ISTITUTO TECNICO INDUSTRIALE STATALE ‘GALILEO GALILEI” go per Palle, 52100 AREZZO Via Dino Menci, 1 - C.F.: 80002160515 — C.M.: ARTF02000T è Tel. 05753131 — Fax 0575313206 ra” Posta elettronica: artf02000t@istruzione.it; artf02000t@pec.istruzione.it Sito Internet: http://www.itisarezzo.edu.it Arezzo, 20 ottobre 2022 Egr. Sig. Fabio Pietrosanti Pec: comunicazioni @ pec.monitora-pa.it Oggetto: richiesta di accesso generalizzato (FOIA) ex D.Lgs. 33/2013 c.2 da parte di Monitora PA ns prot. n. 13030 del 20.09.2022. In risposta alla Sua richiesta, pervenuta in data 20.20.2022 (ns prot. n. 13030) volta ad ottenere l’accesso civico generalizzato ai sensi dell’art. 5 e segg. del D.Lgs. 33/2013, questo Istituto scolastico , rappresentato dal Dirigente [omissis] intende contestare la richiesta per le motivazioni di seguito indicate. Relativamente al punto n. 1 dell’istanza: “Copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023”. L'Istituto scolastico usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente e comunque gran parte della documentazione richiesta al punto n. 1 è pubblicata on-line seguente link: https://trasparenza-pa.net/?codcli=SG18313&node=59241 Per quanto riguarda le politiche, le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina di seguito indicata: https://www.argosoft.it/privacv.php Quanto ai contratti per servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata questi sono regolati da specifiche condizioni di utilizzo pubblicate nelle rispettive piattaforme dei fornitori e, pertanto, sono già pubblici. Per mero tuziorismo difensivo questo Istituto scolastico allega, alla presente missiva, copia del contratto con Argo Software srl. Relativamente al punto n. 2 dell’istanza: “Copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022”. I sistemi di videoconferenza o di piattaforme tecnologiche prescelti dalla scuola sono stati configurati in modo da impedire il monitoraggio sistematico del comportamento degli alunni. Non è stata effettuata alcuna forma di profilazione online (ad esempio con la inibizione di eventuali funzionalità di geolocalizzazione e l'utilizzo di servizi privi di qualunque forma di pubblicità comportamentale). Dirigente Scolastico : [omissis] DPO - LiquidLaw — privacy.toscana@liquidlaw.it ISTITUTO TECNICO INDUSTRIALE STATALE “GALILEO GALILEI” 52100 AREZZO Via Dino Menci, 1 - C.F.: 80002160515 — C.M.: ARTF02000T è Tel. 05753131 — Fax 0575313206 ii TA Posta elettronica: artf02000t@istruzione.it; artf02000t@pec.istruzione.it Sito Internet: http://www.itisarezzo.edu.it Su tutte le piattaforme e strumenti digitali utilizzati sono state adottate specifiche configurazioni per evitare l’uso dei dati degli studenti per finalità ulteriori alla didattica (ad esempio la chiusura del sistema di videoconferenza alle sole lezioni, la circoscrizione della possibilità di invitare o ammettere soggetti in aula virtuale solo ai docenti, la inibizione di geolocalizzazione, profilazione o interconnessione coi social network tramite gli account scolastici). Attraverso gli strumenti in uso nella nostra scuola non è possibile effettuare alcuna operazione di sorveglianza (nemmeno occulta) sugli utenti del sistema, siano essi gli alunni, 1 loro familiari, 1 docenti o il personale scolastico che ne fruisce, al di là della raccolta dei log degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella policy di sicurezza dei rispettivi fornitori. Il nostro Istituto scolastico non ha effettuato trattamenti automatizzati, né su larga scala né sistematico e gli strumenti utilizzati non presentano ulteriori caratteristiche suscettibili di aggravarne i rischi (come ribadito dall’ Autorità Garante non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola - mancando il requisito della larga scala - nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente 1l monitoraggio sistematico degli utenti). Le informazioni richieste si riferiscono ad operazioni non di competenza delle istituzioni scolastiche, come la valutazione di impatto (DPIA) che, ai sensi dell’art. 35 del Regolamento del Parlamento Europeo e del Consiglio in materia di protezione dei dati personali n. 679 del 27 aprile 2016 (GDPR), riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su larga scala e/o trattamenti indicati nell’elenco che l'Autorità di controllo redige e rende pubblico (Provvedimento dell’ Autorità per la protezione dei dati personali del 