Blog
L’accesso civico generalizzato è un istituto poco conosciuto nelle PA e spesso è confuso con accesso civico o anche accesso agli atti. Facciamo chiarezza.
Accesso agli atti: quando si ha un interesse legittimo concreto ed attuale si può accedere agli atti che in qualche modo riguardano il richiedente.
Accesso civico: quando semplicemente si richiedono dati oggetto di pubblicazione obbligatoria in Amministrazione Trasparente e la PA ha disatteso la pubblicazione, o la pubblicazione non è completa, disciplinato dal DLgs. 33/2013.
Accesso civico generalizzato: Chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione.
31.05.2023 ore 15.00 - webinar su come compilare il questionario proposto per la rilevazione dello stato di sicurezza delle piattaforme.
Ecco i link
L'occasione ci sembra propizia per sperimentare il tutto con la piattaforma NextCloud attraverso l'applicazione TALK per la quale ecco il link
https://scuolaincloud.it/documenti/index.php/call/wconzyan
Essendo attività sperimentale nel contempo il webinar sarà anche su GoToMeeting al seguente link
https://meet.goto.com/966558037
Staff GDPRistruzione.it
Criticità trasferimento dati verso USA, ed altri paesi
La questione verte sull’invio sistematico di dati personali in paese extra-UE, in particolare USA, attraverso servizi e piattaforme delle GAFAM (Google, Amazon, Facebook, Apple, Microsoft), in particolare servizi di posta, repository documentale, piattaforme per videoconferenze e didattica a distanza offerti da Google e Microsoft.
Quali sono le problematiche nel contesto normativo?
Per valutare la trasferibilità dei dati personali verso paesi diversi dall’Unione Europea UE (in realtà Spazio Economico Europeo SEE) vi sono diverse possibilità negli articoli 45, 46, 47 e 49 del GDPR 679/2016:
- un accordo internazionale tra la UE ed il paese extra UE (art. 45);
- l’adesione da parte del ricevente dati a clausole contrattuali standard approvate dalla Commissione Europea (art. 46);
- patti vincolanti di impresa (art. 47);
- consenso al trasferimento (art. 49).
La sentenza Schrems II della Corte di Giustizia Europea di fatto abolisce l’accordo internazionale tra USA e UE per uniformare la sicurezza del trattamento dati cosi come previsto dal Regolamento Europeo sulla Protezione dei dati (art. 45 del GDPR 679/2016).
Il “Cloud Act” (norma statunitense) mette a rischio anche i dati presenti su server europei di proprietà di società statunitensi, anche se è prevista la possibilità di opporsi alla richiesta di dati motivando opportunamente le ragioni ed utilizzando i contratti sottoscritti.
Di recente molti istituti hanno ricevuto l'ennesima segnalazione da parte del gruppo monitora PA.
Purtroppo la realizzazione di siti web implica l'uso di script, fonts, fogli di stile, librerie ed altre risorse che in molti casi sono rese disponibili gratuitamente online.
Per comodità, praticità ed anche utilità (molte risorse disponibili si aggiornano continuamente e sono rese disponibili allo stesso "link") gli sviluppatori sono abituati ad "incorporare" nel sito molte funzionalità utilizzando risorse tramite CDN (Content Delivery Network, un network di reti che ci possono aiutare ad alleggerire il carico di utenza e dunque il caricamento di alcuni contenuti in determinate pagine del nostro sito web) o trramite appositi tag inseriti nell'HEAD delle pagine web che puntano a risorse esterne molto spesso site in server statunitensi.
l’uso delle piattaforme all’interno degli istituti scolastici ha avuto un’accelerazione notevole a seguito dell’emergenza Covid19. Sempre più spesso se ne è appreso l’utilità e l’indispensabilità, ma alcune volte la facilità d’uso e la possibilità di fare nuove attività in modalità digitale, che prima si potevano svolgere solo in modalità analogica, ha fatto trascurare la sicurezza dei dati.
Nella platea dei docenti e ATA crescono le competenze digitali e si aprono nuovi scenari. E’ il momento però di sensibilizzare le persone sulla sicurezza e sulle relative problematiche.
La richiesta di accesso civico generalizzato ha interessato tutte le scuole di ogni ordine e grado, comprese le università. Pertanto ci saremmo aspettati un intervento da parte del Ministero dell’Istruzione con fornitura di indicazioni chiare e senza dubbi interpretativi. Invece abbiamo visto che alcuni USR, e Avvocatura dello Stato territoriale, hanno fornito indicazioni contrastanti e anche diametralmente opposte, lasciando le scuole nel dubbio e nella necessità di interpretazione.
Premesso che ad un Accesso Civico Generalizzato si risponde, che per quanto ci compete (PRIVACY) abbiamo già fornito tutte le indicazioni, resta il dubbio interpretativo di TRASPARENZA, questione che poco compete ai DPO.
Come si gestisce l'accesso civico generalizzato
Come noto la richiesta di accesso civico generalizzato ha interessato tutte le scuole di ogni ordine e grado, comprese Università, di tutta Italia.
L’interesse generale ha determinato un proliferare di ipotesi di risposta al FOIA di opinioni contrastanti.
Ci si è molto concentrati sul tema dell’ammissibilità o inammissibilità della richiesta, tema che, ovviamente, non è di nostra specifica pertinenza in quanto riguarda la trasparenza.
Cosa bisogna fare in caso di accesso civico generalizzato?
E' arrivata una PEC con richiesta di Accesso Civico Generalizzata alla documentazione riguardante le piattaforme di Registro Elettronico, DaD, DDI, Videoconferenza e messaggistica.
Questa richiesta ha scatenato un’ampia discussione in cui sembra tutto incerto: bisogna rispondere oppure no? Si deve chiedere parere al DPO? Stiamo in ambito privacy o trasparenza? Devo fornire ciò che mi hanno chiesto? Ho tutto ciò che mi hanno chiesto?
Cerchiamo di fare ordine separando gli ambiti.
La richiesta è in ambito della trasparenza della pubblica amministrazione! Nella richiesta ci sono dei punti in cui il DPO è di supporto.
Pagina 3 di 8