@     T°

                                  ISTITUTO     COMPRENSIVO      STATALE
                                               “PETRARCA”
                          Piazza C. BATTISTI n. 33 - 52025 Montevarchi (AR )
                 Segreteria Tel. 055 9108401 - C.F. 81003670510 — COD. UNIV.UF6C90
               Sito: www.comprensivopetrarca.edu.it E-mail: aric81100b@istruzione.it        /
                                      aric81100b@pec.istruzione.it
                                                 SV Ù So



                                                               AI Sig.      Fabio   Pietrosanti,

                                                               con domicilio digitale all'indirizzo
                                                               Pec:   comunicazioni@pec.monitora-pa.it


                                                               p.c.    Al    Direttore   Generale     Ufficio
                                                               Scolastico     Regione Toscana
                                                               Pec: drto@postacert.istruzione.it


 Oggetto:   Risposta   Accesso   civico generalizzato

A seguito    della Sua istanza del 19/09/2022 trasmessa via PEC, ns. protocollo n.11382/E del
             nella quale richiedeva l’accesso a vari documenti ai sensi dell'art. 5 del D. Lgs.
 n. 33 del 2013 siamo con la presente a dare riscontro e rispondere alle sue n. 6 domande,
 procedendo con ordine.

RICHIESTA N. 1: "copia del contratto o altro atto giuridico il forza del quale l’Istituto
Scolastico  in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica,
messaggistica,   videoconferenza, didattica a distanza, didattica digitale integrata,
registro elettronico, relativamente agli anni scolastici 2020/2021,         2021/2022,
2022/2023”

Non essendo esplicitato puntualmente il documento richiesto si ritiene di comunicare quanto
segue:
 1. Posta elettronica: i servizi adottati sono sotto dominio @istruzione.it e @pec.istruzione.it
     così come forniti a questo Istituto dal Ministero Istruzione Università e Ricerca;
 2. Messaggistica: Il nostro Istituto ha, sentito il parere del precedente  [omissis] e
     dell'attuale  [omissis] deciso di non utilizzare alcun sistema di messaggistica diretta,
     fatto salvo il sistema contenuto all’interno della piattaforma Registro Elettronico fornito da
     Axios Italia Service S.r.l.;
 3. DAD e DDI e posta elettronica diversa da @istruzione.it: l'istituto ha utilizzato la
     piattaforma:
          o   Google Workspace for education (Google Ireland Limited, stabilito in Irlanda, sede:
              Gordon House, Barrow Street, Dublin 4, Ireland) della quale è presente idonea
              documentazione nella sezione Amministrazione trasparente, comprensiva del
             contratto;
 4,   Registro elettronico; l'istituto ha utilizzato la piattaforma:
          o   Axios Italia Service S.r.l. della quale è presente idonea documentazione nella
              sezione Amministrazione trasparente del nostro sito; Axios Italia Service S.r.l. ha
              peraltro già messo a disposizione all'istante i link dove reperire il testo integrale dei
              contratti nonché le correlate policy di sicurezza alle quali si rimanda;

 In riferimento ai punti 3 e 4, dal momento che la richiesta dei documenti è in forma generale,
 si ritiene che i documenti che meglio possano soddisfare l'interesse generale del richiedente
 siano:
 -    Il contratto di servizio della piattaforma utilizzata;
 -   Determine di spesa, atti già sottoposti    a pubblicazione   obbligatoria   in Amministrazione
     Trasparente del sito web scolastico  ;




RICHIESTA    N. 2: "copia della valutazione d'impatto della protezione dei dati
(DPIA) effettuata dall'Istituto Scolastico  in indirizzo nell'ambito dell'utilizzo di un
servizio on line di videoconferenza o di una           piattaforma    che  consenta.   il
monitoraggio    sistematico    degli   utenti,  negli   anni   scolastici  2020/2021,
2021/2022”

Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria
come da provvedimento del Garante del 26 marzo 2020 "/a valutazione di impatto, che l'art.
35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento
effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni
peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di
aggravarne i rischi per i diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata
proprio alla valutazione d'impatto, i/ Garante ha precisato che: si evidenzia come le espressioni
trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti,
soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6,
11 e 12 sono riconducibili al criterio della "larga scala".

Inoltre, la possibile divulgazione della documentazione relativa a tutte le contromisure adottate
esporrebbe l’amministrazione ad un immotivato, ingiustificato rischio di sicurezza. La conoscenza
delle contromisure, infatti, inficia l'efficacia delle stesse riportando quel rischio che cercano di
mitigare a livelli inaccettabili e non conformi all'art. 32 del GDPR 679/2016 che recita: “Il titolare
del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative
adeguate per garantire un livello di sicurezza adeguato al rischio”.
La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile

