La guida

Gestione documentale, le nuove linee guida Agid: ecco tutte le regole

Cosa cambia con le linee guida di recente pubblicazione da parte di Agid relativamente a formazione, gestione e conservazione dei documenti informatici: un regolamento fondamentale per la trasformazione digitale nella PA e nel settore privato

30 Set 2020
Giovanni Manca

consulente, Anorc


In conformità al Codice dell’Amministrazione Digitale, le Linee guida sulla formazione, gestione e conservazione dei documenti informatici di Agid regolano il nucleo della trasformazione digitale nel pubblico e nel privato perché, ovviamente, il documento informatico è uno degli elementi fondamentali per le attività digitali.

Nel seguito vengono analizzate le regole stabilite nelle linee guida con particolare attenzione alle novità introdotte nelle stesse rispetto alla normativa vigente. Si applicano a partire dal duecento settantesimo giorno successivo alla loro entrata in vigore che risulta il 7 giugno 2021.

Di cosa trattano le linee guida

Le linee guida aggiornano le regole vigenti in materia di formazione, protocollazione, gestione e conservazione dei documenti informatici. Allo scopo di semplificare l’approccio normativo, incorporano in un unico documento la normativa in materia che ad oggi è distribuita in tre DPCM e altri atti normativi di rango inferiore. Il riferimento normativo primario è il CAD per 22 articoli. Con la piena applicazione delle linee guida sono abrogati i tre DPCM sul documentale (DPCM 3 dicembre 2013 . protocollo, DPCM 3 dicembre 2013 – conservazione e DPCM 13 novembre 2014). Alcuni articoli e commi del DPCM sul protocollo rimangono validi.

La circolare AgID n.60 del 23 gennaio 2013 relativa a informazioni scambiate tra le PPAA è abrogata (sempre il 7 giugno 2021) e sostituita dall’allegato 6 alle LLGG come descritto di seguito. Le linee guida sono corredate da 6 allegati che ne costituiscono parte integrante e sono intitolati:

  • Glossario dei termini e degli acronimi
  • Formati di file e riversamento
  • Certificazione di processo
  • Standard e specifiche tecniche
  • Metadati
  • Comunicazione tra AOO di Documenti Amministrativi Protocollati.

Le LLGG sono redatte in forma di capitoli e paragrafi invece che per articoli e commi come da prassi giuridica. In esse si spiega che questa scelta redazionale “ha privilegiato uno stile chiaro e fruibile per il lettore”. In campo giuridico i riferimenti normativi dovranno essere formulati in maniera differente dal classico “ai sensi del”. Il primo capitolo delle linee guida si conclude con un ampio paragrafo (1.11) intitolato “Principi generali della gestione documentale”. Questo paragrafo è descrittivo del processo di gestione documentale che può essere suddiviso in tre fasi principali: formazione, gestione e conservazione. Le linee guida e gli allegati stabiliscono le regole per operare “a norma di Legge” in tutte e tre questa fasi considerando anche aspetti secondari ma cruciali per la conformità normativa.

Formazione del documento informatico

Questo paragrafo (2.1.1) rappresenta l’aggiornamento del DPCM 13 novembre 2014. Le principali modalità di formazione del documento informatico rimangono inalterate salvo qualche piccola modifica alla forma espositiva. Di queste modifiche lasciano perplessi l’associazione della formazione dei documenti con strumenti software ai servizi cloud qualificati e l’espressione “memorizzazione su supporto informatico in formato digitale” che appare ridondante. Per quanto attiene a due caratteristiche peculiari del documento informatico, l’immodificabilità e l’integrità, rispetto al DPCM 13 novembre 2014 vengono stranamente eliminate le opzioni di “apposizione di una validazione temporale” e la PEC con ricevuta completa. Viene introdotto correttamente, accanto alla PEC, il servizio elettronico di recapito certificato qualificato ai sensi del regolamento europeo 910/2014 (eIDAS). Nelle linee guida compare il sigillo elettronico conforme al regolamento eIDAS che, in base allo scenario operativo di dettaglio, deve essere applicato in forma avanzata o in forma qualificata.

