Conservazione dei documenti, ecco tutte le regole nelle linee guida Agid | Agenda Digitale

La guida

Conservazione dei documenti, ecco tutte le regole nelle linee guida Agid

Agid ha reso pubbliche le attesissime linee guida sulla gestione e conservazione dei documenti informatici, documento che dota l’Italia di un corpus unico di regole in sostituzione delle norme precedenti. Vediamo cosa cambia

15 Set 2020
Luigi Foglia

avvocato - Consulente Studio Legale Lisi e Segretario Generale di ANORC

Andrea Lisi

Coordinatore Studio Legale Lisi e Presidente ANORC Professioni


Non senza qualche grattacapo, finalmente l’Italia si dota di un corpus unico di regole sul documento informatico. Infatti, AgID (Agenzia Italia Digitale) ha reso pubbliche le tanto attese “Linee guida sulla formazione, gestione e conservazione dei documenti informatici”. Pur se esistono forti dubbi, come si vedrà, sulla correttezza della loro pubblicazione[1] e quindi sulla data precisa di reale entrata in vigore, si può prevedere che dovrebbero divenire pienamente operative entro giugno 2021. Per allora dovranno essere adottate da tutte le PA italiane e dai soggetti privati che trattano documenti informatici. Le nuove linee guida sostituiscono l’apparato dei tre DPCM valido da quasi un decennio[2].

I problemi di pubblicazione

Considerando la normativa di riferimento, l’art 71 del CAD prevede che “L’AgID, previa consultazione pubblica da svolgersi entro il termine di trenta giorni, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonché acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l’attuazione del presente Codice. Le Linee guida divengono efficaci dopo la loro pubblicazione nell’apposita area del sito Internet istituzionale dell’AgID e di essa ne è data notizia nella Gazzetta Ufficiale della Repubblica italiana”. Probabilmente la norma poteva essere scritta meglio non essendo per nulla scontato quale sia l’effettivo momento di pubblicazione e quale sia l’apposita area del sito Istituzionale di AgID destinata a tale scopo.

Fatto sta che ad oggi le Linee guida risultano approvate con Determinazione del 9/9/2020 e pubblicate l’11/9/2020 nella sezione Trasparenza (D.Lgs 33/2013) del sito di AgID, mentre non sono presenti nella sezione “Linee Guida” dello stesso sito. La pubblicazione in GURI non è ancora avvenuta e sembra lecito chiedersi come mai un documento destinato ad avere forza di legge ed efficacia erga omnes (così si legge nelle premesse alle stesse Linee guida) possa non seguire le regole previste per la pubblicazione e l’entrata in vigore degli atti normativi.

Le più rilevanti novità per la conservazione

Tralasciando alcune osservazioni prettamente giuridiche (legate principalmente alle modifiche al CAD intervenute con D.Lgs 217/2017 e con il successivo DL 76/2020) possiamo comunque affermare che, in tema di conservazione, le Linee guida di AgID intervengono aggiornando, migliorando e chiarendo numerosi aspetti della gestione documentale e della conservazione sia per le PA italiane che per i privati[3]. Viene innanzitutto confermata la natura del sistema di conservazione quale insieme di regole, procedure e tecnologie strutturate in modo tale da garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità ai documenti informatici singoli o organizzati all’interno di fascicoli, serie o interi archivi.

Si ribadisce, quindi, che il sistema di conservazione non deve limitarsi a conservare documenti singoli, ma ove utile e/o necessario, deve provvedere a conservare anche aggregazioni documentali unitamente ai loro metadati e ai loro vincoli archivistici (eventualmente espressi negli stessi metadati o anche nell’indice dei pacchetti di archiviazione). Interessante, soprattutto per i non rari casi di migrazione ad altro conservatore, il riferimento non più solo ai fascicoli (correttamente integrato con le serie documentali), ma anche ad interi archivi.

