale l’autorità di controllo afferma che la DPIA non risulta necessaria se il trattamento in questione, sebbene riguardante minori e lavoratori (come d’altronde la quasi totalità dei trattamenti posti in essere dalle istituzioni scolastiche), non presenta ulteriori condizioni che aggravano i rischi per i diritti e le libertà degli interessati. Convenendo con. tale interpretazione, che non reputa su larga scala il trattamento effettuato da una singola istituzione scolastica , né basato su nuove soluzioni tecnologiche particolarmente invasive, anche in virtù degli accorgimenti e delle impostazioni adottate, volti a scongiurare il ricorso a tecniche innovative che potessero pregiudicare la riservatezza dei soggetti interessati, la presente istituzione scolastica non ha svolto la DPIA. A questo proposito, si evidenzia che i trattamenti oggetto della richiesta sopracitata, anche al di fuori del contesto emergenziale — le cui conseguenze operative, frutto della già citata normativa in materia di gestione e contenimento della pandemia, sono perdurate fino al termine dell’A.S 2021/2022, anche dopo la fine dello stato di emergenza — sono sempre stati limitati a quanto necessario ad adempiere le finalità didattico-formative proprie dell’istituzione scolastica . Inoltre, si sottolinea come la scelta sia stata anche suffragata dal Ministero dell’Istruzione — anche in virtù della presenza dei fornitori nel catalogo dei fornitori di servizi cloud per la PA qualificati da AgID — in una nota e, in seguito, nella pagina tematica sul proprio sito web, oggi non più raggiungibile ma ugualmente rinvenibile al seguente link. Per di più, la decisione di adottare i servizi forniti da Google (nello specifico G Suite for Education, poi divenuta Google Workspace for Education) è stata presa anche in ragione della semplicità di adottare misure che rendessero più sicure, oltre che istituzionalizzate, le attività didattiche in forma digitale. In definitiva, per le ragioni sopra esposte non si è ravvisato un rischio di monitoraggio sistematico su larga scala di soggetti vulnerabili mediante l’utilizzo di tali sistemi, il cui impiego è stato esclusivamente volto all’esercizio delle attività didattico-formative. Di conseguenza, la presente istituzione scolastica , in qualità di titolare del trattamento, non ha effettuato una valutazione d’impatto sulla protezione dei dati relativamente ai trattamenti oggetto della richiesta. 3) Copia degli atti riportanti le misure tecniche previste ed adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023. Come già affermato, nell’utilizzo delle piattaforme di didattica a distanza e didattica digitale integrata abbiamo adottato, sulla base delle competenze di cui disponiamo, le impostazioni più stringenti in materia di protezione e sicurezza dei dati, volte a ridurre al minimo il rischio di impiego di nuove soluzioni tecnologiche particolarmente invasive della riservatezza degli interessati. Tali piattaforme sono state dunque esclusivamente utilizzate per le finalità di natura didattico-formativa proprie dell’istituzione scolastica , ai sensi dei principi di limitazione delle finalità e minimizzazione dei dati di cui all’art. 5 del RGPD e nell’alveo del processo di responsabilizzazione del titolare del trattamento di cui all’art. 24 del RGPD. Detto ciò, la richiesta di supposti atti che riportino tali misure appare eccessivamente generica in quanto non va a individuare con precisione la documentazione richiesta, risultando dunque connotata da un carattere meramente esplorativo. 4) Copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. In merito all’utilizzo delle piattaforme abilitanti didattica a distanza e didattica digitale integrata, comprendenti servizi di posta elettronica, messaggistica e videoconferenza, nel corso del corrente anno scolastico 2022-2023, l’istituzione scolastica , sulla base delle prime indicazioni da parte del Ministero dell’Istruzione, che escludono il ricorso alla didattica digitale integrata per gli alunni positivi al Sars-CoV-2 per il venir meno degli effetti della normativa emergenziale, ha stabilito di non utilizzarle. Valutazioni analoghe a quelle espresse al punto 2 sono state fatte per quanto riguarda il registro elettronico e i servizi forniti da Argo Software, del quale è possibile consultare la documentazione (politiche sulla protezione e sulla sicurezza dei dati, responsabilità condivisa, qualità e sicurezza delle informazioni) che alleghiamo alla presente. 5) Copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023. Come affermato nel precedente punto, l’istituzione scolastica non utilizzerà le piattaforme abilitanti didattica a distanza e didattica digitale integrata, comprendenti servizi di posta elettronica, messaggistica e videoconferenza, nell’A.S. 2022-2023. Per quanto riguarda il registro elettronico, invece, come Amazon Web Services, selezionato da Argo Software, fornitore di tale servizio, come cloud service provider della propria infrastruttura, sia ancora oggi presente nel catalogo dei fornitori di servizi cloud qualificati da AgID. Venendo alla valutazione di impatto del trasferimento dei dati all’estero nel caso di eventuale trasferimento dei dati verso paesi terzi, vale a dire al di fuori dello Spazio economico europeo, siamo al corrente delle criticità scaturite successivamente alla decisione della Corte di Giustizia dell’Unione Europea sul cosiddetto caso Schrems II, nello specifico per quanto riguarda i trasferimenti verso gli Stati Uniti d’ America, il cui ordinamento non fornirebbe le stesse garanzie di quello europeo riguardo la tutela dei dati personali, in particolare per quanto riguarda le norme che permettono alle autorità di intelligence di accedere ai dati personali detenuti dalle aziende statunitensi per ragioni di sicurezza nazionale. Come affermato dal Garante per la protezione dei dati personali, ‘i titolari del trattamento che utilizzino clausole contrattuali tipo sono tenuti a verificare, caso per caso e, ove opportuno, in collaborazione con il destinatario dei dati nel paese terzo, se la legislazione del paese terzo garantisca un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello vigente nello Spazio economico europeo”. Senza entrare nel merito di una questione che può essere realisticamente risolta soltanto dai legislatori, va ricordato che l'art. 49, par. 1 del RGPD ammette alcune deroghe per il trasferimento dei dati all’estero in assenza di garanzie adeguate. Tra queste vi è il caso in cui esso sia necessario per la conclusione o l'esecuzione di un contratto stipulato tra il titolare del trattamento e un'altra persona giuridica a favore dell'interessato, come nel caso della suite fornita da Argo, sulla quale si basa l’intera attività amministrativa scolastica , che permette agli alunni di ricevere istruzione e formazione in tale ambito. Come detto in precedenza, tuttavia, qualora dalle autorità competenti dovessero pervenire chiare indicazioni in relazione allo svolgimento della valutazione sull’impatto sul trasferimento dei dati all’estero (ricordiamo che tale valutazione non è prevista dal RGPD, ma si tratta di un atto non formalizzato che trova origine in un’interpretazione delle linee guida 05/2021 del Comitato europeo per la protezione dei dati), ci riserviamo di valutare, insieme al responsabile della protezione dei dati, la possibilità di includere un’analisi sui rischi dell'eventuale trasferimento di dati personali verso gli Stati Uniti nell’ambito di una futura valutazione d’impatto sulla protezione dei dati relativa all'impiego di tali sistemi. 6) Copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023. Con riferimento alla documentazione richiesta, siamo al corrente di quanto disposto dall’art. 68 del D.Lgs. n. 82 del 07/03/2005 (“Codice dell’ Amministrazione Digitale”), che dà alle pubbliche amministrazioni la possibilità di acquisire programmi informatici, tra cui anche software di tipo proprietario mediante ricorso a licenza d’uso e fruibile in cloud computing, a seguito di una valutazione comparativa di tipo tecnico-economica. Nel caso delle piattaforme abilitanti sistemi di didattica a distanza e didattica digitale integrata, comprendenti servizi di posta elettronica, messaggistica e videoconferenza, queste sono state — e continuano a essere — fornite gratuitamente dai fornitori e scelte, come già affermato, sulla base delle indicazioni rese dal Ministero dell’Istruzione anche in virtù delle garanzie di questi ultimi in merito ai livelli di sicurezza e alla conformità alla normativa in materia di protezione dei dati personali. Inoltre, venendo ai termini temporali della richiesta, che si riferisce all’ AS. 2022-2023, si sottolinea come, essendo 1 contratti ancora in essere, non si è ritenuto necessario procedere a una valutazione comparativa. IL DIRIGENTE SCOLASTICO [omissis]