Non appare chiara la motivazione di queste differenziazioni considerato anche che il sigillo elettronico avanzato non ha gli stessi effetti giuridici della omologa firma elettronica avanzata (FEA). Le misure di sicurezza sono aggiornate e devono correttamente essere conformi alle norma europee sulla protezione dei dati personali (Regolamento 679/2016) e alle misure minime di sicurezza ICT emanate dall’AgID con circolare del 18 aprile 2017, n. 2/2017. Il riferimento alla sicurezza non è più distribuito in vari punti ma, correttamente, viene concentrato nel paragrafo 3.9 delle linee guida (salvo la parte relativa ai sistemi di conservazione). Sul piano operativo vengono coinvolte le numerose figure previste dalla normativa privacy e ovviamente il responsabile per la transizione digitale, figura obbligatoria e cruciale nella digitalizzazione della PA.

Le varie tipologie di copie

Il paragrafo 2.2 che è relativo alle “Copie per immagine su supporto informatico di documenti analogici” è l’aggiornamento dell’articolo 4 del DPCM 13 novembre 2014 con, in particolare, il riferimento all’allegato delle LLGG relativo alla “Certificazione di processo” che viene descritta nel seguito. Analogo discorso per il paragrafo 2.3 delle LLGG, “Duplicati, copie ed estratti informatici di documenti informatici” in relazione agli articoli 5 e 6 del DPCM. Le regole sul documento informatico della PA coinvolgono anche il documento amministrativo informatico al quale si applicano le stesse regole del documento informatico con qualche elemento aggiuntivo.

EVENTO - 2 NOVEMBRE 09:30
Cambiare la Pa per cambiare il paese
PA

Il paragrafo 2.4.1 delle linee guida fa riferimento al CAPO III del DPCM 13 novembre 2014. La registrazione di protocollo e il manuale di gestione documentale sono la base di questa operatività. Le linee guida si esprimono in modo più sintetico sul tema ma anche l’approccio ai metadati è analogo al DPCM. Il capitolo 2 si chiude con il paragrafo 2.5 relativo alle “Copie su supporto informatico di documenti amministrativi analogici”. Nessuna significativa differenza rispetto all’articolo 10 del DPCM.

Registrazione informatica dei documenti

Il paragrafo 3.1 è relativo alla “Registrazione informatica dei documenti”. La registrazione di protocollo per sua natura giuridica è prevalentemente in attuazione del DPR 445/2000 (Testo Unico Documentazione Amministrativa – TUDA) ma l’evoluzione della normativa sul domicilio digitale nel CAD impone alle linee guida il riferimento alle “Linee Guida dell’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori dei pubblici servizi” (LLGG del 15 aprile 2019 emesse da AgID). Le linee guida aggiornano il DPCM 3 dicembre 2013 – protocollo in modo omogeneo ad altre fattispecie. Viene aggiornato il basilare principio di scambio dei dati tra PA e di comunicazione tra Aree Organizzative Omogenee (AOO) con regole specificate nell’allegato 6 delle LLGG, “Comunicazione tra AOO di Documenti Amministrativi Protocollati”.

Per i concetti di gestione documentale il riferimento al complesso allegato 2 delle LLGG (Formati di file e riversamento – 154 pagine) è applicato in associazione al concetto di leggibilità e gestione del documento informatico ma anche al principio di interoperabilità che la PA deve sempre attuare. Il paragrafo 3.5 dedicato al “Manuale di Gestione documentale” tratta diffusamente e dettagliatamente questi nuovi temi insieme a quelli classici. In conclusione del presente paragrafo è utile ricordare che nella gestione documentale bisogna valutare, sia nel contesto pubblico che privato, l’interoperabilità dei documenti informatici. In questo senso bisogna valutare l’esigenza o l’opportunità di effettuare o pianificare il riversamento dei file da un formato ad un altro formato. Altro elemento importante è rappresentato dal trasferimento al sistema di conservazione (paragrafo 3.8 ). I termini entro i quali i documenti informatici e le aggregazioni documentali informatiche devono essere trasferiti in conservazione sono stabiliti dalla normativa vigente (vedi ad esempio la normativa fiscale per le fatture elettroniche) e al piano di conservazione.

Sistema di conservazione

Il capitolo 4 stabilisce le regole tecniche relative all’ultimo dei tre principi generali della gestione dei documenti informatici, la loro conservazione. Il riferimento normativo vigente è il DPCM 3 dicembre 2013 – conservazione e le linee guida ne aggiornano numerosi punti. Gli oggetti della conservazione diventano pacchetti informativi in omogeneità con il linguaggio archivistico. I modelli organizzativi della conservazione si adattano all’abrogazione dell’istituto dell’accreditamento in conformità alla Legge di semplificazione 2020 e pur non citandola esplicitamente (per motivi meramente temporali relativi ai tempi dei provvedimenti) al temine del paragrafo 4.3, si stabiliscono i requisiti di elevato livello in termini di qualità e sicurezza previsti nel CAD, come modificato dalla Legge sopra citata, negli articoli 34, comma 1-bis, lettera b) e 44, comma 1-ter.

