Istituto Comprensivo Statale “FRANCESCO BERNI” Piazza A. La Marmora, 1 - 51035 Lamporecchio (PT) - Tel. 0573/800680 Codice Ministeriale: PTIC81800Q - Codice Fiscale: 80009210479 e-mail: ptic81800q @istruzione.it - Posta certificata: ptic81800q@pec.istruzione.it www.iclamporecchio.edu.it AI Richiedente Sig. Fabio Pietrosanti comunicazioni@ pec.monitora-pa.it Oggetto: Richiesta Accesso Civico del 20.09.2022 In merito alla richiesta: 1. copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021,2021/2022, 2022/2023. Ai sensi del comma 6, art. 5, D.Lgs. n. 33 del 2013, il quale prevede che “nel caso in cui l'istanza riguardi dati, informazioni o documenti oggetto di pubblicazione obbligatoria ai sensi del presente decreto, a pubblicare sul sito i dati, le informazioni o i documenti richiesti e a comunicare al richiedente l'avvenuta pubblicazione dello stesso, indicandogli il relativo collegamento ipertestuale”» si fornisce il seguente link di pubblicazione della determina a contrarre con ARGO Software srl: www.trasparenza-pa.net/action/downplink.php?file_id=1656922 Si precisa che il contratto viene stipulato per anno solare e che, pertanto, per l’anno 2023 non è stato ancora stipulato. Si allegano, altresì, alla presente i contratti sottoscritti con l'azienda ARGO Software srl negli anni 2020, 2021, 2022. Si evidenzia, inoltre, che Il Registro Elettronico è adottato dagli Istituti Scolastici in ossequio a vigenti disposi zioni di legge quali: e Codice dell’Amministrazione Digitale (CAD) D. Lgs. 82 del 7 marzo 2005 ed in particolare art. 40 che impone alle pubbliche amministrazioni di formare gli originali dei propri docu menti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici; e Piano Triennale dell’AgiD; e D. L. n. 95/2012 contenente “Disposizioni urgenti per la razionalizzazione della spesa pubblica”, convertito dalla legge n. 135/2012; e Nota del MIUR del 3 ottobre 2012, [omissis] . Uff. 1682/U; e Legge 13 luglio 2015, n. 107. L'adozione dello stesso è peraltro incentivata, in applicazione della normativa sopra di migrazione al cloud delle Istituzioni scolastiche: “L'investimento 1.2 della Componente 1 della Missione 1 del Piano Nazionale di Ripresa e Resilienza si pone come obiettivo la migrazione dei dataset e delle applicazioni utilizzate dalle Istituzioni scolastiche verso un'infrastruttura cloud sicura e che rispecchi i requisiti definiti da AgiD all’interno della Determinazione n. 628/2021. L'investimento, pertanto, propone la dismissione di tutti gli applicativi gestiti tramite software on premise o tramite soluzioni custom, a favore del passaggio ad applicativi ospitati su ambienti cloud certificati”. Il Registro Elettronico non è stato adottato dagli Istituti Scolastici in seguito alla pandemia da COVID-19 ed in nessun caso si può collegare la sua adozione allo stato di emergenza cessato lo scorso marzo. Non è quindi in discussione la legittimità della soluzione, in quanto prevista dalla normativa. Il trattamento dei dati personali effettuato dagli Istituti Scolastici tramite il Registro Elettronico trova il suo fondamento di liceità nello svolgimento di attività di interesse pubblico rilevante per l'istruzione e la formazione in ambito scolastico , anche in adempimento di svariati obblighi di legge e come definito dagli artt. 2-ter e 2-sexies comma 2 lettera bb) del D. Lgs 196/03 (testo vigente), e non nel consenso degli interessati. Il contratto stipulato da questo Istituto Scolastico con l'azienda ARGO Software srl è formalizzato da apposito ordine e corredato di condizioni generali di contratto. Per la fornitura del servizio, la Argo software è regolarmente contrattualizzata quale responsabile del trattamento ai sensi dell’art. 28 del RGPD 2016/679, senza la quale nomina non è possibile procedere alla erogazione dei servizi. La soluzione software dell'azienda Argo Software non eroga servizi più complessi fuori dalla unica finalità scolastico - didattica. Argo DidUp, è un'applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dalla Argo Software, azienda dotata di sistema di gestione per la sicurezza delle informazioni certificato secondo la norma applicativi in commercio. La famiglia di applicativi ScuolaNext/DidUp (area Didattica), cui il Registro Elettronico pertiene, risiede, come tutti gli altri applicativi Argo, nei server appositamente acquistati dal Cloud Service Provider Amazon Web Services EMEA s.a.r.l. (AWS), regioni Italia e Irlanda, ed in essi sono registrati e conservati i dati inseriti negli applicativi. La famiglia di applicativi comunica, al suo interno e verso l’esterno, attraverso appositi canali cifrati con protocollo SSL. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://www.argosoft.it/privacy.php. Il registro elettronico, Argo Didup, è un sottoinsieme di funzionalità del sistema ScuolaNext. Attraverso ScuolaNext, possono essere gestiti: e registri elettronici di classe e del docente, e rilevazione delle assenze, e orario scolastico , e prenotazione colloqui, e condivisione delle lezioni, e pubblicazione di documenti in bacheca e comunicazioni scuola-famiglia e scuola-personale scolastico , incluse la presa visione dei voti, degli scrutini, delle richieste di certificati e documenti e di ogni ulteriore informazione a supporto della gestione degli alunni. Attraverso il registro elettronico ed il sistema ScuolaNext non è possibile effettuare alcuna operazione di sorveglianza (nemmeno occulta) sugli utenti del sistema, siano essi gli alunni, i loro famigliari, i docenti o il personale scolastico che ne fruisce, al di là della raccolta dei log degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella sopra citata policy. In merito alla richiesta di: 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022. Il documento richiesto non è disponibile in quanto - in base al Provvedimento dell'Autorità Garante per la protezione dei dati personali del 26/03/2020 - detta valutazione di impatto non è necessaria, posto che l'istituto non effettua trattamenti di dati personali su larga scala e non si fa ricorso a soluzioni tecnologiche particolarmente invasive. In merito alla richiesta di: 3. copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023 La richiesta appare generica non individuando con esattezza la documentazione richiesta e connotata da carattere esplorativo, oltre che riferirsi anche a dati che in quanto “non rivolti esclusivamente alla didattica” sembrano esulare dai compiti istituzionali di questa Amministrazione, pertanto, in allegato si fornisce - in relazione agli anni 2020/2021 e 2021/2022 - la seguente documentazione: e Regolamento Didattica Digitale Integrata e Didattica a Distanza deliberato dal Consiglio d'Istituto. | documenti sono rinvenibili ai link sottoindicati e sono presenti nella sezione Amministrazione Trasparente di questo Istituto Scolastico . Didattica a distanza per la durata della sospensione delle attività didattiche Prot. 1662 - 06/03/2020 https://www.iclamporecchio.edu.it/attachments/article/247/didattica%20a%20distanza%20con%20protocollo.pdf Attività di didattica a distanza https://www.iclamporecchio.edu.it/attachments/article/247/DIDATTICA%20A%20DISTANZA%2013.03.2020.pdf Regolamento per la Didattica Digitale Integrata Modificato dal C.I. del 14/12/2021 - Prot. 25 del 03/01/2022 https://www.trasparenza-pa.net/action/download.php?file id=1602643 In relazione all'anno 2022/2023, atteso che non è previsto il ricorso alla DaD e DDI, allo stato attuale, non è possibile fornire alcun documento. In merito alla richiesta di: 4. copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo. Si rileva la non necessarietà della valutazione d'impatto alla luce del Provvedimento del Garante Privacy del 26/03/2020. In merito alla richiesta di: 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in indirizzo. Si rileva la non necessarietà della valutazione d'impatto alla luce del Provvedimento del Garante Privacy del 26/03/2020. L'Istituto scolastico nel periodo di emergenza pandemica, al fine di garantire lo svolgimento delle funzioni istituzionali nell’interesse pubblico, ha utilizzato piattaforme Certificate AGID e/o suggerite dal Ministero dell'Istruzione sul proprio sito, nella fattispecie è stata utilizzata esclusivamente la piattaforma WeSchool, per la quale il rischio per l'utilizzo doveva essere calcolato a monte, pena la revoca delle Certificazioni. L'Istituto ha provveduto alla verifica dell'utilizzo delle Piattaforme, per le sole finalità didattiche, limitandone l’uso per mezzo di opportune configurazioni e procedure. Per l’anno scolastico in corso, le indicazioni ricevute dal Ministero dell'Istruzione non prevedono l’utilizzo di piattaforme per erogare i servizi di istruzione a distanza. Terminate le intense attività di avvio dell’anno scolastico in corso che prevedono la didattica in presenza si effettueranno/ri-effettueranno analisi come la valutazione di impatto TIA, attività correlata alla più ampia e dettagliata analisi dei rischi per la definizione di una struttura organizzativa ai sensi dell’art. 32 del GDPR 679/2016 prevede una formalizzazione della stessa dopo attenta valutazione di elementi che investono il contesto internazionale (sentenza Schrems II, Privacy Shield, Privacy Shield 2), ed un profonda ed attenta analisi anche di elementi che se correttamente applicati eliminano l'impatto privacy del trattamento dati attraverso piattaforme con basi dati residenti all’estero come la pseudonomizzazione, la crittografia e le procedure di utilizzo. L'istituto ritiene, in attesa di indicazioni ministeriali, di utilizzare piattaforme di uso generalista pseudonomizzando gli account e gli indirizzi mail, e di non trattare alcun dato personale in esse, ponendo limiti all’uso solo al fine didattico. Per questo motivo l’uso di suddette piattaforme, scevre dalla presenza di dati personali, non necessita di valutazione TIA (la Valutazione d'impatto sul trasferimento dati personali extra UE presuppone che ci sia la presenza di dati personali, presenza venuta meno attraverso la tecnica della pseudonimizzazione). In merito alla richiesta di: 6. copia della valutazione comparativa ai sensi dell’art. 68 del d. Igs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. Atteso che non si è ancora giunti al rinnovo dei contratti relativi a piattaforme già in uso, e nemmeno si sono acquistate nuove piattaforme, allo stato, non è possibile fornire alcun documento. Il Dirigente Scolastico e responsabile del procedimento [omissis] lozzelli