LE NUOVE REGOLE TECNICHE IN MATERIA DI PROTOCOLLO

INFORMATICO E CONSERVAZIONE SOSTITUTIVA

A CURA DI AVV. CHIARA FANTINI

© Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 –formazione@infoacademy.it

SECONDA LEZIONE

pag. 1 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

Gli allegati al D.P.C.M. del 3 Dicembre 2013

Le specifiche tecniche relative vengono adottate con il Decreto e precisamente con i suoi allegati esplicativi. Gli allegati raccolgono le indicazioni di dettaglio delle regole tecniche e, in concreto, ampliano il quadro di riferimento dell’attività di conservazione. In particolare: i formati (all. n.2), gli standard tecnici di riferimento per la formazione, la gestione e la conservazione dei documenti informatici (all. n. 3), le specifiche tecniche del pacchetto di archiviazione e in quello relativo ai metadati (all.ti. nn. 4 e 5). All’elenco di cui sopra si aggiunge, infine, l’allegato relativo ai termini e alle definizioni che costituiscono il linguaggio tecnico comune del sistema di conservazione e dei relativi processi (denominato glossario/definizioni, all. n.1). Le specifiche hanno un rilievo determinante nell’organizzazione del sistema di conservazione e nelle attività di documentazione affidate al Responsabile della conservazione. Tenuto a descrivere i processi e a documentare, motivandole, le scelte tecniche e tecnologiche ad essi applicate, aggiornandole in dipendenza dell’eventuale progresso normativo e tecnologico e degli eventuali cambiamenti procedurali e organizzativi. La corretta adozione delle regole, procedure e tecnologie, altresì, concorre a garantire le caratteristiche di autenticità, integrità, affidabilità e reperibilità degli oggetti conservati1. Gli allegati, integrando le regole tecniche introdotte dal Decreto, vengono definitivamente sdoganati e, altresì, legittimati con la stessa valenza prescrittiva. Così da evitare i disagi del passato e della gestione del sistema di conservazione in base alla Deliberazione Cnipa n. 11/2004 per cui, per esempio, standard e formati rappresentavano istruzioni di massima e liberamente applicabili in base al caso concreto. Oggi, quindi, il Decreto restituisce certezza e omogeneità a

1 LE CARATTERISTICHE VENGONO DEFINITE DAL GLOSSARIO ALLEGATO AL DECRETO IN BASE AL CAPACITÀ DEL

FORMATO DI GARANTIRE:

AUTENTICITÀ: caratteristica di un documento informatico che garantisce di essere ciò che dichiara di essere, senza aver subito alterazioni o

modifiche. L’autenticità può essere valutata analizzando l'identità del sottoscrittore e l'integrità del documento informatico;

integrità: insieme delle caratteristiche di un documento informatico che ne dichiarano la qualità di essere completo ed inalterato;

affidabilità: caratteristica che esprime il livello di fiducia che l’utente ripone nel documento informatico;

leggibilità: insieme delle caratteristiche in base alle quali le informazioni contenute nei documenti informatici sono fruibili durante l’intero ciclo

di gestione dei documenti.

pag. 2 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

scelte tecniche finora settorializzate stabilendo che i documenti informatici destinati alla conservazione utilizzino i formati previsti dal suo allegato n. 2 (così art. 11 del Decreto)2. I formati descritti nel documento in esame sono scelti tra quelli che possono maggiormente garantire i principi dell’interoperabilità tra i sistemi di conservazione e la loro adattabilità alle diverse specifiche tipologie documentali. Sul punto, l’art. 11 del Decreto, nell’intenzione marcata di creare un quadro tecnico comune e spiega che il documento informatico destinato alla conservazione utilizza quelli di cui all’allegato in esame. Il relativo allegato individua i criteri di scelta dei formati e ne enuclea i più rilevanti tra le caratteristiche di apertura, sicurezza, portabilità, funzionalità, supporto allo sviluppo e diffusione. Esse assicurano la leggibilità e la reperibilità del documento informatico e delle informazioni digitali in cui è strutturato nel suo intero ciclo di vita. Dalla formazione, alla gestione e, infine, alla conservazione. Ai sensi dell’art. 3.1.1 dell’allegato in esame, un formato si dice “aperto” quando è conforme a specifiche pubbliche, cioè disponibili a chiunque abbia interesse ad utilizzarlo. In base alla disposizione richiamata “la disponibilità delle specifiche del formato rende sempre possibile la decodifica dei documenti rappresentati in conformità con dette specifiche, anche in assenza di prodotti che effettuino tale operazione automaticamente”. Garantiscono tali condizioni, per esempio, i formati definiti da organismi di standardizzazione riconosciuti. Quali ad esempio quelli rispondenti agli standard ISO e ETSI3 che riflettono l’adeguatezza e la completezza delle specifiche tecniche. Ai sensi dell’art. 3.1.2. dell’allegato “la sicurezza di un formato dipende da due elementi: il grado di modificabilità del contenuto o la capacità di essere immune dall’inserimento di codice maligno”. Ai sensi dell’art. 3.1.3. dell’allegato “per portabilità si intende la facilità con cui i formati possono essere usati su piattaforme diverse, sia dal punto di vista dell’hardware che del software, inteso come sistema operativo”. Anche in tali casi la fiducia discende dall’impiego fedele di standard documentati o accessibili. Ai sensi dell’art. 3.1.4 dell’allegato “per funzionalità si intende la possibilità da parte di un formato di essere gestito da prodotti informatici, che prevedono una varietà di funzioni messe a disposizioni dell’utente per la formazione e gestione del documento informatico”.

2 Formato, secondo la definizione del glossario – allegato 1 è la: “modalità di rappresentazione della sequenza di bit che costituiscono il documento

informatico, comunemente è identificato attraverso l’estensione del file” 3 http://www.agid.gov.it/sites/default/files/regole_tecniche/bozza_-_allegato_3_-_standard-specifiche_tecniche_0.pdf

