9 Prot. 0013489 del 19/12/2022 Ill {Uscita) Sig. Fabio Pietrosanti con domicilio digitale all’indirizzo PEC: comunicazioni@pec.monitora-pa.it p.c. AI Direttore Generale Ufficio Scolastico Regione Veneto Oggetto: Risposta a richiesta per istanza di riesame ad accesso civico generalizzato ex. art. 5 comma 2 D.Lg.vo n.33/2013 s.m.i — FABIO PIETROSANTI Con riferimento all’istanza di riesame all’accesso civico ex art. 5 comma 2 D.Lg. vo n. 33/2013 s.m.i, acquisita al protocollo di questo Istituto, con prot n. 12866 del 03/12/2022, si rappresenta quanto segue. Si chiarisce che la normativa vigente in materia di accesso generalizzato, rimarcata più recentemente dalla Corte costituzionale, (sent. Plenaria n. 20 del 21 febbraio 2019), evidenzia che il diritto dei cittadini ad accedere ai dati in possesso della pubblica amministrazione, sul modello del c.d. FOIA (Freedom of information act), risponde a princìpi di pubblicità e trasparenza, riferiti non solo, quale principio democratico (art. 1 Cost.), a tutti gli aspetti rilevanti dalla vita pubblica e istituzionale, ma anche, ai sensi dell'art. 97 Cost., al buon funzionamento della pubblica amministrazione . Nondimeno l'ampiezza dell'accesso civico generalizzato si presta ad un utilizzo improprio dell’istituto, come riconosciuto dalla stessa Plenaria che, proprio al fine di contrastare pratiche abusive chiarisce che l’accesso, finalizzato a garantire, con il diritto all'informazione, il buon andamento dell’amministrazione (art. 97 Cost.), non può finire per intralciare proprio il funzionamento della stessa, sicché il suo esercizio deve rispettare il canone della buona fede e il divieto di abuso del diritto, in nome, anzitutto, di un fondamentale principio solidaristico (art. 2 Cost.). Preso atto di quanto sinteticamente su esposto si riporta il contenuto della Sua istanza riassumibilenei punti sotto elencati: “1. copia del contratto o altro atto giuridico in forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'Istituto Scolastico in indirizzo nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3, copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4, copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall'Istituto in indirizzo; DA copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea} necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell'art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022/2023 dall’Istituto in indirizzo?” Sebbene la motivazione non sia necessaria in caso di istanze di accesso civico generalizzato, emerge che la finalità per la quale viene utilizzato lo strumento dell'accesso civico generalizzato non coincide con il controllo sul perseguimento o meno delle funzioni istituzionali attribuite agli istituti scolastici. Al contrario, le istanze, sembrando dare per scontato che le funzioni istituzionali degli istituti scolastici siano state perseguite con l'espletamento del servizio scolastico , appaiono volte a verificare che tipo di azioni gli istituti scolastici abbiano posto in essere - nel perseguire Il loro fine istituzionale - per proteggere i dati personali degli utilizzatori del servizio scolastico . Considerato che la protezione dei dati personali non costituisce il fine istituzionale degli istituti scolastici, le istanze in esame potrebbero essere respinte perché funzionalmente abusive in quanto tese a costituire una forma di controllo di un ambito già istituzionalmente presidiato, peraltro da un soggetto diverso rispetto al destinatario delle istanze, ossia il Garante per la protezione dei dati personali. inoltre si evidenzia che l’interesse alla trasparenza, di tipo conoscitivo, che non esige una motivazione specifica, deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, come accade nel casoin esame, pena rappresentare un inutile intralcio all'esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi. In riferimento al PUNTO 1 dell’istanza codesta istituzione ha verificato che le informazioni richieste sono facilmente reperibili all’interno del rete Internet, poiché il gestore della piattaforma didattica ha pubblicato in modo trasparente tale documento, e non si ritiene quindi di dover dar seguito alla richiesta di copia dello stesso; In riferimento al PUNTO 2 dell'istanza, ritenuto che la Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, e di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione, inoltre tale documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Si ritiene pertanto di non poter dar seguito alla richiesta “copia della valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico”; In