 Per quanto sopra non è necessario fornire alcun documento. Tuttavia il nostro Istituto ha
 provveduto in data 19/03/2020 alla redazione della valutazione d'impatto della protezione dei
 dati (DPIA) relativamente all'utilizzo della piattaforma didattica on line Google Workspace for
 education, che alleghiamo alla presente, emendata nelle parti riportanti dati personali o dati
 che potrebbero esporre in nostro Istituto alla diffusione di informazioni riservate, atte a
 garantire la sicurezza degli strumenti e dei sistemi di protezione adottati. Va qui inoltre
 ricordato che la piattaforma prescelta risulta essere tra quelle qualificate nel catalogo redatto
 da AGID, già dal 27/11/2019 come riportato all'indirizzo
 https://catalogocloud.agid.gov.it/service/690


RICHIESTA N. 3: "copia degli atti riportanti le misure tecniche previste ed adottate
nell'istituto scolastico  in indirizzo per attivare i soli servizi strettamente necessari
alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino
servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni
scolastici 2020/2021, 2021/2022, 2022/2023”

Essendo la sua richiesta generale si forniscono i documenti seguenti riportanti le misure
tecniche adottate dall'istituto scolastico :
    -   Regolamento Didattica Digitale Integrata e Didattica a Distanza deliberato dal Consiglio
        d'Istituto;
    -   Istruzioni Didattica Digitale Integrata e Didattica a Distanza fornite al personale e alle
        famiglie;
    -   Misure Tecniche DaD e DDI.
    -   Misure minime per la sicurezza ICT redatta dal DPO  [omissis]    N. 4: "copia della valutazione d’impatto della protezione dei dati
 (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle
 piattaforme     di posta    elettronica, messaggistica, videoconferenza, didattica a
 distanza,   didattica  digitale integrata,   registro elettronico, adottate nell’anno
 scolastico    2022/2023     dall'Istituto in indirizzo”

 Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria con
 riferimento al provvedimento del Garante del 26 marzo 2020 “"/a valutazione di impatto, che
 l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il
 trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti
 in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche
 suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. ”,
 Sul punto, nella pagina dedicata proprio alla valutazione d'impatto, i/ Garante ha precisato
 che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate
 nell'elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a
 valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala".
 Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”,
 elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con
 riferimento alla singola scuola.
 Per quanto    riportato   non è possibile fornire alcun documento.

 RICHIESTA N. 5: “copia della valutazione di impatto del trasferimento dei dati
 all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero
 che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il
 funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza,
 didattica a distanza, didattica digitale integrata, registro elettronico, adottati
 nell’anno scolastico  2022/2023 dall'Istituto in indirizzo”

Si premette che l’Istituto scolastico  nel periodo di emergenza pandemica, al fine di garantire lo
svolgimento delle funzioni istituzionali nell'interesse pubblico, ha utilizzato piattaforme
Certificate AGID e/o suggerite dal Ministero dell'Istruzione sul proprio sito, per le quali il rischio
per l'utilizzo doveva essere calcolato a monte, pena la revoca delle Certificazioni. L'Istituto ha
provveduto alla verifica dell'utilizzo delle Piattaforme, per le sole finalità didattiche, limitandone
l'uso per mezzo di opportune configurazioni e procedure.
Per l'anno scolastico  in corso, le indicazioni ricevute dal Ministero dell'Istruzione non prevedono
l'utilizzo di piattaforme per erogare i servizi di istruzione a distanza.
Terminate le intense attività di avvio dell’anno scolastico  in corso che prevedono la didattica in
presenza si effettueranno/ri-effettueranno analisi come la valutazione di impatto TIA, attività
correlata alla più ampia e dettagliata analisi dei rischi per la definizione di una struttura
organizzativa ai sensi dell'art. 32 del GDPR 679/2016 prevede una formalizzazione della stessa
dopo attenta valutazione di elementi che investono il contesto internazionale (sentenza
Schrems II, Privacy Shield, Privacy Shield 2), ed un profonda ed attenta analisi anche di
elementi che se correttamente applicati eliminano l'impatto privacy del trattamento dati
attraverso piattaforme con basi dati residenti all'estero come la pseudonomizzazione, la
crittografia e le procedure di utilizzo.
L'istituto ritiene, in attesa di indicazioni ministeriali, di utilizzare piattaforme di uso generalista
pseudonomizzando gli account e gli indirizzi mail, e di non trattare alcun dato personale in esse,
ponendo limiti all'uso solo al fine didattico.
Per questo motivo l'uso di suddette piattaforme, scevre dalla presenza di dati personali, non
necessita di valutazione TIA (la Valutazione d'impatto sul trasferimento dati personali extra UE
presuppone che ci sia la presenza di dati personali, presenza venuta meno attraverso la tecnica
della pseudonimizzazione).




 RICHIESTA N. 6: “copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs.
 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di
 posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica
digitale integrata, registro     elettronico,   adottate   nell’anno   scolastico    2022/2023
dall'Istituto in indirizzo”

La valutazione comparativa è richiesta per l’anno corrente. Non si è giunti ancora al rinnovo
dei contratti relativi a piattaforme già in uso, e nemmeno si sono acquistate nuove piattaforme.
Per questo   non è possibile fornire alcun documento.




                                                                Il Dirigente Scolastico