Gazzetta n. 7 del 10 gennaio 2024 (vai al sommario) MINISTERO DELL'ISTRUZIONE E DEL MERITO DECRETO 30 novembre 2023 Criteri e modalita' relativi alla sezione dell'Anagrafe nazionale dell'istruzione riguardante gli studenti iscritti ai percorsi degli ITS Academy e conseguenti adeguamenti nelle funzioni e nei compiti della Banca dati nazionale per il monitoraggio quantitativo e qualitativo del Sistema terziario di istruzione tecnologica. IL MINISTRO DELL'ISTRUZIONE E DEL MERITO Visto l'art. 117, commi 1, lettera n), e 3, della Costituzione della Repubblica italiana; Vista la legge 7 agosto 1990, n. 241, recante «Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi»; Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell'amministrazione digitale» (di seguito, anche «CAD»); Visto il decreto del Presidente della Repubblica 8 marzo 1999, n. 275, recante «Regolamento recante norme in materia di autonomia delle istituzioni scolastiche, ai sensi dell'articolo 21 della legge 15 marzo 1997, n. 59»; Visto il decreto legislativo 30 marzo 2001, n. 165 e, in particolare, l'art. 1, comma 2, secondo cui sono amministrazioni pubbliche tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative; Vista altresi' la legge 10 marzo 2000, n. 62, recante «Norme per la parita' scolastica e disposizioni sul diritto allo studio e all'istruzione»; Visto il decreto legislativo 16 aprile 1994, n. 297, recante «Approvazione del testo unico delle disposizioni legislative vigenti in materia di istruzione, relative alle scuole di ogni ordine e grado»; Visti il decreto-legge 9 gennaio 2020, n. 1, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 12, recante «Disposizioni urgenti per l'istituzione del Ministero dell'istruzione e del Ministero dell'universita' e della ricerca» che ha istituito il Ministero dell'istruzione e il Ministero dell'universita' e della ricerca, nonche' il decreto-legge 11 novembre 2022, n. 173, convertito, con modificazioni, dalla legge 16 dicembre 2022, n. 204, recante «Disposizioni urgenti in materia di riordino delle attribuzioni dei Ministeri», che ha mutato la denominazione del Ministero dell'istruzione in Ministero dell'istruzione e del merito (di seguito, anche «Ministero» o «MIM»); Visto il decreto legislativo 15 aprile 2005, n. 76, e, in particolare, l'art. 3 che ha istituito l'Anagrafe nazionale degli studenti (di seguito, anche «ANS») per il primo e secondo ciclo di istruzione; Visto altresi' il decreto ministeriale 25 settembre 2017, n. 692, che ha riordinato in un unico provvedimento la normativa di carattere secondario adottata nel tempo per la gestione dell'ANS; Visto il parere del Garante per la protezione dei dati personali del 5 luglio 2017 relativo al suddetto decreto ministeriale; Visto l'art. 62-quater del CAD che ha istituito l'Anagrafe nazionale dell'istruzione (di seguito, anche «ANIST»), in attuazione del quale e' attualmente in corso di adozione apposito decreto ministeriale relativo alle modalita' di funzionamento dell'ANIST; Visto in particolare, l'art. 62 del CAD, concernente l'Anagrafe nazionale della popolazione residente (di seguito, anche «ANPR»); Visto il regolamento (UE) 2018/1046 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell'Unione, che modifica i regolamenti (UE) n. 1296/2013, n. 1301/2013, n. 1303/2013, n. 1304/2013, n. 1309/2013, n. 1316/2013, n. 223/2014 e la decisione n. 541/2014/UE; Visto il regolamento (UE) 2020/852 18 giugno 2020, che definisce gli obiettivi ambientali, tra cui il principio di non arrecare un danno significativo (DNSH, «Do no significant harm»), e la comunicazione della Commissione UE 2021/C 58/01, recante «Orientamenti tecnici sull'applicazione del principio "non arrecare un danno significativo" a norma del regolamento sul dispositivo per la ripresa e la resilienza» ed in particolare l'art. 17; Visto il decreto-legge 6 maggio 2021, n. 59, convertito, con modificazioni, dalla legge 1° luglio 2021, n. 101, recante «Misure urgenti relative al Fondo complementare al Piano di ripresa e resilienza e altre misure urgenti per gli investimenti»; Visto il decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108, recante «Governance del Piano nazionale di ripresa e resilienza e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure»; Visto il decreto-legge 9 giugno 2021, n. 80, convertito, con modificazioni, dalla legge 6 agosto 2021, n. 113, recante «Misure urgenti per il rafforzamento della capacita' amministrativa delle pubbliche amministrazioni funzionale all'attuazione del Piano nazionale di ripresa e resilienza (PNRR) e per l'efficienza della giustizia»; Tenuto conto che con il «Piano nazionale di ripresa e resilienza» (di seguito, anche «PNRR»), approvato con decisione del Consiglio ECOFIN 10160/21 del 13 luglio 2021, sono stati previsti una serie di obiettivi di rafforzamento dell'offerta dei servizi di istruzione in tutto il ciclo formativo, nonche' dei sistemi di ricerca di base e applicata e di consolidamento di