FONDI Ministero dell'Istruzione, dell'Università e della Ricerca Dipartimento per la Programmazione Direzione Generale per interventi in materia di edilizia STRUTTURALI scolastica , per la gestione dei fondi strutturali per l'istruzione e per l'innovazione digitale Ufficio IV EUROPEI 2014-2020 UNIONE EUROPEA [omissis] SCUOLA - COMPETENZE E AMBIENTI PER L'APPRENDIMENTO-FSE Prot. 0023452 del 27/12/2022 | (Uscita) Pisa 27/12/2022 Sig. Fabio Pietrosanti Per conto di Monitora PA PEC: comunicazioni@pec.monitora-pa.it Oggetto: Richiesta accesso civico generalizzato To [omissis] nato a Livorno il 22/09/1960, dirigente scolastico protempore dell'Istituto Comprensivo “R. Fucini” Le scrivo in merito alla vostra istanza di accesso civico ai sensi dell’art. 5, comma 2, del D. Lgs. n. 33 del 2013, tenuto conto della determina assunta dall’USR Toscana in data 01.12.2022 in merito all’istanza di riesame presentata, si comunica quanto segue. RICHIESTA N. 1: “copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023” In base all’orientamento espresso dalla giurisprudenza amministrativa e dall’ANAC [omissis] l'accesso agli atti della PA. ... deve avere ad oggetto una specifica documentazione in possesso dell'amministrazione, indicata in modo sufficientemente preciso e circoscritto e non può riguardare dati ed informazioni generiche relative ad un complesso non individuato di atti di cui non si conosce neppure con certezza la consistenza, il contenuto e finanche la effettiva sussistenza, assumendo un sostanziale carattere di natura meramente esplorativa (sentenza T.A.R. Lazio, 20/10/2020, n. 10660). La sua richiesta appare invece del tutto generica e gravemente lacunosa, al punto da assumere carattere “esplorativo” in ordine a ciò che ne dovrebbe costituire lo specifico oggetto, e tale da inibire una precisa risposta. Per altro verso, la giurisprudenza del Consiglio di Stato (ex mufltis: Consiglio di Stato, sez. III, 25.01.2021 n. 495) insegna che: se da un lato l’interesse alla trasparenza non richiede una motivazione specifica, dall'altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, ...., pena rappresentare un inutile intralcio all’esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi. Istituto Comprensivo “R. Fucini” di Pisa AI contrario, appare invero assai fumoso, del tutto teorico e meramente eventuale, l'interesse sotteso alla sua richiesta, rinvenibile peraltro solo nel dichiarato, quanto generico, intento di rendere pubblici i documenti richiesti “così da poter essere analizzati da studiosi e specialisti nell’ambito della protezione dei dati e del software libero” attraverso la costituzione di una banca dati sul sito Monitora-PA. Non potendo valutare la reale sussistenza e concretezza dell’interesse all’accesso (diremmo: per interposta persona, ossia) ragguagliandola a tali vaghi soggetti terzi (studiosi e specialisti; Monitora- PA) quali effettivi beneficiari finali della eventuale ostensione, la sua richiesta appare preordinata ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull'utilizzo delle tecnologie comunicative (USR — Veneto, prot. 21106 del 3/10/2022). Unitamente, si rappresentano altre ragioni di diniego, che si dettagliano di seguito. a) in relazione alla posta elettronica istituzionale, gli istituti usufruiscono, in concessione, di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. Pertanto, questo Istituto non può accogliere la sua richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola. b) In relazione alle piattaforme DaD/DDI e mail utilizzate dall’Istituto, si rammenta che queste sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha sottoscritto prima dell’attivazione del servizio. Tali termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione. L'istituto non può quindi accogliere la richiesta in quanto trattasi di documenti pubblicati ed aggiornati da altro soggetto, pubblicamente accessibili sui siti delle piattaforme in questione. c) In relazione alla richiesta dei contratti sottoscritti tra lo scrivente Istituto e le software house, che forniscono i servizi di Registro Elettronico e Segreteria Digitale, si segnala che questi sono pubblicati nell’apposita sezione di Amministrazione Trasparente (link https://trasparenza- pa.net/?codcli=SC12062 ), raggiungibile dal sito istituzionale in osservanza del d.lgs. n. 33/2013, nella sezione Contratti (Home/Bandi di gara e contratti/Contratti); o link diretto https://trasparenza- pa.net/?codcli=SC12062&node=150110. