Prot. 0008350     del 19/10/2022
|-4 (Uscita)                                                                                  Bagno a Ripoli 19/10/2022

Egr. sig. Fabio Pietrosanti,
faccio seguito alla Sua istanza di accesso civico ai sensi dell’art. 5, comma 2, del D. Lgs. n. 33 del
2013 per comunicarLe quanto segue:

in merito alla richiesta di:
1. copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico  in indirizzo ha
utilizzato     ed utilizzerà      i servizi   di posta     elettronica,   messaggistica,   videoconferenza,        didattica   a
distanza, didattica digitale integrata,                  registro   elettronico,   relativamente     agli   anni     scolastici
2020/2021,2021/2022, 2022/2023

La documentazione in nostro possesso è pubblicata online. Si indicano i link di riferimento.

LINK: https://trasparenza-pa.net/?codcli=SC28869&node=108844&page=1&opc=1467401

LINK: https://trasparenza-pa.net/?codcli=SC28869&node=26166&page=1&opc=1465730

LINK:    https://trasparenza-pa.net/?codcli=SC28869&node=108844&page=7&opc=1310451

LINK: https://trasparenza-pa.net/?codcli=SC28869&node=108844&page=13&opc=980061

LINK: https://trasparenza-pa.net/?codcli=SC28869&node=26166&page=1&opc=1465722

LINK: https://trasparenza-pa.net/?codcli=5C28869&node=108844&page=1&opc=1467518



In merito alla richiesta di:
2. copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall'Istituto
Scolastico  in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una
piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021,
2021/2022

    e Sul punto, l'Autorità Garante per la protezione dei dati personali, con Provvedimento del 26
marzo 2020, ha precisato che la DPIA non è necessaria nel caso in esame perché l'istituzione
scolastica  non effettua trattamenti di dati personali su larga scala.
In particolare, si chiarisce che «La valutazione di impatto, che l’art. 35 del Regolamento richiede per
1 casi di rischi elevati, non          è necessaria       se il trattamento   effettuato   dalle istituzioni   scolastiche     e
universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non
presenta ulteriori caratteristiche suscettibili di aggravarne 1 rischi per i diritti e le libertà degli
interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una
singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di
videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o
comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre,
quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)».
Nella pagina dedicata alla valutazione d’impatto, il Garante ha precisato che: si evidenzia come le
espressioni trattamenti “sistematici” e “non occasionali” indicate nell'elenco delle tipologie di
trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti
6, 11 e 12 sono riconducibili al criterio della “larga scala”.
Non è quindi sufficiente la presenza di un trattamento verso minori, ma serve anche la “larga scala”,
elemento   che,   ritornando    anche   al provvedimento      del    26     marzo   2020,     non   è rinvenibile    con
riferimento alla singola scuola.
Di conseguenza, in relazione a questo documento, lo stesso non è disponibile in quanto - in base al
Provvedimento dell’ Autorità Garante per la protezione dei dati personali del 26/03/2020 - detta
valutazione di impatto non è necessaria, posto che l’istituto non effettua trattamenti di dati personali
su larga scala e non si fa ricorso a soluzioni tecnologiche particolarmente invasive.

In merito alla richiesta di:
3. copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico  in indirizzo
per attivare 1 soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più
complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli
anni scolastici 2020/2021, 2021/2022, 2022/2023.
   e La richiesta appare generica non individuando con esattezza la documentazione richiesta e
      connotata da carattere esplorativo,     oltre che riferirsi anche a dati che in quanto                “non rivolti
      esclusivamente     alla   didattica”   sembrano      esulare        dai   compiti     istituzionali   di   codesta
      Amministrazione. Volendo fornire, comunque, un riscontro fattivo alla richiesta, pur ribadendo
        il carattere generale della richiesta, è possibile fornire - in relazione agli anni 2020/2021 e
        2021/2022 - la seguente
documentazione:
** Piano d'Istituto Didattica Digitale Integrata e Didattica a Distanza deliberato dal Consiglio
     d'Istituto
In relazione all’anno 2022/2023, atteso che non è previsto il ricorso a tale metodologia di formazione,
allo stato, non è possibile fornire alcun documento.

