Cari signori di Monitora PA, fatevene una ragione: la DPIA NON E' OBBLIGATORIA IN AMBITO SCOLASTICO

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Cari signori di Monitora PA, fatevene una ragione: la DPIA NON E' OBBLIGATORIA IN AMBITO SCOLASTICO

Messaggio da Giancarlo Favero »

Facciamo ovviamente riferimento alla richiesta di accesso civico generalizzato pervenuta a migliaia di scuole in data 19/09/2022 da parte di Monitora PA.

In particolare facciamo riferimento agli atti ed alle informazioni che vengono richiesti nei punti da 1 a 6, a pagina 4:

1. copia del contratto o altro atto giuridico il forza del quale l’Istituto Scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica,
messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020/2021,
2021/2022, 2022/2023;
2. copia della valutazione d’impatto della protezione dei dati (DPIA) effettuata dall’Istituto Scolastico in indirizzo nell’ambito dell’utilizzo di un
servizio on line di videoconferenza o di una piattaforma che consenta
il monitoraggio sistematico degli utenti, negli anni scolastici 2020/2021,
2021/2022;
3. copia degli atti riportanti le misure tecniche previste ed adottate nell’istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020/2021, 2021/2022, 2022/2023;
4. copia della valutazione d’impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, effettuata nell’ambito dell’utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico 2022/2023 dall’Istituto in indirizzo;
5. copia della valutazione di impatto del trasferimento dei dati all’estero
(TIA), afferente all’eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell’Unione Europea) necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica,
videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022/2023 dall’Istituto in
indirizzo.
6. copia della valutazione comparativa ai sensi dell’art. 68 del d. lgs. 7/3/2005
n. 82 realizzata per provvedere all’acquisizione delle piattaforme di posta
elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell’anno scolastico
2022/2023 dall’Istituto in indirizzo



Con particolare riferimento ai punti 2, 4 e 5 dove vengono richieste svariate valutazioni di impatto sulla protezione dei dati, dette anche DPIA - Data Protection Impact Assessment, si ribadisce quanto detto nel corso del webinar tenuto da Capital Security in data 20/09/2002, e cioè che la DPIA non è obbligatoria in ambito scolastico, in quanto i trattamenti di dati effettuati in ambito scolastico, tra cui quelli menzionati nella richiesta:

non rientrano tra quelli previsti dall'art. 35 comma 3 del GDPR
non rientrano nell'elenco pubblicato dal Garante Privacy dei trattamenti soggetti a DPIA.

Ciò non toglie, che su base volontaria e sulla base di specifiche condizioni di rischio, qualche Istituzione Scolastica abbia effettuato una DPIA: ma questa è una POSSIBILITA', non un OBBLIGO.
Nessuna Istituzione Scolastica, allo stato attuale della normativa e delle indicazioni del Garante Privacy, potrà mai essere sanzionata per "omessa predisposizione della Valutazione di Impatto sulla protezione dei dati". Questo, sia detto e scritto chiaro e tendo senza alcuna ombra di dubbio.


Grazie e cordialità,

Giancarlo Favero

Rispondi