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. RICHIESTA N. 2: “copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022” A questo riguardo, si segnala che con provvedimento del 26 marzo 2020 il Garante Privacy ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare l'Autorità Garante, proprio con riferimento alle DPIA, ha così affermato: “/a valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati”. Con il citato provvedimento il Garante, senza derogare all’applicazione del GDPR per i pur gravi motivi emergenziali, ha inteso semmai fornire interpretazioni e precisazioni utili a comprendere il pagina 2 di 5 Istituto Comprensivo “R. Fucini” di Pisa corretto approccio alla didattica a distanza in vista della sua massiva adozione, evitando così il frammentarsi delle prassi. Si aggiunge inoltre che, ai sensi dell’art. 35 del GDPR, la valutazione d’impatto riguarda non già la singola scuola bensi, prevalentemente, autorità o enti pubblici per progetti su scala ampia e per i trattamenti indicati nell’elenco che l'Autorità di controllo redige e rende pubblico, atteso che nell’Istituto il trattamento dei dati personali avviene per le sole finalità istitutzionali. Anche sotto questo aspetto, la sua richiesta non è accoglibile RICHIESTA N. 3: “copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023” Ribadito che, in base all’orientamento espresso dalla giurisprudenza amministrativa e dall’ ANAC, l’istanza di accesso civico identifica i dati, le informazioni o i documenti che si desidera richiedere, la sua richiesta risulta, nello specifico, non conforme a siffatto orientamento, essendo priva di quella necessaria concretezza che consentirebbe a questa amministrazione pubblica di individuare e circoscrivere esattamente i documenti oggetto dell’accesso. Per la vaghezza con la quale è stata formulata, la sua richiesta costituisce anzi una mera istanza volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull'utilizzo delle tecnologie comunicative ... Si tratterebbe, quindi, di richiesta vessatoria, pertanto non accoglibile (USR — Veneto, prot. 21106 del 3/10/2022). In via incidentale, si aggiunge che la richiesta, per la sua genericità ed ampiezza e per il suo carattere “esplorativo”, involge profili tecnici riguardanti il livello di informatizzazione e le relative misure di sicurezza della scuola, ossia informazioni la cui eventuale “automatica divulgazione” (scopo ultimo al quale, come lei stesso dichiara, la richiesta di accesso è preordinata) potrebbe anche arrecare un concreto ed ingiusto pregiudizio alla protezione dei dati personali trattati da questa istituzione pubblica (cfr.: D. Lgs. 33/2013, art. 5-bis, comma, lett.b). Ne discende che la richiesta non è accoglibile. RICHIESTA N. 4: “copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” I casi in cui è richiesta una valutazione d’impatto sulla protezione dei dati (DPIA) sono quelli stabiliti dall’art. 35 del Regolamento UE 679/2016 (GDPR) e tra essi non rientrano quelli ai quali si riferisce la sua richiesta di accesso. Per di più il Garante Privacy ha pubblicato un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA e, tra questi, non sono presenti quelli da lei citati. Si segnala che il riferimento ai “minori” contenuto nel medesimo elenco al numero 6 (7rattamenti non occasionali di dati relativi a soggetti vulnerabili), deve essere letto ed interpretato alla luce delle precisazioni svolte, a questo riguardo, dall’ Autorità Garante, che nella pagina dedicata proprio alla valutazione d'impatto ha precisato quanto segue: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". pagina 3 di 5 Istituto Comprensivo “R. Fucini” di [omissis] presenza di un trattamento di dati personali relativi a minori non richiede, di per sé, una DPIA che, viceversa, diventa obbligatoria solo se quel trattamento viene effettuato su “larga scala”, elemento questo, che tornando al citato provvedimento