11 ottobre 2018). L'esclusione della necessità di effettuare DPIA su tutti gli strumenti, per come sono acquisiti o configurati, deriva dal fatto che non ingenerano elevati rischi per 1 diritti e le libertà degli studenti come previsto dal citato articolo 35 del GDPR. Per tali ragioni la richiesta di accesso agli atti di cui al punto n. 2 non può trovare accoglimento. Relativamente al punto n. 3 dell’istanza: “Copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023.” Il punto appare formulato in maniera generica non individuando con esattezza la documentazione richiesta e appare connotata da carattere esplorativo. Si riferisce, inoltre, a dati che, in quanto non rivolti esclusivamente alla didattica, sembrano esulare dai compiti istituzionali della scuola (parere Avvocatura di Stato n.636585 del 12/10/2022). L’istante non ha precisato o chiarito cosa intenda dire con l'affermazione “servizi più complessi” e “piattaforme più complesse” rispetto a cosa, o “servizi più complessi” rispetto a cosa. La descrizione generale delle misure di sicurezza relative agli strumenti in uso sono già disponibili sulle stesse piattaforme e siti web dei fornitori indicati. Tuttavia l’Istituto scolastico , sul punto, sente può agevolmente affermare che non sono state utilizzate piattaforme ‘più complesse” che erogano servizi “più complessi” anche non rivolti esclusivamente alla didattica (con riferimento agli anni scolastici 2020/2021, 2021/2022, 2022/2023). Relativamente al punto n. 4 dell’istanza: ‘Copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta Dirigente Scolastico : [omissis] DPO - LiquidLaw — privacy.toscana@liquidlaw.it ISTITUTO TECNICO INDUSTRIALE STATALE “GALILEO GALILEI” ., si se emeli” Galiz, # a 52100 AREZZO Via Dino Menci, 1 - C.F.: 80002160515 — C.M.: ARTF02000T ai Tel. 05753131 — Fax 0575313206 ra” Posta elettronica: artf02000t@istruzione.it; artf02000t@pec.istruzione.it Sito Internet: http://www.itisarezzo.edu.it elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”. La richiesta di esibizione delle misure di sicurezza o delle DPIA non è applicabile in quanto il livello di sicurezza, offerto dal provider, garantisce la minimizzazione dei rischi e la scuola ha comunque attivato 1 soli servizi essenziali regolati da termini di utilizzo che vincolano il fornitore alla non registrazione e alla non divulgazione. Inoltre, l’esibizione/comunicazione di tutta questa documentazione imporrebbe un notevole carico di lavoro alla scuola tale da paralizzare, in modo molto sostanziale, il corretto funzionamento dell’ordinaria attività amministrativa. Il registro elettronico utilizzato dal nostro istituto scolastico “ARGO [omissis] ° è Sc un’applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dalla Argo Software, azienda dotata di sistema di gestione per la sicurezza delle informazioni certificato S.p.A.] che è fornitore qualificato SaaS per le P.A. per tutti gli applicativi in commercio. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://www.argosoft.it/privacy.php. Inoltre, come stabilito dal Ministero nelle sue Linee guida, per il nuovo anno scolastico 2022/2023 l'obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l'impatto delle misure di contenimento dell'epidemia; per questo motivo, l’Istituto scolastico , come tutte le scuole d’Italia, non farà al momento ricorso a piattaforme di messaggistica o videoconferenza ovvero alla DaD (didattica a distanza) o DID [omissis] , per permettere agli studenti di seguire le lezioni da casa. effettuata nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l'istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione: 1. rientra nei casi previsti dall'art.35, par. 3 del Regolamento (trattamento automatizzato, profilazione, trattamento su larga scala di categorie particolari di dati personali, ecc.), tenendo conto sempre del contesto in cui il trattamento stesso si colloca; 2. comporta la compresenza di almeno di due criteri individuati come indici sintomatici del “rischio elevato” dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze o combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, trattamento che in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”. A tal proposito, il nostro Istituto scolastico , come già indicato in precedenza, non utilizza piattaforme e/o servizi online che consentano il monitoraggio sistematico degli utenti né ricorre a soluzioni tecnologiche