nuovi strumenti di trasferimento tecnologico (Missione n. 4); Vista in particolare, la Missione 4 - Istruzione e Ricerca - Componente 1 del PNRR «Potenziamento dell'offerta dei servizi di istruzione: dagli asili nido alle universita'» - Riforma 1.2 «Riforma del sistema ITS» e Investimento 1.5 «Sviluppo del sistema di formazione professionale terziaria (ITS)»; Considerato che, in particolare, detto investimento «mira al potenziamento dell'offerta degli enti di formazione professionale terziaria attraverso la creazione di network con aziende, universita' e centri di ricerca tecnologica/scientifica, autorita' locali e sistemi educativi/formativi» attraverso, tra l'altro, «il potenziamento dei laboratori con tecnologie 4.0»; Vista la milestone europea M4C1-10 «Entrata in vigore delle disposizioni per l'efficace attuazione e applicazione di tutte le misure relative alle riforme dell'istruzione primaria, secondaria e terziaria, ove necessario», che prevede l'adozione di tutti gli atti normativi per l'efficace entrata in vigore della legislazione primaria entro il 31 dicembre 2023; Visto il target M4C1-20 dell'Investimento 1.5, che prevede un aumento del numero di studenti iscritti al sistema di formazione professionale terziaria (ITS); Visto il decreto del Ministro dell'istruzione e del merito 29 novembre 2022, n. 310, con il quale sono state ripartite le risorse pari ad euro 450.001.611,101 in favore delle Fondazioni ITS «Academy», che negli anni 2020 e 2021 abbiano avuto almeno un percorso di formazione attivo, finalizzati al potenziamento dei laboratori formativi rispetto ai processi di trasformazione del lavoro (Transizione 4.0, Energia 4.0, Ambiente 4.0, etc.) e alla realizzazione di nuovi laboratori per l'ampliamento della offerta formativa ai fini della creazione di nuovi percorsi e dell'incremento delle iscrizioni, riservando una quota di almeno il 40 per cento agli ITS Academy presenti nelle regioni del Mezzogiorno, nell'ambito della Missione 4 - Istruzione e Ricerca - Componente 1 - Potenziamento dell'offerta dei servizi di istruzione: dagli asili nido alle universita' - Investimento 1.5 «Sviluppo del sistema di formazione professionale terziaria (ITS)» del PNRR, finanziato dall'Unione europea - Next Generation EU; Visto il decreto del Ministro dell'istruzione e del merito 10 maggio 2023, n. 84, con il quale sono state ripartite le ulteriori risorse per il potenziamento dei laboratori di altri quattordici Istituti tecnologici superiori «ITS Academy» di nuova costituzione, che abbiano attivato almeno un percorso formativo nell'anno 2022; Visto il decreto del Ministro dell'istruzione e del merito 26 maggio 2023, n. 96, con il quale sono state ripartite risorse pari ad euro 700.000.000,00 per il potenziamento dell'offerta formativa degli Istituti tecnologici superiori «ITS Academy» nell'ambito della Missione 4 - Istruzione e Ricerca - Componente 1 - Potenziamento dell'offerta dei servizi di istruzione: dagli asili nido alle universita' - Investimento 1.5 «Sviluppo del sistema di formazione professionale terziaria (ITS)» del Piano nazionale di ripresa e resilienza, finanziato dall'Unione europea - Next Generation EU; Visto il decreto del Ministro dell'economia e delle finanze 6 agosto 2021, recante «Assegnazione delle risorse finanziarie previste per l'attuazione degli interventi del Piano nazionale di ripresa e resilienza (PNRR) e ripartizione di traguardi e obiettivi per scadenze semestrali di rendicontazione»; Visto il decreto del Presidente del Consiglio dei ministri 15 settembre 2021, che definisce le modalita', le tempistiche e gli strumenti per la rilevazione dei dati di attuazione finanziaria, fisica e procedurale relativa a ciascun progetto finanziato nell'ambito del PNRR, nonche' dei milestone e target degli investimenti e delle riforme e di tutti gli ulteriori elementi informativi previsti nel Piano necessari per la rendicontazione alla Commissione europea; Visto il decreto-legge 6 novembre 2021, n. 152, convertito, con modificazioni, dalla legge 29 dicembre 2021, n. 233, recante «Disposizioni urgenti per l'attuazione del Piano nazionale di ripresa e resilienza (PNRR) e per la prevenzione delle infiltrazioni mafiose» e, in particolare, l'art. 33 che istituisce il Nucleo PNRR Stato-regioni, al fine di attuare le riforme e gli investimenti previsti dal PNRR; Visto l'accordo ref. ARES (2021)7947180 22 dicembre 2021, recante «Recovery and Resilience facility - Operational arrangements between the European Commission and Italy»; Visto il decreto-legge 30 aprile 2022, n. 36, convertito, con modificazioni, dalla legge 29 giugno 2022, n. 79, recante «Ulteriori misure urgenti per l'attuazione del Piano nazionale di ripresa e resilienza (PNRR)»; Visto il decreto-legge 17 maggio 2022, n. 50, convertito, con modificazioni, dalla legge 15 luglio 2022, n. 91, recante «Misure urgenti in materia di politiche energetiche nazionali, produttivita' delle imprese e attrazione degli investimenti, nonche' in