I modelli organizzativi per la conservazione

Per quanto riguarda i modelli organizzativi, la conservazione potrà ancora essere realizzata all’interno o all’esterno della struttura organizzativa titolare degli oggetti da conservare. L’importante, sottolineano le Linee Guida, è che “i requisiti del processo di conservazione, le responsabilità e i compiti del responsabile della conservazione e del responsabile del servizio di conservazione, e le loro modalità di interazione sono formalizzate nel manuale di conservazione del Titolare dell’oggetto della conservazione e nelle specifiche del contratto di servizio o dell’accordo. Tali modalità trovano riscontro anche nel manuale di conservazione del conservatore”. Nulla di diverso da quanto si sarebbe dovuto fare fino ad oggi con le Regole di cui al DPCM 3 dicembre 2013. La formulazione risulta finalmente in maniera chiara e lineare (e si utilizzano termini corretti… cosa purtroppo non sempre scontata in passato!).

Nel caso in cui poi sia una PA a voler affidare all’esterno la realizzazione di un servizio di conservazione, l’affidamento dovrà essere effettuato, secondo quanto previsto dal nuovo art. 34, comma 1 bis lett. b) del CAD (così come modificato con DL 76/2020) ad altri soggetti, pubblici o privati che possiedano i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida in commento, nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici che sarà emanato da AgID, avuto riguardo all’esigenza di assicurare la conformità agli originali, nonché la qualità e la sicurezza del sistema di conservazione.

A tal proposito le Linee Guida richiedono, “al fine di garantire l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità dei documenti” che i fornitori di servizi di conservazione soddisfino requisiti di elevato livello in termini di qualità e sicurezza in aderenza allo standard ISO/IEC 27001 (Information security management systems – Requirements) del sistema di gestione della sicurezza delle informazioni nel dominio logico, fisico e organizzativo nel quale viene realizzato il processo di conservazione e ISO 14721 OAIS (Open Archival Information System – Sistema informativo aperto per l’archiviazione), e alle raccomandazioni ETSI TS 101 533-1 v. 1.2.1 (Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni). In attesa, però, che AgID pubblichi il regolamento sui criteri per la fornitura dei servizi di conservazione, si dovranno continuare ad applicare le norme relative all’accreditamento, per come le conosciamo, pur consapevoli che con la conversione in Legge del DL 76/2020, la procedura finora adottata, sparirà. Ma di questo ne parleremo più avanti.

I ruoli nella conservazione

Anche per quanto riguarda i ruoli individuati nel processo di conservazione non cambia realmente nulla, ma viene fatta finalmente chiarezza nei ruoli e nei rapporti tra Titolare dell’oggetto della conservazione, Responsabile della conservazione e conservatore nei casi di affidamento all’esterno della conservazione. Le Linee guida, infatti, chiariscono che, nel caso di affidamento a terzi, “il produttore di PdV provvede a generare e trasmettere al sistema di conservazione i pacchetti di versamento nelle modalità e con i formati concordati con il conservatore e descritti nel manuale di conservazione del sistema di conservazione. Provvede inoltre a verificare il buon esito della operazione di trasferimento al sistema di conservazione tramite la presa visione del rapporto di versamento prodotto dal sistema di conservazione stesso”.

Viene, inoltre, ribadito che per le PA il Responsabile della conservazione debba essere interno (è un ruolo previsto dall’organigramma del Titolare dell’oggetto di conservazione) anche nel caso di affidamento della conservazione all’esterno, mentre per i privati viene riconosciuta esplicitamente la possibilità di individuare un Responsabile della conservazione esterno, a patto che possegga idonee competenze giuridiche, informatiche ed archivistiche e purché sia terzo rispetto al Conservatore al fine di garantire la funzione di verifica del Titolare dell’oggetto di conservazione rispetto al sistema di conservazione. Pur esternalizzando le attività proprie della conservazione, il Titolare del patrimonio documentale da conservare resta comunque “responsabile” per la cosiddetta culpa in eligendo e culpa in vigilando.

