Tel. 0587 757000 — E-mail: pico 15009@istuzion.!.- PEC: picd1500%@pec:isruzione :IIUTO COMPRENSIVO STATALE - | MAS] ita (Prot. 0011573 del 23/12/2022 [-a sisi: Bientina (PI) 23/12/2022 Allaca. [omissis] cemuicazioni @ pec. monitora-pa.it e, pe AI Direttore Generale USR Toscma drto@postacertistruzione.it Oggetto: Riscontro a richiesta di accesso civico generalizzato - Istanza di riesame ricevuta da USR Toscana in data 01 dicembre 2022 Tn relazione alla Sua richiesta di accesso civico generalizzato ai sensi dell'art. art5 del D.Lgs 33/2013, Istanza di riesame, di cui all'oggetto, riguardante È copia del contratto 0 altro atto gitvidico in forza del quale l'Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di pasta elettronica, messaggistica, videoconferenza, didattica a distanza. didartica digitale integrata, regisiro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2° copia della valutazione d'impatto della protezione dei dafi (DPIA) effettuata dall'Isiufo Scolastico in indirizzo nell'ambito dell'utilizzo di sn servizio on line dì videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 20212022; 3. copia degli affi riportanti le misure fecniche previste ed adoltafe vell'istiuto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di pianaforme più complesse che eroghino servizi più complessi anche non rivolii esclusivamente alla didanica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. cquia della valitazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR effettuata nell’ambito dell utilizzo delle piattaforme di posta dlettrorica, messaggistica, videoconferenza, didatfica a distanza, didattica digitale integrata, registro elettrorico, adottate vell'anmno scolastico 2022/2023 dall'Istituto în indirizzo; 5. cquia della valutazione di impatto del rasferimento dei dati all’estero (TIA), afferente all'eventuale traftamento dei dati in paesi terzi [ovvero che si frovino al di fuori dell’Unione Ruropea) necessario per la fruizione ed il Juazionamenio dei servizi di posta elettronica, messaggistica, videoconferenza, didanica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. copia della valistazione comparativa ai sensi dell'art. 68 del di Îgs. 7/3/2005 n 82 realizzata per provvedere all'acquisizione delle piattaforme di posta eleffromica, messaggistica, videoconferenza, didattica n distanza. didattica digitale integrata, registro eleftrorico, adottate nell’anno scolastico 2022/2023 dall'Istituto în indirizzo. Alla ice delle indicazioni ricevute a seguito di riesame presentato dalla S.V. allUSR Toscana del 15/11/2022 e premesse tunte le osservazioni ivi contenute, ST COMUNICA PUNTOI Tn merito al punto 1 della richiesta pervenuta si segnala, preliminarmente, che la stessa coinvolge diversi servizi quali, ad esempio posta elettronica e PEC, erogati da ‘altri enti pubblici e amministrazioni di cui la scuola è sottoposta (come l’amministrazione centrale del Ministero dell’Istruzione). Si presuppone, per tale premessa, il carattere meramente esplorativo di almeno una parte della richiesta, che renderebbe la stessa inaccettabile per quanto indicato dalla Determinazione n. 1309 del 28/12/2016, pag 9, con rif. al parere del Consiglio di Stato 18.2.2016, par. 11.3. Ciò premesso, inoltre, la richiesta presentata allo scrivente Ufficio appare sproporzionata e onerosa, esigendo la produzione, per un periodo di tre anni scolastici, di contratti e altri atti giuridici alcuni dei quali andrebbero estrapolati a partire da contratti stipulati online peraltro con software house suggerite dal Ministero, accreditate presso AgID e con termini e condizioni di utilizzo sempre pubbliche e ben disponibili anche al richiedente. L’onerosità del carico di lavoro per l’Istituto è evidente anche in considerazione delle esigue risorse di personale di cui la scrivente istituzione dispone. Infatti, presso l'Ufficio di segreteria, al fine di garantire il corretto funzionamento dell’ordinaria attività amministrativa rivolta ad una popolazione studentesca pari a 1356 alunni prestano servizio n. 6 assistenti amministrativi assegnati ai seguenti ambiti: n. 2 - UOO “Alunni e didattica” n. 1 - UOO “Amministrazione e contabilità” n. 2 - UOO “Personale” n. 1- UOO “Acquisti e patrimonio” Alla luce di quanto sopra indicato, la raccolta delle informazioni richieste imporrebbe a questa istituzione scolastica un notevole carico di lavoro tale da paralizzare, in modo molto sostanziale, il corretto funzionamento dell’ordinaria attività amministrativa, fondamentale per fornire il necessario e indispensabile supporto al servizio di istruzione. Per tali motivi la richiesta non può essere accolta. Unitamente, si rappresentano altre ragioni di diniego, che si dettagliano di seguito: a) in relazione alla posta elettronica istituzionale, gli istituti usufruiscono, in concessione, di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. Pertanto, questo Istituto non può accogliere la sua richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola; b) in relazione alle piattaforme DaD/DDI e mail utilizzate dall’Istituto, si rammenta che queste sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha sottoscritto prima dell’attivazione del servizio. Tali termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione. L'istituto non può quindi accogliere la richiesta in quanto trattasi di documenti pubblicati ed aggiornati da altro soggetto, pubblicamente accessibili sui siti delle piattaforme in questione: https://workspace.google.com/intl/it/terms/2014/2/premier_terms_ie.html https://go.microsoft.com/fwlink/p/Minkid=2115426 c) in relazione alla richiesta dei contratti sottoscritti tra lo scrivente Istituto e le software house, che forniscono i servizi di Registro Elettronico e Segreteria Digitale, si segnala che questi sono pubblicati nell’apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, al link https://www.trasparenza- pa.net/?codcli=SC12025&node=150626 in osservanza del d.lgs. n. 33/2013. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. PUNTO 2 In riscontro a tale punto, si richiama il provvedimento del 26 marzo 2020, con cui il Garante per la protezione dei dati personali ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle valutazioni di impatto ha affermato che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per 1 casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.” Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. La DPIA, quindi, è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c), atteso che il trattamento dei dati avviene per le sole finalità istituzionali. La scuola ha utilizzato la piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche utenze con specifici permessi. La scuola ha abilitato i soli servizi essenziali regolati da termini di utilizzo che vincolano i Provider di servizio alla non registrazione e alla non divulgazione dei dati. L'Istituto non utilizza piattaforme di monitoraggio sistematico degli utenti. L'Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. PUNTO 3 In merito alla richiesta dei documenti di cui al sopracitato punto 3 si specifica che questa istituzione ha utilizzato esclusivamente le piattaforme consigliate dal Ministero e accreditate presso AGID, nonché le metodologie e le indicazioni suggerite dallo stesso Ministero e dal Garante per la [omissis] ivando solo i servizi essenziali per la didattica i quali, non consentendo il monitoraggio sistematico degli utenti né tantomeno ricorrendo a soluzioni tecnologiche particolarmente invasive (i.e. utilizzo dei dati di geolocalizzazione o biometrici), non presentano caratteristiche suscettibili di aggravare 1 rischi per 1 diritti e le libertà degli interessati. La richiesta appare inoltre generica, non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che, in quanto “non rivolti esclusivamente alla didattica”, sembrano esulare dai compiti istituzionali. Inoltre si rappresenta che l’Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali è sempre stato indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. PUNTO 4 Come già rappresentato in riscontro alla richiesta di cui ai punti 1) e 2), si evidenzia che l’art 35 GDPR prevede precisi casi in cui è necessaria la DPIA. Tra questi non rientrano quelli in esame. Inoltre, si rammenta che il Garante per la protezione dei dati personali ha pubblicato un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-isplay/docweb/9058979 ) e, tra questi, non sono presenti quelli citati nella richiesta pervenuta. Sulla valutazione d'impatto il Garante ha poi precisato che: "si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala" (https://www.garanteprivacy.it/Regolamentoue/DPIA )”. Non basta, quindi, la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. PUNTO 5 Come già indicato nel riscontro alla richiesta di cui al punto 1), le software house sono scelte a livello Ministeriale. L'eventuale necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non nella disponibilità della scuola. Per quanto concerne i servizi relativi alla Piattaforma DDI (Messaggistica, videoconferenza, etc.), si rappresenta che anche in questo caso la valutazione di impatto sulla protezione dei dati (DPIA) non ricade in questa ipotesi, e ciò in quanto gli istituti scolastici non effettuano trattamenti automatizzati (punto a art. 35, comma 3 GDPR), né su larga scala (punto b, art. 35 comma 3 GDPR) né sistematici (punto c art. 35, comma 3 GDPR). L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. PUNTO 6 In riscontro al presente punto, si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l’applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.lgs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. Si rileva che la scuola non ha condotto alcuna valutazione comparativa — perché: a) nel caso del registro elettronico in uso e compreso nel pacchetto gestionale Argo Software ai sensi dell’art. 36 comma 2 lett. A del DIgs n 50 del 2016 e le sue successive modificazioni, per importi inferiori ai 40.000 euro la PA può procedere all’affidamento diretto, “anche senza previa consultazione di 2 0 più operatori economici”; b) mentre, per quanto attiene alla piattaforma Teams, essa è stata acquisita a titolo gratuito. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Inoltre, non è stata effettuata alcuna valutazione comparativa in quanto le piattaforme usate durante il periodo della pandemia sono state fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni rese dal [omissis] decisione dell’amministrazione competente, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. LA DIRIGENTE SCOLASTICA [omissis] Documento firmato digitalmente ANSALDI 24.12.2022 18:24:22 UTC