9 seNe0£7T0 1.1.5. “BENEDETTO VARCHI” Viale Matteotti, 50 52025 Montevarchi (AR) Cod. Fisc. 81004290516 Codice Ministeriale:ARISO19006 E-mail: aris019006@pec.istruzione.it aris019006@istruzione.it Tel. 055 9102774 — Fax 055 9103252Sito Web: www.isisvarchi.edu.it 1.5.1.S, - "B. VARCHI"-MONTEVARCHI AI Sig. Fabio Pietrosanti Prot. 0014040 del 18/10/2022 con domicilio digitale all’indirizzo Pec I|-3 (Uscita) comunicazioni@pec.monitora-pa.it p.c. AI Direttore Generale Ufficio Scolastico Regione Toscana [omissis] drto@postacert.istruzione.it Oggetto: Riscontro a richiesta di accesso civico generalizzato presentato da Monitor PA nellapersona di Fabio Pietrosanti, ai sensi dell’art. 5, comma 2 del d.lgs. 14 marzo 2013, n. 33 A seguito della Sua istanza RIF. FOIA-01.ARIS019006 del 20/09/2022 trasmessa via PEC, Ns. prot. n. 12173 del 21/09/2022, nella quale richiedeva l’accesso ai vari documenti ai sensi dell’art. 5 del D. Lgs. n. 33 del 2013 siamo con la presente a dare riscontro. Premesso che dalla sopracitata richiesta si legge al punto 3 (pagina 1): “con la fine dello stato di emergenza è venuto meno parte di quanto indicato dal Garante per la protezione dei dati personali nel Provvedimento del 26 marzo 2020 — “Didattica a distanza: prime indicazioni [n. doc 9300784], il quale prevedeva la possibilità di allentare alcune stringenti prescrizioni in materia di trattamento dei dati, pur ribadendo la vigenza, anche nel corso dell'emergenza sanitaria, di obblighi ben precisi da parte degli istituti scolastici” A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per gli asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. In secondo luogo, la richiesta formulata non presenta indicazione di motivazione di un interesse conoscitivo, ma ha la sola finalità di costituire una banca dati per l'utilizzo successivo ed eventuale, da parte di non meglio definiti studiosi ed esperti della privacy e del software libero. Si è considerato il Consiglio di Stato, sez. III, 25.01.2021 n. 495: “se da un lato l’interesse alla trasparenza non richiede una motivazione specifica, dall’altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, [....] pena rappresentare un inutile intralcio all’esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi.” La sua richiesta pertanto pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative rientrando in quanto previsto dal Consiglio di Stato. 89 seNE5£7TO 1.1.5. “BENEDETTO VARCHI” aris019006@istruzione.it Tel. 055 9102774 — Fax 055 9103252Sito Web: www.isisvarchi.edu.it Si è considerato, inoltre, il Consiglio di Stato, Sezione AP, Sentenza del 2 aprile 2020 n. 10 “Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi”. La sua richiesta è arrivata dopo altre comunicazioni, in un breve arco temporale, dall’associazione Monitora PA di cui si dichiara attivista. La prima riguardava i codici di tracciamento visite sul sito web [omissis] seconda relativo alla presenza nel sito di Google Fonts. Trattasi dunque di più richieste riconducibili ad uno stesso centro di interessi in un breve arco temporale finalizzate non all'effettiva esigenza di conoscenza di documenti amministrativi (tutelata dal FOIA) ma caratterizzate da mere finalità esplorative al fine di attuare una strategia di contrasto alle multinazionali informatiche, le G.A.F.A.M. acronimo stante per Google, Apple, Facebook, Amazon, Microsoft, con intenti vessatori e pretestuosi tali per cui, secondo la sentenza del Consiglio di Stato citata, è possibile e doveroso evitare e respingere. Tutto ciò precisato, quanto richiesto dall'atto FOIA di cui in oggetto riguarda: 1. copiadelcontratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anniscolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o diuna piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’UnioneEuropea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. 89 seNE5£7TO 1.1.5. “BENEDETTO VARCHI” aris019006@istruzione.it Tel. 055 9102774 — Fax 055 9103252Sito Web: www.isisvarchi.edu.it 6. copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. In merito al punto 1 della richiesta pervenuta si segnala, preliminarmente, che la stessa coinvolge diversi servizi quali, ad esempio posta elettronica e PEC, erogati da altri enti pubblici e amministrazioni di cui la scuola è sottoposta (come l’amministrazione centrale del Ministero dell'Istruzione). Si presuppone, per tale premessa, il carattere meramente esplorativo di almeno una parte della richiesta, che renderebbe la stessa inaccettabile per quanto indicato dalla Determinazione n. 1309 del 28/12/2016, pag 9, con rif. al parere del Consiglio di Stato 18.2.2016, par. 11.3. Ciò premesso, inoltre, la richiesta presentata allo scrivente Ufficio appare sproporzionata e onerosa, esigendo la produzione, per un periodo di tre anni scolastici, di contratti e altri atti giuridici alcuni dei quali andrebbero estrapolati a partire da contratti stipulati online