particolarmente invasive tali da rendere obbligatoria una valutazione di impatto della protezione dei dati. Dirigente Scolastico : [omissis] DPO - LiquidLaw — privacy.toscana@liquidlaw.it 52100 AREZZO Via Dino Menci, 1 - C.F.: 80002160515 — C.M.: ARTF02000T è Tel. 05753131 — Fax 0575313206 ra” Posta elettronica: artf02000t@istruzione.it; artf02000t@pec.istruzione.it Sito Internet: http://www.itisarezzo.edu.it Relativamente al punto n. 5 dell’istanza: ‘Copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo”. Tale richiesta sul trasferimento dei dati all’estero oltre ad essere pretestuosa e vessatoria, come le altre formulate nei punti precedenti, appare di fatto equivoca e non consente a questo Istituto scolastico di identificare correttamente la richiesta. Tale termine non esiste all’interno del Reg. UE 2016/679, c.d. “GDPR”. In ogni caso, si precisa che la scuola si affida a provider che adottano specifiche misure di sicurezza sui servizi utilizzati e ha adottato ulteriori misure nella configurazione dei servizi. La predetta valutazione di impatto (DPIA) e la TIA non rientrano tra quelle previste dall’art. 35 del Reg. UE 2016/679. La richiesta di accesso, pertanto, non può trovare di fatto accoglimento. Relativamente al punto n. 6 dell’istanza: “Copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo; Con riferimento a questo punto vale la pena richiamare l'art. 17, comma 1, del Codice dell’ Amministrazione Digitale - CAD (D.Lgs. 82/2015) che attribuisce al solo Responsabile per la Transizione Digitale - RTD i compiti di: - pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all’articolo 16, comma 1, lettera b); - coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni; - indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione; - indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia; - pianificazione e coordinamento del processo di diffusione, all’interno dell’ amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra 1 sistemi e servizi dell’amministrazione e quello di cui all’articolo 64-bis. Il RTD delle scuole italiane è stato individuato presso il MIUR con nota 2260 del 5/12/2019 nella persona del Direttore generale della Direzione Generale per i contratti, gli acquisti e per i sistemi informativi e la statistica. Nessuna comunicazione è giunta allo [omissis] scolastico in ordine agli avvenuti adempimenti di cui all’art. 68 CAD, come detto ricadenti nei compiti del citato RTD. Sul punto 1l Codice dei Contratti Pubblici (D.Lgs. n. 50 del 2016 e s.m.i.) non richiama in alcun modo Dirigente Scolastico : [omissis] [omissis] DPO - LiquidLaw — privacy.toscana@liquidlaw.it ISTITUTO TECNICO INDUSTRIALE STATALE “GALILEO GALILEI” got ha 52100 AREZZO Via Dino Menci, 1 - C.F.: 80002160515 — C.M.: ARTFO2000T è { ll Tel. 05753131 — Fax 0575313206 rise” Posta elettronica: artf02000t@istruzione.it; artf02000t@pec.istruzione.it Sito Internet: http://www.itisarezzo.edu.it l'adempimento di cui all’art. 68 CAD, escludendone pertanto l’obbligatorietà ai fini dei processi di procurement disciplinati dal Codice. Nel caso specifico il nostro Istituto scolastico , durante la pandemia, ha utilizzato piattaforme fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni rese dal MI pertanto non si è resa necessaria alcuna valutazione comparativa. Per quanto tutto ciò esposto, la scrivente istituzione scolastica respinge l’istanza di accesso in quanto oltre ad essere eccessivamente onerosa difetta di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza vessatoria e non accoglibile, volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicativo. Non risulta, inoltre, in modo chiaro ed inequivoco la sua rispondenza al soddisfacimento di un interesse pubblico. In conclusione, richiamando quanto espresso dall’ Adunanza Plenaria 10/2020, la richiesta di accesso civico, per come è formulata, sembra contrastare con il principio del buon andamento dell’amministrazione (art. 97 Cost.) in quanto intralcia il funzionamento della stessa oltre ad essere contraria al principio di buona fede, pertanto, può trovare solo parziale accoglimento limitatamente al punto n. 1 della richiesta. In allegato: - Contratto Argo..... IL DIRIGENTE SCOLASTICO y [omissis] del D.Lgs 82/2005 s.m.i. e norme collegate, il quale sostituisce il documento cartaceo e la firma autografa) Dirigente Scolastico : [omissis] [omissis] DPO - LiquidLaw — privacy.toscana@liquidlaw.it