Articolo

Conservazione dei documenti: le anticipazioni sulle nuove Regole Tecniche

Con le nuove regole tecniche firmate qualche settimana fa dal ministro D’Alia, è nato il “sistema di conservazione” che garantisce la conservazione dei documenti informatici. Le regole tecniche introducono, poi, una serie di altre novità sia terminologiche che operative per tutte le amministrazioni ed i privati coinvolti. Nell’ambito della collaborazione con lo Studio legali lisi facciamo il punto con Sarah Ungaro e Simonetta Zingarelli.

 

In un clima di crescente aspettativa, lo scorso 3 dicembre il Ministro per la Pubblica Amministrazione e la semplificazione Gianpiero D’Alia ha finalmente firmato i decreti relativi alle nuove Regole tecniche sul protocollo informatico e sul sistema di conservazione dei documenti.

In attesa della pubblicazione in Gazzetta Ufficiale è tuttavia possibile anticipare alcune delle novità contenute, in particolare, nelle nuove Regole tecniche in materia di sistema di conservazione, ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44 , 44 –bis e 71, comma 1, del Codice dell’amministrazione digitale (D.Lgs. n. 82 del 2005).

Innanzitutto, confrontando il testo appena licenziato con la deliberazione CNIPA n. 11/2004, è immediatamente evidente il superamento della distinzione fra conservazione sostitutiva di documenti informatici e conservazione sostitutiva di documenti analogici. In effetti, è stato introdotto il concetto di “sistema di conservazione”, che - dalla presa in carico fino all’eventuale scarto - assicura la conservazione dei documenti e dei fascicoli informatici con i metadati a essi associati, tramite l’adozione di regole, procedure e tecnologie idonee a garantirne le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità. Tali requisiti dovranno essere assicurati mediante la predisposizione di un processo di conservazione attraverso cui si provveda, in estrema sintesi, all’acquisizione e alla verifica del pacchetto di versamento, alla generazione del rapporto di versamento, alla preparazione del pacchetto di archiviazione sottoscritto con firma digitale o firma elettronica qualificata del responsabile della conservazione e, infine, alla preparazione del pacchetto di distribuzione, sempre sottoscritto con firma digitale o firma elettronica qualificata.

Estremamente rilevanti appaiono le innovazioni dal punto di vista terminologico: in effetti, gli oggetti del sistema di conservazione individuati all’art. 4 sono i pacchetti informativi[1] di versamento (inviati dal “produttore”[2] - figura che nelle pubbliche amministrazioni dovrà identificarsi nel responsabile della gestione documentale[3] - al sistema di conservazione secondo un formato predefinito e concordato, descritto nel manuale di conservazione), di archiviazione (composti dalla trasformazione di uno o più pacchetti di versamento secondo le specifiche contenute nell’allegato IV del decreto e secondo le modalità riportate nel manuale di conservazione) e di distribuzione (inviati dal sistema di conservazione all’utente[4] in risposta a una sua richiesta, o in caso di esibizione all’Autorità richiedente).

Inoltre, è importante evidenziare che con l’entrata in vigore delle nuove Regole tecniche sarà obbligatoria l’adozione del Manuale della conservazione, un «documento informatico[5]» che dovrà illustrare dettagliatamente i ruoli, le responsabilità, gli obblighi e le eventuali deleghe dei soggetti coinvolti, le tipologie degli oggetti informatici conservati, il modello di funzionamento e il processo di conservazione e di trattamento dei pacchetti di archiviazione (con particolare riferimento alle modalità di presa in carico dei pacchetti di versamento e della predisposizione del rapporto di versamento, che ora viene reso obbligatorio e per il quale è prevista la necessaria apposizione di un riferimento temporale), le procedure per la produzione di duplicati o copie, le normative in vigore nei luoghi dove sono conservati i documenti (e ciò è sintomatico dell’attenzione che occorre nella scelta dell’eventuale outsoucer[6]), nonché le infrastrutture utilizzate e le misure di sicurezza adottate.