pag. 3 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

Il supporto allo sviluppo è, invece, la modalità con cui si mettono a disposizione le risorse necessarie alla manutenzione e allo sviluppo del formato e dei prodotti informatici che lo gestiscono (art. 3.1.5. dell’allegato). Un formato deve essere poi supportato dalla diffusione e dall’estensione delle sue possibilità di impiego. Ciò garantisce la possibilità di evitare usi limitati nel tempo e progressivamente esclusi dall’inapplicabilità a prodotti informatici di gestione per i quali, in assenza di tali requisiti, diventa incompatibile (art. 3.1.5 dell’allegato). In ultimo il formato deve supportare un’idonea capacità di memorizzazione con risparmio di spazio fisico occupato e di gestione di informazioni di contenuto (metadati) compresi i riferimenti a modifiche o aggiunte intervenute sul documento. La scelta di formati idonei alla conservazione deve essere, altresì, strumentale a che il documento assuma le caratteristiche di immodificabilità e di staticità previste dalle regole tecniche. È opportuno, quindi, privilegiare i formati che siano standard internazionali riconosciuti o, quando necessario, formati proprietari le cui specifiche tecniche siano pubbliche, dandone opportuna evidenza nel manuale di conservazione dei documenti informatici. Le specifiche tecniche del pacchetto di archiviazione di cui all’allegato 4 al Decreto descrivono l’essenza dello stesso, ovvero la struttura dell’indice del pacchetto medesimo. L’art. 9, comma 1, lett. f) del Decreto medesimo stabilisce il chiaro riferimento e collegamento ad esso quando prevede: “la preparazione, la sottoscrizione con firma digitale o firma elettronica qualificata del responsabile della conservazione e la gestione del pacchetto di archiviazione sulla base delle specifiche tecniche della struttura dati contenute nell’allegato 4 e secondo le modalità riportate nel manuale di conservazione”. La disposizione può assumere rilievo anche per gli altri oggetti della conservazione ovvero per i pacchetti di versamento e i pacchetti di distribuzione per cui l’art. 4, comma 2, del Decreto prevede la possibilità di mutuare la stessa struttura dei dati di cui all’allegato in esame. L’allegato in esame introduce la struttura 4 dell’indice del pacchetto di archiviazione qualificandolo come l’evidenza informatica 5 associata ad ogni pacchetto, contenente un insieme di informazioni articolate e corredato da un riferimento temporale (marca temporale) e dalla firma digitale o firma elettronica qualificata del soggetto che interviene nel processo di produzione del pacchetto di archiviazione.

4 Lo standard applicato è il SInCRO (ovvero supporto all’interoperabilità nella conservazione e nel recupero degli oggetti digitali) che prevede una

specifica articolazione della struttura mediante il linguaggio formale XML. Lo standard è interoperabile e quindi capace di gestire documenti

conservati con prodotti diversi. 5 Secondo l’allegato 1 al Decreto, per evidenza informatica deve intendersi una sequenza di simboli binari (bit) che può essere elaborato da una

procedura informatica

pag. 4 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

Chiarita l’importanza determinante dell’indice quale portato o effetto di un processo di conservazione compiuto nel rispetto delle regole e delle tecnologie ivi descritte, non resta che specificarne il contenuto. La struttura è rappresentata attraverso una catena continua (e interconnessa) di informazioni di identificazione degli oggetti conservati e di gestione degli stessi:

1) dapprima vi sono le informazioni generali dell’indice del pacchetto di archiviazione: un ID o identificatore dello stesso, dell’applicazione che lo ha creato. Tra i dati opzionali della struttura: il riferimento ad altri indici da cui deriva quello in creazione e le cc.dd. extrainfo definite dall’utilizzatore con un proprio schema;

2) poi ci sono le informazioni inerenti il pacchetto di archiviazione strutturate nello stesso modo dell’indice.

3) segue l’indicazione dei singoli raggruppamenti (file) del pacchetto o del loro complesso e delle eventuali impronte ottenute con l’applicazione di un algoritmo di hash;

4) e ancora informazioni relative al processo di produzione del pacchetto di archiviazione come: l’indicazione del nome e del ruolo dei soggetti che intervengono nel processo di produzione del pacchetto (es. responsabile della conservazione, delegato, pubblico ufficiale ecc.), il riferimento temporale adottato (generico riferimento temporale o marca temporale), l’indicazione delle norme tecniche e giuridiche applicate per l’implementazione del processo di produzione del pacchetto medesimo.

La struttura dell’indice è sostanzialmente flessibile e, quindi, adatto ad accogliere senza traumi tutte le informazioni necessarie e peculiari dei singoli processi a cui viene applicata; e a semplificare l’adeguamento alle più che possibili evoluzioni tecnologiche.

Le novità dell’ultima ora Il D.P.C.M. del 13 novembre 2014 e pubblicato in Gazzetta Ufficiale (serie generale n. 8) il 12 gennaio 2015, recante le regole tecniche in Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici, nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni, comprende, anche esso, gli allegati il cui contenuto e i cui effetti sono stati esplicitati nei paragrafi precedenti. Ciò a confermare la continuità anche operativa delle regole in esame e l’intenzione del legislatore di creare una disciplina uniforme e comune.

pag. 5 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

Il manuale della conservazione

Il quadro strutturale dei processi associati al sistema di conservazione e degli oggetti conservati viene compiutamente descritto nel manuale della conservazione. L’art. 8 del Decreto, innovando rispetto al passato, introduce l’obbligo dell’adozione del manuale e quindi riconduce questo ad una vera e propria regola - tecnica - del sistema di conservazione. Esso, in base alla disposizione richiamata, deve illustrare dettagliatamente l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione. Quello descritto dalla disposizione richiamata è il contenuto essenziale del manuale che può essere arricchito di elementi e di informazioni suppletive allorché rilevanti per la gestione del sistema di conservazione nel concreto della realtà in cui si inserisce. Coerentemente con il nuovo impianto tecnico/normativo il manuale deve essere un documento informatico dai formati appena descritti. Predisposto e aggiornato all’occorrenza dal Responsabile della conservazione Considerate le prassi invalse nel corso degli anni soprattutto in ambito pubblico e relative all’organizzazione del flusso documentale (c.d. sistemi di workflow), di solito descritte in manuali di gestione, e coerentemente con le loro applicazioni pratiche anche in ambiti diversi, garantiscono al documento in esame un efficace presupposto per la definizione del suo contenuto. Il manuale, quindi, riflette prima di tutto la struttura organizzativa del processo di conservazione, con l’indicazione delle funzioni, dei ruoli e delle responsabilità dei diversi soggetti che vi intervengono . Tra essi prima di tutto si distinguono il Responsabile della conservazione, il produttore e l’utente si cui all’art. 6 del Decreto. Altresì, la corretta descrizione della stessa e la coerenza della struttura con la realtà del sistema di conservazione può essere evidenziata anche attraverso il richiamo a deleghe e contratti che descrivono le attività del processo affidate a soggetti determinati appartenenti o meno alla struttura che gestisce il sistema di conservazione. Il loro vincolo al manuale consente, altresì, di misurare la diligenza e il livello delle prestazioni negoziate e delegate e altresì la gravità dell’eventuale inadempimento. Il manuale deve contenere la descrizione delle modalità di presa in carico dei pacchetti di versamento e della predisposizione del rapporto di versamento. Si tratta, come già in precedenza argomentato, di una operazione prodromica a quelle che caratterizzano la conservazione vera e propria, e a queste inevitabilmente funzionali. Essa viene attuata dal