materia di politiche sociali e di crisi ucraina»; Visto il decreto-legge 9 agosto 2022, n. 115, convertito, con modificazioni, dalla legge 21 settembre 2022, n. 142, recante «Misure urgenti in materia di energia, emergenza idrica, politiche sociali e industriali»; Visto il decreto-legge 23 settembre 2022, n. 144, recante «Ulteriori misure urgenti in materia di politica energetica nazionale, produttivita' delle imprese, politiche sociali e per la realizzazione del Piano nazionale di ripresa e resilienza (PNRR)», convertito, con modificazioni, dalla legge 17 novembre 2022, n. 175; Visto il decreto-legge 24 febbraio 2023, n. 13, convertito, con modificazioni, dalla legge 21 aprile 2023, n. 41, recante «Disposizioni urgenti per l'attuazione del Piano nazionale di ripresa e resilienza (PNRR) e del Piano nazionale degli investimenti complementari al PNRR (PNC), nonche' per l'attuazione delle politiche di coesione e della politica agricola comune»; Visto l'atto di indirizzo politico-istituzionale adottato con decreto del Ministero 25 gennaio 2023, n. 10, concernente l'individuazione delle priorita' politiche che orientano l'azione del Ministero dell'istruzione e del merito per l'anno 2023 e per il triennio 2023-2025; Vista la legge 15 luglio 2022, n. 99, recante «Istituzione del Sistema terziario di istruzione tecnologica superiore», con la quale e' stato istituito il Sistema terziario di istruzione tecnologica superiore, al fine di promuovere l'occupazione giovanile e consolidare le condizioni per lo sviluppo di un'economia ad alta intensita' di conoscenza, partendo dal riconoscimento delle esigenze di innovazione e potenziamento del sistema di istruzione e ricerca; Visti in particolare, gli articoli 12, commi 1 e 2, e 14, comma 6, della legge 15 luglio 2022, n. 99, i quali prevedono che: «L'anagrafe degli studenti iscritti ai percorsi degli ITS Academy di cui al capo II e' costituita presso il Ministero dell'istruzione secondo criteri e modalita' definiti con decreto del Ministro dell'istruzione adottato ai sensi dell'articolo 14, comma 6. 2. Le funzioni e i compiti della banca dati nazionale di cui all'articolo 13 del decreto del Presidente del Consiglio dei ministri 25 gennaio 2008, pubblicato nella Gazzetta Ufficiale n. 86 dell'11 aprile 2008, sono adeguati a quanto previsto dalla presente legge con decreto del Ministro dell'istruzione adottato ai sensi dell'articolo 14, comma 6» (art. 12, commi 1 e 2); «Salvo quanto diversamente disposto, all'attuazione della presente legge si provvede con uno o piu' decreti, aventi natura non regolamentare, del Ministro dell'istruzione, sentiti il Ministro dell'universita' e della ricerca, il Ministro del lavoro e delle politiche sociali e il Ministro dello sviluppo economico, previa intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano, a norma dell'articolo 3 del decreto legislativo 28 agosto 1997, n. 281, da adottare entro centottanta giorni dalla data di entrata in vigore della presente legge» (art. 14, comma 6); Tenuto conto che, in base a quanto stabilito dalla suddetta legge n. 99/2022, spetta al MIM la definizione della disciplina generale degli ITS Academy, relativa, tra le altre, a: (i) individuazione delle aree tecnologiche che caratterizzano i singoli ITS; (ii) definizione dei criteri sulla base dei quali, in sede di accreditamento, previa intesa con la regione interessata, e' possibile autorizzare un ITS Academy a fare riferimento a piu' di un'area tecnologica; (iii) promozione di percorsi formativi degli ITS Academy in specifici ambiti territoriali o in ulteriori ambiti tecnologici e strategici, al fine di garantire un'omogenea presenza su tutto il territorio nazionale; Considerato che, al fine garantire l'efficiente e razionale impiego delle risorse pubbliche e di assicurare unitarieta' e omogeneita' ai sistemi anagrafici del MIM, e' stato valutato opportuno l'inserimento dei dati dell'anagrafe degli studenti iscritti ai percorsi degli ITS Academy nell'ambito di una apposita sezione dell'ANIST di cui all'art. 62-quater del CAD di cui in premessa; Visto il parere del Garante per la protezione dei dati personali n. 96 del 24 marzo 2022 relativo al suddetto schema di decreto sull'ANIST e i chiarimenti del Garante di cui alla nota prot. 73040 del 5 settembre 2022; Visto il decreto del Presidente della Repubblica 28 marzo 2013, n. 80, recante «Regolamento sul sistema nazionale di valutazione in materia di istruzione e formazione» e, in particolare, l'art. 2, ai sensi del quale l'Istituto nazionale di documentazione, innovazione e ricerca educativa (di seguito, anche «INDIRE») costituisce articolazione del Sistema nazionale di valutazione in materia di istruzione e formazione; Tenuto conto che, nel rispetto del decreto del Presidente del Consiglio dei ministri 30 settembre 2020, n. 166, recante «Regolamento concernente l'organizzazione del Ministero dell'istruzione» e, in particolare, dell'art. 5 rubricato «Dipartimento per