Istituto Istruzione Superiore GIOSUE CARDUCCI - C.F. 83002870505 C.M. PIIS00100G - AF0D250 - ISTITUTO ISTRUZIONE CARDUCCI VOLTERRA O ISTITUTO DI ISTRUZIONE SUPERIORE ‘“G.CARDUCCI” LICEO CLASSICO, SCIENTIFICO, SCIENZE UMANE, ARTISTICO L a) V.le Lorenzini 26, 56048 - Volterra (PI) Tel. 0588-86055 Fax 0588-90203 [ C.M. PIIS00100G — C.F. 83002870505 www.iiscarducci.gov.it piis00100g@istruzione.it Rete Nazionale Licei Classici Spett.le FABIO PIETROSANTI comunicazioni@pec.monitora-pa.it e D.C. Direttore generale USR Toscana drto@postacert.istruzione.it Oggetto: Integrazione a Sua richiesta di accesso civico generalizzato pervenuta il 20/09/2022 ai sensi dell’art. 5, co. 2, del D.Lgs. 14 marzo 2013 n. 33, a seguito di istanza di riesame al RPCT c/o USR Toscana ex art. 5, co. 7, del D.Lgs. n. 33/2013 Con riferimento alla richiesta in oggetto, pervenuta al ns. indirizzo PEC piis00100g @pec.istruzione.it il 20/09/2022 alle ore 02:50:33, avente ad oggetto “[RIF FOIA- 01.PIIS00100G] RICHIESTA DI ACCESSO CIVICO GENERALIZZATO”, inviata dalla casella PEC comunicazioni@pec.monitora-pa.it, con codice identificativo del messaggio opec2113.20220920025033 @certmail.irideos.it, acquisita agli atti con ns. prot. n. 0004465/I.4 del 20/09/2022, in seguito alla richiesta di riesame ai sensi dell’art. 5, comma 7 del D.Lgs. 33/2013 pervenuta all’ [omissis] 14/11/2022, registrata con protocollo drto 18017 del 15/11/2022, considerata la Nota dell’USR Toscana prot. n. 0018850 del 01/12/2022 “Istanza di riesame ai sensi dell’articolo 5, comma 7, del Decreto Legislativo n. 33 del 2013 relativa all’accesso civico generalizzato”, si comunica che: 1) PUNTO 1: copia del contratto o altro atto giuridico in forza del quale l’Istituto scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici2020/2021, 2021/2022, 2022/2023 PEC: pitd03000r@pec.istruzione.it - C.M. PITD03000R — C.F. 81002250504 — Codice Univoco dell’Ufficio: UFOTTI1 In merito a tale punto si segnala che: a) in relazione alla posta elettronica istituzionale, gli istituti usufruiscono, in concessione, di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dall’amministrazione centrale del Ministero. Pertanto, questo Istituto non può accogliere la sua richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola; in relazione alle piattaforme DaD/DDI, videoconferenza e mail utilizzate dall'Istituto, si rammenta che queste sono state concesse all’IIS “G. Carducci” con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il contratto on line per Google Workspace for education è pubblicato in Amministrazione Trasparente al link: https://www.trasparenzascuole.it/Public/AmministrazioneTrasparenteV2.aspx?Custome r_i1d=f8b2e2df-3be8-482d-98fb-28bcf1c1d508&PID=fa4c370b-2dae-470b-a7de- f9e8b264aca3 Il rapporto tra le parti è regolato dai Termini e condizioni e utilizzo della piattaforma che sono reperibili ai link: https://policies.coogle.com/terms/archive/20190122?hl=1it https://policies.coogle.com/terms/archive/20200331 ?hl=1t https://policies.coogle.com/terms?hl=it b) in relazione alla richiesta dei contratti sottoscritti tra lo scrivente Istituto e AXIOS, software house che fornisce i servizi di Registro Elettronico e Segreteria Digitale, si segnala che il contratto stipulato dall’Istituto con Axios è formalizzato attraverso il “Modulo d’ordine” che l’Istituto ha inviato in Axios (attraverso la rete vendita) e regolamentato attraverso i seguenti documenti: - “Contratto e Licenza d'Uso” scaricabile dal sito web di Axios al seguente link: https://axiositalia.it/wp- content/uploads/2022/09/M.GES_ 03.06 Licenza duso_ software Axios 20220929 sig ned.pdf - “DPA (Data Processing Agreement)”, in conformità all’art. 28 del Regolamento UE 2016/679 (Responsabile del trattamento): https://axiositalia.it/wp-content/uploads/2022/09/29.09.22- DPA Azxios Italia Srl 2 signed.pdf I moduli di ordine e le relative delibere a contrarre sono pubblicati nelle apposite sezioni di Amministrazione Trasparente, raggiungibili dal sito istituzionale, in osservanza del d.lgs. n. 33/2013 ai seguenti link: Delibere a contrarre: https://www.trasparenzascuole.it/Public/AmministrazioneTrasparenteV2.aspx?Custom er_1d=f8b2e2df-3be8-482d-98fb-28bcf1c1d508&PID=d197fce6-90bb-4£36-9b4a- f4766bf5b936 Moduli di ordine: https://www.trasparenzascuole.it/Public/AmministrazioneTrasparenteV2.aspx?Custom er_1d=f8b2e2df-3be8-482d-98fb-28bcf1c1d508&PID=fa4c370b-2dae-470b-a7de- f9e8b264aca3 2) PUNTO 2: copia della valutazione di impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022. In