Repubblica Italiana Provincia Autonoma di Trento agÉxg Protocollo n. icrlp_tn-21/10/2022-0008259 Inviato via pec a: AI richiedente comunicazioni@pec. monitora-pa.it Sig. Fabio Pietrosanti c/o Associazione Monitora PA Via Aretusa, 34 Milano Oggetto: comunicazione accoglimento parziale richiesta di accesso civico generalizzato. Vista la richiesta di accesso civico generalizzato ex art. 5, comma 2, d.lgs. 33/2013, da Lei presentata con nota pervenuta alla scrivente istituzione scolastica il 22 settembre 2022, ns prot. 7236/2.9 di pari data, si comunica che questa istituzione scolastica intende accogliere parzialmente la richiesta e nello specifico: Punto 1. Non essendo esplicitato puntualmente il documento richiesto si ritiene di comunicare quanto segue: Il personale scolastico è assegnatario di un account istituzionale con dominio @scuole.provincia.tn.it. Tale strumento (che non prevede alcun onere economico a carico della scuola) viene messo a disposizione alla scrivente dal competente servizio provinciale tramite la società in house Trentino Digitale nell’ambito della convenzione relativa alla gestione del sistema informatico trentino (SINET) stipulata il 24 maggio 2013, n. di raccolta 42376, che ne disciplina gli aspetti contrattuali. Parimenti, la scrivente scuola utilizza il registro elettronico messo a disposizione dalla Provincia Autonoma di Trento alle istituzioni scolastiche provinciali per la gestione di assenze, presenze, valutazioni, prenotazioni udienze, comunicazioni con le famiglie (anche tale strumento non prevede alcun onere economico a carico della scuola). Per ottenere ogni informazione relativa al predetto Registro elettronico - sistema informativo della scuola trentina, si fa rinvio ai seguenti link: https:/\www.istruzione.provincia.tn.it/'apps/famiglia/it/login;requestedurl=L210L2hvbWU%253D;sessi onState=none;https:/\www. vivoscuola.it/content/download/61878/1352283/file/ManualeFamiglie.pd f https:/www.vivoscuola.it/content/download/59129/1296996/file/TutorialX%20ReL%202019.pdf: https://sites.google.com/provincia.tn.it/manuale-registro-isi'documentazione/manuale-famiglie. Per ogni ulteriore richiesta informativa relativamente al rapporto in essere tra la scrivente Amministrazione e la Provincia Autonoma di Trento si indicano i seguenti recapiti: Provincia Autonoma di Trento, Dipartimento istruzione e cultura, Via Gilli n. 3, 38121 TRENTO (TN); serv.istruzione@provincia.tn.it; serv.istruzione@pec.provincia.tn.it. L’istituto scolastico nel periodo di emergenza pandemica, al fine di garantire lo svolgimento delle funzioni istituzionali nell'interesse pubblico, ha fatto ricorso a piattaforme Certificate AGID, indicate sia dal Servizio Istruzione della Provincia Autonoma di Trento che dal Ministero ceor ic riva?Aecnale nravincia tn it - PEC- ic riva?@Anec nravincia tn it - www riva? it Repubblica Italiana Provincia Autonoma di Trento dell'Istruzione (in tale scelta si è considerato che il Ministero dell'Istruzione, nella sezione dedicata alla didattica a distanza presente all’interno del proprio sito istituzionale https://www.istruzione.it/coronavirus/didattica-a-distanza.html individuava la piattaforma “G-Suite for education” tra quelle suggerite alle scuole nazionali nel contesto della gestione della didattica nel periodo della pandemia). Per la loro adozione si è fatto affidamento sul fatto che il rischio derivante dal loro utilizzo fosse stato ponderato a monte da parte dei predetti autorevoli Enti (e pena revoca delle predette Certificazioni). Inoltre, per quanto riguarda la scelta di ricorrere ai servizi di “G-Suite for education” si è altresì tenuto conto delle note informative e delle condizioni di servizio offerte dal fornitore in sede di adesione al servizio nonché si è fatto affidamento sulla qualità dell’ “Accordo GSuite for Education” e della “Modifica elaborazione dati GSuite for Education” e delle dichiarazioni di attestazione di conformità di tali strumenti alle norme COPPA (Child's Online Privacy Protection Act), FERPA (Family Educational Rights and Privacy Acts) e GDPR rilasciate dal fornitore. Ciò premesso l’Istituto ha provveduto all'utilizzo della predetta piattaforma per le sole finalità didattiche, limitandone l'uso per mezzo di opportune configurazioni e procedure, tra le quali si indicano le seguenti: sono state acquisite le autorizzazioni dei referenti della responsabilità genitoriale per la creazione e l'attribuzione agli alunni di un account mail con estensione del dominio della scuola previa condivisione delle regole di utilizzo; la piattaforma è stata utilizzata esclusivamente per scopi didattici; gli account creati per gli studenti sono stati impostati in modalità “chiusa” (ossia viene data la possibilità di interagire esclusivamente all’interno della piattaforma e gli intestatari degli account non possono comunicare verso l'esterno né ricevere messaggi dall'esterno); sono state attuate delle limitazioni ai servizi collegati alla piattaforma (ad esempio, non si è consentito l'uso di YouTube, Google Maps, ecc.); gli utenti non venivano geolocalizzati; non è mai stato effettuato un monitoraggio sistematico. Punti 2. 