Tel. 091640445 Fax. 09165402684 Cod, Fisc; 7144890820. Cod, IPA Codice Meccanografico: PA E-mail pais00800|@istruzione.it Pee Via E 14 - 90046 MONREALI uni URTI WWW. ISDbasiledaleo eau, I RT G \ \ MOSA N n |.1.5,- "E, BASILE-D'ALEO"MONREALE Prot. 0012116 del 19/10/2022 | (scita) AI sig. Fabio Pietrosanti comunicazioni @pec.monitora-pa.it Oggetto: Riscontro istanza di accesso civico generalizzato presentato dal Sig. Fabio Pietrosanti in data 20.09.2022 ai sensi dell’art. 5, comma 2 del d.lgs. 14 marzo 2013, n. 33 IL DIRIGENTE SCOLASTICO Visto l’art. 25 d.lgs. n. 165/2001, Vista la L. n. 241/1990; Visti gli art. 5 e ss. del d.lgs. n. 33/2013; Vista l'istanza pervenuta il 20.09.2022 avente ad oggetto “Richiesta di accesso civico generalizzato”, con la quale è stato richiesto l’accesso civico generalizzato, ai sensi dell’art. 5 del d.lgs. n. 33/2013 ai seguenti documenti: 1. copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 6. copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, Tel. 091640445 Fax. 0915402658 Cod, Fisc: 97144850820. Cod, IPA Codice Meccanografico: FÉ E-mail pais00800|@istruzior Pac ISTITUTO DI ISTRUZIONE SUPERIORE | LICEO ARTISTICO sfalmto, MV Me Sas eda OE didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; Premesso che l’accesso generalizzato, previsto dall’art. 5, comma 2, del d.lgs. n. 33/2013, presenta la dichiarata finalità di favorire il controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all'attività amministrativa; Considerato che l'istanza di accesso civico generalizzato è suscettibile di rigetto in ragione dei limiti previsti dall’art. 5 bis, commi 1, 2 e 3, del d.lgs. n. 33/2013 a tutela di interessi pubblici e privati; Vista la nota dell'Ufficio Scolastico Regionale per la Sicilia assunta al prot. 9800 del 17.10.2022; Valutato il merito della suddetta istanza di accesso civico generalizzato; Ciò premesso, in risposta alle Sue richieste, comunica quanto segue: In merito al punto 1) parziale accoglimento della richiesta limitatamente ai contratti relativi al registro elettronico per i quali si rimanda alla sezione Amministrazione Trasparente di questo istituto raggiungibile al seguente link: h :L/tr renza-pa.net/? li=SG25484&node=140784 Per tutte le altre richieste l’accesso viene negato per i seguenti motivi: - Le stesse risultano troppo onerose, coinvolgendo servizi erogati anche da altri enti pubblici e amministrazioni con cui la scuola interagisce (come l’amministrazione centrale del Ministero dell’Istruzione). Inoltre, la richiesta copre un periodo di tre anni scolastici, con la conseguenza di apparire esorbitante rispetto allo scopo e rischiando di cagionare una paralisi alla già complessa attività scolastica , con conseguenze in termini di costo organizzativo e buon funzionamento degli uffici di segreteria. - in relazione alla posta elettronica istituzionale, gli istituti usufruiscono in concessione di una casella di posta elettronica PEO e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. Pertanto, questo Istituto non può quindi accogliere la sua richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola. - Per quanto attiene alla piattaforma DAD o DID nessun contratto o atto giuridico è stato stipulato stante la gratuità del servizio reso dalla piattaforma digitale di cui si è avvalsa l’Istituto. In riferimento al punto 2), si segnala che, con provvedimento del 26 marzo 2020, il Garante per la Protezione dei Dati Personali ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, l'Autorità Garante, proprio con riferimento alle DPIA, ha così affermato: “/a valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati”. Tel, 091640445 Fax. 0916540258 Cod, Fisc, 9716548908; Cod. IPA Codice Meccanografico: FÉ E-mail pais0t0800|@istruzior Pac| use na DADA. ISTITUTO DI ISTRUZIONE SUPERIORE | LICEO ARTISTICO glia, Via Ji Giordano 14 - 90046 MONREALE a riti i VA MAS EC Con il citato provvedimento, il Garante, senza derogare all'applicazione del GDPR per i pur gravi motivi emergenziali, ha inteso semmai fornire interpretazioni e precisazioni utili a comprendere il corretto approccio alla didattica a distanza in vista della sua massiva adozione, evitando così il frammentarsi delle