Conservazione dei documenti digitali da parte dell’avvocato, tutte le regole | Agenda Digitale

L'approfondimento

Conservazione dei documenti digitali da parte dell’avvocato, tutte le regole

Con la digitalizzazione dei processi, gli studi legali devono gestire archivi cartacei ma anche informatici: è importante quindi conoscere le norme che regolano la corretta archiviazione e conservazione dei documenti giudiziari per garantirne la sicurezza

28 Ott 2020
Ione Ferranti

Studio legale Ferranti

Giustizia digitale

La dematerializzazione dei documenti e dei processi ha trasformato l’archivio dello studio legale, modificando il concetto di archiviazione e di conservazione da parte dell’avvocato. Oggi i documenti dei legali sono per la maggior parte informatici o digitali, l’archivio dell’avvocato è in parte digitale e in parte cartaceo. Di qui la necessità di stabilire come l’avvocato deve archiviare e conservare i documenti digitali, considerando altresì che una parte dell’attività professionale forense è stragiudiziale come la contrattualistica.

Documento informatico, firma elettronica e firma digitale

Il documento informatico è disciplinato dal d.lgs n. 82/2005 e successive modificazioni (recante il Codice dell’amministrazione digitale; “CAD”). La lett. p) dell’art. 1 CAD definisce il documento informatico come “il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. La normativa nazionale va integrata e coordinata con la legislazione dell’Unione europea. In particolare, l’art. 3 n. 35) Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE definisce documento elettronico “qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva”. L’art. 20 comma 1 bis del CAD (rubricato Validità ed efficacia probatoria dei documenti informatici) stabilisce che il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’art. 2702 c.c. allorché “vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore”, attraverso un processo avente i requisiti fissati dall’Agenzia per l’Italia digitale (“AgID”), ai sensi dell’art. 71 con “modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.”

L’art. 2 comma 3 CAD prevede che le disposizioni dello stesso Codice e le relative Linee guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli artt. 43 e 44, il domicilio digitale e le comunicazioni elettroniche di cui all’art. 3 bis e al Capo IV, l’identità digitale di cui agli artt. 3 bis e 64 “si applicano anche ai privati, ove non diversamente previsto”. Ai sensi della lett. s) art. 1 CAD firma digitale è “un particolare tipo di firma qualificata basata su un su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Il comma 1 ter dell’art. 20 CAD dispone che l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria.

Il comma 1 quater dell’art. 20 CAD fa salve le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa, anche regolamentare, in materia di processo telematico. Il comma 3 dell’art. 20 CAD stabilisce che le “regole tecniche per la formazione, per la trasmissione, la conservazione, la copia, la duplicazione, la riproduzione e la validazione dei documenti informatici, nonché quelle in materia di generazione, apposizione e verifica di qualsiasi tipo di firma elettronica, sono stabilite con le Linee guida.” Il comma 4 dell’art. 20 CAD dispone che con le medesime regole tecniche sono definite le misure tecniche, organizzative e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico. L’art. 24 comma 4 bis CAD stabilisce che “l’apposizione a un documento informatico di una firma digitale o di altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia annullato. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate”. Infine, il comma 1 dell’art. 32 (rubricato Obblighi del titolare di firma elettronica qualificata e del prestatore di servizi di firma elettronica qualificata) stabilisce che “Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma o degli strumenti di autenticazione informatica per l’utilizzo del dispositivo di firma da remoto, e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma.”

Come già accennato, la normativa nazionale va coordinata con la normativa UE. L’art. 25 Reg. eIDAS disciplina gli effetti giuridici delle firme elettroniche, stabilendo che a una firma elettronica “non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate” (cfr. comma 1). Viene precisato che una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa (comma 2).

Documenti processuali digitali

Il successivo comma 6 del medesimo art. 2 CAD dispone, fra l’altro, che le disposizioni del codice medesimo si applicano “al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico”. Nei processi telematici il regime dei formati di atti e documenti processuali è stabilito da una regolamentazione specifica dettata per ogni processo da specifiche tecniche. I processi telematici – civile (“p.c.t.”), penale, amministrativo (“p.a.t.”), tributario (“p.t.t.”) e contabile attingono non solo a fonti normative diverse ma anche a diverse regole e specifiche tecniche. Conseguentemente, gli avvocati (come gli altri protagonisti dei processi telematici) si trovano a operare con modalità completamente diverse secondo il tipo di processo telematico. Sinteticamente, per quanto di interesse nei processi telematici abbiamo:

  • diverse modalità con le quali deve essere fatto il documento informatico;
  • diversi metodi con i quali devono essere sottoscritti digitalmente gli atti;
  • diverse regole secondo le quali deve essere depositato il documento informatico;
  • diverse norme che disciplinano il perfezionamento del deposito telematico.