Venendo alle attività proprie del Responsabile della conservazione, queste, seppur con qualche aggiustamento, ripercorrono quanto già previsto dall’art. 7 del DPCM 3 dicembre 2013. Viene ribadita la possibilità di delegare singole attività all’interno della propria struttura e, in caso di affidamento all’esterno del servizio di conservazione, le stesse potranno essere affidate al responsabile del servizio di conservazione (ruolo interno al Conservatore): unica attività non delegabile resta quella della redazione del Manuale della conservazione che ogni Titolare, per il tramite del Responsabile nominato, deve redigere in proprio.

WHITEPAPER
Data warehouse nel cloud: 6 considerazioni per un passaggio efficace
Big Data
Cloud

Viene inoltre correttamente ricordato che la responsabilità giuridica generale sui processi di conservazione, non essendo delegabile, rimane in capo al Responsabile della conservazione. È per questo che il nominativo ed i riferimenti di quest’ultimo devono essere indicati nelle specifiche del contratto o della convenzione di servizio con il conservatore nel quale sono anche riportate le attività affidate al Responsabile del servizio di conservazione.

Il manuale della conservazione

Il manuale della conservazione resta un documento obbligatorio da redigere sotto forma di documento informatico. Il suo contenuto minimo appare pressoché invariato rispetto all’art. 8 del DPCM 3 dicembre 2013, ma si chiariscono alcuni passaggi formali spesso disattesi dalle PA. Si stabilisce (ma sarebbe più corretto dire “si ricorda”) alle PA che il Manuale va adottato con provvedimento formale e pubblicato sul proprio sito istituzionale. La pubblicazione è realizzata in una parte chiaramente identificabile dell’area “Amministrazione trasparente” prevista dall’art. 9 del d.lgs. 33/2013. Viene anche utilmente specificato che in caso di affidamento del servizio di conservazione a un fornitore esterno (conservatore), le Pubbliche Amministrazioni possono descrivere nel proprio manuale anche le specifiche attività del processo affidate al conservatore, in conformità con il contenuto del manuale predisposto da quest’ultimo, o rinviare, per le parti di competenza, al manuale del conservatore esterno.

Infine, si fa presente alle PA che resta fermo l’obbligo di individuare (all’interno o in allegato al proprio manuale di Gestione documentale) e pubblicare i tempi di versamento, le tipologie documentali trattate, i metadati, le modalità di trasmissione dei PdV e le tempistiche di selezione e scarto dei propri documenti informatici.

L’introduzione del sigillo elettronico

Le Linee Guida descrivono un processo di conservazione sostanzialmente identico a quello previsto dall’art. 9 del DPCM 3 dicembre 2013 e, quindi, ancora aderente a quanto previsto dallo standard ISO 14721- OAIS. Restando in tema di standard, appare come una parziale novità il richiamo diretto allo standard Uni 11386 -SinCRO, pur se nella sua versione non aggiornata. Tra le altre novità è doveroso però sottolineare una migliore definizione della fase di rifiuto del pacchetto di versamento, che, specialmente in caso di affidamento all’esterno del servizio di conservazione, risulta essere particolarmente delicata e la possibilità di poter sottoscrivere il pacchetto di archiviazione (PdA) anche con il sigillo elettronico qualificato (o anche avanzato) che affiancano la firma digitale o qualificata. A dire il vero, il testo del punto f) del par. 4.7 delle Linee guida appare non proprio lineare in quanto la sottoscrizione del PdA dovrebbe avvenire, si legge: con firma digitale o firma elettronica qualificata o avanzata del responsabile della conservazione o dal responsabile del servizio di conservazione con il sigillo elettronico qualificato o avanzato del titolare dell’oggetto di conservazione o del conservatore. Se l’interpretazione è corretta, quindi, la sottoscrizione con firma elettronica (avanzata, qualificata o digitale) potrà avvenire solo da parte del Responsabile della conservazione; in alternativa, il Responsabile del servizio, potrà apporre il sigillo elettronico del Conservatore o del Titolare dell’oggetto da conservare (che però dovrebbe affidare il proprio sigillo a una persona esterna alla propria organizzazione, e sembra quest’ultima essere interpretazione non allineata con lo spirito della normativa europea attualmente in vigore[4]).