Le LLGG sul tema stabiliscono che: “Al fine di garantire l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità dei documenti, i fornitori di servizi di conservazione devono possedere requisiti di elevato livello in termini di qualità e sicurezza in aderenza allo standard ISO/IEC 27001 (Information security management systems – Requirements) del sistema di gestione della sicurezza delle informazioni nel dominio logico, fisico e organizzativo nel quale viene realizzato il processo di conservazione e ISO 14721 OAIS (Open Archival Information System – Sistema informativo aperto per l’archiviazione), e alle raccomandazioni ETSI TS 101 533-1 v. 1.2.1, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni”.

Lascia perplessi il riferimento alla standard ETSI che è obsoleto e di fatto abrogato dal nuovo documento ETSI TS 119 511 relativo a Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques. Questa scelta, tra l’altro avvicinerebbe l’Italia alla disciplina europea stabilita nell’articolo 29, comma 2 del CAD. Riprendendo le linee guida notiamo che i ruoli e responsabilità nel processo di conservazione passano da tre (articolo 6, comma 1 del DPCM) a cinque (paragrafo 4.4). Una importante novità è la precisa regola che nella PA il produttore dei Pacchetti di versamento è svolto da persona interna alla struttura organizzativa. Il responsabile della conservazione nella PA è “a) è un ruolo previsto dall’organigramma del Titolare dell’oggetto di conservazione;  b) è un dirigente o un funzionario interno formalmente designato e in possesso di idonee competenze giuridiche, informatiche ed archivistiche;  c) può essere svolto dal responsabile della gestione documentale o dal coordinatore della gestione documentale, ove nominato”.

Per quanto riguarda il Manuale di conservazione si stabilisce che le PPAA sono tenute a redigere, adottare con provvedimento formale e pubblicare sul proprio sito istituzionale il Manuale di conservazione. La pubblicazione deve essere chiaramente identificabile nell’area “Amministrazione trasparente” come stabilito all’articolo 9 del D.Lgs. 33/2013. Nel processo di conservazione viene consentito l’utilizzo del sigillo elettronico qualificato o avanzato (al quale andrebbe attribuito un valore giuridico che non c’è nel nostro ordinamento e che certamente non è pari al sigillo qualificato in base alle norme eIDAS). Il rapporto di versamento deve essere sottoscritto quindi non è più opzionale l’operazione. Per quanto attiene alle infrastrutture da utilizzare il paragrafo 4.8 stabilisce regole conformi ad alcune indicazioni pervenute dalla Commissione Europea nell’ambito della procedura di notifica delle regole tecniche. Quanto stabilito per le componenti tecnologiche hardware e softwarecomponenti tecnologiche hardware e software dovrebbe essere valutato se conforme all’articolo 6, comma 1 del D.Lgs 70/2003.

Nelle linee guida: “Le componenti tecnologiche hardware e software utilizzate dai sistemi di conservazione delle Pubbliche Amministrazioni e dei conservatori sono segregate logicamente. Qualora i servizi di conservazione siano erogati in modalità cloud, il servizio deve essere qualificato come previsto dalla Circolare Agid n. 3 del 9 aprile 2018 e, conseguentemente, essere presente nel “Catalogo dei servizi Cloud per la PA qualificati” pubblicato sul sito di Agid”. Nel paragrafo 4.11 vengono stabilite le regole per la selezione e scarto dei documenti informatici. Queste regole sono importanti e costituiscono un’importante indirizzo sul tema dell’archiviazione del documento informatico. Il documento cartaceo occupa spazio il documento informatico non ha questo problema. Ma per evitare di conservare tutto, perché semplicemente non serve, bisogna ragionare, anche nel mondo digitale della selezione e scarto.

Gli allegati

L’allegato 1 contiene il “Glossario dei termini e degli acronimi”. L’allegato 2 contiene i “Formati di file e riversamento”. Le 154 pagine di questo allegato sono relative ai formati consentiti o consigliati nella formazione dei documenti informatici e nella loro gestione. Un formato di file non più rispondente a regole operative di interoperabilità e leggibilità deve essere riversato in un formato che soddisfa i requisiti allo stato dell’arte. L’allegato è un manuale tecnico e fornisce indicazioni, forse fuori contesto, per una regola tecnica per il suo elevato livello di dettaglio rispetto alle dichiarate regole di ampia fruizione delle linee guida. L’allegato 3 contiene le “Regole per la certificazione di processo”. Lo è quello di descrivere le modalità di adozione della certificazione di processo, considerata una modalità prevista dagli articoli del CAD 22 comma 1bis – Copie informatiche di documenti analogici e 23-ter comma 1bis – Documenti amministrativi informatici.