riferimento ai PUNTI 4 e 5 dell'istanza va/utazione d'impatto della protezione dei dati DPIA ai sensi dell’art. 35 del GDPR e valutazione di impatto TIA valgono analoghe argomentazioni. in riferimento al PUNTO 3 dell'istanza la richiesta appare generica non individuando con esattezza la documentazione richiesta, connotata da carattere esplorativo, oltre che riferirsi anche a dati che in quanto “non rivolti esclusivamente alla didattica” sembrano esulare dai compiti istituzionali di codesta Amministrazione. Inoltre quanto richiesto comporterebbe un onere di lavoro eccessivo rispetto all’interesse conoscitivo sotteso all'istanza; si evidenzia, inoltre, che l'interesse a conoscere si scontra con il diritto dei controinteressati alla protezione dei dati. Considerato poi che parte della documentazione richiesta pare senza dubbio contenere dati la cui diffusione potrebbe pregiudicare gli interessi commerciali dei fornitori dei servizi, questi ultimi devono essere considerati alla stregua di soggetti controinteressati all'accesso e devono ricevere le comunicazioni previste dall’art. 5, comma 5, D.Lgs. n. 33 del 2013. Da un'attenta analisi di bilanciamento degli interessi contrapposti si manifesta la volontà di esclusione di cui all'art. 5-bis, comma 2, lett. c), del D.Lgs. n. 33 del 2013 che preclude l'accesso civico generalizzato quando il diniego appare necessario per evitare un pregiudizio concreto alla tutela degli “interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali”. Non sembra potersi sottacere che l'interesse conoscitivo che la richiesta mira a soddisfare appare strumentale a realizzare una forma di controllo di un ambito già istituzionalmente presidiato dall'Autorità per la Privacy. in riferimento al PUNTO 6 si comunica che le piattaforme utilizzate durante il periodo della pandemia sono state fornite gratuitamente dai venditori e opzionate sulla base delle indicazioni rese dal Ministero dell’Istruzione In conclusione si richiama la sentenza n. 503 del 3-12-2021, con la quale il T.A.R. per l'Abruzzo Pescara, Sez. I, ha affermato: “in materia di accesso civico generalizzato, il diritto di accesso non può essere espletato in pregiudizio al buon andamento dell'amministrazione riversando sulla medesima un onere oltremodo gravoso e tale da sottoporla ad attività incompatibili con la funzionalità dei suoi plessi e con l'economicità e tempestività della sua azione, questo specialmente laddove, come nel caso in esame, sia in gioco altresi il coinvolgimento di un numero imprecisato di soggetti controinteressati. La natura massiva della istanza presentata, rispetto agli adempimenti che l'accoglimento di ciascuna istanza comporta per ciascun destinatario, imporrebbe all'amministrazione di porre in essere complessi oneri procedimentali al fine di acquisire il consenso dei numerosi controinteressati menzionati nell'istanza, nonché per la successiva rielaborazione del documento da esibire che dovrebbe essere emendato dei nominativi dei soggetti che si sono opposti all'ostensione dei loro dati, per cui ciascun documento dovrebbe essere ristrutturato e manipolato attraverso interventi selettivi con eventuale trasfusione del materiale acquisito in un documento finale utile a fornire le informazioni oggetto di richiesta. Una tale richiesta, così sproporzionata e onerosa, è espressamente qualificata come inammissibile, così come ulteriormente stabilito dall'Adunanza plenaria n. 10/2020, tale da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. dj Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose. Infine si evidenzia come anche il RPCT (Responsabile della Prevenzione e della Corruzione delle Istituzioni scolastiche della regione Veneto) abbia deciso per il diniego a fornire quanto richiesto per le stesse motivazioni indicate in precedenza. L’USR Veneto ritiene la richiesta sproporzionata e abnorme, e definiscecome inammissibile dalla recente giurisprudenza del massimo consesso di giustizia amministrativa (pronuncia dell’Adunanza plenaria n. 10/2020), in quanto comporte- rebbe un carico irragionevole ed eccessivo di lavoro, idoneo a interferire con il buon andamento dell’amministrazione stessa. A fronte di queste oggettive controindicazioni, l'interesse ostensivo vantato dalla parte interessata, pur intrinsecamente apprezzabile, non può che risultare recessivo alla stregua della disciplina dell'accesso civico generalizzato, per tale ragione la richiesta di accesso non può essere accolta. La Dirigente Scolastica Firmato digitalmente ai sensi del CAD e della relativa normativa