il sistema educativo di istruzione e formazione», comma 5, lettera v) e del decreto ministeriale 5 gennaio 2021, n. 6, recante «Individuazione degli uffici di livello dirigenziale non generale dell'amministrazione centrale del Ministero dell'istruzione», il MIM svolge su INDIRE funzioni di indirizzo e di vigilanza; Tenuto conto della comprovata capacita' di INDIRE di svolgere le attivita' sopra indicate, sulla base dell'esperienza maturata e in continuita' con le attivita' di collaborazione gia' poste in essere nel corso degli anni 2000-2023, attraverso l'impiego di risorse umane e strumentali specializzate, in grado di offrire la massima qualita' del servizio per l'unicita' della propria esperienza che garantisce un elevato livello qualitativo delle prestazioni; Vista la legge 17 maggio 1999, n. 144, recante «Misure in materia di investimenti, delega al Governo per il riordino degli incentivi all'occupazione e della normativa che disciplina l'INAIL, nonche' disposizioni per il riordino degli enti previdenziali» e, in particolare, l'art. 69, comma 2, che prevede la programmazione, da parte delle regioni, dell'istituzione dei corsi dell'IFTS; Visto il decreto del Ministero della pubblica istruzione 31 ottobre 2000, n. 436, recante «Regolamento recante norme di attuazione dell'articolo 69 della legge 17 maggio 1999, n. 144, concernente l'istruzione e la formazione tecnica superiore (IFTS)» e, in particolare, gli articoli 9 e 10; Vista la Conferenza unificata n. 603/C.U. 1° agosto 2002, recante «Accordo tra il Governo, le regioni e le Province autonome di Trento e di Bolzano, le province, i comuni e le comunita' montane per la programmazione dei percorsi di istruzione e formazione tecnica superiore per l'anno 2002-2003 e delle relative misure di sistema» e, in particolare, gli allegati G e H; Visto il decreto del Presidente del Consiglio dei ministri 25 gennaio 2008, recante «Linee guida per la riorganizzazione del Sistema di istruzione e formazione tecnica superiore e la costituzione degli istituti tecnici superiori», con specifico riguardo agli articoli 13 e 14; Visto il decreto legislativo 13 aprile 2017, n. 61, recante «Revisione dei percorsi dell'istruzione professionale nel rispetto dell'articolo 117 della Costituzione, nonche' raccordo con i percorsi dell'istruzione e formazione professionale, a norma dell'articolo 1, commi 180 e 181, lettera d), della legge 13 luglio 2015, n. 107» e, in particolare, l'art. 10; Visto il decreto-legge 1° ottobre 1996, n. 510, recante «Disposizioni urgenti in materia di lavori socialmente utili, di interventi a sostegno del reddito e nel settore previdenziale», convertito, con modificazioni, dalla legge 28 novembre 1996, n. 608 e, in particolare, l'art. 9-bis; Vista la determinazione 1° ottobre 2021, n. 547, dell'Agenzia per l'Italia digitale, con la quale sono state adottate le «Linee guida tecnologie e standard per la sicurezza dell'interoperabilita' tramite API dei sistemi informatici» e le «Linee guida sull'interoperabilita' tecnica delle pubbliche amministrazioni»; Visto il decreto del Ministro dell'istruzione e del merito 17 maggio 2023, n. 89, recante la definizione dello schema di statuto delle Fondazioni ITS Academy; Visto il decreto del Ministro dell'istruzione e del merito 4 ottobre 2023, n. 191, concernente la definizione dei requisiti e degli standard minimi per il riconoscimento e l'accreditamento degli ITS Academy, nonche' dei presupposti e delle modalita' per la sospensione e la revoca dell'accreditamento; Considerato che, in linea con quanto previsto dal suddetto art. 14, comma 6, della legge n. 99/2022, il Ministero dell'istruzione e del merito procede ad adottare il presente decreto di natura non regolamentare (di seguito, anche «decreto»); Considerato che al presente decreto e' allegato anche un documento contenente le principali garanzie e misure di sicurezza (di seguito, anche «allegato tecnico» o «allegato»); Tenuto conto che, con uno o piu' decreti saranno altresi' disciplinati il sistema nazionale di valutazione e monitoraggio di cui all'art. 13, comma 1, della legge n. 99/2022 e gli indicatori di cui all'art. 13, comma 2, della medesima legge; Visti i principi e le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, anche «GDPR»), del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni ed integrazioni (di seguito, anche «codice privacy» o «codice») e del CAD; Visto, in particolare, l'art. 6, paragrafo 1, lettera e) del GDPR, che consente il trattamento qualora sia necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio dei pubblici poteri di cui e' investito il titolare del trattamento; Acquisito il parere prot. n. 37567 del 17 novembre 2023 del Consiglio superiore della pubblica istruzione, reso nell'adunanza plenaria n. 114 del 16 novembre 2023; Acquisito il parere del Garante per la protezione dei dati personali in data 16 novembre 2023, n. 525; Sentiti il Ministro dell'universita' e della ricerca, il Ministro del lavoro e delle politiche sociali, il Ministro delle imprese e del made in Italy; Acquisita, in data del 28 novembre 2023, l'intesa rep. atti n. 283/CSR in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano a norma dell'art. 3 del decreto legislativo 28 agosto 1997, n. 281; Decreta: Art. 1 Valore delle premesse e degli allegati 1. Le premesse e l'allegato tecnico al presente decreto, che definisce le principali garanzie e misure di sicurezza adottate (A. «Principali garanzie e misure di sicurezza»), costituiscono parte integrante e sostanziale del decreto medesimo.   