Altra interessante novità è l’obbligo (non previsto dalle precedenti regole tecniche) di firmare digitalmente o sigillare elettronicamente i pacchetti di distribuzione rilasciati su richiesta degli utenti. Sempre nell’ottica di chiarire i rapporti tra Titolare dell’oggetto da conservare e conservatore esterno, viene richiesto alle parti di concordare le modalità di realizzazione del servizio di conservazione e riportarne la fedele descrizione sia nel Manuale della conservazione sia nel manuale del conservatore.

La sicurezza

Il paragrafo 4.8 delle Linee Guida, differente nel contenuto da quanto condiviso da AgID ai fini della consultazione pubblica dello scorso novembre 2019, è risultato essere uno dei più discussi in Commissione europea per i limiti alla libera circolazione dei dati all’interno dell’UE che il testo iniziale poneva. Il testo finale pubblicato da AgID, presumibilmente concordato con la stessa Commissione europea, sottolinea l’obbligo, in capo al fornitore del servizio di conservazione, di conservare e rendere disponibili le descrizioni del sistema all’interno del territorio nazionale e di garantire alle amministrazioni (si presume pubbliche) l’accesso elettronico effettivo e tempestivo ai dati conservati, indipendentemente dallo Stato membro nel cui territorio i dati sono conservati.

Viene, poi, richiesta la qualificazione ai sensi della Circolare Agid n. 3 del 9 aprile 2018 qualora i servizi di conservazione siano erogati in modalità cloud. Tale richiesta, oltre a poter essere considerata in violazione della Direttiva 2000/31/UE (che vieta limiti alla libera circolazione dei servizi società dell’informazione provenienti da un altro Stato),[5] è anche concettualmente poco condivisibile in quanto al massimo potrebbero essere qualificati i singoli componenti del sistema, qualora acquisiti in modalità cloud, ma non un intero servizio di conservazione che risulta essere troppo complesso e comunque lontano dai modelli SaaS qualificabili[6].

Sempre in materia di infrastrutture, una particolare attenzione è posta alla sicurezza dei sistemi e al rispetto di quanto previsto in materia di trattamento dati personali dal GDPR. Fin dalla sua progettazione, il sistema di conservazione dovrà garantire by design e by default il rispetto delle norme poste a protezione dei dati personali e il rispetto dei principi di integrità e riservatezza dei dati conservati. Inoltre, accanto alle misure minime di sicurezza ICT richieste con Circolare AgID n. 2/2017 del 18 aprile 2017, si dovranno rispettare le ulteriori misure imposte dal Regolamento europeo citato. In tale ottica, il piano della sicurezza del sistema di gestione informatica dei documenti, dovrà contenere anche le opportune misure tecniche e organizzative per garantire al sistema di conservazione (soprattutto ove questo conservi dati particolari di cui agli artt. 9 e 10 del Regolamento) un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del Regolamento UE 679/2016. Dovranno essere previste apposite procedure per la gestione del data breach ed eventuali fornitori esterni dovranno correttamente essere istruiti ai sensi dell’art. 28 del Regolamento. L’allineamento (e il rinvio) al GDPR sembra, quindi, essere coerente e completo, pur nella sua opportuna e inevitabile astrattezza.

