Sono sono state finalmente pubblicate nella Gazzetta Ufficiale del 12 marzo 2014, le nuove Regole tecniche per la conservazione dei documenti informatici (GU n. 59 del 12-3-2014 – Suppl. Ordinario n. 20).
Tali regole, emanate ai sensi degli artt. 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44 -bis e 71, comma 1 del CAD, sostituiscono le precedenti regole dettate dalla deliberazione CNIPA n°11 del 2004.
I sistemi di conservazione già esistenti dovranno adeguarsi alle nuove regole entro 36 mesi dall’entrata in vigore del decreto (prevista per il prossimo 11 aprile) secondo un piano dettagliato da allegare al manuale della conservazione (documento che, come vedremo, diventa obbligatorio). I lotti di documenti conservati fino ad oggi (e nei successivi giorni necessari ad aggiornare i sistemi) potranno (la scelta spetta al Responsabile della conservazione interno alla struttura che ha l’obbligo di conservazione) continuare ad essere conservati con le precedenti regole tecniche o potranno essere riversati nel nuovo sistema di conservazione.
La prima grossa novità portata dalle nuove Regole tecniche riguarda il superamento della distinzione fra conservazione di documenti informatici e conservazione sostitutiva di documenti analogici. Questo superamento risulta essere in linea con quanto previsto dalle nuove Regole tecniche sulla formazione del documento informatico (purtroppo disponibili solo in bozza e non ancora approvate in maniera definitiva), sulla base delle quali per documento informatico deve intendersi sia quello prodotto mediante l’utilizzo di appositi strumenti (word processor, fogli di calcolo, etc.), sia quello prodotto mediante acquisizione informatica (ad esempio tramite scansione). A prescindere da come sia stato formato il documento, in entrambi i casi ci troveremo di fronte a un documento informatico che dovrà essere conservato in un idoneo “sistema di conservazione”.
La seconda novità riguarda proprio il concetto di “sistema di conservazione”, che viene definito come un sistema che – dalla presa in carico fino all’eventuale scarto – assicura la conservazione dei documenti e dei fascicoli informatici con i metadati a essi associati, tramite l’adozione di regole, procedure e tecnologie idonee a garantirne le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità. Tali requisiti dovranno essere assicurati mediante la predisposizione di un processo di conservazione attraverso cui si provveda, in estrema sintesi, all’acquisizione e alla verifica del pacchetto di versamento, alla generazione del rapporto di versamento, alla preparazione del pacchetto di archiviazione sottoscritto con firma digitale o firma elettronica qualificata del responsabile della conservazione e, infine, alla preparazione del pacchetto di distribuzione, sempre sottoscritto con firma digitale o firma elettronica qualificata.
Estremamente importanti sono anche le novità dal punto di vista terminologico: in effetti, gli oggetti del sistema di conservazione individuati all’art. 4 sono i pacchetti informativi1 di versamento (inviati dal “produttore”2 – figura che nelle pubbliche amministrazioni dovrà identificarsi nel Responsabile della gestione documentale3 – al sistema di conservazione, secondo un formato predefinito in un accordo di versamento), di archiviazione (composti dalla trasformazione di uno o più pacchetti di versamento secondo le specifiche contenute nell’allegato IV del decreto e secondo le modalità riportate nel manuale di conservazione) e di distribuzione (inviati dal sistema di conservazione all’utente4 in risposta a una sua richiesta, o in caso di esibizione all’Autorità richiedente).
Proprio i pacchetti informativi citati (almeno concettualmente differenti tra loro anche se potranno risultare esattamente coincidenti) diventano i principali oggetti della conservazione, permettendo di distinguere i tre momenti principali della conservazione: versamento, conservazione ed esibizione.
Figura centrale del sistema di conservazione resta il Responsabile della conservazione ovvero il soggetto, interno all’ente che per legge ha l’obbligo di conservazione di un determinato documento, che definisce e attua le politiche del sistema di conservazione e ne governa la gestione con piena responsabilità e autonomia. Nello svolgere queste attività il Responsabile potrà, sotto la propria responsabilità, delegare lo svolgimento del processo di conservazione – o parte di esso – a uno o più soggetti di specifica competenza ed esperienza in relazione alle attività ad essi delegate5.
Relativamente alla tecnologia con la quale assicurare la conservazione le nuove Regole tecniche restano neutre, lasciando sostanzialmente la possibilità al Responsabile della conservazione di scegliere liberamente con quali tecniche raggiungere gli obiettivi della conservazione (garantire l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità dei documenti informatici conservati). Unica eccezione è rappresentata dalla necessità di sottoscrivere digitalmente il pacchetto di archiviazione, mentre per gli altri due pacchetti la firma digitale è solo una possibilità (pur essendo molto opportuno utilizzarla, soprattutto quando si affida il servizio di conservazione in outsourcing).