Allegato tecnico «Principali garanzie e misure di sicurezza» 1. Introduzione Il presente allegato tecnico descrive le principali garanzie e misure di sicurezza adottate per garantire la protezione dei dati personali trattati nell'ambito della Sezione ITS dell'ANIST. I requisiti di sicurezza adottati garantiscono l'integrita' e la riservatezza dei dati, la sicurezza dei servizi, il tracciamento delle operazioni effettuate, nonche' il rispetto dei principi di protezione dei dati per impostazione predefinita e per progettazione. Per le predette finalita', la Sezione ITS e' datata di: a) un sistema di Identity & Access Management per l'identificazione dell'utente e della postazione, la gestione dei profili autorizzativi, la verifica dei diritti di accesso, il tracciamento delle operazioni; b) un sistema di tracciamento e di conservazione dei dati di accesso alle componenti applicative e di sistema; c) sistemi di sicurezza per la protezione delle informazioni e dei servizi erogati dalla base dati; d) un sistema di log analysis per l'analisi periodica dei file di log, in grado di individuare, sulla base di regole predefinite e formalizzate, eventi potenzialmente anomali e di segnalarli al Ministero dell'istruzione e del merito tramite funzionalita' di alert; e) una Certification Authority; f) sistemi e servizi di backup per il salvataggio dei dati e delle applicazioni; g) sistemi e servizi di Disaster Recovery. Il piano di continuita' operativa esplicitera' le procedure relative ai sistemi e ai servizi di backup e di Disaster Recovery. 2. Infrastruttura fisica L'infrastruttura della Sezione ITS dell'ANIST e' installata nei locali individuati dal Ministero dell'istruzione e del merito aventi specifici requisiti di sicurezza che garantiscano la continuita' di servizio tramite soluzioni di alta affidabilita' (HA) e un rigido controllo dell'accesso anche fisico in ambienti ad accesso limitato e sottoposti a videosorveglianza continua. Qualsiasi altra operazione manuale e' consentita solo a personale autorizzato dal Ministero dell'istruzione e del merito. 3. Protezione da attacchi informatici Al fine di protezione dei sistemi operativi da attacchi informatici, eliminando le vulnerabilita', si utilizzano: a) in fase di configurazione, procedure di hardening finalizzate a limitare l'operativita' alle sole funzionalita' necessarie per il corretto funzionamento dei servizi; b) in fase di messa in esercizio, oltre che ad intervalli prefissati o in presenza di eventi significativi, processi di vulnerability assessment and mitigation nei software utilizzati e nelle applicazioni dei sistemi operativi; c) piattaforma di sistemi firewall e sonde anti-intrusione; d) ogni altra soluzione tecnologica aggiuntiva che sia utile all'innalzamento del livello di sicurezza e protezione del sistema. Per proteggere i sistemi dagli attacchi informatici e' adottata una procedura di gestione degli incidenti infomatici e sono, inoltre, rispettate le seguenti tecnologie e/o procedure: a) aggiornamenti periodici dei sistemi operativi e dei software di sistema e hardening delle macchine; b) adozione di una infrastruttura di sistemi firewall e sistemi IPS (Intrusion Prevention System), che consentono la rilevazione dell'esecuzione di codice non previsto nonche' di azioni in tempo reale quali il blocco del traffico proveniente da un indirizzo IP attaccante; c) esecuzione di WAPT (Web Application Penetration Test), per la verifica della presenza di eventuali vulnerabilita' sul codice sorgente; d) adozione di meccanismi, tipo captcha, sul Portale ANIST di sistemi di rate-limit (limitanti il numero di transazioni nell'unita' di tempo), al fine di mitigare il rischio di accesso automatizzato alle applicazioni, che genererebbe un traffico finalizzato alla saturazione dei sistemi e quindi al successivo blocco del servizio; e) presenza di sistemi di backup e disaster recovery. Il backup dovra' riguardare i seguenti elementi, dati, configurazioni dei sistemi, software applicativo, file di log e di alert. 