ISTITUTO COMPRENSIVO STATALE “Giovanni XXIII” DAL AI Sig. Fabio Pietrosanti, con domicilio digitale all'indirizzo Pec: comunicazioni@pec.monitora-pa.it p.c. AI Direttore Generale Ufficio Scolastico Regione Toscana ARIC81600E - AOD6ECO - REGISTRO PROTOCOLLO - 0010229 - 20/12/2022 - 11.5 - U Pec: drto@postacert.istruzione.it | OGGETTO: Risposta Accesso civico generalizzato A seguito della Sua istanza di accesso civico generalizzato, ai sensi dell’articolo 5 del Decreto Legislativo n. 33 del 2013 del 19/09/2022 trasmessa via PEC, ns. protocollo n. 6207 del 20/09/2022 nella quale richiedeva l’accesso a vari documenti come sotto in dettaglio, con la presente, considerata la comunicazione dell’Ufficio Scolastico Regionale della Regione Toscana, protocollo 0018850 del 01/12/2022, siamo con la presente a integrare il precedente invio, da noi effettuato in data 19/10/2022 con protocollo n. 7305, con il seguente riscontro e integrazione, teso ad accogliere la Sua istanza ove pertinente con la nostra organizzazione In merito quindi alle sue n. 6 domande, procedendo con ordine: RICHIESTA N. 1: “copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023" Non essendo esplicitato puntualmente il documento richiesto si ritiene di comunicare quanto segue: 1. Posta elettronica: i servizi adottati sono sotto dominio @istruzione.it e @pec.istruzione.it così come forniti a questo Istituto dal Ministero Istruzione Università e Ricerca; Sono inoltre utilizzati servizi di gestione mail acquistati con Determina dall’ISP ARUBA S.p.A. (a seguire le determine presenti in Amministrazione trasparente) Determina per rinnovo abbonamento dominio icterranuova.edu.it Allegato 7A Settembre 2022 - https://nuvola.madisoft.it/bacheca-digitale/3179/documento/ARIC81600E/1 Determina per rinnovo abbonamento dominio icterranuova.edu.it Allegato 7B Giugno 2022 - https://nuvola.madisoft.it/bacheca-digitale/3111/documento/ARIC81600E/1 Determina per rinnovo abbonamento dominio icterranuova.edu.it Allegato 7C Giugno 2021 - https://nuvola.madisoft.it/bacheca-digitale/771/documento/ARIC81600E/1 2. Messaggistica: Il nostro Istituto ha, sentito il parere del precedente [omissis] e dell’attuale [omissis] deciso di non utilizzare alcun sistema di messaggistica diretta, fatto salvo il sistema contenuto all’interno della piattaforma Nuvola fornito dalla società Madisoft S.p.A. che consente la gestione dell’orario scolastico , gestione dei colloqui, presa visione dei voti, degli scrutini, richieste via web di certificati e documenti, pubblicazione dei documenti di valutazione digitali, o sulla bacheca personale degli alunni e delle famiglie. Il Responsabile: TEL. 055-973083 Referente: e-mail: aric81600e@istruzione.it Aric81600e@istruzione.it COD. FISC. 81005170519 / Cod. Univoco UFN89A | Aric81600e @istruzione.it COD. MECC. ARIC81600E Firmato digitalmente da LUISELLA ORSINI personale della scuola può visualizzare i propri dati contabili, di servizio e delle assenze. In merito allo strumento di messaggistica Whatsapp il nostro Istituto, avendo adottato la piattaforma Nuvola della società Madisoft che offre strumenti alternativi, ne scoraggia l’utilizzo da parte del personale e non favorisce ne permette la partecipazione al personale a gruppi di classe o di Istituto. Esula tuttavia dal controllo del nostro Istituto la creazione o l’utilizzo di Gruppi whatsapp tra studenti o tra famiglie degli studenti ai quali, comunque, viene ribadita l’estraneità della scuola e del suo personale DAD e DDI e posta elettronica diversa da @istruzione.it: l'istituto ha utilizzato la piattaforma: o Google Workspace for education (Google Ireland Limited, stabilito in Irlanda, sede: Gordon House, Barrow Street, Dublin 4, Ireland) della quale è presente idonea documentazione nella sezione ARIC81600E - AOD6ECO - REGISTRO PROTOCOLLO - 0010229 - 20/12/2022 - 11.5 - U Amministrazione trasparente, comprensiva del contratto in revisione 21/12/2020; o L'Istituto ha pubblicato sul proprio sito internet delle Istruzioni per studenti e famiglie come segue: =» Llaprivacytra i