Selezione e scarto dei documenti informatici

L’ultimo paragrafo delle Linee guida dedicato ai sistemi di conservazione si occupa di una fase particolarmente delicata della gestione documentale ovvero quella della selezione e dello scarto dei documenti conservati, da effettuarsi nel rispetto della normativa sui Beni culturali. Le Linee guida chiariscono che, nel sistema di conservazione, la selezione e lo scarto dei pacchetti di archiviazione sono definiti dal Titolare dell’oggetto di conservazione e, nel caso delle Pubbliche Amministrazioni, dal piano di conservazione (da allegare al Manuale della gestione documentale).

Nel caso di affidamento esterno del servizio di conservazione le modalità operative sono concordate dal Titolare e dal conservatore. Si definisce poi una modalità precisa di interazione per realizzare lo scarto. Le Linee guida, infatti, prevedono che sia il Responsabile della conservazione (o, in caso di affidamento all’esterno, il Responsabile del servizio di conservazione) a generare un elenco dei pacchetti di archiviazione contenenti i documenti destinati allo scarto; sempre il Responsabile della conservazione, dopo aver verificato il rispetto dei termini temporali stabiliti dal piano di conservazione, comunica tale elenco al Responsabile o al Coordinatore della gestione documentale, ove nominato. Nel caso degli archivi pubblici e di quelli privati dichiarati di interesse storico particolarmente importante, l’autorizzazione è rilasciata ai sensi della normativa vigente in materia di Beni culturali.

Il Titolare dell’oggetto di conservazione, una volta ricevuta l’autorizzazione, procede alla distruzione dei pacchetti di archiviazione o provvede a trasmetterla al conservatore affinché provveda a compiere tale operazione. Lo scarto viene tracciato sul sistema mediante la produzione di metadati che descrivono le informazioni essenziali della procedura, inclusi gli estremi della richiesta di nulla osta e il conseguente provvedimento autorizzatorio. Al termine delle operazioni di distruzione dei pacchetti scartati, il Titolare notifica l’esito della procedura di scarto agli organi preposti alla tutela dei Beni culturali. Analoga procedura, nei confronti del Ministero dell’interno, è prevista per lo scarto di pacchetti contenenti documenti e/o dati di carattere riservato.

Che fine fa la conservazione accreditata

Come abbiamo anticipato, il DL 16 luglio 2020 numero 76 è intervenuto sulla conservatoria digitale con delle modifiche che, sostanzialmente, hanno fatto sparire dal CAD il termine “accreditamento” novellando gli articoli che lo menzionavano e, in particolare, il già citato art. 34 comma 1bis del CAD. Se, fino all’adozione del Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici si applicheranno ancora le vecchie regole e persisteranno i conservatori accreditati, nei prossimi mesisarà necessario valutare attentamente cosa accadrà in futuro.

Al momento sappiamo che le modifiche al CAD e alle Linee guida si sono rese necessarie a seguito dei commenti che la Commissione UE ha effettuato alla precedente bozza di testo e, in particolar modo, al suo richiamo all’accreditamento dei conservatori in quanto percepito come un’indebita limitazione alla libera circolazione dei dati sul territorio europeo (in violazione del Regolamento UE 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea ) e alla libera prestazione dei servizi da parte dei prestatori di altro stato membro (in violazione della Direttiva 2001/31/UE sul commercio elettronico). I commenti in sede europea sull’accreditamento dei conservatori italiani, però, non possono arrivare a elidere la necessità di mantenere rigidi ed elevati i requisiti organizzativi, di qualità e sicurezza per l’erogazione dei servizi di conservazione dei dati, delle informazioni e dei documenti digitali alle PA italiane, garantendo un controllo preventivo dei soggetti che erogano tali servizi[7].