4. 5. In merito alla richiesta di copia delle valutazioni d’impatto relativamente ai trattamenti derivanti dall’utilizzo di sistemi on line di videoconferenza negli anni 2020/2021, 2021/2022, 2022/2023 la stessa non può essere prodotta. La scrivente amministrazione, considerando che per i trattamenti connessi alla gestione della didattica a distanza mediante gli strumenti in uso non vi fossero i presupposti prescritti dall'art. 35 del Regolamento, ha ritenuto di seguire le indicazioni fornite sia dall’Autorità Garante nel Provvedimento di data 26 marzo 2020 “Didattica a distanza: prime indicazioni’ (art. 2. Capoverso quinto) che dal Ministero dell’Istruzione nella nota “Didattica Digitale Integrata e tutela della privacy: indicazioni generali’ (nota 11600 del 3 settembre 2020). Nello specifico, si è ritenuto che la scrivente istituzione scolastica , nel perseguimento delle proprie finalità istituzionali connesse alla attività didattica, non attuasse né un monitoraggio sistematico, né una profilazione, né un trattamento su larga scala di dati personali riferiti a minori. Invero, come anche rappresentato nella nota che si riscontra, il Garante della Privacy, sempre nel Provvedimento del 26 marzo 2020, dava supporto a tale valutazione affermando che la DPIA non fosse necessaria nel caso in esame in quanto l'istituzione scolastica non effettuava trattamenti di dati personali su larga scala e l’attività in essere non presentava ulteriori caratteristiche suscettibili di aggravare i rischi per idiritti e le libertà degli interessati. Analoghe argomentazioni valgono con riferimento ai documenti 4 e 5 della richiesta. seor ic riva?Aecnale nravincia tn it - PFC- ic riva? @nec nravincia tn it - www riva? it Repubblica Italiana Provincia Autonoma di Trento aggBay 9 I RIVA2 LuigiPizzini Punto 3. In merito alla richiesta di cui al punto 3) si rileva come l'istanza appaia generica e connotata dal carattere esplorativo non individuando con esattezza la documentazione richiesta e facendo riferimento, altresì, genericamente ad altri servizi “non esclusivamente rivolti alla didattica”. Verranno comunque indicati e prodotti gli atti riportanti le misure tecnico-organizzative adottate dalla scrivente in relazione all'attivazione dei soli servizi strettamente necessari alla formazione nel contesto della gestione della didattica a distanza tramite gli strumenti in uso. Nello specifico si segnala quanto segue: 1. in data 31 marzo 2020, mediante nota del DPO, la Scuola recepiva le indicazioni dell’Autorità Garante sopra richiamate (https://www.garanteprivacy.it\web/guest/home/docweb/-/docweb- display/docweb/9302778) estendendo a tutto il personale specifiche istruzioni operative in termini di accountability e responsabilizzazione; nel mese di aprile 2020 condivideva con il proprio animatore digitale, i referenti informatici ed il personale di segreteria una ulteriore nota del DPO nella quale testualmente veniva ribadito quanto segue: “Laddove la didattica a distanza comporti il trattamento di dati personali da parte di terzi (es. fornitori di servizi) è necessario ricorrere a strumenti dotati di adeguate misure di protezione. In via primaria il Garante suggerisce di utilizzare strumenti messi a disposizione da parte di soggetti nominati responsabili del trattamento (ad. es utilizzo dei sistemi eventualmente disponibili tramite l'applicativo del registro elettronico o piattaforme sicure offerte dalla PAT). Nella valutazione di tali strumenti è necessario dare prevalenza a quelli che garantiscono la maggiore garanzia di protezione dei dati personali oggetto di elaborazione. Nella scelta degli strumenti invito voler dare preferenza a quelli che favoriscono la minimizzazione nel trattamento di dati personali, che non prevedono la geolocalizzazione degli utenti (alunni e insegnanti), che non rendono necessario il trattamento di dati biometrici, che riducono al minimo la possibilità che i dati oggetto di elaborazione possano essere diffusi o comunicati a terzi non legittimati. In questa ponderazione suggerisco di dare prevalenza ai sistemi nei quali