del Garante Privacy (vedi sopra sub 2) non è configurabile con riferimento alla singola scuola. La sua richiesta pertanto non è accoglibile. RICHIESTA N. 5: “copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” AI riguardo, si ribadisce le eccezioni sopra svolte sub 1 in ordine alla genericità ed indeterminatezza della richiesta ed al suo carattere palesemente “esplorativo”, laddove essa è stata espressamente ricollegata a circostanze che lo stesso richiedente considera eventuali, e quindi del tutto incerte e solo potenziali (eventuale trattamento dei dati in paesi terzi). Alla luce della contraria giurisprudenza ed orientamento ANAC sopra richiamato, ne discende che, anche sotto questo profilo, la richiesta di accesso non è accoglibile. Ciò detto, in via del tutto incidentale si fa presente che le istituzioni scolastiche pubbliche possono utilizzare solo fornitori che, una volta superate le rigide procedure di accreditamento alle quali vengono sottoposti, risultano accreditati [omissis] Ministero dell’Istruzione ha provveduto a selezionare, per tutte le scuole italiane, le piattaforme utilizzabili, proponendone l’utilizzo anche attraverso il proprio sito istituzionale. I relativi profili di rischio vengono pertanto valutati, a monte, eda livello di istituzione centrale. RICHIESTA N. 6: “copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n.82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo” La richiesta appare alquanto vaga e meramente esplorativa, dunque non accoglibile, ciononostante si fa presente, in via incidentale, che gli acquisti effettuati dalle istituzioni scolastiche soggiacciono all’applicazione non solo del CAD [omissis] da lei citato, ma anche del Codice dei Contratti e del Regolamento di contabilità delle scuole, fonti normative che non impongono alcun chiaro obbligo di conservare agli atti della scuola le valutazioni comparative eventualmente effettuate per gli acquisti cd. sottosoglia. Si fa inoltre presente che l’Istituto ha utilizzato le piattaforme rese gratuite dai vendor e opzionate sulla base delle indicazioni del Ministero dell’Istruzione (si veda risposta sub 5). & & & A tutti i precedenti rilievi ed argomenti, svolti al fine di motivare le ragioni per le quali le sue richieste risultano inaccoglibili, si aggiunge — quale causa ulteriore ed autonoma di rigetto — che le stesse sono altresì inammissibili, considerato: v con particolare riferimento a quelle sopra elencate sub 2, 4, 5 e 6, che esse si riferiscono ad operazioni non propriamente di competenza delle singole istituzioni scolastiche (USR — pagina 4 di 5 Istituto Comprensivo “R. Fucini” di Pisa Veneto, prot. 21106 del 3/10/2022) e pertanto andrebbero eventualmente rivolte ad altro destinatario; v con riguardo all’intera istanza, che essa risulta sproporzionata ed abnorme, e pertanto inammissibile, sia per la mole di documenti che il suo carattere generico ed esplorativo impone di ricercare, sia perché non è sostenuta da esigenze tali da giustificarne l’onerosità, sia infine per la dichiarata massività con la quale è stata rivolta a 8254 istituzioni scolastiche pubbliche (Monitora PA (monitora-pa.it). La giurisprudenza amministrativa ritiene al riguardo che è possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo (Consiglio di Sato, adunanza plenaria, sentenza n. 10/2020) In altri termini, posta la finalità che la legge assegna all’istituto dell’accesso civico, quale strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all'attività amministrativa (cfr. art. 1 D.Igs. 33/2013, come modificato dall'art. 2 D.Igs. 97/2016), esso ron può... essere utilizzato in modo disfunzionale rispetto alla predetta finalità ed essere trasformato in una causa di intralcio al buon funzionamento dell'amministrazione, perché ciò determinerebbe un inammissibile effetto "boomerang" sull'efficienza dell'Amministrazione. (T.A.R. Lombardia, sez. III, sentenza 11/10/2017 n. 1951 2017). & & & Per tutte le ragioni che precedono, la sua richiesta di accesso civico non può essere accolta. Cordiali saluti Il Dirigente Scolastico [omissis] (Firmato digitalmente ai sensi del c.d. Codice dell’ Amministrazione digitale e norme ad esso connesse) pagina 5 di 5