RICHIESTA DI ACCESSO CIVICO GENERALIZZATO All'Istituto Scolastico I.C. ADELE ZARA Il sottoscritto Fabio Pietrosanti, attivista del progetto Monitora PA!, nato a via Aretusa 34, eleggendo come proprio domicilio digitale l’indirizzo di posta elettronica certificata comunicazioni@pec.monitora-pa.it, ai sensi dell’art. 5 e seguenti del d. lgs. 14/03/2013, n. 33, e successive modificazioni ed integrazioni, premesso che 1. da informazioni assunte presso il Ministero dell'Istruzione? ho appreso che il Vostro Istituto Scolastico sta per ricevere fondi per 193.742,39 € a titolo di investimento, in attuazione del Piano “Scuola 4.0: scuole innovative, cablaggio, nuovi ambienti di apprendimento e laboratori” nell’ambito della Missione 4 — Componente 1 — del PNRR. 2. come noto, con il decreto legge 24 marzo 2022, convertito con legge 19 maggio 2022, n. 52, lo stato di emergenza, deliberato dal Consiglio dei ministri il 31 gennaio 2020 e via via prorogato, è terminato il 31 marzo 2022; 3. con la fine dello stato di emergenza è venuto meno parte di quanto indicato dal Garante per la protezione dei dati personali nel Provvedimento del 26 marzo 2020 - “Didattica a distanza: prime indicazioni” [n. doc 9300784], il quale prevedeva la possibilità di allentare alcune stringenti prescrizioni in materia di trattamento dei dati, pur ribadendo la vigenza, anche nel corso dell'emergenza sanitaria, di obblighi ben precisi da parte degli Istituti Scolastici: Ihttps://monitora-pa.it 2https://pnrr.istruzione.it/ Sul consenso: Il Garante indicava che le scuole e le università che utilizzassero sistemi di didattica a distanza non dovessero richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei. Sulla scelta e regolamentazione degli strumenti di didattica a distanza: Il Garante evidenziava che nella scelta e nella regolamen- tazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovessero orientarsi verso strumenti che avessero fin dalla progettazione e per impostazioni predefinite misu- re a protezione dei dati. Il Garante dichiarava che in vigenza del- l'emergenza non fosse necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamen- to dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presentasse ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non era richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’uti- lizzo di un servizio on line di videoconferenza o di una piattaforma che non consentisse il monitoraggio sistematico degli utenti. Ruolo dei fornitori dei servizi on line e delle piattaforme: Nel caso in cui la piattaforma prescelta avesse comportato il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, veniva indicato che il rapporto con il fornitore dovesse essere regolato con contratto o altro atto giuridico. E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola. Nel caso, invece, in cui si fosse rite- nuto necessario ricorrere a piattaforme più complesse che erogassero servizi più complessi anche non rivolti esclusivamente alla didattica, veniva indicato che si dovessero attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login). Veniva ribadito che le istituzioni scolastiche e universitarie dovesse- ro assicurarsi che i dati trattati per loro conto fossero comunque utilizzati solo per la didattica a distanza. Sulla Limitazione delle finalità del trattamento dei dati: Il Garante indicava che il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovesse comunque limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore. Il Garante precisava che i gestori delle piattaforme non potessero condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica. Il Garante sottolineava inoltre che ai dati personali dei minori andas- se garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale specifica protezione doveva, in particolare, riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione. 4. Human Right Watch quest’anno ha pubblicato un rapporto sulle violazioni della privacy di studenti, genitori ed insegnanti da parte delle piattaforme educative adottate durante la pandemia. 5. Il Garante per la protezione dei dati personali della Danimarca in un caso riguardante l’uso dei Chromebook nel comune di Helsinggr, ha emesso in data 14 luglio 2022 un provvedimento nel quale ha evidenziato gravi violazioni e ha vietato il trasferimento dei dati a paesi terzi e l’uso di Google Workspace®. 6. Durante l’esame tecnico organizzativo di Microsoft Office 365, compreso Microsoft Teams, nella configurazione del progetto pilota del Ministero dell'Istruzione del Baden - Wiirttemberg, il locale Garante per la prote- zione dei dati personali ha riscontrato alcune gravi carenze e numerose criticità nell’uso a fini didattici di tali piattaforme?. 7. La Corte dei Conti con due provvedimenti ha dichiarato la responsabilità personale dei funzionari pubblici nell’adempimento degli obblighi previsti dalle norme sul trattamento dei dati personali (v. sentenze n. 246 del 28 maggio 2019 Sezione Giurisdizionale del Lazio e n. 429 del 31 ottobre 2019 Sezione Giurisdizionale della Calabria). 