4. Accesso L'accesso alla Sezione ITS dell'ANIST avviene in condizioni di pieno isolamento operativo e di esclusivita', in conformita' ai principi di protezione, disponibilita', accessibilita', integrita' e riservatezza dei dati, nonche' di continuita' operativa dei sistemi e delle infrastrutture di cui all'art. 51 del CAD. I sistemi di sicurezza garantiscono che l'infrastruttura di produzione sia logicamente distinta da altre infrastrutture, anche di competenza di soggetti terzi di cui il Ministero dell'istruzione e del merito si avvalga e che l'accesso alla stessa avvenga in modo sicuro, controllato e costantemente tracciato, esclusivamente da parte di personale autorizzato dal Ministero, e con il tracciamento degli accessi e di qualsiasi attivita' eseguita. La Sezione ITS invia e riceve le comunicazioni in modalita' sicura, su rete di comunicazione SPC ovvero, tramite Internet, mediante protocollo Transport Layer Security (TLS) per garantire la riservatezza dei dati su reti pubbliche secondo le pertinenti raccomandazioni AgID in materia (Determinazione n. 471 del 5 novembre 2020).   Art. 2 Definizioni 1. Ai fini del presente decreto e del relativo allegato tecnico, valgono le seguenti definizioni: a) Sezione ITS Academy di ANIST: sezione dedicata agli studenti iscritti ai percorsi degli ITS Academy, di cui all'art. 12, comma 1, della legge n. 99/2022; b) BDN: Banca dati nazionale per il monitoraggio quantitativo e qualitativo del Sistema terziario di istruzione tecnologica superiore, di cui all'art. 13 del decreto del Presidente del Consiglio dei ministri 25 gennaio 2008 e all'art. 12, comma 2, della legge n. 99/2022; c) SNMV: Sistema nazionale di monitoraggio e valutazione del Sistema terziario di istruzione tecnologica superiore, di cui all'art. 14 del decreto del Presidente del Consiglio dei ministri 25 gennaio 2008 e all'art. 13, comma 1, della legge n. 99/2022; d) ITS Academy o ITS: Istituti tecnologici superiori; e) ANIST: Anagrafe nazionale dell'istruzione di cui all'art. 62-quater del CAD; f) ANPR: Anagrafe nazionale della popolazione residente di cui all'art. 62 del CAD; g) ID ANPR: codice identificativo univoco associato ad ogni iscritto in ANPR al fine di garantire la circolarita' dei dati anagrafici e l'interoperabilita' con le altre banche dati delle pubbliche amministrazioni e dei gestori di servizi pubblici.   Art. 3 Oggetto 1. Il presente decreto, in attuazione dell'art. 12, commi 1 e 2, della legge n. 99/2022: a) definisce in prima attuazione i criteri e le modalita' relativi alla costituzione dell'Anagrafe nazionale dell'istruzione riguardante gli studenti iscritti ai percorsi degli ITS Academy (art. 12, comma 1, legge n. 99/2022); b) nell'ambito della realizzazione della Sezione ITS Academy di ANIST definisce i criteri di adeguamento della Banca dati nazionale per il monitoraggio quantitativo e qualitativo del Sistema terziario di istruzione tecnologica alle previsioni di cui alla legge n. 99/2022, con specifico riferimento alle relative funzioni e compiti (art. 12, comma 2, legge n. 99/2022). 2. Relativamente alla realizzazione della Sezione ITS Academy di ANIST, con il presente decreto sono stabiliti: a) le finalita'; b) le tipologie dei dati contenuti; c) le banche dati di interesse nazionale contenenti dati cui i dati contenuti nella Sezione ITS Academy di ANIST si allineano o con le quali la medesima anagrafe interagisce; d) le modalita' di alimentazione; e) i soggetti che potranno accedervi; f) i ruoli ai fini del trattamento dei dati personali; g) le principali garanzie e misure di sicurezza.   Art. 4 Finalita' della Sezione ITS Academy di ANIST 1. La Sezione ITS Academy di ANIST, attraverso le relative componenti tecnologiche, mira ad assicurare: a) la disponibilita' dei dati al singolo ITS Academy per lo svolgimento delle funzioni di propria competenza, con particolare riferimento alla finalita' di certificazione, nonche' per consentirne la consultazione da parte degli utenti; b) l'automazione delle procedure di iscrizione on-line agli ITS; c) il riconoscimento nell'Unione europea e all'estero dei titoli di studio, attraverso tecnologie idonee a garantire l'autenticita' dei titoli medesimi; d) lo svolgimento delle funzioni di propria competenza del MIM, tra le quali: (i) realizzazione delle attivita' di valutazione e monitoraggio di cui all'art. 13, comma 1, della legge n. 99/2022, anche attraverso il supporto di INDIRE, mediante visualizzazione di dati previamente aggregati e anonimizzati secondo le procedure che saranno descritte nel successivo decreto adottato ai sensi dell'art. 11 del presente decreto; (ii) sostegno alla qualificazione del Sistema terziario di istruzione tecnologica superiore, nel rispetto della legge n. 99/2022, anche al fine di prevenire e contrastare la dispersione formativa e agevolare l'inserimento nel mondo del lavoro; (iii) rilevazione, attraverso i dati aggregati comunicati dal Sistema informativo statistico-SISCO del Ministero del lavoro e delle politiche sociali ai sensi della normativa vigente, degli esiti occupazionali degli studenti; e) la quantificazione delle risorse finanziarie da destinare, sulla base della normativa vigente, alla realizzazione dei percorsi formativi degli ITS, mediante l'utilizzo, da parte delle regioni, di dati previamente aggregati dal Ministero, nel rispetto di misure di sicurezza idonee a garantire la non reidentificazione, anche indiretta, degli utenti.   