pag. 6 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

produttore e/o dal soggetto che detiene i documenti informatici da conservare mediante la loro trasmissione secondo le modalità stabilite nel manuale. L’accesso al sistema (o presa in carico) viene confermato dal rapporto di versamento a meno che i documenti informatici trasmessi non superino le verifiche compiute dal sistema che in tal caso genera una notifica di scarto. Il manuale, al riguardo, potrebbe aggiungere a quelle essenziali informazioni suppletive relative, per esempio, la descrizione degli elementi strutturali attinenti alle diverse tipologie documentali che permettano al pacchetto di versamento l’accesso incondizionato al sistema di conservazione e quindi le modalità di formazione del rapporto di versamento (il cui contenuto minimo è dato dall’identificatore univoco del pacchetto di versamento, impronta del pacchetto medesimo, riferimento temporale e/o marca, eventuale firma digitale o firma elettronica avanzata del Responsabile della conservazione). Segue la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione. In tal caso il Responsabile della conservazione sarà tenuto a specificare i formati e gli standard adoperati per i documenti informatici destinati alla conservazione e che veicolino le informazioni del pacchetto di archiviazione, e, infine, che garantiscano le caratteristiche di autenticità, integrità e leggibilità degli oggetti conservati. Il Responsabile della conservazione sarà tenuto motivare le scelte operate in tal senso in riferimento alle tipologie documentali trattate e, nel caso, anche le eventuali esclusioni. Tanto è specificamente stabilito nell’art. 8 in commento che al comma 2, lett. g) per cui il manuale deve contenere “la descrizione del sistema di conservazione, comprensivo di tutte le componenti, tecnologiche e fisiche, opportunamente documentate e delle procedure di gestione e di evoluzione delle stesse”. La descrizione delle modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione fa parte del manuale e risponde ai medesimi adempimenti di cui sopra oltre che a quelli a beneficio dell’utente che fa richiesta di accesso e/o dei soggetti che siano autorizzati all’accesso ai documenti conservati6. Il Responsabile della conservazione sarà tenuto, mediante idonee funzionalità del sistema presidiato, di mantenere traccia delle richieste, dei pacchetti selezionati per l’esibizione e/o l’esportazione e, quindi, dell’accesso ai documenti conservati. Preservandoli in ogni caso dai rischi di sicurezza e di alterabilità. La disposizione in esame conclude con:

- la descrizione delle procedure di monitoraggio della funzionalità del sistema (anche in ordine alle sue caratteristiche di sicurezza) e delle verifiche di integrità degli archivi (e di compatibilità dei formati) con l’evidenza delle soluzioni adottate in caso di anomalie.

6 Cfr. art. 10 del Decreto che prevede che: “Fermi restando gli obblighi previsti in materia di esibizione dei documenti dalla normativa vigente, il

sistema di conservazione permette ai soggetti autorizzati l’accesso diretto, anche da remoto, al documento informatico conservato, attraverso la

produzione di un pacchetto di distribuzione selettiva secondo le modalità descritte nel manuale di conservazione”.

pag. 7 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

Pertanto il manuale così può arricchirsi di contenuti relativi nel caso alla documentazione degli esiti delle verifiche e dei rimedi esperiti, che mantengano traccia delle attività fin qui descritte e della loro adeguatezza e completezza;

- la descrizione delle procedure per la produzione di duplicati o copie; - i tempi entro i quali le diverse tipologie di documenti devono essere scartati; - le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche

quali sono i casi per i quali è previsto il suo intervento7; - le normative in vigore nei luoghi dove sono conservati i documenti, se diverse o

complementari ai canoni nazionali relativi all’accesso dei documenti informatici conservati, alla sicurezza della trasmissione e/o alla tutela dei dati personali, oltre che a quelle in materia di accertamento contabili.

7 Il riferimento è, per esempio, alla necessità di attivare l’iniziativa di validazione della conformità agli originali dei documenti analogici originali

unici che possono essere conservati nelle modalità in esame in base al D.P.C:M. del 21 marzo 2013. O anche agli artt. 22, comma 2, relativo a copie

informatiche di documenti analogici, 23, comma 1, relativo a copie analogiche di documenti informatici; 23 bis, comma 2, relativo a duplicati e copie informatiche di documenti informatici.

pag. 8 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

L’art. 44 bis del Codice: i conservatori accreditati. Il loro

ruolo nel sistema di conservazione

L’art. 44 – bis del Codice stabilisce, al primo comma, che “i soggetti, pubblici e privati, che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato8, in termini di qualità e di sicurezza, chiedono l’accreditamento presso DigitPa”, oggi Agenzia per l’Italia Digitale. L’applicazione della disposizione richiamata subisce l’attesa del D.P.C.M. del 13 dicembre 2013 con il quale vengono adottate le regole tecniche per il sistema di conservazione. La reazione immediata (o quasi) all’integrazione dell’articolo in esame, avvenuta con il D. Lgs. n. 235/2010, è stata la circolare del 29 dicembre del 2011, n. 59 della DigitPA che stabiliva le “modalità per presentare la domanda di accreditamento da parte dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’articolo 44 -bis , comma 1, del decreto legislativo 7 marzo 2005, n. 82”. La circolare entrava in vigore dalla data di pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana, avvenuta in data 8 febbraio 2012. Nonostante ciò non trovava piena applicazione a causa della mancanza delle regole tecniche relative al sistema di conservazione di cui all’art.71 del Codice, all’epoca ancora lontane dall’essere adottate. Pertanto prudentemente la circolare disponeva che, nelle more, non era inibito ai soggetti interessati l’avvio del processo di accreditamento, nonostante i termini relativi fossero sospesi per decorrere di nuovo al momento dell’adozione delle regole tecniche dal quale i candidati avrebbero dovuto ripresentare la domanda o integrarla con la documentazione necessaria. All’indomani dell’entrata in vigore del Decreto, l’Agenzia per l’Italia Digitale pubblica una circolare ad hoc destinata a rinnovare le modalità e le tempistiche dell’accreditamento e a stabilire i poteri relativi oltre che di controllo e vigilanza dell’Agenzia. La circolare dell’Agenzia delle Entrate n. 65 del 10 aprile 2014, in attuazione dell’art. 13 del Decreto, introduce e rinnova le modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’art. 44 – bis, comma 1, del Codice, e intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza. I conservatori che conseguono l’accreditamento sono iscritti nell’elenco dei conservatori accreditati, pubblicato sul sito istituzionale dell’Agenzia, che esercita sugli stessi un’attività di