L’adozione del processo descritto riguarda tutti i soggetti sia pubblici che privati ai quali si applica il CAD quando eseguono la dematerializzazione massiva dei documenti analogici e che vogliono garantire la corrispondenza del contenuto e forma della copia informatica all’originale analogico. Questa certificazione evita lo strumento del raffronto dei documenti in quanto oneroso e, in alcuni casi, impraticabile. La finalità dello strumento certificazione di processo è quella di incentivare e facilitare la digitalizzazione dei flussi informativi, nel caso di un elevato numero di documenti da scansionare. Il documento è essenziale e descrive bene i vari passi da realizzare, sia con il coinvolgimento del Pubblico Ufficiale (tipico nella PA), che del Notaio. Si tratta di un procedimento “giovane” che richiede nella sua messa in opera una valutazione giuridica dettagliata. Certamente i Notai svilupperanno regole operative informatiche dettagliate a supporto della pubblica fede e della totale garanzia di conformità

L’allegato 4 contiene gli “Standard e Specifiche tecniche”. La referenza a “UNI 11386 – Standard SInCRO – Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali” in questa sede è generica. Nel paragrafo 4.7, lettera f) è sorprendente il riferimento alla versione 2010 di questo standard vista l’emissione della versione 2020 che ha specificamente lo scopo di migliorare l’interoperabilità tra i sistemi di conservazione, oggi insufficiente. L’allegato 5 contiene i “Metadati”. Questo allegato illustra i metadati relativi al documento informatico, al documento amministrativo informatico e all’aggregazione documentale informatica, intendendo, con quest’ultima, sia il fascicolo informatico, che la serie documentale. Le implementazioni effettuate aggiornano testi precedenti per adeguare le regole ai principi di interoperabilità, trasparenza e conoscenza approfondita del contesto documentale. Vista la natura dell’argomento si tratta di un allegato molto tecnico, fortemente orientato alla fase realizzativa.

L’allegato 6 contiene le regole per la “Comunicazione tra AOO di Documenti Amministrativi Protocollati”. Come illustrato in precedenza questo allegato abroga la circolare 60/2013 dell’AgID. La descrizione operativa fa riferimento a numerosi standard di settore e le regole sono coordinate con quelle di scambio dati tra PA. Interessante notare che in questo scenario la segnatura di protocollo è realizzata con l’ apposizione alla segnatura di protocollo di un “sigillo elettronico qualificato” con lo scopo di garantire l’integrità e autenticità che deve applicare il profilo XAdES baseline B level signatures definito in ETSI EN 319 132-1 v1.1.1.

Conclusioni

Le Linee guida costituiscono un elemento fondamentale nell’ambito della digitalizzazione della PA ma anche del settore privato. Una serie di circostanze susseguitesi nella loro redazione ha probabilmente costretto AgID ad una loro emissione un po’ affrettata. La lettura delle stesse infatti risente di qualche disomogeneità interna e alcuni punti da migliorare. Certamente AgID deve eliminare il riferimento allo standard UNI 11386:2010 aggiornandolo all’anno 2020. Oltre il banale motivo di referenza di uno standard abrogato sarebbe grave l’utilizzo di un documento che non consente una piena interoperabilità tra sistemi di conservazione. Tra l’altro questa nuova versione dello standard è stata sviluppata con particolare attenzione alla mitigazione di questa criticità.

Per quanto attiene alle regole generali, certamente queste linee guida aggiornano regole obsolete e precisano meglio aspetti operativi, che pur essendo applicati, non erano chiaramente stabiliti o ignorati nei DPCM (vigenti fino al 7 giugno 2021). Si rimane in attesa del regolamento AgID sui criteri per la fornitura dei servizi di conservazione dei documenti informatici che dovrà avere riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione. Almeno questo è stabilito nella parte finale dell’articolo 34, comma 1-bis, lettera b) del CAD dopo le modifiche stabilite dalla Legge di semplificazione 2020.

WHITEPAPER
Cloud: cogli tutte le opportunità! Meno costi, senza skill ad hoc e con dati in Italia
Cloud
Cloud Application

@RIPRODUZIONE RISERVATA

Articolo 1 di 4