<—9, Istituto Statale Tecnico Commerciale e per Geometri D/06E C_° “Enrico Fermi” 2014-2020 ZI HA C3 Ca Tel. 0587 213400 — Fax. 0587 52742 STRUTTURALI PI www.itegfermi.edu.it — pitd03000r@ istruzione.it EU RO p E| Scuole della Valdera in rete dn SR del 24/12/2022 PEC: comunicazioni @ pec.monitora-pa.it - scita E p.c. RPCT c/o USR Toscana [omissis] PEC: drto@postacert.istruzione.it Ministero dell’Istruzione e del Merito PEC: urp@istruzione.it Oggetto: Integrazione alla precedente risposta alla Sua richiesta di accesso civico generalizzato pervenuta il 20/09/2022 ai sensi dell’art. 5, co. 2, del D.Lgs. 14 marzo 2013 n. 33, a seguito di istanza di riesame al RPCT c/o USR Toscana ex art. 5, co. 7, del D.Lgs. n. 33/2013 Con riferimento alla Sua precedente richiesta, pervenuta al ns. indirizzo PEC pitd03000r@ pec.istruzione.it 11 20/09/2022 alle ore 02:55:34 (+0200), avente ad oggetto “[RIF FOIA-01.PITD03000R] RICHIESTA DI ACCESSO CIVICO GENERALIZZATO”, inviata dalla casella PEC comunicazioni@pec.monitora-pa.it, con codice identificativo del messaggio opec2113.20220920025534.13214.12.1.82@certmail.irideos.it, acquisita agli atti con ns. prot. n. 0014437 del 20/09/2022, preso atto dell’esito! dell’istanza di riesame dalla S.V. presentata al RPCT c/o USR Toscana ex art. 5, co. 7, del D.Lgs. n. 33/2013, qui integralmente richiamato, la precedente risposta ns. prot. n 0016932/III-1 del 18/10/2022 è come di seguito integrata: 1) Richiesta di copia del contratto (0 altro atto giuridico) sottoscritto per l’utilizzo di Posta elettronica istituzionale, piattaforme DAD/DDI, software house che fornisce il registro elettronico relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; Richiamando quanto già comunicato, s1 precisa/integra quanto segue: a) in relazione alla posta elettronica istituzionale sotto dominio @istruzione.it, gli istituti scolastici statali usufruiscono, in concessione, di una casella di posta elettronica e di una casella di posta certificata PEC ministeriale. Da ciò ne consegue che le software house fornitrici dei servizi di posta (Microsoft e Aruba, da pochi mesi Microsoft e Infocert) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita N ! Prot. n. 0018850 del 01/12/2022 già in Vs. possesso. PEC: pitd03000r@pec.istruzione.it - C.M. PITD03000R — C.F. 81002250504 — Codice Univoco dell’Ufficio: UFOTTI www.itcgfermi.edu.it — Tel. 0587 213400 — Fax. 0587 52742 — PEO: pitd03000r@istruzione.it — PEC: pitd03000r@pec.istruzione.it dall’amministrazione centrale del Ministero che legge in copia, sia direttamente, tramite l'URP, che indirettamente tramite l’ufficio periferico USR Toscana. Pertanto, questo Istituto non può accogliere la sua richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola; b) in relazione alle piattaforme DaD/DDI ed e-mail utilizzate dall’Istituto, si rammenta che queste sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita, fatta eccezione per le licenze cd. upgrade (Google Workspace for Education: Teaching and Learning Upgrade)”. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha sottoscritto prima dell’attivazione del servizio. Tali termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione. L’istituto non può quindi accogliere la richiesta in quanto trattasi di documenti pubblicati ed aggiornati da altro soggetto, pubblicamente accessibili sui siti delle piattaforme in questione, tuttavia, sebbene si ritenga che la S.V. ne sia già a conoscenza, di seguito si forniscono 1 link alle due piattaforme utilizzate, peraltro indicate dal Ministero dell’Istruzione stesso come idonee e/o certificate AdID? per la DaD/DDI nel periodo di lockdown”, poi mantenute anche per gli AA.SS. successivi: =» Microsoft 365®: per account gli @istruzione.it, applicazioni Office 365, TEAMS https://www.microsoft.com/it-it/microsoft-365 https://www.microsoft.com/it-TT/education/products/microsoft-365 Termini e condizioni’, Condizioni di servizio”, Privacy” "G-SUITE: ora Google Workspace for Education, per gli account @itegfermi.it, applicazioni della G-Suite, Classroom, Meet, ecc. https://edu.soogle.com/workspace-for- education/editions/education-fundamentals/?hl=it Privacy di Google Cloud*, Termini di servizio’, Norme sulla privacy di Google!