8. L’art. 68 del d. lgs. 7/3/2005 n. 82 prevede che le pubbliche ammini- strazioni, prima di acquisire software devono realizzare una valutazione comparativa e dare preferenza alle soluzioni in software libero. 9. Le “Linee guida su acquisizione e riuso di software per le pubbliche am- ministrazioni” adottate da AgID con determinazione n. 115 del 9 maggio 2019, forniscono indicazioni su come eseguire la valutazione comparativa, tra l’altro precisando che va realizzata anche quando il software viene utilizzato come servizio. 3https://www.hrw.org/report/2022/05/25/how-dare-they-peep-my-private-life/childrens- rights-violations-governments 4https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet- nedlaegger- behandlingsforbud-i-chromebook-sag- °https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres- vorgehen/ 10. con invito n.402-2021° del 2/4/2021 l'Ufficio del difensore civico per il di- gitale presso AgID concludeva il procedimento attivato con segnalazione invitando “...a porre rimedio a quanto segnalato in violazione dell’art.68 del CAD e delle Linee Guida su acquisizione e riuso di software per le pubbli- che amministrazioni.” e rappresentava “che, in caso di mancato riscontro, il presente invito è da considerare anche quale segnalazione dell’inadem- pienza all'Ufficio competente per i procedimenti disciplinari di codesta, Amministrazione. Il mancato avvio delle attività necessarie a porre rime- dio e il mancato rispetto del termine perentorio per la loro conclusione rileva ai fini della misurazione e della valutazione della performance indi- viduale dei dirigenti responsabili e comporta responsabilità dirigenziale e disciplinare ai sensi degli articoli 21 e 55 del decreto legislativo 30/3/2001, n. 165”. 11. Con decreto legge 31/5/2021, n. 77 è stato introdotto l’art. 18-bis del d. lgs. 7/3/2005 n. 82 che prevede il dovere di AgID di procedere, d’ufficio ovvero su segnalazione del difensore civico digitale, all'accertamento delle violazioni degli obblighi previsti dal d. lgs. 7/3/2005 n. 82. tanto premesso il sottoscritto, chiede l’accesso ai seguenti documenti: 1. copia del contratto o altro atto giuridico il forza del quale l’Istituto Sco- lastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale in- tegrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023; 2. copia della valutazione d’impatto della protezione dei dati (DPIA) effet- tuata dall'Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022; 3. copia degli atti riportanti le misure tecniche previste ed adottate nell’isti- tuto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che ero- ghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023; 4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sen- si dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piatta- forme di posta elettronica, messaggistica, videoconferenza, didattica a di- Shttps://www.agid.gov.it /sites/default/files/repository_ files/adg-2021-0007647-allegato- segn 9 2020 esegn230 _ 2021 invito402-2021.pdf stanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo; 5. copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovve- ro che si trovino al di fuori dell’Unione Europea) necessario per la frui- zione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, regi- stro elettronico, adottati nell’anno scolastico 2022/2023 dall'Istituto in indirizzo. 6. copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didat- tica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo; dichiara * di essere a conoscenza di quanto segue: — della presente domanda sarà data notizia da parte dell'Ufficio com- petente per l’accesso ad eventuali soggetti controinteressati, che pos- sono presentare motivata opposizione; — che l’accesso civico può essere negato, escluso, limitato o differito solo nei casi e nei limiti stabiliti dall’art. 5-bis del D.lgs 14/03/2013, n. 33; — che nel caso di diniego totale o parziale dell’accesso, o di mancata risposta entro i termini di legge, è possibile presentare richiesta di riesame al Responsabile per la prevenzione della corruzione e della, trasparenza; * di voler ricevere i documenti richiesti all’indirizzo di posta elettronica cer- tificata comunicazioni@pec.monitora-pa.it, come allegati in formato -pdf in risposta alla presente comunicazione; * che tutti i documenti e le risposte positive o negative ricevute a seguito della presente richiesta di accesso civico generalizzato saranno automatica- mente resi accessibili al pubblico, privati dei dati personali eventualmente presenti nella mail di accompagnamento, tramite una apposita sezione del nostro sito, così da poter essere analizzati da studiosi e specialisti nell’ambito della protezione dei dati e del software libero. Allega alla presente copia del documento di identità. Milano, 19 settembre 2022 In fede, cl Fabio Pietrosanti Co-fondatore di Monitora PA https://monitora-pa.it