ISTITUTO COMPRENSIVO “Margaritone” VIA A. TRICCA,19 —- 52100 AREZZO telefono 0575/20112 —- fax 0575/401259 NU ISS “GARITO, Codice IPA: istsc_aric83800b e-mail aric83800b@istruzione.it pec: aric83800b@ pec.istruzione.it Wwww.icmargaritonearezzo.edu.it Al Sig. Fabio Pietrosanti comunicazioni@pec.monitora-pa.it e p.c. Al Direttore Generale dell’USR della Toscana [omissis] drto@postacert.istruzione.it Oggetto: risposta Accesso civico generalizzato ai sensi dell'art. 5 e segg. del D.lgs 33/2013. A seguito della Sua istanza del 19/09/2022, trasmessa via PEC il 20/09/2022, nella quale richiedeva l’accesso a tutta una serie di documenti ai sensi dell’art. 5 del D. Lgs. n. 33 del 2013 con la presente siamo a dare riscontro. La richiesta formulata non presenta indicazione di motivazione di un interesse conoscitivo, ma, come asserito dal richiedente, ha la sola finalità di costituire una banca dati per l’utilizzo successivo ed eventuale, da parte di non meglio definiti studiosi ed esperti della privacy e del software libero. Nel corso dell’istruttoria conseguente alla richiesta sono stati considerati: 1) - il Consiglio di Stato, sez. III, 25.01.2021 n. 495: “se da un lato l’interesse alla trasparenza non richiede una motivazione specifica, dall'altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all’esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi La richiesta formulata da Monitora PA pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo generico in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative, rientrando pertanto in quanto previsto dal Consiglio di Stato. 2) - il Consiglio di Stato | Sezione AP | Sentenza | 2 aprile 2020 | n. 10 ... 36.6. Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi. Ip: com.monitoraPA La richiesta in oggetto è arrivata dopo altre comunicazioni, in un limitato arco temporale, dall’associazione Monitora PA, di cui il richiedente si dichiara attivista. La prima riguardava i codici di tracciamento visite sul sito web [omissis] seconda relativa alla presenza nel sito di Google Fonts. Inoltre, l'associazione “Monitora PA” mediante una istanza comune a tutte le istituzioni scolastiche, dichiara e propaganda di aver avviato “i/ primo FOIA massivo della storia italiana”, come primo passo di una strategia che si svilupperà nei prossimi mesi. Trattasi dunque di più richieste riconducibili ad uno stesso centro di interessi in un breve arco temporale, a cui ne seguiranno altre, non finalizzate dall’effettiva esigenza di conoscenza di documenti amministrativi (tutelata dal FOIA), ma caratterizzate da mere finalità esplorative al fine di attuare una strategia di contrasto alle multinazionali informatiche (cd. GAFAM) con intenti vessatori, emulativi e pretestuosi tali per cui, secondo la sentenza del Consiglio di Stato sopra citata, è possibile e doveroso evitare e respingere. 3) La fornitura della documentazione specificamente prodotta per l’uso delle piattaforme, la TIA che ne consegue, le istruzioni agli autorizzati del trattamento dati, il regolamento per l’uso delle piattaforme non risultano, da sole, sufficienti a fornire un quadro completo, esaustivo delle misure tecniche adottate per il rispetto della privacy di cui l’Istituto si è dotato. Inoltre, la possibile divulgazione di tale documentazione esporrebbe l’amministrazione ad un immotivato, ingiustificato rischio di sicurezza, a livelli non conformi all’art. 32 del GDPR 679/2016 che recita: “Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile, e l’estrapolazione di quella richiesta comporta oneri per l’amministrazione e scarsi benefici per il richiedente per i motivi su esposti. Inoltre è già riconosciuta una più ampia tutela al cittadino dalla stessa normativa sulla privacy che impone la redazione della documentazione richiesta. 4) In base al principio di “accountability”, il titolare del trattamento dati ha la responsabilità di progettare e implementare una struttura adeguata al rischio, di cui ha l’onere della prova. Mutevoli aspetti, anche legati al contesto internazionale, indicazioni del Ministero, indicazioni dell’AgiD, provvedimenti esplicativi del Garante, devono essere considerati nell’analisi. AI titolare del trattamento, dunque, spettano responsabilità, comportamenti proattivi, monitoraggi e comportamenti adattivi. L'interesse conoscitivo che la richiesta mira a soddisfare appare strumentale a realizzare una forma di controllo generalizzato in un ambito già istituzionalmente presidiato dall'Autorità Garante della Privacy, organo di controllo previsto dalle norme a tutela del cittadino, che ne ha l’onere, la legittimità e le competenze. Non potendo il richiedente, nonostante le dichiarate intenzioni, sostituirsi all'Autorità di controllo, la richiesta di documentazione tecnica, valutabile solo nel merito, appare una immotivata richiesta di controllo generalizzato, non supportato da vero interesse conoscitivo, all'esistenza o meno della documentazione prodotta, fra l’altro di tutti gli Istituti d’Italia. 5) Si consideri inoltre la genericità e la vastità delle informazioni oggetto della richiesta. Infatti le richieste si riferiscono anche a servizi forniti dal Ministero (es. mail @istruzione.it,), a documenti che questa amministrazioni non ha l’obbligo di redigere, ad atti interni non soggetti ad acceso civico generalizzato, a documenti che necessitano di estrapolazione e decontestualizzazione dalla analisi dei rischi effettuata ai sensi dell’art. 32 del GDPR 679/2016. La documentazione non può essere fornita tal quale in formato pdf, come asserito nella richiesta, dato che va prima accuratamente esaminata onde poter “oscurare” i dati personali di tutti i soggetti coinvolti, tutelati dall’art 5-bis comma 2 d.lgs 33/2013. Inoltre in alcuni casi va anche effettuata la richiesta ai soggetti controinteressati, che potrebbero avere pregiudizio concreto di interessi economici e commerciali, ivi compresi la proprietà intellettuale, il diritto d’autore e i segreti aziendali. Tutto ciò rappresenta un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione e la richiesta di tutta questa mole di informazioni eccessivamente onerosa, comportando l’inammissibilità della richiesta di accesso civico generalizzato per le motivazioni già esposte delle sentenze del Consiglio di Stato già citate. Infine in relazione richiesta di accesso civico generalizzato in oggetto, si comunica che sono stati informati gli organi centrali del Ministero dell’Istruzione, cui è stato richiesto un parere urgente in merito. Pertanto si resta in attesa di precise disposizioni al riguardo che, quantomeno, circoscrivano i limiti concreti della necessaria istruttoria. Per le motivazioni sopra esposte si ribadisce che, allo stato attuale, non è possibile consentire l’accesso in oggetto, per come formulato. Si comunica altresì, di avere adeguatamente informato il DPO d'Istituto e il RPCT del Ministero, nella persona del Direttore Generale dell’USR Toscana, in ordine a detta circostanza. Il Dirigente scolastico [omissis] Firma autografa sostituita a mezzo stampa ai sensi dell’art.3, comma 2, del D.Lgs. 39/93