°, Altri termini specifici altri servizi Google!! c) in relazione alla richiesta dei contratti sottoscritti tra lo scrivente Istituto e la software house che fornisce i servizi di Registro Elettronico!?, si segnala che i relativi riferimenti 2 https://trasparenza-pa.net/action/download.php?file_id=2278877 - https://trasparenza-pa.net/action/download.php?file id=1522326 3 https://catalogocloud.agid.gov.it/service/690 - https://catalogocloud.agid.gov.it/service/90 4 https://www.istruzione.it/coronavirus/didattica-a-distanza.html 5 https://learn.microsoft.com/it-it/office365/servicedescriptions/office-365-platform-service-description/office-365-education 6 https://learn.microsoft.com/it-it/microsoft-365/admin/m365-feature-descriptions?view=0365-worldwide&tabs=User-account- management ? https://learn.microsoft.com/it-itmicrosoft-365/admin/m365-feature-descriptions?view=0365- worldwide&tabs=Privacy#tabpanel 1 Privacy 8 https://cloud.google.com/terms/cloud-privacy-notice?hl=it ? https://policies.google.com/terms?hl=it 10 https://policies.google.com/privacy?hl=it !! https://policies.google.com/terms/service-specific?hl=it 12 https://web.spaggiari.eu/sdf/app/default/cvv.php?vista=scheda prodotto 24/12/2022 Integrazione ad accesso civico generalizzato del 20/09/2022 ai sensi dell’art. 5, co. 2, del D.Lgs. n. 33/2013 — Pag. 2 di 5  Istituto Tecnico Commerciale e per Geometri Statale “Enrico Fermi” — Via Firenze, 51 — 56025 Pontedera (PI) www.itcgfermi.edu.it — Tel. 0587 213400 — Fax. 0587 52742 — PEO: pitd03000r@istruzione.it — PEC: pitd03000r@pec.istruzione.it sono pubblicati nell’apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, in osservanza del D.Lgs. n. 33/2013: = https://avcp.trasparenza-pa.net/xml/SG16128/2019/care2019.xml = https://avcp.trasparenza-pa.net/xml/SG16128/2020/care2020.xml = https://avcp.trasparenza-pa.net/xml/SG1612$/2021/gare2021.xml = https://trasparenza-pa.net/actiton/download.php?file 1d=1601872 = https://trasparenza-pa.net/actiton/download.php?file 1d=1601874 Non essendo 1 contratti oggetto di pubblicazione obbligatoria su AT, nel precisare che l’attuale Registro elettronico e relativi applicativi, tra i quali ClasseViva e Scuola&Terriotrio di Spaggiari S.p.A.!, sono in uso dall’ A.S. 2017/2018, si inoltrano in allegato, con i dati sensibili oscurati, per gli AA.SS. 2020/2021, 2021/2022 e 2022/2023. 2) Richiesta — DPIA per piattaforma DDI per gli A.S. 2020-21 e 2021-22 In riscontro a tale punto, si richiama il provvedimento del 26 marzo 2020, con cui il Garante per la protezione dei dati personali ha voluto fornire una serie di chiarimenti in merito all’utilizzo dei sistemi di didattica a distanza e dei registri elettronici. In particolare, il Garante, con riferimento alle valutazioni di impatto ha affermato che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.” Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). A tal riguardo occorre precisare che, con il già menzionato provvedimento, il Garante non ha in alcun modo derogato all'applicazione del GDPR per asseriti motivi emergenziali, fornendo solamente precisazioni utili ad un corretto approccio alla didattica a distanza in vista della sua massiva adozione. La DPIA, quindi, è obbligatoria in casi specifici e normati, tra i quali non ricadono 1 trattamenti di dati in ambito scolastico , non effettuando la scuola nessuno dei trattamenti di cui alle lettere a), b) e c) del suddetto articolo (trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c), atteso che il trattamento dei dati avviene per le sole finalità istituzionali. La scuola ha utilizzato la piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche utenze con specifici permessi. La scuola ha abilitato 1 soli servizi essenziali regolati da termini di utilizzo che vincolano i Provider di servizio alla non registrazione e alla non divulgazione dei dati. 13 http://www.spaggiari.eu/privacyWHITEPAPER SAAS 12052020.pdf 24/12/2022 Integrazione ad accesso civico generalizzato del 20/09/2022 ai sensi dell’art. 5, co. 2, del D.Lgs. n. 33/2013 — Pag. 3 di 5 www.itcgfermi.edu.it — Tel. 0587 213400 — Fax. 0587 52742 — PEO: pitd03000r@istruzione.it — PEC: pitd03000r@pec.istruzione.it L’Istituto non può accogliere la richiesta, in quanto trattasi di documenti non previsti e non obbligatori. L’Istituto non utilizza piattaforme di monitoraggio sistematico degli utenti. 