Il nostro ordinamento individua numerosissime situazioni in cui è previsto l’obbligo di conservare documenti riportanti atti, fatti o dati in quanto giuridicamente rilevanti: tale obbligo di conservazione dovrà essere assolto dal soggetto che ha prodotto il documento o da colui che, per legge, deve custodirlo. La conservazione, inoltre, ove non prevista da una legge o da un regolamento, può essere effettuata anche per ragioni di opportunità o per finalità probatorie.
Ovviamente, ciò vale anche per i documenti informatici, la cui corretta conservazione richiede però l’adozione di procedure metodologiche che non possono prescindere dall’attenzione alle caratteristiche peculiari delle soluzioni e dei formati informatici più idonei per assicurare quelle caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità, in linea con quanto previsto dalla nuova formulazione dell’art. 44 del Codice dell’Amministrazione digitale (D.Lgs. n. 82/2005, così come recentemente modificato dal D.Lgs. n. 217/2017), dedicato ai requisiti per la gestione e la conservazione dei documenti informatici.
Cos’è la conservazione elettronica
Diversamente dal contesto cartaceo, in ambiente digitale i criteri per una corretta conservazione documentale devono ovviamente essere basati non più sul tipo di supporto, ma sul presidio del contenuto. La conservazione elettronica dei documenti informatici, dunque, è un processo che si serve di soluzioni informatiche (opportunamente articolate per garantire anche il mantenimento del contesto archivistico di riferimento dei documenti) al fine di assicurare a lungo termine il mantenimento del valore giuridico, delle caratteristiche di integrità ed autenticità, ma anche l’accesso e la leggibilità ai documenti informatici oggetto di conservazione.
Come si fa la conservazione elettronica
Nello specifico, il processo di conservazione elettronica deve presidiare sia la cosiddetta bit preservation, cioè la capacità di preservare i bit come erano stati originariamente registrati, ma soprattutto la logical preservation, intesa come la possibilità di comprendere e utilizzare anche in futuro le informazioni contenute nel documento. In argomento, però, occorre precisare che il riferimento al “documento informatico”, ovviamente, non può essere inteso solo in riferimento a un .pdf o all’immagine digitale di un documento cartaceo acquisita con lo scanner, ma – in un’ottica dinamica, strutturata e multicanale – sono da considerare documenti informatici anche i flussi informativi di dati giuridicamente rilevanti, ovviamente opportunamente resi statici e immodificabili, anche attraverso sistemi di conservazione. In tal senso, anche l’art. 3 di eIDAS (Regolamento 910/2014/UE) definisce un documento elettronico come “qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva”.
Cos’è la conservazione sostitutiva
La normativa prevede anche la possibilità di procedere alla cosiddetta “conservazione sostitutiva”, assolvendo così agli obblighi di conservazione di documenti originariamente analogici mediante loro copie informatiche.
Le norme per la conservazione elettornica
Il Codice dell’Amministrazione Digitale (D. Lgs 82/2005) afferma chiaramente che gli obblighi di conservazione e di esibizione di documenti si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le relative procedure sono effettuate in modo tale da garantire la conformità ai documenti originali e sono conformi alle Linee guida (art. 43 D.Lgs 82/2005 così come modificato dal D.Lgs 217/2017).
Sempre il CAD stabilisce che il sistema di conservazione dei documenti informatici assicura, per quanto in esso conservato, caratteristiche di autenticità integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida (art. 44, comma 1-ter, D.Lgs 82/2005 così come modificato dal D.Lgs 217/2017).
Per espressa previsione del comma 10 dell’art. 65 del D.Lgs 217/2017, inoltre, fino all’emanazione di tali Linee guida, restano efficaci le Regole tecniche approvate con DPCM 3 dicembre 2013 (improntate sullo standard ISO 14721, relativo al modello OAIS).
Il responsabile della conservazione
Nello specifico, ogni sistema di conservazione deve essere gestito dal Responsabile della conservazione, che può scegliere se effettuare la conservazione all’interno della struttura organizzativa del soggetto Titolare o “affidandola, in modo totale o parziale, ad altri soggetti pubblici o privati” (Conservatori) che, sulla scorta dell’art. 5 delle Regole tecniche, di cui al DPCM 3 dicembre 2013, offrano idonee garanzie organizzative e tecnologiche, anche accreditati come conservatori presso l’Agenzia per l’Italia digitale[2].
Per l’eventuale procedura di accreditamento dei conservatori, occorre fare riferimento all’art. 29 del CAD, modificato dal D.Lgs. n. 217/2017, il quale prevede che: (…) I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee guida. Tuttavia, anche in attesa di tali Linee guida, attualmente il riferimento per le modalità e i requisiti di accreditamento è rappresentato dalla Circolare AgID n. 65/2014.
Per i documenti informatici fiscalmente rilevanti, inoltre, occorre anche fare riferimento al DMEF 17 giugno 2014, che all’art. 3 richiama espressamente le regole fissate con DPCM 3 dicembre 2013. Tale richiamo deve intendersi valido almeno fino all’entrata in vigore delle Linee guida previste con le recenti modifiche di cui al D.Lgs 217/2017.
Il futuro della conservazione elettronica: nuovo Cad e i problemi dei conservatori
Per i Conservatori accreditati, le ultime novità hanno generato non poche incertezze.
