(Su TECNICO FONDI Ministero dell'istuzione, dell'Università e della Ricerca Dipartimento per la programmazione e la Gestione delle PIMEICIALE STRUTTURALI Risorse Umane, Finanzia mentali Direzione Gienerale per ini materia di Edilizia Scolastica per la gestione dei Fondi Strutturali per lisruzione e per l'innovazione Digitale Sin Unione Europea EUROPEI 2014-2020 MIUR Ufficio IV p' PER LA SCUOLA - COMPETENZEE AMBIENTI PER L'APPRENDIMENTO {FSE-FESR) dcuolì membro dell UNESCO. Istituto Tecnico Commerciale Statale “Filippo Pacini”- Pistoia Corso Gramsci, 43 — 51100 Pistoia — Tel. 057399271 — Fax 0573368640 E.mail: pttd020005@istruzione.it — E.mail PEC: pttd020005@pec.istruzione.it — Sito Web: www.itesfilippopacini.edu.it Codice fiscale 80006090478 Codice univoco ufficio: UF80BK Pistoia, 20/10/2022 Prot.7096A21 - All'attenzione di Fabio Pietrosanti attivista del progetto Monitora PA comunicazioni@pec.monitora-pa.it OGGETTO: riscontro a richiesta di accesso civico generalizzato da parte di Monitora PA In relazione alla richiesta pervenuta alla scrivente amministrazione in data 20/09/2022, si fornisce il seguente riscontro: - Relativamente al punto n. 1 (ALLEGATO 1, 2, 3 e 4) della richiesta si fa presente che il Il Registro Elettronico è adottato dagli Istituti Scolastici in ossequio a vigenti disposizioni di legge quali: e Codice dell’Amministrazione Digitale (CAD) D. Lgs. 82 del 7 marzo 2005 ed in particolare art. 40 che impone alle pubbliche amministrazioni di formare gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici; e Piano Triennale dell’AgiD; e D. L. n. 95/2012 contenente “Disposizioni urgenti per la razionalizzazione della spesa pubblica”, convertito dalla legge n. 135/2012; e Nota del MIUR del 3 ottobre 2012, [omissis] . Uff. 1682/U; e Legge 13 luglio 2015, n. 107. L'adozione dello stesso è peraltro incentivata, in applicazione della normativa sopra citata, dal cosiddetto PNNR, delle Istituzioni scolastiche: “L'investimento 1.2 della Componente 1 della Missione 1 del Piano Nazionale di Ripresa e Resilienza si pone come obiettivo la migrazione dei dataset e delle applicazioni utilizzate dalle Istituzioni scolastiche verso un'infrastruttura cloud sicura e che rispecchi i requisiti definiti da AgiD all’interno della determinazione n. 628/2021. L'investimento, pertanto, propone la dismissione di tutti gli applicativi gestiti tramite software on premise o tramite soluzioni custom, a favore del passaggio ad applicativi ospitati su ambienti cloud certificati”. Il Registro Elettronico non è stato adottato dagli Istituti Scolastici in seguito alla pandemia da COVID-19 ed in nessun caso si può collegare la sua adozione allo stato di emergenza cessato lo scorso marzo. Non è quindi in discussione la legittimità della soluzione, in quanto prevista dalla normativa. Non è in discussione, se del caso, neppure il trattamento dei dati personali effettuato dagli Istituti Scolastici tramite il Registro Elettronico, che trova il suo fondamento di liceità nello svolgimento di attività di interesse pubblico rilevante per l'istruzione e la formazione in ambito scolastico , anche in adempimento di svariati obblighi 1 di legge e come definito dagli artt. 2-ter e 2-sexies comma 2 lettera bb) del D. Lgs 196/03 (testo vigente) ed evidentemente non nel consenso degli interessati. Non è in discussione neppure il contratto stipulato dagli Istituti Scolastici con la scrivente azienda, formalizzato sempre e per ogni Istituto da apposito ordine e corredato di condizioni generali di contratto. Per la fornitura del servizio, la Argo software è regolarmente contrattualizzata quale responsabile del trattamento ai sensi dell’art. 28 del RGPD 2016/679, senza la quale nomina non è possibile procedere alla erogazione dei servizi. Pur non essendo la risposta pertinente alla nostra fattispecie, perché la soluzione software non eroga servizi più complessi fuori dalla unica finalità scolastico -didattica, ci teniamo a precisare che il registro elettronico, Argo DidUp, è un'applicazione web progettata, sviluppata e fornita in piena sicurezza in modalità SaaS dalla Argo Software, azienda dotata di sistema di gestione per la sicurezza delle informazioni certificato secondo la norma gli applicativi in commercio. La famiglia di applicativi ScuolaNext/DidUp (area Didattica), cui il Registro Elettronico appartiene, risiede, come tutti gli altri applicativi Argo, nei server appositamente acquistati dal Cloud Service Provider Amazon Web Services EMEA s.a.r.l. (AWS), region Italia e Irlanda, ed in essi sono registrati e conservati i dati inseriti negli applicativi. La famiglia di applicativi comunica, al suo interno e verso l'esterno, attraverso appositi canali cifrati con protocollo SSL. Tutte le politiche e le misure di sicurezza e protezione delle informazioni e dei dati personali adottate per i registri, come per tutte le altre applicazioni Argo, sono descritte nel documento Policy web Argo, pubblico e raggiungibile dalla pagina https://www.argosoft.it/privacy.php . Il registro elettronico, Argo Didup, è un sottoinsieme di funzionalità del sistema ScuolaNext. Attraverso ScuolaNext, possono essere gestiti: e registri elettronici di classe e del docente, e rilevazione delle assenze, e orario scolastico , e prenotazione colloqui, e condivisione delle lezioni, e pubblicazione di documenti in bacheca e comunicazioni scuola-famiglia e scuola-personale scolastico , incluse la presa visione dei voti, degli scrutini, delle richieste di certificati e documenti e di ogni ulteriore informazione a supporto della gestione degli alunni. Attraverso il registro elettronico ed il sistema ScuolaNext non è possibile effettuare alcuna operazione di sorveglianza (nemmeno occulta) sugli utenti del sistema, siano essi gli alunni, i loro famigliari, i docenti o il personale scolastico che ne fruisce, al di là della raccolta dei log degli accessi e delle operazioni (peraltro obbligatoria per legge) e descritta nella sopracitata policy. - Relativamente ai punti 2, 4 e 5 lo scrivente istituto non è in possesso della documentazione richiesta, poiché la richiesta di esibizione delle misure di sicurezza o delle DPIA non è applicabile in quanto il livello di sicurezza offerto dal provider dovrebbe garantire la minimizzazione dei rischi, la dimostrazione della valutazione della sicurezza del trasferimento dei dati extra UE (TIA) è applicabile solo qualora un fornitore abbia adottato un trasferimento extra SEE. - Relativamente al punto 3 si ritiene di dover operare il diniego previsto dall’art. 5 bis, comma 2, lett. c) del D.Lgs. 33/2013, il quale preclude l’accesso civico generalizzato quando il diniego appare necessario per evitare un pregiudizio concreto alla tutela degli “interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale il diritto d’autore e i segreti commerciali”, in quanto l’interesse conoscitivo che la richiesta mira a soddisfare appare strumentale a realizzare una forma di controllo di un ambito già istituzionalmente presidiato dall'Autorità per la Privacy. Infine, circa il punto n. 6 si segnala che l’unica piattaforma utilizzata durante il periodo della pandemia è stata fornita gratuitamente. Il Dirigente Scolastico [omissis] Firmato [omissis]