Lo scorso 19 settembre MONITORA PA, una delle tante comunità hacker italiane, attenta alla riservatezza dei dati e più in generale al monitoraggio civico, ha avviato una nuova campagna rivolta alle Istituzioni scolastiche del Paese. Tramite PEC, ha inviato a 8254 scuole, il primo FOIA (Freedom of Information Act) massivo, con 6 domande di accesso civico, per conoscere come sono state spese le risorse nel biennio 2020/2021, 2021/2022 e come verranno distribuite nell’anno scolastico in corso.

Dalle moltissime chiamate e mail ricevute, in questo brevissimo lasso di tempo, possiamo dire che il fatto, trattandosi di una novità eccezionale in termini di prassi, ha destato un certo tipo di interesse presso gli uffici amministrativi.

Come supporto, abbiamo quindi pensato di redigere un piccolo report che, analizzerà e sintetizzerà per punti, la natura della richiesta normativa da parte di MONITORA PA e la modalità più efficace di reperimento della documentazione richiesta alle Amministrazioni scolastiche.

  • COSA È UN FOIA?

Si tratta di una normativa, introdotta con decreto legislativo n. 97 del 2016, che favorisce una maggiore trasparenza nel rapporto tra le istituzioni e la società civile e incoraggia un dibattito pubblico informato sui temi di interesse collettivo. Stabilisce l’accesso civico generalizzato, ovvero il diritto per tutti i cittadini di accedere ai dati e ai documenti posseduti dalle PA, a meno che si presenti il pericolo di compromettere gli interessi pubblici o privati rilevanti, indicati dalla legge stessa.

  • È OBBLIGATORIO DA PARTE DELLE SCUOLE RISPONDERE ALLA PEC?

Si precisa che l’ufficio amministrativo è chiamato a formulare una risposta formale che argomenti il mancato invio della documentazione richiesta, indicando i possibili rischi e impossibilità. Si pensi ad esempio a quei casi che potrebbero contrastare il buon andamento delle PA stesse o “inquinare” la riservatezza dei dati.

  • CHE TIPO DI MATERIALE VA INVIATO? copia del contratto o altro atto giuridico in forza del quale ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021, 2021/2022, 2022/2023;

È vivamente consigliato recuperare in archivio sia il documento di delibera che acconsente all’acquisto di quel determinato strumento che il contratto tra l’amministrazione scolastica e il provider di quel servizio. Volendo, i dati relativi al provider e alla società possono essere omessi a differenza di quelli relativi al bilancio, pubblici a tutti gli effetti.

  • copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021, 2021/2022;

Si tratta di un documento scritto a più mani, molto dettagliato che descrive sul piano tecnico, normativo e informativo, la questione dei dati personali, analizzando i possibili rischi (trattandosi il più delle volte di minori) e gli strumenti che ne abbasserebbero l’impatto. In questa fase è fondamentale il ruolo di un soggetto esterno che lo vagli, ovvero il DPO.

Questa documentazione solitamente rientra nel pacchetto contrattuale tra il provider del servizio e la scuola ed è redatta in forma di bozza dal primo soggetto per poi essere completata dal titolare del trattamento, la scuola appunto. Nel caso in cui la documentazione non sia stata prodotta a suo tempo, l’ufficio amministrativo potrà rivolgersi al provider per procedere alla stesura.

  • copia degli atti riportanti le misure tecniche previste ed adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023;

Si tratta di un documento descrittivo teso al principio di minimizzazione dei dati. In genere lo si trova nel documento di messa in opera ma non sempre è presente nella documentazione rilasciata e va quindi redatto ex novo.

  • copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023;

Come per la DPIA, solitamente rientra nel pacchetto contrattuale tra il provider del servizio e la scuola ed è redatta in forma di bozza dal primo soggetto per poi essere completata dal titolare del trattamento, la scuola appunto.

  • copia della valutazione di impatto del trasferimento dei dati all’estero (TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023;

Considerando che la materia normativa è recente (2020) e tutta in divenire, riscontriamo che ad oggi è molto difficile disporre di questo tipo di documento. Nei migliori dei casi, il provider del servizio può condividere una TIA quanto più esaustiva e attendibile in termini di dati.

  • copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005 n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023.

A dimostrazione di una scelta che risponda al miglior rapporto qualità-prezzo e che rifletta le esigenze della committenza, il documento è quasi sempre redatto.

  • DOVE POSSONO REPERIRE GLI UFFICI AMMINISTRATIVI SCOLASTICI IL MATERIALE INDIVIDUATO NELLE 6 RICHIESTE DELLA PEC INIATA DA MONITORA PA?

La documentazione, per Legge, fa capo agli archivi dei rispettivi Istituti scolastici e, laddove fosse da implementare con qualche contenuto più prettamente tecnico e specialistico, consigliamo gli uffici amministrativi della scuola a chiedere il supporto degli erogatori del servizio.

  • QUALI SONO I TEMPI DELLA PROCEDURA?

Le scuole hanno 30 giorni per rispondere alle domande. Tale termine è perentorio e conosce una sospensione di 10 giorni nell’eventualità che i dati della risposta riguardino anche un altro soggetto contrario alla divulgazione degli stessi.

La PA dovrà quindi preventivamente e formalmente interpellare il soggetto contro-interessato per riformulare pareri e osservazioni entro e non oltre 10 giorni, scaduti i quali riprenderà il termine stabilito dei 30 giorni.