Il D.Lgs. 217/2017, Codice amministrazione digitale, infatti, intervenendo a integrare e correggere quanto già fatto con il D.Lgs 179/2016, ha ritoccato nuovamente gli articoli relativi alla conservazione e, in particolare, intervenendo nuovamente sulle procedure di accreditamento.
Già con il D.Lgs. 179/2016, in effetti, la procedura di accreditamento aveva subito corpose modifiche soprattutto con l’introduzione (avuta intervenendo sull’art. 29 del CAD) di un obbligo di allegare alla domanda di accreditamento, una valutazione di conformità rilasciata da un organismo di valutazione della conformità accreditato.
Tuttavia, quando questa norma fu introdotta non era però chiaro in cosa consistesse questa valutazione di conformità e non esisteva nessun organismo di valutazione in grado di rilasciarla.
Al fine di ovviare alla situazione di incertezza generata sul mercato, AgID e Accredia produssero una Lista di riscontro sulla base della quale doveva essere condotta la valutazione di conformità e le regole in base alle quali gli organismi di valutazione avrebbero potuto accreditarsi per poterla effettuare.
La Lista, seppur migliorabile, ha rappresentato un utile strumento per definire meglio i requisiti di qualità e sicurezza dei sistemi di conservazione accreditati.
Purtroppo, però, dopo tali sforzi – e dopo i primi soggetti faticosamente “valutati” e accreditati – il Legislatore ha fatto dietro front.
Relativamente alla procedura di accreditamento, infatti, l’art. 44-bis del CAD, che prevedeva, appunto, la possibilità dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi di richiedere l’accreditamento presso AgID, al fine di conseguire il riconoscimento del possesso dei requisiti di qualità e sicurezza del proprio sistema di conservazione del livello più elevato, è stato abrogato.
Stante tale abrogazione, per l’accreditamento, a partire dal 27 gennaio 2018 (data di entrata in vigore del D.Lgs. n. 217/2017), occorre fare riferimento all’art. 29 del CAD, anch’esso modificato dal medesimo provvedimento correttivo, che vi ha fatto confluire le disposizioni in materia di accreditamento dei conservatori di documenti informatici.
Tuttavia, in virtù dell’espressa previsione dell’art. 65, comma 8, del D.Lgs. n. 217/2017, fino all’emanazione del DPCM previsto dall’art. 29 comma 2, la procedura di accreditamento resta disciplinata dal previgente art. 44-bis del CAD (relativamente ai commi 2 e 3) e dalla Circolare AgID 65/2014: non è quindi più richiesto il deposito della relazione di conformità alla lista di riscontro unitamente alla presentazione della domanda di accreditamento.
Ciò, però, è bene ricordarlo, non significa che non sia necessario conformarsi a quanto previsto da tale Lista di riscontro che, non a caso, si intitola Lista di riscontro per la visita ispettiva AgID e la certificazione di conformità.
Da un lato, infatti, la valutazione di conformità continua ad essere richiesta dalla Circolare 65/2014 in base alla quale “almeno ogni 24 mesi, a partire dalla data comunicata dall’Agenzia, il conservatore accreditato deve presentare un certificato di conformità del sistema di conservazione ai requisiti tecnici organizzativi stabiliti dall’Agenzia”.
Dall’altro lato, l’accreditamento presuppone il rispetto, oltre che delle Regole tecniche, anche degli standard ivi richiamati (allegato 3) e la lista di riscontro ha come scopo proprio quello di sintetizzare quanto previsto da tali standard così da semplificare le attività di vigilanza da parte di AgID.
Se, dunque, è vero che il mancato adeguamento del proprio sistema a quanto previsto dalla lista di riscontro, a seguito delle modifiche sopra riportate, non potrebbe costituire motivo ostativo all’ottenimento dell’accreditamento, occorre considerare che potrebbe, però, essere sanzionato da parte di AgID in fase di vigilanza.
Per tale motivo, si consiglia di predisporre, parallelamente alla definizione della domanda di accreditamento, un processo che porti a garantire la piena soddisfazione, da parte del proprio sistema di conservazione, dei requisiti di cui alla lista di riscontro AgID.
Anche di questo di parlerà il 10 maggio a Roma all’undicesima edizione del DIG.Eat, l’evento organizzato da a ANORC, ANORC Professioni e AIFAG, con la collaborazione di Euronot@ries e del Digital & Law Department. Quest’anno il dibattito sarà animato dal susseguirsi di una serie di “processi”, ciascuno dei quali dedicato ad approfondire una tematica specifica della digitalizzazione e dematerializzazione dei processi, della conservazione e della privacy, in vista dell’imminente adeguamento al GDPR (General Data Protection Regulation – Regolamento 679/2016) nonché a seguito delle novità introdotte dell’ultima modifica del Codice dell’Amministrazione Digitale.
—
- Qualora il titolare dei documenti sia una PA il Conservatore esterno, però, dovrà essere necessariamente accreditato presso AgID. L’art. 34, comma 1-bis, del D.Lgs 82/2005 (Codice dell’Amministrazione Digitale – CAD), infatti, così come introdotto dal D.Lgs. n. 217/2017, stabilisce che “Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici: a) all’interno della propria struttura organizzativa; b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati accreditati come conservatori presso l’AgID”. La medesima previsione, peraltro, era già contenuta nell’art. 5 del DPCM 3 dicembre 2013 recante Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005 ↑