Art. 5 Dati contenuti nella Sezione ITS Academy di ANIST 1. Nella Sezione ITS Academy sono contenuti: a) i dati anagrafici relativi al nome, al cognome, al codice fiscale dello studente e, ove attribuito ai sensi di legge, all'ID ANPR; b) i dati relativi al percorso di studi e ai punteggi complessivi delle prove anche conclusive degli studenti; c) i dati relativi all'ITS di appartenenza degli studenti, ivi comprese le informazioni relative al codice meccanografico e alla sede; d) i dati relativi ai titoli conseguiti dagli studenti; e) i dati relativi agli esiti occupazionali degli studenti iscritti e dei diplomati, derivanti dalle Comunicazioni obbligatorie - SISCO - del Ministero del lavoro e delle politiche sociali. 2. I dati acquisiti all'Anagrafe saranno conservati, conformemente alla normativa in materia di protezione dei dati personali, per il tempo strettamente necessario per l'erogazione dei servizi di consultazione di cui al presente decreto. 3. L'allineamento dei dati personali, indicati nel presente articolo, con le altre banche dati di interesse nazionale avverra' secondo le procedure e le modalita' definite nell'ambito dell'ANIST.   Art. 6 Modalita' di alimentazione della Sezione ITS Academy di ANIST 1. L'alimentazione della Sezione ITS Academy sara' effettuata dai singoli ITS, sulla base delle medesime modalita' e delle procedure previste per l'ANIST. 2. La Sezione ITS Academy di ANIST sara' organizzata secondo le modalita' funzionali e operative proprie dell'ANIST, idonee a garantire l'univocita' dei dati stessi nell'ambito delle anagrafi e banche dati del Ministero dell'istruzione e del merito.   Art. 7 Soggetti che potranno accedere ai dati della Sezione ITS Academy di ANIST 1. Potranno accedere ai dati della Sezione ITS Academy di ANIST esclusivamente i soggetti di cui all'art. 4 del presente decreto, ciascuno esclusivamente e nei limiti di quanto strettamente necessario al perseguimento delle finalita' di rispettiva competenza indicate nel medesimo articolo.   Art. 8 Soggetti coinvolti nel trattamento dei dati personali della Sezione ITS Academy di ANIST 1. Il Ministero, gli ITS, nonche' gli ulteriori soggetti di cui all'art. 4 del presente decreto, trattano i dati presenti nella Sezione ITS Academy di ANIST limitatamente ai trattamenti strettamente connessi agli scopi di quest'ultima e per il perseguimento delle rispettive finalita' istituzionali. 2. In particolare, il MIM e' titolare del trattamento dei dati contenuti nella Sezione ITS Academy di ANIST, ai soli fini del perseguimento delle finalita' di cui all'art. 4, comma 1, lettera d) del presente decreto. 3. Nell'ambito delle attivita' di cui al presente decreto, gli ITS, per il perseguimento delle finalita' di cui all'art. 4, comma 1, lettere a), b) e c), mantengono la titolarita' del trattamento dei dati di propria competenza e ne assicurano la correttezza, l'esattezza e l'aggiornamento. In tale ambito, il Ministero dell'istruzione e del merito agisce quale responsabile del trattamento, ai sensi dell'art. 28 del GDPR, nell'attivita' di gestione dell'infrastruttura alimentata dagli ITS, vincolato alle indicazioni fornite dai titolari, con particolare riguardo alla natura e alle finalita' del trattamento, nonche' al tipo di dati personali e alle categorie di interessati. 4. Per la realizzazione, manutenzione tecnica e gestione della Sezione ITS, il MIM fara' ricorso al medesimo soggetto terzo gia' nominato responsabile del trattamento ai sensi dell'art. 28 del GDPR con il decreto ANIST. L'autorizzazione verra' appositamente integrata rispetto alla Sezione ITS Academy.   Art. 9 Principali garanzie e misure di sicurezza della Sezione ITS Academy di ANIST 1. Il trattamento dei dati personali che verra' effettuato, sara' conforme alla disciplina vigente in materia di protezione dei dati personali e, in particolare, ai principi di liceita', correttezza, trasparenza, limitazione delle finalita', limitazione della conservazione e minimizzazione, di cui all'art. 5 del GDPR. 2. Il Ministero, nel rispetto delle regole dell'ANIST, implementera' le principali garanzie e misure di sicurezza, appropriate e specifiche, finalizzate a tutelare i diritti fondamentali e gli interessi delle persone fisiche i cui dati sono coinvolti nelle attivita' di trattamento previste nel presente decreto. I relativi requisiti di sicurezza che saranno implementati garantiranno, in ogni caso: a) l'integrita' e la riservatezza dei dati; b) la sicurezza del sistema e degli accessi; c) il tracciamento delle operazioni effettuate. 3. Le misure di cui al comma 2 sono descritte nell'allegato tecnico al presente decreto. 4. I dati personali oggetto di trattamento non saranno in alcun caso trasferiti fuori dallo Spazio economico europeo, se non nelle forme e secondo le modalita' previste dal GDPR.   