Articolo

Circolare AgID 65/2014: ecco le figure professionali necessarie per i Conservatori delle PA

Un recente documento dell'AgID stabilisce chiaramente la formazione e le esperienze minime, le attività associate al ruolo, nonché la tipologia di rapporto contrattuale richiesti per il Responsabile della conservazione e per il Responsabile del trattamento dei dati personali. Non così chiare invece le indicazioni sui profili di altre figure individuate dal CAD e dalla normativa successiva. Nell'ambito della collaborazione con lo Studio Legale Lisi presentiamo un articolo di approfondimento di Graziano Garrisi e Sarah Ungaro.

È ormai noto quali siano le figure professionali previste dalla legge per gestire i processi digitali nelle PA e nelle aziende: tra queste, il Responsabile della conservazione e il Responsabile del trattamento dei dati personali sono i professionisti che all’interno dell’organizzazione di riferimento devono sovraintendere e coordinare i flussi di dati e documenti digitali dalla loro formazione o acquisizione alle relative modalità di accesso e condivisione, sino alla conservazione a norma.

Già il Codice dell’amministrazione digitale (D.Lgs. 82/2005), all’art. 44, comma 1-bis, stabilisce che il sistema di conservazione dei documenti informatici sia gestito da un Responsabile della conservazione il quale deve operare d’intesa con il Responsabile del trattamento dei dati personali (di cui all'articolo 29 del D.Lgs. 30 giugno 2003, n. 196), e, nelle PA, con il Responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi (di cui all’articolo 61 del DPR 28 dicembre 2000, n. 445).

In base all’art. 44, comma 1-ter, la conservazione digitale dei documenti può essere realizzata dal Responsabile della conservazione all'interno della struttura organizzativa dell’ente oppure affidata a un soggetto esterno, il Conservatore, mediante contratto o convenzione di servizio, che preveda l'obbligo del rispetto del Manuale della conservazione predisposto dallo stesso Responsabile.

Tuttavia, con specifico riferimento alle PA, le nuove Regole tecniche sui sistemi di conservazione impongono un fondamentale requisito ulteriore per i Conservatori che intendano fornire i loro servizi alle pubbliche amministrazioni: in effetti, il terzo comma dell'art. 5 del DPCM 3 dicembre 2013 dispone che le PA possano realizzare i processi di conservazione solo all’interno della propria struttura organizzativa oppure affidandoli a Conservatori accreditatisi presso l’Agenzia per l'Italia digitale, ossia ai soggetti - pubblici o privati - che offrano le maggiori garanzie organizzative e tecnologiche, così come previsto dall’articolo 44-bis, comma 1, del CAD.

Tutti i Conservatori, dunque, che intendessero fornire i loro servizi alle PA (e a tutte le aziende private che volessero usufruire delle maggiori garanzie organizzative e tecnologiche offerte dai Conservatori accreditati) devono procedere alla richiesta per ottenere il riconoscimento di “Conservatore accreditato” presso AgID[1], osservando quanto prescritto sia dalle nuove Regole tecniche (DPCM 3 dicembre 2013), sia dalla Circolare AgID n. 65 del 10 aprile 2014[2], che definisce le modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici, di cui all’art. 44-bis del D.Lgs n. 82/2005 (Codice dell’Amministrazione digitale).

Proprio in relazione alla recentissima Circolare 65/2014, è stato pubblicato un documento dedicato ai profili professionali[3] che devono essere presenti nella struttura organizzativa del Conservatore che intenda conseguire l’accreditamento presso AgID. In tale documento, in particolare, si stabilisce la formazione e le esperienze minime, le attività associate al ruolo, nonché la tipologia di rapporto contrattuale richiesti per il Responsabile della conservazione e per il Responsabile del trattamento dei dati personali. Sul punto, occorre precisare che il documento in questione prevede, oltre a quelle appena richiamate, anche le figure professionali del Responsabile della funzione archivistica di conservazione, del responsabile della sicurezza dei sistemi per la conservazione, del Responsabile dei sistemi informativi per la conservazione e del Responsabile dello sviluppo e della manutenzione del sistema di conservazione: tali ruoli - come espressamente previsto dal documento - possono essere ricoperti da una sola persona; è ovvio, però, che quest’ultima soluzione dovrà essere sempre oggetto di un’attenta valutazione e di una precisa e corretta scelta organizzativa da effettuarsi a monte.