banchi di scuola Allegato 3A =» Netiquette per insegnanti e studenti Allegato 3B =» Social Privacy come tutelarsi nell’era dei social Allegato 3C = Vademecumla scuola a prova di privacy Allegato 3D =» Informativa trattamento dati personale docente e ATA Allegato 3E =» InformativaFamiglie Allegato 3 F = Informativasito istituzionale Allegato 3G = Informativa privacy e utilizzo G-Suite Allegato 3H Le suddette informative sono presenti al link https://www.icterranuova.edu.it/index.php?option=com_content&view=article&id=6&Itemid=160 Sono inoltre utilizzati servizi di gestione mail acquistati con Determina dall’ISP Aruba S.p.A. come indicati al capo 1 del presente paragrafo. Registro elettronico; l’istituto utilizza la piattaforma: o Nuvola fornito dalla società Madisoft S.p.A., Via G. Falcone 5, Casette Verdini - Pollenza (MC), contattabile per email info@madisoft.it della quale è presente idonea documentazione nella sezione Amministrazione trasparente del nostro sito all’indirizzo: https://nuvola.madisoft.it/bacheca- digitale/bacheca/ARIC81600E/4/IN_PUBBLICAZIONE/2fede275-9324-4cb6-81ee-648776b6a644/show o Madisoft S.p.A. ha messo a disposizione le correlate policy di sicurezza come dettagliato a seguire; o inallegato alla presente: =» Nomina Responsabile trattamento ex Art. 28 Reg. UE 2016/679, prot. 0008199 del 02/12/2021 Allegato 1B =» Policydisicurezza portale Nuvola Allegato 1A = Determina rinnovo annuale per il periodo 2021/2022 del Registro elettronico di Nuvola - Madisoft Allegato 1C = Determina rinnovo annuale per il periodo 2021/2022 del software amministrazione digitale di Nuvola - Madisoft Allegato 1D = Allegato AEstratto del Registro dei trattamenti di Madisoft - Nuvola Allegato 1E = AllegatoBelenco sub responsabili Madisoft - Nuvola Allegato 1F = AllegatoC policy perla restituzione e cancellazione dei dati Madisoft - Nuvola Allegato 1G =» Terminie condizioni contrattuali Madisoft - Nuvola Allegato 1H Responsabile: TEL. 055-973083 Referente: e-mail: aric81600e@istruzione.it Aric81600e@istruzione.it COD. FISC. 81005170519 / Cod. Univoco UFN89A | Aric81600e @istruzione.it COD. MECC. ARIC81600E Firmato [omissis] N. 2: “copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell'ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022” Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria come da provvedimento del Garante del 26 marzo 2020 “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d’impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga ARIC81600E - AOD6ECO - REGISTRO PROTOCOLLO - 0010229 - 20/12/2022 - 11.5 - U scala". Inoltre, la possibile divulgazione della documentazione relativa a tutte le contromisure adottate esporrebbe l'’amministrazione ad un immotivato, ingiustificato rischio di sicurezza. La conoscenza delle contromisure, infatti, inficia l'efficacia delle stesse riportando quel rischio che cercano di mitigare a livelli inaccettabili e non conformi all’art. 32 del GDPR 679/2016 che recita: “Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile. Per quanto sopra non è necessario fornire alcun documento. Va qui inoltre ricordato che la piattaforma prescelta, Google Workspace for education, risulta essere tra quelle qualificate nel catalogo redatto da AGID, già dal 27/11/2019 come riportato all'indirizzo https://catalogocloud.agid.gov.it/service/690 RICHIESTA N. 3: “copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023” Essendo la sua richiesta generale si forniscono i documenti seguenti riportanti le misure tecniche adottate dall'istituto scolastico : = Regolamento DDI Allegato 6A = Regolamento BYOD Allegato 6B = Regolamento per utilizzo G-Suite docenti Allegato 6C | documenti sono altresì reperibili all'indirizzo https://www.icterranuova.edu.it/index.php?option=com_phocadownload&view=category&id=23&Itemid=123 Ovviamente quanto qui indicato integra quanto già esposto alla risposta alla richiesta n. 1 e i documenti lì menzionati costituiscono parte integrante della presente risposta. Responsabile: TEL. 055-973083 Referente: e-mail: aric81600e@istruzione.it