In merito alla richiesta di:
4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR,
effettuata nell’ambito       dell’utilizzo delle piattaforme     di posta elettronica,   messaggistica,
videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate
nell’anno scolastico  2022/2023 dall’Istituto in indirizzo
    e Sirichiamano le medesime valutazioni formulate per il documento n. 2 circa la non
         necessarietà della valutazione d'impatto alla luce del Provvedimento del Garante Privacy del
26/03/2020.

In merito alla richiesta di:
5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente
all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea)
necessario per la fruizione ed 1l funzionamento dei servizi di posta elettronica, messaggistica,
videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati
nell’anno scolastico  2022/2023 dall’Istituto in indirizzo
    e Sirichiamano le medesime valutazioni formulate per il documento n. 2 circa la non
        necessarietà della valutazione d'impatto alla luce del Provvedimento del Garante Privacy del
        26/03/2020.
Si premette che l’Istituto scolastico  nel periodo di emergenza pandemica, al fine di garantire lo
svolgimento delle funzioni istituzionali nell’interesse pubblico, ha utilizzato piattaforme Certificate
AGID e/o suggerite dal Ministero dell’Istruzione sul proprio sito, per le quali il rischio per l’utilizzo
doveva essere calcolato a monte, pena la revoca delle Certificazioni.
L'Istituto ha provveduto alla verifica dell’utilizzo delle Piattaforme, per le sole finalità didattiche,
limitandone l’uso per mezzo di opportune configurazioni e procedure. Per l’anno scolastico  in corso,
le indicazioni ricevute dal Ministero dell’Istruzione non
prevedono l’utilizzo di piattaforme per erogare i servizi di istruzione a distanza. Terminate le intense
attività di avvio dell’anno scolastico  in corso che prevedono la didattica in presenza si
effettueranno/ri-effettueranno analisi come la valutazione di impatto TIA, attività correlata alla più
ampia e dettagliata analisi dei rischi per la definizione di una struttura organizzativa
ai sensi dell’art. 32 del GDPR 679/2016 prevede una formalizzazione della stessa dopo attenta
valutazione di elementi che investono il contesto internazionale (sentenza Schrems II, Privacy Shield,
Privacy Shield 2), ed una profonda ed attenta analisi anche di elementi che se correttamente applicati
eliminano l’impatto privacy del trattamento dati attraverso piattaforme con basi dati residenti
all’estero come la pseudonomizzazione, la crittografia e le procedure di utilizzo. L'istituto ritiene, in
attesa di indicazioni ministeriali, di utilizzare piattaforme di uso generalista pseudonomizzando gli
account e gli indirizzi mail, e di non trattare alcun dato personale in esse, ponendo limiti all’uso solo
al fine didattico. Per questo motivo l’uso di suddette piattaforme, scevre dalla presenza di dati
personali, non necessita di valutazione TIA (la Valutazione d’impatto sul trasferimento dati personali
extra UE presuppone che ci sia la presenza di dati personali, presenza venuta meno attraverso la
tecnica della pseudonimizzazione).

In merito alla richiesta di:
6. copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per
provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza,
didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 
2022/2023 dall'Istituto in indirizzo
    e Ancorché la richiesta appaia alquanto vaga e meramente esplorativa, dunque non accoglibile,
         segnalo, in via incidentale, che gli acquisti effettuati dalle istituzioni scolastiche soggiacciono
         all’applicazione non solo del CAD  [omissis]  da Lei citato, ma
         anche del Codice dei Contratti e del Regolamento di contabilità delle scuole, fonti normative
         che non impongono alcun chiaro obbligo di conservare agli atti della scuola le valutazioni
         comparative eventualmente effettuate per gli acquisti cd. sottosoglia


Cordiali saluti
                                                                                      Il Dirigente Scolastico 
                                                                                [omissis] 
                                                                    Documento firmato digitalmente ai sensi del CAD
                                                                                               e normativa connessa