Con specifico riferimento alla protezione dei dati personali, è importante sottolineare che, tra le figure professionali obbligatorie per i Conservatori accreditati, nel documento allegato alla Circolare 65/2014 non è richiamato il c.d. privacy officer, ossia una figura di cui non vi è traccia nella normativa vigente, ma che oggi è purtroppo oggetto di speculazione[4]. In effetti, basandosi sul dato normativo, l’unica figura professionale che il nostro ordinamento prevede espressamente come preposta al trattamento dei dati personali e che svolge una funzione prevalentemente organizzativa e metodologica, pur applicando la normativa, è il Responsabile del trattamento, di cui all’art. 29 del D.Lgs. 196/2003. Si ritiene, infatti, che il ruolo e i compiti del Responsabile del trattamento - se opportunamente disegnati per le specifiche esigenze della struttura organizzativa del titolare del trattamento - ben potrebbero comprendere tutti i compiti del "privacy officer" che prima o poi (forse) si diffonderà ufficialmente in Europa grazie all’opera uniformatrice del Regolamento europeo, che si trova ad oggi in una fase di stallo presso i palazzi della Commissione e del Parlamento europeo.

Occorre quindi fare le dovute distinzioni tra la figura professionale del Responsabile del trattamento, valorizzata sia nel Codice dell’amministrazione digitale sia nella citata Circolare AgID, e quella del privacy officer, anche in relazione ai vari percorsi formativi tendenti a fornire delle nozioni in ambito privacy, ma che non possono certificare o riconoscere una figura come quella del privacy officer che attualmente non trova spazio nelle norme vigenti.

Anche dalle norme più recenti, infatti, emerge in maniera ancora più incisiva che un sistema di conservazione - così complesso, delicato ed essenziale per tutelare il patrimonio documentale di una PA e di un’impresa - non può essere affidato a chiunque, ma ha bisogno di essere gestito internamente attraverso specifiche figure professionali o di essere, invece, affidato in outsourcing a soggetti che siano davvero in grado di garantire la correttezza di tali processi. In questi sistemi, quindi, oltre al Responsabile della conservazione risulta strategico anche il ruolo del Responsabile del trattamento dei dati personali, entrambe figure professionali specifiche che oggi possono essere valorizzate e tutelate grazie alla legge n. 4/2013 e che - a differenza di altre ancora incerte figure per le quali pure esistono vari corsi o certificazioni - sono soggette per espressa previsione di legge ad obblighi di aggiornamento, analogamente agli iscritti a qualsiasi Albo professionale.

* avv.ti Graziano Garrisi e Sarah Ungaro – Digital&Law Department www.studiolegalelisi.it

 


[1] Qualora avessero già presentato domanda di accreditamento in vigenza delle precedenti Regole tecniche (di cui alla Deliberazione CNIPA n. 11/2004) e della Circolare di DigitPA n. 59/2011, i Conservatori dovranno provvedere a integrare la documentazione eventualmente già presentata con gli ulteriori requisiti imposti dalle disposizioni del DPCM 3 dicembre 2013 e dai suoi allegati, nonché con quelli previsti dalla Circolare AgID n. 65 del 10 aprile 2014 e dai Documenti dalla stessa richiamati.

[2] La nuova Circolare AgID n. 65/2014 è disponibile sul sito dell’Agenzia per l’Italia digitale all’indirizzo http://www.agid.gov.it/sites/default/files/circolari/circolare_accreditamento_conservatori_n_65_10-04-2014.pdf

[3] Disponibile sul sito dell’AgID all’indirizzo

http://www.agid.gov.it/sites/default/files/documentazione/profili_professionali_per_la_conservazione.pdf

[4] Riguardo, poi, alle varie proposte avanzate in quest’ultimo periodo tendenti all’introduzione anticipata nel nostro ordinamento della figura del “Privacy Officer”, si ritiene più opportuno un intervento legislativo che miri piuttosto a rendere il Responsabile del trattamento una figura più ampia e obbligatoria (in termini anche di compiti da assolvere in favore del Titolare, applicando i concetti o occupandosi della privacy by design e by default dell’organizzazione in cui opera, il cui rispetto deve essere garantito all’interno del contesto organizzativo del Titolare), e questo tanto per le PA quanto per le imprese che si trovino a trattare particolari tipologie di dati che presentino rischi specifici per la riservatezza e sicurezza in capo agli interessati, piuttosto che regolamentare o, peggio, certificare (come tentano di fare in molti) figure professionali che ad oggi non esistono. Visti i tempi ancora prematuri, in effetti, occorre prestare attenzione ed evitare di cadere nell’errore di affiancare al Responsabile del trattamento anche un’altra figura – ovvero quella del privacy officer - andando di fatto contro tendenza rispetto a quello che è sempre stato lo spirito del regolamento comunitario.

Your rating: Nessuno Average: 4.1 (9 votes)