8 I criteri e i requisiti mutuano quelli di cui agli articoli 26, 27 e 29 ad eccezione del comma 3, lett. a) e 31 del Codice, riguardanti lo specifico

ambito della firma digitale e della posta elettronica certificata.

pag. 9 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

vigilanza, volta ad assicurare che siano mantenuti nel tempo i requisiti che hanno consentito l’iscrizione, pena la revoca dell’accreditamento e la conseguente cancellazione dall’elenco. I requisiti richiesti sono molteplici e devono essere tutti documentati e/o documentabili. Per esempio attraverso il manuale di conservazione da allegare alla domanda di riconoscimento. Per lo più essi riguardano la dimostrazione dell’affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere l’attività di conservazione. Pertanto i candidati all’accreditamento devono utilizzare personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi forniti. E, altresì, capace di fornire idonee garanzie del pieno rispetto delle disposizioni in materia di sicurezza. Altresì essi devono garantire le caratteristiche del sistema di conservazione dei documenti informatici sia dal punto di vista tecnico che di sicurezza (di cui approfondiremo nel prosieguo). In particolare essi devono applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate; utilizzare sistemi affidabili e sicuri di conservazione di documenti informatici realizzati e gestiti in conformità alle disposizioni e ai criteri, standard e specifiche tecniche di sicurezza e di interoperabilità contenute nelle regole tecniche previste dal Codice; adottare adeguate misure di protezione dei documenti idonee a garantire la riservatezza, l’autenticità, l’immodificabilità, l'integrità e la fruibilità dei documenti informatici oggetto di conservazione, come descritte nel manuale di conservazione. Si aggiungono ulteriori requisiti economici e morali per i conservatori candidati all’accreditamento quando sono soggetti privati. E in particolare essi devono avere forma di società di capitali con capitale sociale di almeno 200.000 euro; e garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e da parte dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'articolo 26 del decreto legislativo 1 settembre 1993, n. 385 recante “Testo unico delle leggi in materia bancaria e creditizia. La domanda di accreditamento deve essere presentata all’Agenzia alla casella di posta elettronica certificata protocollo@pec.agid.gov. L’istruttoria si compie con la valutazione della documentazione prodotta e si considera conclusa qualora non venga comunicato al conservatore il provvedimento di diniego (si ipotizza quindi il silenzio/assenso) entro novanta giorni dalla data di presentazione della domanda. A meno di proroghe dovute per eventuali richieste di integrazione e di completamento della documentazione a corredo della suddetta. In tal caso l’istruttoria può prolungarsi fino a 180 giorni dalla presentazione della domanda.

pag. 10 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

Il conservatore, una volta accreditato e quindi iscritto nell’apposito elenco9, può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni. L’iscrizione conferma, quindi, il riconoscimento del conservatore accreditato e dell’idoneità del sistema di conservazione adottato che dovrà mantenere nel tempo l’evidenza delle operazioni di processo che hanno superato il sindacato dell’Agenzia. Ciò riguardo anche alla documentazione contrattuale scambiata dal conservatore nell’esercizio delle sue funzioni. E ancora, l’ente conservatore è tenuto a rendere disponibile a chiunque le modalità attraverso cui assicura la trasparenza delle proprie attività e la responsabilità per le azioni operative e gestionali rispetto al sistema di conservazione (mediante ad esempio interventi periodici di risk assessment e di audit).

ULTIME CONSIDERAZION I DI “SERVIZIO”

La circolare in esame sostituisce integralmente ed abroga la circolare DigitPA n. 59/2011 alla sua entrata in vigore (dalla pubblicazione nella Gazzetta Ufficiale avvenuta in data 16 aprile 2014). Dalla stessa decorrono i 180 giorni concessi ai soggetti che abbiano presentato la domanda di accreditamento ai sensi della circolare abrogata per integrare e completare la documentazione presentata. La domanda di accreditamento in tal caso si considera accolta qualora non venga comunicata all’interessato il provvedimento di diniego entro 90 giorni dalla data di presentazione della documentazione integrativa.

Le novità dell’ultima ora L’Agenzia per l’Italia Digitale, in osservanza della circolare sopra richiamata e quindi delle ormai emanate regole tecniche in esame, nell’ottobre 2014 provvede a definire lo schema del manuale della conservazione10. Lo schema, nelle intenzioni dell’Agenzia, si pone lo scopo di guidare i conservatori di documenti informatici nella stesura del manuale di conservazione ex art. 8 del D.P.C.M. del 3 dicembre 2013. Esso, quindi, dovrebbe garantire omogeneità di struttura e

9 Art. 3, comma 1, n. 8, della circolare: “Il conservatore la cui domanda sia stata respinta non può presentare una nuova domanda se non siano

cessate le cause che hanno determinato il mancato accoglimento della precedente e non prima di 6 mesi”. 10 Il documento in esame è denominato “Accreditamento dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti

informatici – Indice del manuale di conservazione”. Ed è pubblicato sul sito www.agid.gov.it.

pag. 11 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

completezza necessarie per la gestione del sistema di conservazione e per la definizione dei ruoli e delle interazioni con i soggetti esterni con i quali interagisce11. Di seguito, per completezza, si riporta integralmente lo schema di indice previsto dall’Agenzia.

1 SCOPO E AMBITO DEL DOCUMENTO

2 TERMINOLOGIA (GLOSSARIO E ACRONIMI)

3 NORMATIVA E STANDARD DI RIFERIMENTO

3.1 Normativa di riferimento

3.2 Standard di riferimento

4 RUOLI E RESPONSABILITA’

5 STRUTTURA ORGANIZZATIVA PER IL SERVIZIO DI CONSERVAZIONE

5.1 Organigramma

85.2 Strutture organizzative

6 OGGETTI SOTTOPOSTI A CONSERVAZIONE

6.1 Oggetti conservati

6.2 Pacchetto di versamento

6.3 Pacchetto di archiviazione

6.4 Pacchetto di distribuzione

7 IL PROCESSO DI CONSERVAZIONE

7.1 Modalità di acquisizione dei pacchetti di versamento per la loro presa in carico

7.2 Verifiche effettuate sui pacchetti di versamento e sugli oggetti in essi contenuti

7.3 Accettazione dei pacchetti di versamento e generazione del rapporto di versamento di

presa in carico

7.4 Rifiuto dei pacchetti di versamento e modalità di comunicazione delle anomalie

7.5 Preparazione e gestione del pacchetto di archiviazione

7.6 Preparazione e gestione del pacchetto di distribuzione ai fini dell’esibizione

11 Lo schema, nelle intenzioni dell’Agenzia, vuole essere un ausilio per la redazione del manuale, non è strettamente vincolante per la forma e i

contenuti ma si consiglia di adeguarsi ad esso allo scopo di garantire omogeneità di presentazione, completezza dei contenuti e facilità di lettura

anche da parte dei clienti del servizio.

