FO fl D ) Ministero dell'Istruzione, dell'Università e della Ricerca Dipartimento per la Programmazione Direzione Generale per interventi in materia di edilizia ST R U T T U Q Q L | scolastica , per la gestione dei fondi strutturali per EUROPEI fl 2014-2020 a l'istruzione e per l'innovazione digitale [omissis] SCUOLA - COMPETENZE E AMBIENTI PER L'APPRENDIMENTO (FSE-FESR) Istituto Comprensivo Statale “A. Frank —- Carradori” Via Donati, 19 - 51100 Pistoia Tel. 0573-367580 Tel. e Fax 0573-26784 e-mail:ptic82800a @istruzione. it PEC: ptic82800a@pec.istruzione.it www.icsfrankcarradori.edu.it Cod. fisc. 80008010474 LCA, FRANK - CARRADORTLPISTOIA All'attenzione di Fabio Pietrosanti Prot. 0008834 del 21/10/2022 attivista del progetto Monitora PA Ill (Uscita) comunicazioni@pec.monitora-pa.it OGGETTO: Riscontro a richiesta di accesso civico generalizzato da parte di Monitora PA In relazione alla richiesta pervenuta alla scrivente amministrazione in data 21/09/2022 assunta ns. prot. 7822/III del 22/09/2022, si fornisce il seguente riscontro: - Relativamente al punto n. 1 (ALLEGATO 1, 2, 3 e 4) della richiesta si fa presente che il Registro Elettronico è adottato dagli Istituti Scolastici in ossequio a vigenti disposizioni di legge quali: e Codice dell'Amministrazione Digitale (CAD) D. Lgs. 82 del 7 marzo 2005 ed in particolare art. 40 che impone alle pubbliche amministrazioni di formare gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici; e Piano Triennale dell’Agid; e D.L.n. 95/2012 contenente "Disposizioni urgenti per la razionalizzazione della spesa pubblica", convertito dalla legge n. 135/2012; e Nota del MIUR del 3 ottobre 2012, prot. AO00DPPR Reg. Uff. 1682 /U; e Legge 13 luglio 2015, n. 107. L'adozione dello stesso è peraltro incentivata, in applicazione della normativa sopra citata, dal cosiddetto PNNR, come formalizzato dallo stesso Ministero dell'Istruzione nella Linea Guida per il processo di migrazione al cloud delle Istituzioni scolastiche: "L'investimento 1.2 della Componente 1 della Missione 1 del Piano Nazionale di Ripresa e Resilienza si pone come obiettivo la migrazione dei dataset e delle applicazioni utilizzate dalle Istituzioni scolastiche verso un'infrastruttura cloud sicura e che rispecchi i requisiti definiti da AgID all'interno della determinazione n. 628/2021. L'investimento, pertanto, propone la dismissione di tutti gli applicativi gestiti tramite software on premise o tramite soluzioni custom, a favore del passaggio ad applicativi ospitati su ambienti cloud certificati". Il Registro Elettronico non è stato adottato dagli Istituti Scolastici in seguito alla pandemia da COVID- 19 ed in nessun caso si può collegare la sua adozione allo stato di emergenza cessato lo scorso marzo. Non è quindi in discussione la legittimità della soluzione, in quanto prevista dalla normativa. Non è in discussione, se del caso, neppure il trattamento dei dati personali effettuato dagli istituti scolastici tramite il Registro Elettronico, che trova il suo fondamento di liceità nello svolgimento di attività di interesse pubblico rilevante per l'istruzione e la formazione in ambito scolastico , anche in adempimento di svariati obblighi di legge e come definito dagli artt. 2-ter e 2- sexies comma 2 lettera bb del D.Lgs 196/03 ( testo vigente) ed evidentemente non nel consenso degli interessati. Non è in discussione neppure il contratto stipulato dagli Istituti Scolastici con la scrivente azienda, formalizzato sempre e per ogni Istituto da apposito ordine e corredato di condizioni generali di contratto. Per la fornitura del servizio, la Argo software è regolarmente contrattualizzata quale responsabile del trattamento ai sensi dell'art. 28 del RGPD 2016/679, senza la quale nomina non è possibile procedere alla erogazione dei servizi. Pur non essendo la risposta pertinente alla nostra fattispecie, perché la soluzione software non eroga servizi più complessi fuori dalla unica finalità scolastico -didattica, ci teniamo a precisare che il registro elettronico, Argo Didup, è un’applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dall Argo Software, azienda dotata di sistema di gestione per la sicurezza delle La famiglia di applicativi ScuolaNext/DidUp (area Didattica), cui il Registro Elettronico appartiene, risiede, come tutti gli altri applicativi Argo, nei server appositamente acquistati dal Cloud Service Provider Amazon Web Services EMEA s.a.r.l. (AWS), regione Italia e Irlanda, ad essi sono registrati e conservati i dati inseriti negli applicativi. La famiglia di applicativi comunica, al suo interno e verso l’esterno, attraverso appositi canali cifrati con protocollo SSL. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://www.argosoft.it/privacy.php. Il registro elettronico, Argo DidUp, è un sottoinsieme di funzionalità del sistema Scuola Next. Attraverso ScuolaNext, possono essere gestiti: * registri elettronici di classe e del docente, e rilevazione delle assenze, e orario scolastico , e prenotazione colloqui, e condivisione delle lezioni, e pubblicazione di documenti in bacheca e comunicazioni scuola-famiglia e scuola-personale scolastico , incluse la presa visione dei voti, degli scrutini, delle richieste di certificati e documenti e di ogni ulteriore informazione a supporto della gestione degli alunni. Attraverso il registro elettronico ed il sistema ScuolaNext non è possibile effettuare alcuna operazione di sorveglianza (nemmeno occulta) sugli utenti del sistema, siano essi gli alunni, i loro famigliari, i docenti o il personale scolastico che ne fruisce, al di là della raccolta dei log degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella sopracitata policy. - Relativamente ai punti 2, 4 e 5 lo scrivente istituto non è in possesso della documentazione richiesta, poiché la richiesta di esibizione delle misure di sicurezza o delle DPIA non è applicabile in quanto il livello di sicurezza offerto dal provider dovrebbe garantire la minimizzazione dei rischi, la dimostrazione della valutazione della sicurezza del trasferimento dei dati extra UE (TIA) è applicabile solo qualora un fornitore abbia adottato un trasferimento extra SEE. - Relativamente al punto 3 si ritiene di dover operare il diniego previsto dall'art 5 bis, comma 2, lett. c) del D.Lgs. 33/2013, il quale preclude l'accesso civico generalizzato quando il diniego appare necessario per evitare un pregiudizio concreto alla tutela degli "interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale il diritto d'autore e i segreti commerciali", in quanto l'interesse conoscitivo che Ia richiesta mira a soddisfare appare strumentale a realizzare una forma di controllo di un ambito già istituzionalmente presidiato dall'Autorità per la Privacy. - Infine, circa il punto n. 6 si segnala che l'unica piattaforma utilizzata durante il periodo della pandemia è stata fornita gratuitamente. Pistoia, 21/10/2022 IL DIRIGENTE SCOLASTICO [omissis]