Aric81600e@istruzione.it COD. FISC. 81005170519 / Cod. Univoco UFN89A | Aric81600e @istruzione.it COD. MECC. ARIC81600E Firmato [omissis] N. 4: “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Come da Lei stesso ricordato nella premessa alla sua richiesta, la DPIA non è obbligatoria con riferimento al provvedimento del Garante del 26 marzo 2020 ““la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati”. Sul punto, nella pagina dedicata proprio alla valutazione d’impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'elenco delle tipologie di trattamenti, ARIC81600E - AOD6ECO - REGISTRO PROTOCOLLO - 0010229 - 20/12/2022 - 11.5 - U soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. Per quanto riportato non è possibile fornire alcun documento. RICHIESTA N. 5: “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo” Si premette che l’Istituto scolastico nel periodo di emergenza pandemica, al fine di garantire lo svolgimento delle funzioni istituzionali nell’interesse pubblico, ha utilizzato piattaforme Certificate AGID e/o suggerite dal Ministero dell’Istruzione sul proprio sito, per le quali il rischio per l’utilizzo doveva essere calcolato a monte, pena la revoca delle Certificazioni. L'Istituto ha provveduto alla verifica dell'utilizzo delle Piattaforme, per le sole finalità didattiche, limitandone l’uso per mezzo di opportune configurazioni e procedure. Per l’anno scolastico in corso, le indicazioni ricevute dal Ministero dell’Istruzione non prevedono l'utilizzo di piattaforme per erogare i servizi di istruzione a distanza. Terminate le intense attività di avvio dell’anno scolastico in corso che prevedono la didattica in presenza l’istituto sta valutando la necessità di procedere con analisi come la valutazione di impatto TIA, attività correlata alla più ampia e dettagliata analisi dei rischi per la definizione di una struttura organizzativa ai sensi dell’art. 32 del GDPR 679/2016 prevede una formalizzazione della stessa dopo attenta valutazione di elementi che investono il contesto internazionale (sentenza Schrems II, Privacy Shield, Privacy Shield 2 e attuale documento in Draft circa l’adequacy decision on EU-US Data Privacy Framework_0 In fase di analisi e/o approvazione), ed un profonda ed attenta analisi anche di elementi che se correttamente applicati eliminano l'impatto privacy del trattamento dati attraverso piattaforme con basi dati residenti all’estero come la pseudonomizzazione, la crittografia e le procedure di utilizzo. L'istituto ritiene, in attesa di indicazioni ministeriali, di utilizzare piattaforme di uso generalista pseudonomizzando gli account e gli indirizzi mail, e di non trattare alcun dato personale in esse, ponendo limiti all'uso solo al fine didattico. Per questo motivo l’uso di suddette piattaforme, scevre dalla presenza di dati personali, non necessita di valutazione TIA (la Valutazione d’impatto sul trasferimento dati personali extra UE presuppone che ci sia la presenza di dati personali, presenza venuta meno attraverso la tecnica della pseudonimizzazione). Responsabile: TEL. 055-973083 Referente: e-mail: aric81600e@istruzione.it Aric81600e@istruzione.it COD. FISC. 81005170519 / Cod. Univoco UFN89A | Aric81600e @istruzione.it COD. MECC. ARIC81600E Firmato [omissis] N. 6: “copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” La valutazione comparativa è richiesta per l’anno corrente. Non si è giunti ancora al rinnovo dei contratti relativi a piattaforme già in uso, e nemmeno si sono acquistate nuove piattaforme. Per questo non è possibile fornire alcun documento. ARIC81600E - AOD6ECO - REGISTRO PROTOCOLLO - 0010229 - 20/12/2022 - 11.5 - U IL DIRIGENTE SCOLASTICO II documento è firmato digitalmente ai sensi del D.Lgs. 82/2005 s.m.i. e norme collegate e sostituisce il documento cartaceo e la firma autografa Responsabile: TEL. 055-973083 Referente: e-mail: aric81600e@istruzione.it Aric81600e@istruzione.it COD. FISC. 81005170519 / Cod. Univoco UFN89A Aric81600e @istruzione.it COD. MECC. ARIC81600E Firmato digitalmente da LUISELLA ORSINI