peraltro con software house suggerite dal Ministero, accreditate presso AgiD e con termini e condizioni di utilizzo sempre pubbliche e ben disponibili anche al richiedente. L’onerosità del carico di lavoro per l’Istituto è evidente anche in considerazione delle esigue risorse di personale di cui la scrivente istituzione dispone. Infatti, presso l’ufficio di segreteria, al fine di garantire il corretto funzionamento dell’ordinaria attività amministrativa rivolta ad una popolazione studentesca pari ad oltre 1.200 alunni prestano servizio n. 10 assistenti amministrativi assegnati ai diversi ambiti quali: Ufficio Protocollo, Ufficio personale, Ufficio didattica, Ufficio acquisti. Alla luce di quanto sopra indicato, la raccolta delle informazioni richieste imporrebbe a questa istituzione scolastica un notevole carico di lavoro tale da paralizzare, in modo sostanziale, il corretto funzionamento dell’ordinaria attività amministrativa, fondamentale per fornire il necessario ed indispensabile supporto al servizio di Istruzione. Per tali motivi la richiesta non può essere accolta. In merito alla richiesta dei documenti di cui ai sopracitati punti 2, 4 , 5, si tratta di atti relativi ad operazioni non obbligatorie per la singola istituzione scolastica , come indicato dall’art. 35 del Regolamento Europeo 679/16 (GDPR) e ribadito dal Provvedimento del Garante per la Protezione dei Dati Personali del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784] nel qualesi legge che: “non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”. Per tali motivi la richiesta non può essere accolta. In merito alla richiesta dei documenti di cui al sopracitato punto 3 si specifica che questa istituzione ha utilizzato esclusivamente le piattaforme consigliate dal Ministero e accreditate presso AGID, nonché le metodologie e le indicazioni suggerite dallo stesso Ministero e dal Garante per la [omissis] ivando solo i servizi essenziali per la didattica i quali, non consentendo il monitoraggio sistematico degli utenti né tantomeno ricorrendo a soluzioni tecnologiche particolarmente invasive (i.e. utilizzo dei dati di geolocalizzazione o biometrici), non presentano caratteristiche suscettibili di aggravare i rischi per i diritti e le libertà ISTITUTO DI ISTRUZIONE aris019006@istruzione.it Tel. 055 9102774 — Fax 055 9103252Sito Web: www.isisvarchi.edu.it degli interessati. Inoltre, le richieste dei punti 3 e 5, le misure tecniche adottate per l’utilizzo di piattaforme che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica e la TIA, richiedono una estrapolazione e una decontestualizzazione dalla analisi dei rischi effettuata per la definizione di una struttura adeguata al rischio ai sensi dell’art. 32 del GDPR 679/2016. La fornitura della documentazione specificamente prodotta per l’uso delle piattaforme, la TIA che ne consegue, le istruzioni agli autorizzati del trattamento dati, il regolamento per l’uso delle piattaforme approvato dal Consiglio di Istituto non sarebbero, da sole, sufficienti a fornire un quadro completo, esaustivo delle misure tecniche adottate per il rispetto della privacy di cui l’Istituto si è dotato. Inoltre, la possibile divulgazione della documentazione relativa a tutte le contromisure adottate esporrebbe l’amministrazione ad un immotivato, ingiustificato rischio di sicurezza. La conoscenza delle contromisure, infatti, inficia l’efficacia delle stesse riportando quel rischio che cercano di mitigare a livelli inaccettabili e non conformi all’art. 32 del GDPR 679/2016 che recita: “// titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile, e l’estrapolazione di quella richiesta comporta oneri per l’amministrazione e scarsi benefici per il richiedente per i motivi esposti. La documentazione relativa alle misure tecniche adottate andrebbe poi “epurata” dai dati personali dei preposti coinvolti tutelati dall’art 5-bis comma 2 d.lgs 33/2013 e, in alcuni casi, anche effettuata anche la richiesta ai controinteressati. Tutto ciò rappresenta un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione e la richiesta di tutta questa mole di informazioni eccessivamente onerosa. Per tali motivi la richiesta non può essere accolta. In merito alla richiesta dei documenti di cui al sopracitato punto 6 la valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82, per l’anno scolastico 2022/2023, risulta ancora in corso di produzione (si sottintende sempre e solo per le piattaforme scelte dall’istituto e non quelle fornite dagli enti superiori). Per tali motivi la richiesta non può essere accolta. Concludendo, per le motivazioni esposte si ritiene la Sua richiesta di accesso civico inammissibile. Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell’articolo 116 del Codice del processo amministrativo, di cui al D.Lgs n. 104 del 2 luglio 2010. Il dirigente responsabile del procedimento [omissis] ai sensi del D. Lgs. 82/2005 e norme collegate