Art. 10 Disciplina della Banca dati nazionale 1. Nell'ambito della realizzazione della Sezione ITS Academy di ANIST, la Banca dati nazionale resta disciplinata dall'art. 13 del decreto del Presidente del Consiglio dei ministri 25 gennaio 2008, dall'allegato G della Conferenza unificata n. 603/C.U. 1° agosto 2002 e dall'art. 9 del decreto ministeriale del Ministero della pubblica istruzione 31 ottobre 2000, n. 436, con gli adeguamenti necessari che saranno introdotti ai fini di un raccordo funzionale con la Sezione ITS Academy dell'ANIST, di cui al presente decreto. 2. All'interno della Banca dati nazionale sono contenuti, tra gli altri, i seguenti dati: a) i dati generali relativi alle Fondazioni ITS Academy (dati identificativi, contatti, area tecnologica e documentazione); b) i dati quantitativi e qualitativi relativi ai percorsi formativi e alle attivita' realizzate dalle Fondazioni ITS Academy (dati generali, struttura del percorso, costi, utenze del percorso, approcci metodologici, modalita' e strumenti di verifica delle competenze, customer); c) i dati generali relativi al perimetro di competenza delle Fondazioni ITS Academy ed alla Rete di partenariato (ragione sociale/denominazione ente, ruolo e tipologia degli istituti di istruzione superiore, archivio documentale, risorse umane). 3. Rispetto alla suddetta Banca dati nazionale, INDIRE e' titolare del trattamento dei dati personali. 4. Per il tramite della Banca dati, il MIM, con il supporto di INDIRE, svolgera' attivita' di monitoraggio e di valutazione, ai sensi dell'art. 13, comma 1, della legge n. 99/2022, anche mediante i dati acquisiti dalla Sezione ITS Academy di ANIST.   Art. 11 Entrata in vigore 1. Il presente decreto entra in vigore decorsi quindici giorni dalla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. 2. All'esito del presente decreto, e prima di iniziare il trattamento dei dati, il Ministero predispone la valutazione di impatto ai sensi dell'art. 35 del GDPR. 3. Il Ministero dell'istruzione e del merito, con successivo decreto adottato entro il 28 febbraio 2024, previo parere del Garante e nel rispetto dell'art. 14, comma 6, della legge n. 99/2022, definisce i seguenti profili: a) l'operativita', a partire dalle iscrizioni per l'anno formativo 2024-2025, della Sezione ITS Academy, che dovra' essere compatibile con i termini stabiliti per il perseguimento di milestone e target del PNRR; b) i dati contenuti e i relativi tempi di conservazione e, in particolare, il set di dati relativo a ciascun interessato con la precisa individuazione dei dati che sono trattati, in relazione alle finalita' di ciascuna attivita' di trattamento e previa valutazione della necessita' di tale trattamento; c) le operazioni eseguibili sui dati e le relative modalita' di trattamento, nonche' le specifiche tecniche e le modalita' operative di alimentazione, aggregazione, correttezza, esattezza e aggiornamento dei dati contenuti nella Sezione ITS Academy; d) le misure tecnico-informatiche di adeguamento della Banca dati nazionale con la Sezione ITS Academy dell'ANIST e le relative modalita' di raccordo; e) le altre banche dati, anche di interesse nazionale, i cui dati sono necessari per lo svolgimento delle funzioni di competenza del Ministero o per l'allineamento degli ulteriori dati contenuti nella Sezione ITS Academy; f) la descrizione delle modalita' di funzionamento della Sezione, ivi comprese le modalita' per assicurare il rilascio di certificazioni da parte degli ITS e del Ministero, nonche' delle regole tecniche, dei requisiti, delle garanzie e delle misure di sicurezza adottate.   Art. 12 Clausola di salvaguardia 1. La Regione autonoma Valle d'Aosta/Vallee d'Aoste e le Province autonome di Trento e Bolzano rispettano i principi fondamentali del presente decreto nell'ambito delle competenze attribuite dai rispettivi statuti speciali e dalle relative norme di attuazione.   Art. 13 Disposizioni finanziarie 2. All'attuazione di quanto previsto dal presente decreto, si provvede, per quanto di competenza del MIM, a valere sulla dotazione del Fondo per l'istruzione tecnologica superiore di cui all'art. 11, comma 1, della legge n. 99/2022, senza nuovi o maggiori oneri per la finanza pubblica. 3. Ai sensi dell'art. 12, comma 3, della legge n. 99/2022, alla copertura degli oneri di cui al comma 1 del presente articolo, possono concorrere anche eventuali risorse messe a disposizione dal Ministero del lavoro e delle politiche sociali, con particolare riferimento agli esiti occupazionali dei percorsi formativi degli ITS Academy. Il presente decreto viene trasmesso ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale della Repubblica italiana. Roma, 30 novembre 2023 Il Ministro: Valditara Registrato alla Corte dei conti il 28 dicembre 2023 Ufficio di controllo sugli atti del Ministero dell'istruzione e del merito, del Ministero dell'universita' e della ricerca, del Ministero della cultura, del Ministero della salute e del Ministero del lavoro e delle politiche sociali, n. 3140