Inoltre, si evidenzia che con l’entrata in vigore delle nuove Regole tecniche sarà obbligatoria l’adozione del Manuale della conservazione, un «documento informatico»6 che dovrà illustrare dettagliatamente i ruoli, le responsabilità, gli obblighi e le eventuali deleghe dei soggetti coinvolti, le tipologie dei documenti conservati, il modello di funzionamento e il processo di conservazione e di trattamento dei pacchetti di archiviazione (con particolare riferimento alle modalità di presa in carico dei pacchetti di versamento e della predisposizione del rapporto di versamento, che ora viene reso obbligatorio e per il quale è prevista la necessaria apposizione di un riferimento temporale), le procedure per la produzione di duplicati o copie (che sostituiscono i precedenti concetti di riversamento diretto e sostitutivo), le normative in vigore nei luoghi dove sono conservati i documenti (e ciò è sintomatico dell’attenzione che occorre nella scelta dell’eventuale outsoucer7), nonché le infrastrutture utilizzate e le misure di sicurezza adottate.
Con particolare riguardo al processo di conservazione delle pubbliche amministrazioni descritto nelle nuove Regole tecniche, si rammenta anche che lo scarto avente a oggetto il pacchetto di archiviazione relativo a documenti di archivi pubblici (o anche privati che rivestano un interesse storico particolarmente importante) deve avvenire sempre previa autorizzazione del Ministero per i beni e le attività culturali rilasciata al produttore, secondo quanto previsto dalla normativa vigente in materia. Occorrerà tenere presente, dunque, oltre al D.Lgs. n. 42/2004 (c.d. Codice dei beni culturali), il DPCM del 21 marzo 2013, emanato ai sensi dell’art. 22 del Codice dell’amministrazione digitale (D.lgs. n. 82 del 2005), con il quale il Legislatore è finalmente intervenuto sulla questione della sostituibilità o meno dei documenti analogici originali unici. Tale Decreto, in effetti, indica sia le tipologie di documenti analogici originali unici per i quali permane l’obbligo della conservazione dell’originale cartaceo (e per le quali, dunque, non è possibile procedere alla conservazione sostitutiva), sia le particolari tipologie per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la necessità di autenticare la conformità all’originale a opera di un notaio o di un altro pubblico ufficiale a ciò autorizzato, con dichiarazione da questi firmata digitalmente e allegata al documento informatico.
Ulteriore elemento di novità nelle Regole tecniche è rappresentato dalla previsione di modelli organizzativi relativi al sistema di conservazione, che devono essere esplicitamente definiti e tenuti logicamente distinti dall’eventuale sistema di gestione documentale.
La conservazione può essere realizzata dal Responsabile della conservazione all’interno della struttura organizzativa del produttore oppure affidata a un soggetto esterno mediante contratto o convenzione di servizio, che preveda l’obbligo del rispetto del manuale della conservazione predisposto dallo stesso Responsabile.
Nello specifico, il terzo comma dell’art. 5 dispone che le pubbliche amministrazioni realizzino i processi di conservazione all’interno della propria struttura organizzativa oppure li affidino a conservatori accreditati, pubblici o privati, di cui all’articolo 44-bis, comma 1, del CAD.
Tutti i soggetti, dunque, che intendessero procedere alla richiesta per ottenere il riconoscimento di conservatore accreditato presso l’Agenzia per l’Italia digitale dovranno provvedere a integrare la documentazione eventualmente già presentata con gli ulteriori requisiti imposti dalle disposizioni del decreto in commento e dai suoi allegati8, come peraltro già previsto dalla Circolare di DigitPA (ora AgID) 29 dicembre 2011, n. 599. In particolare, per espressa previsione della citata Circolare, «nelle more che vengano emanate le regole tecniche relative al sistema di conservazione previste dal CAD, coloro che desiderano avviare il processo di accreditamento possono presentare la domanda corredata della documentazione di cui alle lettere da a) a u) che DigitPA provvederà a esaminare. I termini dell’istruttoria si riterranno tuttavia sospesi fino all’emanazione delle suddette regole tecniche. Nel momento di ripresa dei termini dell’istruttoria sarà cura del conservatore provvedere a completare la documentazione […] e a ripresentare la documentazione per la quale è richiesto uno specifico termine di validità o autodichiarare espressamente che essa è ancora valida».
Nello specifico, appare rilevante la previsione in base alla quale il Responsabile della conservazione, anche delle PA, oltre ad affidare il processo di conservazione a un conservatore accreditato (ai sensi dell’art. 44-bis comma 1 del CAD) possa chiedere la certificazione della “conformità del processo di conservazione a soggetti pubblici o privati che offrano idonee garanzie organizzative e tecnologiche, ovvero a soggetti a cui sia stato riconosciuto il possesso dei requisiti di cui all’art. 44-bis, comma 1″ del CAD, “distinti dai conservatori o dai conservatori accreditati” (art. 7, comma 2, del decreto).