Lo schema tiene, altresì, conto di quanto previsto dal documento “Requisiti di qualità e sicurezza per l’accreditamento e la vigilanza” limitatamente alle indicazioni sui contenuti del manuale di conservazione e dettaglia gli elementi elencati all’articolo 8, comma 2, del suddetto D.P.C.M. del 3

dicembre 2013.

pag. 12 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

7.7 Produzione di duplicati e copie informatiche e descrizione dell’eventuale intervento del

pubblico ufficiale nei casi previsti

7.8 Scarto dei pacchetti di archiviazione

7.9 Predisposizione di misure a garanzia dell'interoperabilità e trasferibilità ad altri

conservatori

8 IL SISTEMA DI CONSERVAZIONE

8.1 Componenti Logiche

8.2 Componenti Tecnologiche

8.3 Componenti Fisiche

8.4 Procedure di gestione e di evoluzione

9 MONITORAGGIO E CONTROLLI

9.1 Procedure di monitoraggio

9.2 Verifica dell’integrità degli archivi

9.3 Soluzioni adottate in caso di anomalie

Quale ultima informazione si dica che sul sito dell’Agenzia sono stati pubblicati i riferimenti dei

conservatori che hanno ottenuto l’accreditamento e i rispettivi manuali. Il contenuto dei quali

non deve considerarsi, per espressa ammissione dell’Agenzia medesima, completamente

esaustivo, essendovi, per esempio, esclusi i riferimenti peculiari alle specificità contrattuali che

legano il conservatore al committente il relativo servizio.

pag. 13 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

La certificazione del processo di conservazione

Ai conservatori accreditati e ai conservatori in genere è precluso compiere attività di certificazione del processo. Così l’art. 7, comma 2, del Decreto, per cui: “Ai sensi dell’art. 44, comma 1 – ter, del Codice, il Responsabile della conservazione può chiedere di certificare la conformità del processo di conservazione a soggetti, pubblici o privati, che offrano idonee garanzie organizzative e tecnologiche, ovvero a soggetti a cui è stato riconosciuto il possesso dei requisiti di cui all’art. 44 – bis, comma 1 del Codice, distinti da conservatori o dai conservatori accreditati”. Il possesso dei requisiti necessari per il riconoscimento del livello più elevato di affidabilità in termini di qualità e di sicurezza concorre a determinare la scelta del soggetto più adeguato per le operazioni anzidette. Ad esso non si richiede espressamente di essere accreditato presso l’Agenzia per l’Italia digitale, tanto meno come conservatore. La certificazione dei requisiti quindi può provenire anche per altre vie. Partendo dalla circolare dell’Agenzia n. 65/2014, potrebbe argomentarsi sul punto che una simile attività possa essere riconosciuta ad un certificatore accreditato da Accredia o da altro ente di accreditamento riconosciuto (ex art. 5, comma 6, della circolare medesima). Per ora l’Agenzia nella circolare stabilisce tale possibilità solo per i conservatori, tenuti a presentare e a rinnovare, laddove necessario, il certificato di conformità del sistema di conservazione ai requisiti tecnici organizzativi stabiliti dall’Agenzia medesima. Senza prevedere, né tanto meno escludere esplicitamente un’interpretazione estensiva della prescrizione, che gli enti di accreditamento possano essere interpellati direttamente dal Responsabile della conservazione Inoltre l’accreditamento come conservatori esclude la possibilità per i soggetti iscritti agli elenchi dell’Agenzia di operare come certificatori. Ciò per due ordini di motivi. L’uno legato proprio al fatto che all’Agenzia non sono attribuiti i peculiari compiti di certificazione né sono applicate le normative di riferimento; l’altro, di ragionevole comprensione, per cui qualunque sia il metodo e lo schema di certificazione, il soggetto che certifica non può svolgere anche l’attività oggetto della certificazione. Che si estrinsecherebbe in specie nella valutazione della correttezza del processo di conservazione, che, a seguito di verifiche ispettive, comporti l’attestazione della conformità dello stesso a norme e standard predefiniti e universalmente riconosciuti, come già avviene per la certificazione della qualità e della gestione della sicurezza o del sistema di conservazione del conservatore accreditato.

pag. 14 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

La sicurezza del sistema di conservazione

Il livello di sicurezza richiesto viene stabilito dal Decreto in base ai soggetti, e alla loro peculiare “personalità” pubblica e privata, e/o alla loro qualità di conservatori accreditati. Gli obblighi in tal senso per i soggetti pubblici discende dall’art. 12, comma 1, del Decreto che prevede che “Nelle pubbliche amministrazioni, il responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, con il responsabile dell’ufficio di cui all’art. 17 del Codice, provvede a predisporre, nel piano generale della sicurezza, il piano della sicurezza del sistema di conservazione nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto, nonché in coerenza con quanto previsto dagli articoli 50 – bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale. Le suddette sono descritte nel manuale di conservazione di cui all’articolo 8”. Rimandando le precisazioni sulle misure di cui al Codice per la protezione dei dati personali, ci soffermeremo ora brevemente sulle indicazioni in materia provenienti dal Codice e dalla produzione “tecnica” dell’Agenzia. Il piano di sicurezza del sistema di conservazione si innesta in un più ampio contesto che prende in considerazione gli scenari di rischio attuali e i rimedi più consoni ad escludere e limitare la perdita, anche accidentale, di informazioni e di dati personali, e al loro efficace recupero e quindi alla continuità operativa. In relazione proprio alle potenzialità di rischio e alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e per il suo funzionamento, senza soluzione di continuità. A tali fini, secondo l’art. 50 – bis del Codice (per come integrato dall’art. 34, comma 2, del D. Lgs. n. 235/2010), e del suo secondo comma, le pubbliche amministrazioni definiscono:

a) “il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa

di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia

pag. 15 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l'innovazione”.