riscontro a tale punto, si richiama il provvedimento del 26 marzo 2020, con cui il Garante per la protezione dei dati personali ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle valutazioni di impatto ha affermato che “/a valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. La DPIA, quindi, è obbligatoria in casi specifici e normati, tra i quali non ricadono 1 trattamenti di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c), atteso che il trattamento dei dati avviene per le sole finalità istituzionali. La scuola ha utilizzato la piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche utenze con specifici permessi. La scuola ha abilitato i soli servizi essenziali regolati da termini di utilizzo che vincolano i Provider di servizio alla non registrazione e alla non divulgazione dei dati. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. 3) PUNTO 3: copia degli atti riportanti le misure tecniche previste e adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; In merito al punto in oggetto, si rappresenta che l’Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali è sempre stato indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Privacy in data 26 marzo 2020. La richiesta comporta un onere di lavoro eccessivo rispetto all'interesse conoscitivo sotteso all’istanza, onere difficilmente sostenibile da parte della segreteria dell'Istituto che consta solo di cinque elementi di cui uno in part time, come già specificato nella precedente risposta (prot.n. 0005114/T.1 del 19/10/2022). La richiesta appare inoltre generica, non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che, in quanto “non rivolti esclusivamente alla didattica”, sembrano esulare dai compiti istituzionali. L’istituto non può quindi accogliere la richiesta. 4) Punto 4: copia della valutazione di impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023. Come già rappresentato in riscontro alla richiesta di cui al punto 2), si evidenzia che l’art 35 del GDPR prevede precisi casi in cui è necessaria la DPIA. Tra questi non rientrano quelli in esame. Inoltre, si rammenta che 1l Garante per la protezione dei dati personali ha pubblicato un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-1isplay/docweb/9058979) e, tra questi, non sono presenti quelli citati nella richiesta pervenuta. Sulla valutazione d'impatto il Garante ha poi precisato che: "si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala" (https://www.garanteprivacy.it/Regolamentoue/DPIA)”. Non basta, quindi, la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. 5) PUNTO 5: copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023. Come già indicato nel riscontro alla richiesta di cui al punto 1), le software house per 1 servizi di posta elettronica istituzionale sono scelte a livello Ministeriale. L'eventuale necessità di TIA è stata quindi esaminata centralmente dal Ministero competente. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non nella disponibilità della scuola. Si rappresenta che anche in questo caso la valutazione di impatto sulla protezione dei dati non ricade in questa ipotesi, e ciò in quanto gli istituti scolastici non effettuano trattamenti automatizzati (punto a art. 35, comma 3 GDPR), né su larga scala (punto b, art. 35 comma 3 GDPR) né sistematici (punto c art. 35, comma 3 GDPR). L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. La piattaforma per messaggistica, videoconferenza, lezioni a distanza e il Registro elettronico risultano comunque “qualificate” AGID, come si evince ai link: https://catalogocloud.agid.gov.it/service/690 e https://catalogocloud.agid.gov.it/service/480 6) PUNTO 6: copia della valutazione comparativa ai sensi dell’art. 68 del D. Lgs. 7/03/2005, n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023. In riscontro al presente punto, si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l’applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.1gs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), 1 quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. La piattaforma per video- lezioni, video-conferenze, messaggistica, il cui utilizzo avviene in forma gratuita, è stata opzionata all’inizio dell'emergenza sanitaria sulla base delle indicazioni rese dal Ministero dell’Istruzione ( https://www.istruzione.it/coronavirus/didattica-a-distanza.html ). L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Avverso la decisione dell’amministrazione competente il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. Il Dirigente Scolastico [omissis]