3) Misure tecniche previste e adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; In merito al punto in oggetto, si rappresenta che l’Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali è sempre stato indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. La richiesta appare inoltre generica, non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che, in quanto “non rivolti esclusivamente alla didattica”, sembrano esulare dai compiti istituzionali. 4) Richiesta di copia di DPIA per posta elettronica, DDI, registro elettronico per V’A.S. 2022-23 Come già rappresentato in riscontro alla richiesta di cui ai punti 1) e 2), si evidenzia che l’art 35 GDPR prevede precisi casi in cui è necessaria la DPIA. Tra questi non rientrano quelli in esame. Inoltre, si rammenta che il Garante per la protezione dei dati personali ha pubblicato un elenco esemplificativo (non esaustivo) dei trattamenti soggetti a DPIA (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-isplay/docweb/9058979) e, tra questi, non sono presenti quelli citati nella richiesta pervenuta. Sulla valutazione d'impatto il Garante ha poi precisato che: "si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala (https://www.garanteprivacy.it'/Regolamentoue/DPIA)”. Non basta, quindi, la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. 5) Copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta 24/12/2022 Integrazione ad accesso civico generalizzato del 20/09/2022 ai sensi dell’art. 5, co. 2, del D.Lgs. n. 33/2013 — Pag. 4di 5 www.itcgfermi.edu.it — Tel. 0587 213400 — Fax. 0587 52742 — PEO: pitd03000r@istruzione.it — PEC: pitd03000r@pec.istruzione.it elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell'anno scolastico 2022/2023; Come già indicato nel riscontro alla richiesta di cui al punto 1), le software house sono scelte a livello Ministeriale. L'eventuale necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non nella disponibilità della scuola. Per quanto concerne 1 servizi relativi alla Piattaforma DDI (Messaggistica, videoconferenza, etc.), si rappresenta che anche in questo caso la valutazione di impatto sulla protezione dei dati (DPIA) non ricade in questa ipotesi, e ciò in quanto gli istituti scolastici non effettuano trattamenti automatizzati (punto a art. 35, comma 3 GDPR), né su larga scala (punto b, art. 35 comma 3 GDPR) né sistematici (punto c art. 35, comma 3 GDPR). L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. 6) Copia della valutazione comparativa per V’A.S. 2022-23 per le piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023. In riscontro al presente punto, si rileva come la normativa che regola gli acquisti da parte delle scuole richiama non solo l’applicazione del CAD [omissis] ma anche del codice dei contratti pubblici (d.1gs. 50/16) e del regolamento di contabilità delle scuole (Decreto 28 agosto 2018, n. 129), i quali non indicano alcun chiaro obbligo di conservare agli atti della scuola valutazioni comparative per acquisti sotto-soglia. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti non previsti né obbligatori. Inoltre, non è stata effettuata alcuna valutazione comparativa in quanto le piattaforme usate durante il periodo della pandemia sono state fornite gratuitamente dai vendor e opzionate sulla base delle indicazioni rese dal [omissis] decisione dell’amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104. Allegati: ® Copia scansionata rinnovo contrattuale ClasseViva e servizi accessori, tra i quali il RE e PagoPA 2020 — 2021 — 2022 ® Copia scansionata rinnovo contrattuale Scuola&Territorio 2020 — 2021 — 2022 . i IL DIRIGENTE SCOLASTICO Firmato [omissis] : Pontedera (PI) [omissis] Data: 24/12/2022 19:29:22 24/12/2022 Integrazione ad accesso civico generalizzato del 20/09/2022 ai sensi dell’art. 5, co. 2, del D.Lgs. n. 33/2013 — Pag. 5 di 5