Il ruolo dell’Agenzia è fondamentale nella preventiva analisi di fattibilità dei progetti di sicurezza in concreto commissionati dalle pubbliche amministrazioni. In tale prospettiva si inseriscono, tra le altre, le linee guida per il disaster recovery delle pubbliche amministrazioni adottate (con parere favorevole del Garante per la protezione dei dati personali12) dall’Agenzia nel 2013 ai sensi del comma 3, lettera b) dell’art. 50 – bis del D.lgs.n. 82/2005 e s.m.i.. Il documento programmatico dell’Agenzia è strutturato in 9 capitoli 13 e si pone l’obiettivo (insieme alle Regole tecniche di cui all’art. 51 del Codice - inerente alla sicurezza dei dati, dei sistemi e delle infrastrutture, e alle prescrizioni derivanti da altri obblighi normativi come, per esempio, quelli di cui al Codice per la protezione dei dati personali) di formalizzare l’impegno inderogabile per le pubbliche amministrazioni che dovranno limitare al massimo gli effetti negativi di possibili fermi prolungati dei servizi ICT. Al fine esse, se dotate già di un piano di continuità operativa e di disaster recovery verificare la corrispondenza delle soluzioni già adottate con quelle presentate nelle linee guida come riferimento omogeneo per tutta la pubblica amministrazione; oppure dotarsi dei detti piani orientandosi per il tramite delle indicazioni dell’Agenzia per ottemperare agli obblighi imposti dall’art. 50 – bis del Codice. Le Amministrazioni sono chiamate, quindi, a elaborare studi di fattibilità:

- VALUTANDO il proprio contesto tecnico operativo di riferimento; - VERIFICANDO l’importanza dei dati rispetto ai procedimenti amministrativi svolti e/o ai

servizi erogati verso l’utenza e il cittadino; - SVOLGENDO attività di Business Impact Analisys (BIA), al fine quindi di verificare i rischi

e possibili impatti che si determinano su procedimenti e servizi erogati, a fronte di situazioni di indisponibilità prolungate o di disastro e valutare le soluzioni possibili per mitigare o evitare le situazioni di rischio;

- PREDISPONENDO, arricchendo e monitorando periodicamente le misure minime e le politiche di sicurezza e gli accorgimenti organizzativi e tecnici per far fronte a eventi critici o disastrosi (attraverso piani di Continuità Operativa e piani di Disaster Recovery).

12 http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2563133

13http://www.agid.gov.it/sites/default/files/linee_guida/linee-guida-dr.pdf

pag. 16 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

Indispensabili in tal senso sono anche i livelli di servizio ipotizzati dall’Agenda e vincolanti nell’attività di approvvigionamento di beni e di servizi ICT da parte delle pubbliche amministrazioni. A completare il quadro giuridico ed operativo brevemente descritto manca solo l’art. 51 del Codice che prevede che con apposite regole tecniche saranno individuate le modalità per garantire l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture nonché per assicurare che i documenti informatici siano custoditi e controllati in modo tale da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato e non consentito. Ciò ci permette di ricollegarci in primis alla sicurezza richiesta per la salvaguardia dei sistemi di conservazione per i quali si rende necessaria l’adozione di idonee soluzioni tecniche e di accurate politiche di backup e di salvataggio degli archivi e dei dati (e quindi sia dei dati strutturati presenti nei data base che dei dati, quali i documenti informatici, trattati nell’ambito dei sistemi di gestione documentale, dei log relativi che consentono di tracciare le operazioni eseguite). Altresì ciò ci ricollega agli obblighi normativi di cui al Codice per la protezione dei dati personali applicabili e vincolanti per soggetti pubblici e in via preferenziale e sicuramente obbligatoria per i soggetti privati14 . Le misure di sicurezza degli artt. da 33 a 36 del Codice per la protezione dei dati personali richiamano quelle cc.dd. minime che si concretano, in specie, per lo più in quelle di cui all’art. 34 stabilite per i trattamenti dei dati personali con strumenti elettronici. In sintesi si tratta: dell’autenticazione informatica; dell’utilizzazione di un sistema di autorizzazione; dell’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; della protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; dell’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; dell’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Le misure e la loro concreta applicazione trovano ulteriore rilievo nell’allegato B (melius Disciplinare Tecnico in materia di misure minime di sicurezza15) al Codice per la protezione dei dati personali. Esse devono già caratterizzare le procedure di sicurezza dei privati a meno che essi non si attengano a particolari regole di settore per la sicurezza dei sistemi informativi (consideriamo

14 L’art. 12, comma 2, del Decreto prevede che: “I soggetti privati appartenenti ad organizzazioni che già adottano particolari regole di settore

per la sicurezza dei sistemi informativi adeguano il sistema di conservazione a tali regole. Gli altri soggetti possono adottare quale modello di riferimento le regole di sicurezza indicate dagli artt. 50 –bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia Digitale.

I sistemi di conservazione rispettano le misure di sicurezza previste dagli articoli da 31 a 36 e dal disciplinare tecnico di cui all’allegato B del

Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196”. 15 http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1557184

pag. 17 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

per esempio gli operatori di telecomunicazione e/o sanitari per cui sussistono obblighi e cautele maggiori in ragione della natura dei dati trattati). Ulteriori vincoli riguardano, altresì, quelli tra i soggetti privati che, in base a determinati requisiti, siano tenuti al rispetto e alla predisposizione di una disciplina anche di controllo delle attività di coloro che anche per conto degli enti produttori privati svolgono funzioni di amministratore di sistema (di cui al provvedimento del Garante per la protezione dei dati personali del 28 novembre 200816). Per i conservatori accreditati (privati e pubblici) la garanzia di un livello elevato di sicurezza è requisito specifico per l’iscrizione nell’elenco tenuto dall’Agenzia. La garanzia viene misurata sia sulle competenze delle risorse personali impiegate che degli strumenti utilizzati per la gestione del sistema di conservazione. Tanto prevede l’Agenzia nelle indicazioni utili per il buon esito della richiesta di accreditamento e soprattutto per il suo mantenimento nel tempo. Controllato e monitorato dall’Agenzia medesima in base ai parametri di cui al documento istituzionale relativo a “Requisiti qualità e sicurezza per l’accreditamento e la vigilanza”17 come a quello relativo a “Profili professionali”18 che devono essere presenti nella struttura organizzativa del soggetto pubblico o privato candidato all’accreditamento. L’art. 5 della Circolare dell’Agenzia n. 65/2014, ai commi 5 e 6, prevede, nell’ambito delle operazioni di vigilanza ad essa affidate, la necessità della certificazione ISO/IEC 27001, e che almeno ogni 24 mesi a partire dalla data comunicata dall’Agenzia, il conservatore accreditato debba presentare un certificato di conformità del sistema di conservazione ai requisiti tecnici organizzativi stabiliti dall’Agenzia, rilasciato da un ente di certificazione accreditato da Accredia (l’ente italiano di accreditamento19), o da altro ente di accreditamento firmatario degli accordi di mutuo riconoscimento nello schema specifico.