Per quanto concerne il formato dell’atto, per esempio, nel p.t.t., le regole e specifiche tecniche prevedono che il formato dell’atto debba essere del tipo:

  • pdf/A-1a o pdf/A-1b: l’atto non solo dovrà essere redatto (come avviene nel p.c.t. e nel p.a.t.) con software di video scrittura e, successivamente, trasformato in pdf “nativo” (non essendo ammessa la copia per immagine) ma dovrà essere realizzato attraverso un procedimento a seguito del quale il file ottenuto sia di tipologia pdf/A-1a o pdf/A-1b e non di semplice estensione pdf (come, invece, previsto dalle regole e specifiche tecniche del p.c.t. e del p.a.t.);
  • sottoscritto con firma CADES BES: nel p.t.t. l’unica modalità di sottoscrizione digitale ammessa è quella CADES BES. Nel p.c.t. è possibile sottoscrivere digitalmente l’atto sia con la modalità CADES che con quella PADES; nel p.a.t. è prevista la sola sottoscrizione digitale in modalità PADES;
  • la dimensione massima, per ogni singolo documento informatico (file) deve essere inferiore o pari a 10 MB. Qualora tale dimensione venga superata, è necessario che il documento sia suddiviso in più file sempre nel rispetto del limite dei 10 MB mentre il numero massimo di documenti informatici che possono essere trasmessi con un singolo invio telematico è pari a cinquanta e la dimensione massima consentita per l’insieme dei documenti informatici trasmessi con un singolo invio telematico è pari a 50 MB (standard relativo alle dimensioni dei file determinato, da ultimo, dal decreto del Direttore generale MEF 28.11.2017). Nel p.c.t. non vi sono limitazioni relative ai singoli file ma al loro insieme posto che la “busta telematica” non può avere un peso superiore ai 30 MB. Nel p.a.t. non è possibile allegare file superiore a 10 MB e, nel complesso, tutto il deposito non può superare i 30 MB e, ove il peso complessivo sia superiore, l’invio non potrà essere effettuato tramite PEC ma solo tramite upload a condizione che il complessivo peso non superi i 50 MB;
  • divieto di trasmettere i file del ricorso/appello e dei documenti allegati nei formati compressi (quali per esempio file.zip, file.rar, ecc.), in quanto le regole e specifiche tecniche del p.t.t. non consentono l’utilizzo di tali tipologie di file. Nel p.c.t. e nel p.a.t. è possibile utilizzare i formati compressi.

Per quanto riguarda il formato del documento, per l’invio di ogni singolo documento informatico, la dimensione massima consentita per ogni file è di 10 MB. Qualora il documento/atto sia superiore alla dimensione massima è necessario suddividerlo in più file (max 50). Il nome del file è libero, ma è consigliabile non superare la lunghezza massima di 100 caratteri. È inoltre opportuno, al fine di evitare caricamenti troppo onerosi, che la dimensione complessiva dei file depositati mediante ciascun upload non superi i 50 MB. Nel p.t.t., conformemente alla disposizione dell’articolo 10 comma 1 lett. d) e comma 2 lett. c) del decreto Direttore generale MEF 4.8.2015, i documenti devono essere sottoscritti digitalmente dal difensore. Come già accennato, le modalità di deposito telematico sono diverse nei diversi processi telematici. Nel p.c.t. l’avvocato deve avvalersi del c.d. redattore atti o imbustatore un software che consente di effettuare i depositi dei singoli file (atti e/o documenti) nel rispetto delle vigenti regole e specifiche tecniche. Nel p.a.t. l’avvocato deve essere utilizzato un modulo pdf fornito dalla giustizia amministrativa nel quale dovranno essere incorporati (allegati) atti e documenti mentre. Nel p.t.t. è necessario utilizzare la piattaforma del SIGIT attraverso la quale, con un sistema di upload, verranno allegati prima e spediti poi, atti e documenti. Sia nel p.c.t. che nel p.a.t. la “busta” e il “modulo” contenente atti e documenti raggiungono le cancellerie di destinazione attraverso la p.e.c. sotto forma di allegati.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

Deriva che l’avvocato produce, deposita e conserva una molteplicità di atti processuali digitali, con caratteristiche tecniche diverse secondo il tipo di processo telematico. L’adozione di un sistema di conservazione unico si pone a garanzia della validità dei documenti informatici che egli sottoscrive con firma digitale. Alcuni degli atti processuali degli avvocati vengono inseriti all’interno di una Pec, la quale costituisce riferimento temporale opponibile ai terzi ed è pertanto in grado di perpetuare la validità del certificato di firma. Il comma 3 dell’art. 20 d.m. n. 44/2011 stabilisce che “il soggetto abilitato esterno è tenuto a conservare, con ogni mezzo idoneo, le ricevute di avvenuta consegna dei messaggi trasmessi al dominio giustizia”.