prassi. Si aggiunge inoltre che, ai sensi dell’art. 35 del GDPR, la valutazione d’impatto riguarda non già la singola scuola bensì, prevalentemente, autorità o enti pubblici per progetti su scala ampia e per i trattamenti indicati nell’elenco che l’Autorità di controllo redige e rende pubblico. Pertanto, anche sotto questo ultimo aspetto, la richiesta contenuta nel punto in esame non è accoglibile. In merito al punto 3, si rappresenta che l’Istituto non fa uso di applicativi aggiuntivi. Sulla base dell’orientamento espresso dalla giurisprudenza amministrativa e dall’ANAC, l’istanza di accesso civico identifica i dati, le informazioni o i documenti che si desidera richiedere, pertanto la richiesta de qua risulta, nello specifico, non conforme a siffatto orientamento, essendo priva di quella necessaria concretezza che consentirebbe a questa amministrazione pubblica di individuare e circoscrivere esattamente i documenti oggetto dell'accesso. In via incidentale, si evidenzia altresì che la richiesta, per la sua genericità ed ampiezza e per il suo carattere “esplorativo”, involge profili tecnici riguardanti il livello di informatizzazione e le relative misure di sicurezza della scuola, ossia informazioni la cui eventuale “automatica divulgazione” potrebbe anche arrecare un concreto ed ingiusto pregiudizio alla protezione dei dati personali trattati da questa istituzione pubblica (cfr. d.lgs. n. 33/2013, art. 5-bis, comma 2, lett.b). Per le suddette motivazioni la richiesta non è accoglibile. In riferimento al punto 4), si osserva che i casi in cui è richiesta una valutazione d'impatto sulla protezione dei dati (DPIA) sono quelli stabiliti dall’art. 35 del Regolamento UE 679/2016 (GDPR) e tra essi non rientrano quelli ai quali si riferisce la richiesta di accesso in esame. Inoltre, il Garante Privacy ha pubblicato altresì un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA e, tra questi, non sono presenti quelli da citati nell’istanza di accesso. Al riguardo, si segnala che il riferimento ai “minori” contenuto nel medesimo elenco al numero 6 (Trattamenti non occasionali di dati relativi a soggetti vulnerabili), deve essere letto ed interpretato alla luce delle precisazioni svolte, in merito, dall’Autorità Garante, che nella pagina dedicata proprio alla valutazione d'impatto ha precisato quanto segue: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "/arga scala". In altri termini, la presenza di un trattamento di dati personali relativi a minori non richiede, di per sé, una DPIA che, viceversa, diventa obbligatoria solo se quel trattamento viene effettuato su “larga scala”, elemento questo, che tornando al citato provvedimento del Garante Privacy (vedi sopra punto 2) non è configurabile con riferimento alla singola scuola. La richiesta, pertanto, non è accoglibile. In riferimento al punto 5), come già indicato nel riscontro alla richiesta di cui al punto 1), le software house sono scelte a livello Ministeriale. L'eventuale necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. Tel. 0916404450 - Fax. 09165402688 Cod, Fisc, 9716548908; Cod. IPA Codice Meccanografico: FÉ 3 E-mail pais 00800 mae nnt PRA ISTITUTO DI ISTRUZIONE SUPERIORE LICEO ARTISTICO sfiato, Via Biagio Giordano 14 - 90044 MONREALE (P AI. O MONRIALI i www.isbasiledaleo.edu.it | ARTI FIGURATIVE MOSAICO tr L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non nella disponibilità della scuola. Per quanto concerne i servizi relativi alla Piattaforma DDI (Messaggistica, videoconferenza, etc.), si rappresenta che anche in questo caso la valutazione di impatto sulla protezione dei dati (DPIA) non ricade in questa ipotesi, e ciò in quanto gli istituti scolastici non effettuano trattamenti automatizzati (punto a art. 35, comma 3 GDPR), né su larga scala (punto b, art. 35 comma 3 GDPR) né sistematici (punto c art. 35, comma 3 GDPR). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. In riferimento al punto 6), si rileva che la normativa, che regola gli acquisti da parte delle scuole, richiama non solo l'applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Monreale, 19 ottobre 2022 Il Dirigente Scolastico [omissis] (Firmato digitalmente ai sensi del D.Igs. 82/2005)