Le novità dell’ultima ora Il D.P.C.M. del 13 novembre 2014 e pubblicato in Gazzetta Ufficiale (serie generale n. 8) il 12 gennaio 2015, recante le regole tecniche in Regole tecniche in materia di formazione,

16 http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499 17 http://www.agid.gov.it/sites/default/files/documentazione/requisiti_di_qualita_e_sicurezza.pdf 18http://www.agid.gov.it/sites/default/files/documentazione/profili_professionali_per_la_conservazione.pdf 19 http://www.accredia.it/context.jsp?ID_LINK=26&area=6

pag. 18 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici, nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni, mutua le esigenze di sicurezza appena descritte. Ciò, ancora una volta, a confermare la continuità anche operativa delle regole in esame e l’intenzione del legislatore di creare una disciplina uniforme e comune.

Il Responsabile della conservazione

Il ruolo del Responsabile della conservazione si inserisce nel relativo sistema in base al suo peculiare modello organizzativo strutturato secondo le scelte del soggetto produttore dei documenti informatici da conservare. Questi può, ai sensi e per gli effetti dell’art. 5, comma 2, del Decreto, prevedere che la conservazione sia svolta all’interno della sua struttura organizzativa o può affidarla, in modo totale o parziale, ad altri soggetti, pubblici o privati, che offrono garanzie organizzative e tecnologiche, anche accreditati come conservatori presso l’Agenzia per l’Italia digitale20. La disposizione richiama per caratterizzare le scelte dei modelli organizzativi l’art. 44 del codice che, ai commi 1 -bis e 1 – ter (per come integrati dal D.lgs.n. 235/2010), prevede: “1-bis. Il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d'intesa con il responsabile del trattamento dei dati personali di cui all'articolo 29 del decreto legislativo 30 giugno 2003, n. 196 , e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all'articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 , nella definizione e gestione delle attività di rispettiva competenza. 1-ter. Il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito dall' articolo 43 e dalle regole tecniche ivi previste, nonché dal comma 1 ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche.” I criteri di scelta non sono definiti ma possono serenamente ricollegarsi alla competenza, alla professionalità e all’esperienza richiesta al Responsabile e nel caso di esternalizzazione all’affidabilità garantita del soggetto, pubblico o privato, prescelto in base alla sua organizzazione di mezzi, di tecnologie e di personale (altamente qualificato).

20 Per completezza espositiva si ribadisce che le pubbliche amministrazioni realizzano i processi di conservazione all’interno della propria struttura

organizzativa o affidandoli a conservatori accreditati, pubblici o privati, di cui all’art. 44 – bis, comma 1, del Codice, fatte salve le competenze del Ministero per i beni, le attività culturali e il turismo ai sensi del decreto legislativo 22 gennaio 2004, n. 42, e successive modificazioni (art. 5, comma

3, del Decreto).

pag. 19 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

I criteri riescono a misurare anche la responsabilità dell’ente produttore nelle sue scelte avventate per cui possa incorrere in culpa in eligendo. Le modalità formali con le quali la scelta deve avvenire sono chiare nel caso in cui la conservazione viene affidata all’esterno della struttura per cui il decreto, all’art. 6, comma 7, del Decreto prevede la stipulazione di un contratto o di una convenzione di servizio che rimanda quanto meno alla struttura dell’appalto di servizi, appunto, o di somministrazione. Che nei casi più complessi non sfugge alla predisposizione di apposite SLA (o Service Level Agreement). Una struttura simile è mutuata dalle prescrizioni contenute nei documenti di ragguaglio allegati alla circolare n. 65/2014 che (è il caso dell’allegato relativo a “profili professionali”) richiama l’osservanza dei livelli di servizio concordato con l’ente produttore. In caso di esternalizzazione della conservazione si ipotizza il completo affidamento delle relative funzioni tra cui quelle del Responsabile della conservazione. Tanto, però, non è chiaro poiché il Decreto prevede l’obbligo esplicitato nei contratti e nelle convenzioni di servizio del rispetto del manuale di conservazione predisposto dal responsabile come se si trattasse di un documento preesistente al rapporto instaurato. Ciò sembrerebbe avvalorato anche dall’art. 44, comma 1-ter del Codice per come appena richiamato. E quindi, il Responsabile della conservazione può, quanto meno, orientare nella scelta del modello organizzativo l’ente produttore a cui comunque viene dalla disposizione ancora collegato, e a cui si riferisce la sua attività (non ultima quella di predisporre e aggiornare il manuale di conservazione che obbliga i soggetti esterni in base all’art. 6, comma 7, del Decreto). Ma il Decreto cambia di nuovo le carte quando richiamando l’art. 44, comma 1-ter, riporta di questo solo la facoltà in capo al Responsabile di chiedere la certificazione del processo di conservazione. Nonostante non via sia stata modifica della disposizione né tanto meno questa può attribuirsi ad un decreto ministeriale. Al Responsabile è riconosciuto ai sensi e agli effetti dell’art. 6, commi 5 e 6, del Decreto, autonomia e responsabilità dirette nelle scelte organizzative e operative svolte a favore del sistema presidiato. In particolare gli articoli prevedono rispettivamente che il Responsabile della conservazione definisca e attui le politiche complessive del sistema di conservazione e ne governa con piena responsabilità ed autonomia, in relazione al modello organizzativo adottato; altresì, con la propria responsabilità, può delegare lo svolgimento del processo di conservazione o di parte di esso ad uno o più soggetti di specifica competenza ed esperienza in relazione alle attività ad essi delegate. Tale delega è formalizzata, esplicitando chiaramente il contenuto della stessa, ed in particolare le specifiche funzioni e competenze affidate al delegato. Quindi si tratta di una delega sicuramente scritta e sottoscritta e fortemente circostanziata al fine di misurare l’osservanza e l’adempimento delle istruzioni impartite e contestualmente gli obblighi di