Archiviazione e conservazione fra segreto professionale e GDPR

Il comma 1 dell’art. 33 del Codice deontologico forense prevede, fra l’altro, che “l’avvocato, se richiesto, deve restituire senza ritardo gli atti e i documenti ricevuti dal cliente e dalla parte assistita per l’espletamento dell’incarico e consegnare loro copia di tutti gli atti e documenti, anche provenienti da terzi, concernenti l’oggetto del mandato e l’esecuzione dello stesso sia in sede stragiudiziale che giudiziale”. Di qui la necessità di conservare i documenti. La suddetta norma va coordinata con l’art. 2961 c.c. (rubricato Restituzione di documenti), a norma del quale “I cancellieri, gli arbitri, gli avvocati, i procuratori e i patrocinatori legali sono esonerati dal rendere conto degli incartamenti relativi alle liti dopo tre anni da che queste sono state decise o sono altrimenti terminate”. Pertanto, dopo tre anni dalla definizione della lite cessa l’obbligo per l’avvocato di rendere conto degli incartamenti relativi alle questioni. Le esigenze di conservazione e archiviazione dei documenti digitali che compongono l’archivio digitale dell’avvocato devono essere contemperate con il segreto professionale. In altri termini, il segreto professionale al quale è obbligato il legale impone l’adozione di particolari cautele:

  • al fine di garantire la sicurezza dell’archivio digitale, onde scongiurare accessi non autorizzati allo stesso;
  • al fine di assicurare tale segretezza nel caso in cui l’archivio digitale sia affidato a soggetti specializzati esterni allo studio professionale.

Inoltre, ai sensi dell’art. 20 d.lgs n. 101/2018, alla fine del 2018, il Garante italiano ha emanato le “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria” (“Regole deontologiche”; cfr. Delibera n. 512/2018 pubbl. in G.U. n. 12 del 15.1.2019).  L’armonizzazione fra la protezione dei dati personali accordata dal GDPR – nonché dalla normativa nazionale di adeguamento – e la tutela del segreto professionale dell’avvocato è affidata a tali Regole deontologiche. Queste ultime “devono essere rispettate nel trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione” (art. 1, co. 1). Per quanto di interesse, tali regole devono essere rispettate da parte di:

  • avvocati o praticanti avvocati iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi, i quali esercitino l’attività in forma individuale, associata o societaria svolgendo, anche su mandato, un’attività in sede giurisdizionale o di consulenza o di assistenza stragiudiziale, anche avvalendosi di collaboratori, dipendenti o ausiliari, nonché da avvocati stranieri esercenti legalmente la professione sul territorio dello Stato” [cfr. art. 1 co. 1 lett. a) Regole deont.];
  • “soggetti che, sulla base di uno specifico incarico anche da parte di un difensore, svolgano in conformità alla legge attività di investigazione privata (art. 134 r.d. n. 773/1931; art. 222 norme coord. c.p.p.)” [cfr. art. 1 co. 1 lett. a) Regole deont.].

Il comma 4 prevede che specifica attenzione è prestata all’adozione di idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati, fra l’altro, in caso di “custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati altrove” e di “conservazione di atti relativi ad affari definiti”. Ai fini del nostro discorso è di interesse l’art. 4 co. 1 Reg. deont. (rubricato Conservazione e cancellazione dei dati), il quale stabilisce, fra l’altro, che, salvo quanto previsto dall’art. 5, par. 1, lett. e) GDPR, “la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un’automatica dismissione dei dati. Una volta estinto il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all’oggetto della difesa o delle investigazioni difensive possono essere conservati, in originale o in copia e anche in formato elettronico, qualora risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento, ferma restando la loro utilizzazione in forma anonima per finalità scientifiche. La valutazione è effettuata tenendo conto della tipologia dei dati. Se è prevista una conservazione per adempiere a un obbligo normativo, anche in materia fiscale e di contrasto della criminalità, sono custoditi i soli dati personali effettivamente necessari per adempiere al medesimo obbligo.”

Il co. 2 dell’art. 4 Reg. deont. stabilisce che, salvo quanto previsto dal codice deontologico forense in ordine alla restituzione al cliente dell’originale degli atti da questi ricevuti, e salvo quanto diversamente stabilito dalla legge, “è consentito, previa comunicazione alla parte assistita, distruggere, cancellare o consegnare all’avente diritto o ai suoi eredi o aventi causa la documentazione integrale dei fascicoli degli affari trattati e le relative copie.”

Conclusioni

Le Linee guida sulla formazione, gestione e conservazione dei documenti informatici pubblicate sul sito istituzionale di AGID il 18.9.2020, non ancora in vigore, hanno lo scopo, fra l’altro, di aggiornare le attuali regole tecniche in base all’art. 71 CAD, concernenti la formazione, protocollazione, gestione e conservazione dei documenti informatici. Le stesse si applicano a tutti i soggetti individuati dall’art. 2 commi 2 e 3 CAD e, quindi, anche agli avvocati, compatibilmente con la normativa specifica in materia di processi telematici.

Si tratta di una occasione mancata per dettare una normativa specifica e organica in materia di giustizia digitale, di processi telematici e di archivi digitali nel settore della giustizia. Peraltro, si tratta di una riforma auspicata da tempo. Al momento, è necessario che il legale predisponga la conservazione di quanto riprodotto sotto forma di documento informatico sottoscritto digitalmente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3