Con particolare riferimento al processo di conservazione delle pubbliche amministrazioni descritto nelle nuove Regole tecniche, si prevede che lo scarto avente a oggetto il pacchetto di archiviazione relativo a documenti di archivi pubblici o anche privati che rivestano un interesse storico particolarmente importante avvenga previa autorizzazione del Ministero per i beni e le attività culturali rilasciata al produttore, secondo quanto previsto dalla normativa vigente in materia. Occorrerà tenere presente, dunque, oltre al D.Lgs. n. 42/2004 (c.d. Codice dei beni culturali), il DPCM del 21 marzo 2013, emanato ai sensi dell'art. 22 del Codice dell'amministrazione digitale (D.lgs. n. 82 del 2005), con il quale il Legislatore è finalmente intervenuto sulla questione dei documenti analogici originali unici. Tale Decreto, in effetti, indica sia le tipologie di documenti analogici originali unici per i quali permane l’obbligo della conservazione dell’originale cartaceo (e per i quali, dunque, non è possibile procedere alla conservazione sostitutiva), sia le particolari tipologie per le quali, in ragione di esigenze di natura pubblicistica, permane l'obbligo della conservazione dell'originale analogico oppure, in caso di conservazione sostitutiva, la necessità di autenticare la conformità all’originale a opera di un notaio o di un altro pubblico ufficiale a ciò autorizzato, con dichiarazione da questi firmata digitalmente e allegata al documento informatico.

Ulteriore elemento di novità nelle Regole tecniche è rappresentato dalla previsione di modelli organizzativi relativi al sistema di conservazione, che devono essere esplicitamente definiti e tenuti logicamente distinti dall’eventuale sistema di gestione documentale. Nello specifico, il terzo comma dell’art. 5 dispone che le pubbliche amministrazioni realizzino i processi di conservazione all’interno della propria struttura organizzativa, oppure affidandoli a conservatori accreditati, pubblici o privati, di cui all’articolo 44-bis, comma 1, del CAD.

Tutti i soggetti, dunque, che intendessero procedere alla richiesta per ottenere il riconoscimento di conservatore accreditato presso l’Agenzia per l’Italia digitale dovranno provvedere a integrare la documentazione eventualmente già presentata con gli ulteriori requisiti imposti dalle disposizioni del decreto in commento e dai suoi allegati[7], come peraltro già previsto dalla Circolare di DigitPA (ora AgId) 29 dicembre 2011, n. 59[8]. In particolare, per espressa previsione della citata Circolare, «nelle more che vengano emanate le regole tecniche relative al sistema di conservazione previste dal CAD, coloro che desiderano avviare il processo di accreditamento possono presentare la domanda corredata della documentazione di cui alle lettere da a) a u) che DigitPA provvederà a esaminare. I termini dell’istruttoria si riterranno tuttavia sospesi fino all’emanazione delle suddette regole tecniche. Nel momento di ripresa dei termini dell’istruttoria sarà cura del conservatore provvedere a completare la documentazione […] e a ripresentare la documentazione per la quale è richiesto uno specifico termine di validità o autodichiarare espressamente che essa è ancora valida».

Sul punto, occorre precisare che soggetto diverso dal conservatore accreditato è il certificatore accreditato del processo, ossia un soggetto, pubblico o privato, che svolge attività di certificazione del processo di conservazione stesso e al quale sia stato riconosciuto, dall’Agenzia per l’Italia digitale, il possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza[9]. Il certificatore accreditato dovrà chiaramente essere un soggetto diverso dal conservatore accreditato, il quale, come ovvio, non potrà anche essere certificatore dei processi di conservazione.

Nello specifico, appare rilevante la previsione in base alla quale il Responsabile della conservazione, anche delle PA, oltre ad affidare il processo di conservazione a un conservatore accreditato (ai sensi dell’art. 44-bis comma 1 del CAD), possa chiedere la certificazione della “conformità del processo di conservazione a soggetti, pubblici o privati che offrano idonee garanzie organizzative e tecnologiche, ovvero a soggetti a cui sia stato riconosciuto il possesso dei requisiti di cui all’art. 44-bis, comma 1” del CAD, “distinti dai conservatori o dai conservatori accreditati” (art. 7, comma 2, del decreto).

Da ultimo, assolutamente inedito è il Piano della sicurezza del sistema di conservazione, previsto all’art. 12 del decreto: questo documento, infatti, dovrà essere predisposto dal Responsabile della conservazione, di concerto con il Responsabile della sicurezza, nell’ambito del Piano generale della sicurezza, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del D.Lgs. n. 196/2003 (Codice privacy) e dal disciplinare tecnico di cui all’allegato B dello stesso Codice, nonché coerentemente a quanto previsto dagli artt. 50-bis e 51 del CAD.

In argomento, tuttavia, è importante porre in evidenza che la figura professionale del Responsabile della conservazione è obbligatoria per privati e PA che formano i loro documenti informatici, figura che deve necessariamente operare d’intesa con il Responsabile del trattamento dei dati personali e con gli altri responsabili descritti, tra cui – per le sole PA – il Responsabile del protocollo informatico .