Da ultimo, assolutamente inedito è il Piano della sicurezza del sistema di conservazione, previsto all’art. 12 del decreto: questo documento, infatti, dovrà essere predisposto dal Responsabile della conservazione, di concerto con il Responsabile della sicurezza, nell’ambito del Piano generale della sicurezza, nel rispetto delle misure previste dagli articoli da 31 a 36 del D.Lgs. n. 196/2003 (Codice privacy) e dal disciplinare tecnico di cui all’allegato B dello stesso Codice, nonché coerentemente a quanto previsto dagli artt. 50-bis e 51 del CAD.
In argomento, tuttavia, è importante porre in evidenza che la figura professionale del Responsabile della conservazione è obbligatoria per enti privati e PA che formano documenti informatici, figura che deve necessariamente operare d’intesa con il Responsabile del trattamento dei dati personali e con gli altri responsabili descritti, tra cui – per le sole PA – il Responsabile del protocollo informatico e degli archivi.
Il Codice dell’Amministrazione Digitale e le nuove Regole tecniche, quindi, per la corretta gestione e la tutela di un archivio elettronico prevedono obbligatoriamente la presenza di un team composto dal Responsabile della conservazione, dal Responsabile della sicurezza, dal Responsabile del trattamento dei dati e dal Responsabile del protocollo informatico e degli archivi (ove previsto) che devono operare d’intesa tra loro. Con specifico riferimento alle pubbliche amministrazioni, le figure obbligatorie che devono operare d’intesa fra di loro sono, dunque:
– il Responsabile della conservazione (tendenzialmente configurabile nella professionalità di un informatico e/o digital preservation officer con conoscenze anche di informatica giuridica, diritto dell’informatica e basi di archivistica), il quale deve coordinare e presidiare i sistemi informatici informativi e documentali garantendone una durata nel tempo;
– il Responsabile per il trattamento dei dati personali (tendenzialmente riconducibile alla figura professionale o di un consulente giuridico/organizzativo che abbia anche cognizioni di informatica e sicurezza informatica oppure di un esperto di sicurezza informatica con cognizioni di diritto) che deve occuparsi della protezione del dato nei database e negli archivi digitali;
– il Responsabile del protocollo, dei flussi documentali e degli archivi (un archivista che abbia anche conoscenze base di informatica, informatica giuridica e diritto dell’informatica), il quale deve presidiare la componente archivistica di qualsiasi sistema di conservazione dei documenti informatici.
In tale contesto, dunque, è ormai imprescindibile valorizzare le figure professionali del Responsabile della conservazione e del Responsabile privacy, titolari di compiti, poteri e funzioni fondamentali per una PA o un’azienda, che ricoprono ruoli chiave nella gestione dei processi digitali e ai quali è necessario garantire, dunque, un’adeguata preparazione, un costante aggiornamento e il riconoscimento di specifiche competenze.
Proprio per dare regolamentazione e il giusto riconoscimento a queste due figure che operano in maniera complementare, è da poco nata l’associazione Anorc Professioni, prima associazione italiana che ha aperto per i Responsabili della conservazione e i Responsabili del trattamento due registri nazionali, istituendo un percorso virtuoso di formazione e aggiornamento a loro dedicato.
Insieme alle Regole tecniche sulla conservazione sono state pubblicate anche le nuove Regole tecniche sul protocollo informatico che, ai sensi degli articoli 40-bis, 41, 47, 57-bis e 71 del Codice dell’amministrazione digitale, sostituiranno quelle emanate con l’ormai risalente DPCM 31 ottobre 200010.
In particolare, al comma 3 dell’art. 5 del testo delle nuove Regole tecniche sul protocollo, si dispone che il manuale di gestione sia reso pubblico dalle PA, mediante la pubblicazione sui rispettivi siti istituzionali11; mentre, in riferimento alle modalità di registrazione dei documenti informatici, l’art. 18 del decreto prescrive che alla registrazione di protocollo siano associate le ricevute generate dal sistema di protocollo informatico e, nel caso di registrazione di messaggi di posta elettronica certificata spediti, anche i dati relativi alla consegna dei messaggio oggetto di registrazione rilasciati dal sistema di posta certificata.
Tuttavia, appaiono rilevanti soprattutto le disposizioni che, in riferimento ai requisiti minimi di sicurezza dei sistemi di protocollo informatico, impongono di rispettare le misure di sicurezza previste dagli articoli da 31 a 36 e dal disciplinare tecnico di cui all’allegato B del Codice in materia di protezione dei dati personali (di cui al D.Lgs. 30 giugno 2003, n. 196), e che il registro giornaliero di protocollo sia trasmesso entro la giornata lavorativa successiva al sistema di conservazione, al fine di garantirne l’immodificabilità del contenuto12. Da tali norme, in effetti, emerge chiaramente come, anche alla luce delle nuove Regole tecniche per il protocollo informatico, nelle pubbliche amministrazioni il Responsabile della gestione documentale (o Responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi)13 debba necessariamente operare d’intesa con il Responsabile della conservazione e il Responsabile per il trattamento dei dati personali.
FONTE: Anorc (Associazione nazionale per operatori e responsabili della conservazione digitale)
AUTORE: avv. Luigi Foglia (Delegato territoriale Anorc) e avv. Sarah Ungaro (Digital & Law Departiment)