vi sia sempre la supervisione e il controllo di un soggetto referente (ad es. docente e/o amministratore di sistema) che possa fungere da filtro sui partecipanti e moderare i contenuti messi in condivisione. La cronaca (Corriere della Sera, edizione odierna, pag. 29 “Immagini hard. Gli hacker interrompono una lezione on line”) da risalto al caso di una scuola primaria in cui, nel corso di una videolezione convocata sulla piattaforma Meet senza che vi fosse alcun filtro da parte dell'insegnante sui soggetti ammessi a prendervi parte, alcuni soggetti si sono intromessi nel sistema e hanno inviato immagini oscene e violente. Questo periodo di emergenza ha inoltre fatto aumentare di molto la commissione di reati informatici e l'adescamento di minori mediante strumenti elettronici. Laddove la didattica a distanza comporti il trattamento di dati personali da parte di terzi (es. fornitori di servizi) è necessario ricorrere a strumenti dotati di adeguate misure di protezione. In via primaria il Garante suggerisce di utilizzare strumenti messi a disposizione da parte di soggetti nominati responsabili del trattamento (ad. es utilizzo dei sistemi eventualmente disponibili tramite l'applicativo del registro elettronico o piattaforme sicure offerte dalla PAT). Diversamente, qualora il sistema del registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere utile ricorrere a servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso Piazza Maria Contini 8 — 38066 Riva del Garda - Tel. 0464 552170 — Fax 0464 520789 - Codice fiscale 84003390220 cegr ir riva? @eenala nravincia tn it - PFC- ic riva? @nec nravincia tn it - www riva? it Repubblica Italiana Provincia Autonoma di Trento I. RIVA2 4LuigiPizzini riservato (alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti). Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l'utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità). Il Garante suggerisce di prestare la massima attenzione affinché il trattamento dei dati degli studenti svolto mediante le piattaforme (quali responsabili del trattamento), sia limitato a quanto strettamente necessario ai fini della didattica on line, senza permettere l'effettuazione di operazioni ulteriori (ad es. fornitura di altri servizi, marketing, profilazione, iscrizione newsletter, ecc.)”. 3. nel periodo della didattica a distanza, la valutazione nel merito di quali fossero gli strumenti compensativi e di supporto per favorire l’attività didattica in remoto era sempre subordinata all'autorizzazione del Dirigente e, di concerto con gli insegnanti, il DPO e i referenti informatici si sono prescelti i soli servizi strettamente indispensabili nell'ottica del rispetto dei principi di necessità e minimizzazione del trattamento stabiliti dalla normativa vigente; 4. nel mese di novembre 2020 si è provveduto a rinnovare la formazione dei collaboratori mediante la diffusione di specifiche istruzioni (all. atto di nomina del delegato interno del trattamento), di un “vademecum operativo” (all. Vademecum operativo privacy); 5. nel corso degli anni 2020/2022 il personale scolastico ha partecipato a percorsi formativi erogati sia da parte del DPO che da parte di IPRASE; 6. in data 23 dicembre 2020 veniva adottato dal Consiglio dell'Istituzione il Regolamento di Istituto relativo alla DID (all. informativa DID); 7. in data 12 marzo 2021 si recepiva la nota del DPO e le contestuali indicazioni operative (all. Linee guida DAD) e, in data 6 ottobre 2021, il Collegio Docenti le aggiornava (all. regolamento DID). Punto 6. Con riferimento al documento di cui al punto 6, la valutazione comparativa è richiesta per l’anno corrente. Nulla può essere prodotto in quanto non è stata effettuata alcuna valutazione comparativa. Preme evidenziare come le indicazioni fornite a livello ministeriale e provinciale per l'avvio dell’anno scolastico 2022/2023 non prevedono attualmente il ricorso alla didattica digitale integrata in quanto con la conclusione dell'anno scolastico 2021/2022 è venuta meno l'efficacia della normativa speciale per il contesto scolastico legata al virus SARS- Cov-2, che consentiva il ricorso a tale misura. Non si è giunti pertanto al rinnovo dei contratti relativi a piattaforme già in uso e nemmeno si sono acquistate nuove piattaforme. All.ti: informativa DID, regolamento DID, Vademecum / IRIGENTE SCOLASTICO operativo privacy, Linee guida DAD ott. Maurizio Caproni VIT © (7, « O Ì Piazza Maria Contini 8 — 38066 Riva del Garda - Tel. 0464 552170 — Fax 0464 520789 - Codice fiscale 84003390220 ceor ic riva?@ecnala nravincia tn it - PEC- ic riva?/Anec nravincia tn it - www riva? it