Il Codice dell’Amministrazione Digitale e le nuove Regole tecniche, quindi, per la corretta gestione e la tutela di un archivio elettronico prevedono obbligatoriamente la presenza di un team composto dal Responsabile della conservazione, dal Responsabile della sicurezza, dal Responsabile del trattamento dei dati e dal Responsabile del protocollo, ove previsto, che devono operare d’intesa tra loro. Con specifico riferimento alle pubbliche amministrazioni, le figure obbligatorie che devono operare d’intesa fra di loro sono, dunque:

- il Responsabile della conservazione (tendenzialmente configurabile nella professionalità di un informatico e/o information document manager con conoscenze anche di informatica giuridica, diritto dell’informatica e basi di archivistica), il quale deve coordinare e presidiare i sistemi informatici informativi e documentali garantendone una durata nel tempo;

- il Responsabile per il trattamento dei dati personali (tendenzialmente riconducibile alla figura professionale o di un consulente giuridico/organizzativo che abbia anche cognizioni di informatica e sicurezza informatica oppure di un esperto di sicurezza informatica con cognizioni di diritto) che deve occuparsi della protezione del dato nei database e negli archivi digitali;

- il Responsabile del protocollo, dei flussi documentali e degli archivi (un archivista che abbia anche conoscenze base di informatica, informatica giuridica e diritto dell’informatica), il quale deve presidiare la componente archivistica di qualsiasi sistema di conservazione dei documenti informatici.

In tale contesto, dunque, è ormai imprescindibile valorizzare le figure professionali del Responsabile della conservazione e del Responsabile privacy, titolari di compiti, poteri e funzioni fondamentali per una PA o un’azienda, che ricoprono ruoli chiave nella gestione dei processi digitali delle pubbliche amministrazioni, figure alle quali è necessario garantire, dunque, un’adeguata preparazione, un costante aggiornamento e il riconoscimento delle competenze.

Proprio per dare regolamentazione e il giusto riconoscimento a queste due figure che operano in maniera complementare, è da poco nata l’associazione ANORC Professioni, prima associazione italiana che ha aperto per i Responsabili della conservazione e i Responsabili del trattamento due registri nazionali, istituendo un percorso virtuoso di formazione e aggiornamento a loro dedicato (http://www.anorc.it/anorc_professioni/).

 

*Dott.ssa Sarah Ungaro e Avv. Simonetta Zingarelli – Digital&Law Department (Studio Legale Lisi)

 

 


[1] In base alle definizioni del Glossario di cui all’allegato I al decreto, per pacchetto informativo si intende il “contenitore che racchiude uno o più oggetti da conservare (documenti informatici, fascicoli informatici, aggregazioni documentali informatiche), oppure anche i soli metadati riferiti agli oggetti da conservare”.

[2] Nel Glossario citato, il produttore è “la persona fisica o giuridica, di norma diversa dal soggetto che ha formato il documento, che produce il pacchetto di versamento ed è responsabile del trasferimento del suo contenuto nel sistema di conservazione”

[3] Come espressamente prescritto nell’allegato I delle nuove Regole tecniche.

[4] Nelle definizioni del Glossario, l’utente è la “persona, ente o sistema che interagisce con i servizi di un sistema di gestione informatica dei documenti e/o di un sistema per la conservazione dei documenti informatici, al fine di fruire delle informazioni di interesse”.

[5] Si veda l’art. 8 del decreto in commento.

[6] In particolare, è prescritto all’art. 9 del decreto che i sistemi di conservazione delle pubbliche amministrazioni e dei conservatori accreditati prevedano la materiale conservazione dei dati e delle copie di sicurezza sul territorio nazionale e garantiscano un accesso ai dati presso la sede del produttore (dunque delle stesse PA e degli stessi certificatori accreditati) e misure di sicurezza conformi a quelle stabilite nel decreto.

[7] Nello specifico, gli allegati al decreto constano di documenti relativi a: Glossario/Definizioni (allegato I), Formati (allegato II), Misure, Standard, Specifiche tecniche (allegato III), Specifiche tecniche del pacchetto di archiviazione (allegato IV), Metadati (allegato V).

[8] Recante le modalità per presentare la domanda di accreditamento da parte dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82 (in GU n. 32 del 8 dicembre 2012).

[9] Così definito nel Glossario in allegato al decreto in commento.

Your rating: Nessuno Average: 4.5 (17 votes)