pag. 20 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

controllo rimandati al delegante, ovvero al Responsabile. Come anche la misura dell’efficacia della scelta operata da questi se congrua o meno. L’organizzazione del sistema di conservazione ruota, comunque, intorno alla figura del Responsabile, pertanto non solo la scelta ma anche le formalità con cui essa si compie non può essere che all’altezza dei compiti affidati e dei poteri riconosciuti. Nelle pubbliche amministrazioni il ruolo del Responsabile della conservazione è svolto da un dirigente o da un funzionario formalmente designato oppure può essere svolto dal responsabile della gestione documentale ovvero dal coordinatore della gestione documentale, ove nominato (ex art. 7, commi 3 e 4, del Codice). Per gli enti di diritto privato l’affidamento, quanto meno all’interno della loro struttura, delle funzioni del Responsabile della conservazione non è regolato o suggerito ma ciò non significa che debba essere sottovalutato da una scelta formale di circostanza. Essa deve garantire l’autonomia del suo ruolo rispetto all’organizzazione dell’ente (anche se interno ad essa) e la responsabilità delle competenze e dei poteri del Responsabile. Il ruolo sembrerebbe quanto meno dirigenziale e l’investitura non può che essere quella derivante da un mandato e/o da una delega di funzioni (laddove possibile), purchè capace di caratterizzare il modello organizzativo adottato ai sensi dell’art. 5 del Decreto e il ruolo in esso assunto dal Responsabile, in base anche alla sua acquisita professionalità 21 in materia. La designazione sembrerebbe, in difetto di specifiche sul punto, individuale. Ciò a significare che il Responsabile, inserito o meno, nella struttura dell’ente debba essere una persona fisica (volendo anche argomentando con le funzioni corrispondenti affidate in ambito pubblico ai ruoli in organico). Il ruolo nel suo contenuto viene definito compiutamente nell’art. 7, comma 2, del Decreto, nella somma delle attività finora analizzate e ricondotte al sistema di conservazione (e ai relativi processi) presidiate dal Responsabile della conservazione. Pertanto l’elenco delle funzioni di cui all’articolo richiamato dovrebbe intendersi come il contenuto essenziale del suo atto di designazione che non può prescindere dalla descrizione dalle ragioni della scelta, delle funzioni stesse nel loro concreto affidamento al soggetto designato e dei limiti delle responsabilità e dei poteri che ne discendono o che vi sono presupposti.

I COMPITI CHE AD ESSO VENGONO RICONOSCIUTI SONO:

- compiti organizzativi, ossia definire le caratteristiche e i requisiti del sistema di conservazione, definire il manuale operativo della conservazione; partecipare a incontri e seminari formativi dedicati alle procedure di conservazione digitale, definire le procedure informatiche, organizzative e di sicurezza inerenti al processo di conservazione, etc.;

- compiti di registrazione, cioè garantire la correttezza del processo di riversamento e di archiviazione e di distribuzione, descrivere in dettaglio le attività del processo di

21 La professionalità del Responsabile potrebbe essere considerata anche per la misura della diligenza richiesta nell’esercizio delle sue funzioni e

quindi della responsabilità in caso di negligenza.

pag. 21 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

conservazione (gestione ordinaria gestione delle anomalie, ispezioni e verifiche), gli oggetti conservati, le figure coinvolte (ruoli, deleghe, responsabilità, formazione) e gli strumenti utilizzati, etc.;

- compiti di manutenzione e controllo, ovvero effettuare specifici controlli sui sistemi software e sui supporti hardware utilizzati per la conservazione, aggiornare i certificati di firma, verificare la validità delle marche temporali, verificare periodicamente la leggibilità dei documenti;

- compiti operativi, cioè supervisionare l’intero processo di archiviazione e conservazione; - compiti per la protezione dei dati e delle procedure informatiche, ovvero garantire

tutte le misure necessarie per la sicurezza fisica, logica e ambientale dei dati e del sistema preposto alla loro conservazione;

- compiti di assistenza/ispezione, ossia garantire l’adeguato supporto ai vari delegati che svolgono le attività di conservazione, ispezionare i luoghi in cui vengono eseguite le attività di registrazione delle informazioni digitali e di conservazione a garanzia della validità giuridica del processo.

Il team di gestione

Al di là dei soggetti che delega direttamente e in piena autonomia ai sensi e per gli effetti dell’art. 6, comma 6, del Decreto, il Responsabile della conservazione opera di intesa (e in equilibrio) con il RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI, con il RESPONSABILE

DELLA SICUREZZA e con il RESPONSABILE DEI SISTEMI INFORMATIVI. Quindi non si sostituisce a questi nelle loro specifiche competenze che, invece, adatta al sistema di conservazione e alla sua necessità di garantire la sicurezza e la riservatezza dei dati personali e delle informazioni che vi transitano ai sensi e per gli effetti dell’art. 12 del Decreto (alla cui disamina si rimanda). Infine, nel caso in cui la conservazione venga esternalizzata, il soggetto prescelto (persona giuridica o persona fisica) a cui è affidato il processo assume, ai sensi e per gli effetti dell’art. 6, comma 8, del Decreto, il ruolo di responsabile del trattamento dei dati come previsto dal D. Lgs. n. 196/2003 (Codice per la protezione dei dati personali). L’ente obbligato, sia privato che pubblico, nella scelta di un modello organizzativo di tal genere, assume la responsabilità di garantire l’osservanza di tutti gli obblighi normativi che ne derivano. Pertanto, nonostante la designazione del responsabile del trattamento sia gestita dal legislatore come una facoltà, il Decreto sembra assumere la scelta come dovuta. E così ai sensi e per gli effetti dell’art. 29 del D. Lgs. n. 196/2003 l’ente in qualità di titolare del trattamento dei dati personali, o il Responsabile della conservazione nel caso in cui ad esso possa riconoscersi un ruolo nel modello organizzativo in esame e soprattutto nel caso in cui venga legittimato alla designazione in forza della delega ricevuta, procede all’individuazione e alla designazione del responsabile del trattamento. Questi viene individuato tra soggetti che, per esperienza, capacità

pag. 22 © Tutti i diritti riservati. Professional Academy (marchio AIDEM srl) – T. 0376 1962658 – formazione@infoacademy.it

ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Nel caso di specie la valutazione dei requisiti richiesti pare esaurirsi con quelli già valutati ai fini della scelta del soggetto affidatario del processo di conservazione. Anch’essi severi e qualificanti da tutti i punti di vista considerati dal D. Lgs. n. 196/2003. Il criterio di scelta deve rimanere evidente nella sua formale designazione; i compiti affidati al responsabile devono essere analiticamente specificati per iscritto e questi deve attenersi alle istruzioni ricevute la cui osservanza è rimessa alla vigilanza del titolare o del Responsabile della conservazione da esso al fine delegato. Altresì il soggetto designato è sottoposto all’accertamento costante dei requisiti che ne hanno determinato la scelta (salva l’eventuale culpa in eligendo del designante) e delle garanzie che ne derivano per il rispetto delle vigenti disposizioni in tema di trattamento, ivi compreso il profilo relativo alla sicurezza. Infine, la designazione può essere parte integrante del contratto o della convenzione di servizio di cui all’art. 6, comma 8, del Decreto e/o comunque deve assumere una forma sicura e rilevante che ne legittimi anche il potere di designare gli incaricati del trattamento ex art. 30 del D. Lgs. n. 196/2003 e gli effetti dell’eventuale inadempimento alle istruzioni ricevute.

AVV. CHIARA FANTINI

LIBERO PROFESSIONISTA E OF COUNSEL “STUD IO LEGALE FREDIANI PARTNER COLIN

& PARTNERS SRL (GIÀ DI & P SRL)”