Il risultato prodotto dall’accreditamento, condotto fin qui a cura di AgID, è stato quello di accertare che i conservatori fossero in grado di assicurare, prima di operare per conto delle PA, il pieno rispetto dei requisiti di qualità e sicurezza individuati al fine di garantire l’autenticità, l’integrità, l’immodificabilità, la leggibilità e l’agevole reperibilità nel tempo ai documenti conservati; inoltre, l’accreditamento ha, al contempo, fornito alle PPAA italiane un elenco di soggetti verificati e sottoposti a vigilanza periodica dal quale poter attingere per affidare la realizzazione di attività così delicate e critiche come quelle della conservazione del patrimonio informativo delle amministrazioni pubbliche italiane e permettere la loro successiva corretta conservazione storica permanente.

Si tenga conto che parliamo di documenti, dati e informazioni di rilevanza nazionale sulla base dei quali la PA si muove e opera e che sostanziano il rapporto della PA con i cittadini; documenti e dati che, se non correttamente conservati, possono produrre ingenti danni per il funzionamento e l’efficienza delle amministrazioni. Basti pensare alle gravissime conseguenze, legate alla perdita di un archivio di un qualsiasi ente pubblico italiano o al rischio rilevantissimo che tali informazioni possano essere “elaborate” in maniera massiva e aggregata fino al punto di poter consentire a chi ne dispone, di modificare e orientare lo stesso agire amministrativo dalle attività del piccolo ente locale, fino alle più rilevanti attività delle amministrazioni centrali. Mantenere un controllo precoce effettivo ed efficace su queste informazioni non può non essere considerata materia d’importanza nazionale, politica e strategica, strettamente legata alla sicurezza stessa di una nazione e, come detto, alla sua memoria e identità.

Non è ancora troppo tardi per porre rimedio, ad esempio, seguendo quanto prevede la Francia dove, facendo leva anche su ragioni di sicurezza nazionale, persiste un meccanismo di approvazione preventiva (procédures d’agrément – https://francearchives.fr/fr/section/24437377) dei sistemi di conservazione ai quali poter affidare la conservazione degli archivi pubblici.

_

Note

  1. Si veda anche Andrea Lisi – “Nuove Linee guida AgID: ma sono assicurati gli effetti di pubblicità legale?”
  2. Ossia il DPCM 13 novembre 2014 per la formazione del documento informatico e i DPCM del 3 dicembre 2013 relativi rispettivamente alla gestione del documento informatico e protocollo e ai sistemi di conservazione.
  3. Il tema della conservazione ha assunto ancor di più rilevanza strategica in seguito a quanto statuito recentemente dalla Corte di cassazione con la sentenza n. 3912 dell’11/02/2019. In particolare, in tale sentenza è stato affermato, fra le altre cose, che “il valore di prova legale del supporto informatico è subordinato al rispetto delle relative regole tecniche di produzione e conservazione (di cui al Dpcm 3 dicembre 2013), ed in difetto, l’idoneità del documento informatico a soddisfare il requisito della forma scritta ed il suo valore probatorio sono liberamente valutabili in giudizio”, richiamando i commi 1 e 1-bis dell’art. 20, D.Lgs. 82/2005 (Codice dell’Amministrazione Digitale – CAD), nel testo precedente alle modifiche apportate prima dal D.Lgs. 179/2016 e poi dal D.Lgs. 217/2017.
  4. Si fa ovviamente riferimento al Regolamento (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che ha abrogato la direttiva 1999/93/CE.
  5. Si veda articolo su AgendaDigitale.eu La certificazione del cloud PA è in conflitto con la normativa: ecco perché
  6. In proposito, si consiglia la lettura di Andrea lisi – “La conservazione dei documenti informatici non si fa in cloud o in blockchain” e di Luigi Foglia – “Conservazione accreditata Agid in cloud? Ma le norme vanno rifatte, ecco perché”.
  7. Sul tema, Anorc e altre associazioni interessate hanno inviato un accorato appello al Presidente Conte e ai ministeri Competenti.
WEBINAR
Hai un Mainframe aziendale? Ecco come dotarsi delle giuste competenze
Big Data
Cloud

@RIPRODUZIONE RISERVATA

Articolo 1 di 2