Professioni digitali obbligatorie per PA e imprese e conservatori accreditati: le novità delle regole tecniche sulla conservazione

Le regole tecniche per la conservazione dei documenti informatici avranno un impatto notevole sul mercato della PA e su quello delle imprese. Nell’ambito della collaborazione con  lo Studio Legale Lisi presentiamo il contributo di Andrea Lisi che fa il punto sulle nuove professionionalità (e professioni) divenute obbligatore.

In data 24 marzo 2014 ho partecipato a una importante riunione presso AgID per discutere degli impatti che avranno sul mercato delle PA e delle Imprese le nuove regole tecniche in materia di conservazione dei documenti informatici (DPCM 3 dicembre 2013 pubblicato in G.U. n. 59 del 12 marzo 2014 e in vigore a partire dal trentesimo giorno successivo alla data di pubblicazione)[1] e finalizzare insieme al nucleo operativo di AgID coordinato dalla d.ssa Maria Pia Giovannini i dettagli della futura circolare in materia di accreditamento dei conservatori di cui si attende la pubblicazione a breve.

Le nuove regole tecniche sulla conservazione, coordinate anche con le altrettanto importanti Regole tecniche in materia di protocollo informatico[2], comportano per tutte le PA e le Imprese coinvolte nei processi di digitalizzazione documentale la predisposizione di un nuovo assetto organizzativo in grado di presidiare un sistema di conservazione che soddisfi quando previsto dall’art. 44, 1° comma del Codice dell’amministrazione digitale e, cioè:

a) l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

b) l’integrità del documento;

c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari;

d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto.

Si ricorda, prima di tutto, che conservare a norma documenti informatici è indispensabile per garantire la sopravvivenza del proprio patrimonio informativo e documentale ed è quindi un processo obbligatorio per tutte le PA e le imprese che formano e gestiscono digitalmente documenti. Infatti, l’art. 43 comma 3 del CAD prevede che “i documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali, nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71”.

Quindi, chi fattura elettronicamente, chi invia e riceve PEC, chi utilizza la firma digitale (o altre forme di firma) per sottoscrivere documenti informatici, chi pubblica online documenti, deve conservare tali oggetti informatici predisponendo un idoneo sistema di conservazione allineato alle nuove regole tecniche, altrimenti mette a rischio la validità di tutti i documenti informatici prodotti o ricevuti dal proprio ente di appartenenza.

Fatte queste indispensabili e doverose premesse, le nuove regole tecniche, rispetto a quelle precedenti e più “striminzite” contenute nella deliberazione CNIPA n. 11/2004, prevedono per tutti coloro che gestiscono documenti informatici lo sviluppo di un nuovo modello organizzativo atto a presidiare non solo i propri documenti, ma anche (e questa è già un’importante novità) i propri fascicoli informatici. In particolare, l’art. 3 delle nuove regole tecniche precisa che in attuazione di quanto previsto dall’art. 44, 1° comma del CAD, “il sistema di conservazione assicura, dalla presa in carico dal produttore fino all’eventuale scarto, la conservazione, tramite l’adozione di regole, procedure e tecnologie, dei seguenti oggetti in esso conservati, garantendone le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità:

a) i documenti informatici e i documenti amministrativi informatici con i metadati ad essi associati di cui all’allegato 5 al presente decreto;

b) i fascicoli informatici ovvero le aggregazioni documentali informatiche con i metadati ad essi associati di cui all’allegato 5 al presente decreto, contenenti i riferimenti che univocamente identificano i singoli oggetti documentali che appartengono al fascicolo o all’aggregazione documentale”.

Inoltre, la nuova normativa tecnica precisa all’art. 5 che “il sistema di conservazione opera secondo modelli organizzativi esplicitamente definiti che garantiscono la sua distinzione logica dal sistema documentale, se esistente”[3].

Un sistema così complesso, delicato ed essenziale per tutelare il patrimonio documentale di una PA e di un’impresa non può essere affidato a chiunque, ma ha bisogno di essere o gestito internamente attraverso specifiche figure professionali o essere invece affidato in outsourcing a persone giuridiche che siano davvero in grado di garantire la correttezza di tali processi, avendo al loro interno un team di competenze in grado di governarli.

Se a tutela del sistema documentale di una PA ci deve essere obbligatoriamente il responsabile della gestione documentale o il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi (il quale ai sensi dell’art. 6 delle nuove regole tecniche “assicura la trasmissione del contenuto del pacchetto di versamento, da lui prodotto, al sistema di conservazione secondo le modalità operative definite nel manuale di conservazione”), a coordinamento del sistema di conservazione di privati e PA deve obbligatoriamente esserci, invece, il responsabile della conservazione, il quale “definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia, in relazione al modello organizzativo adottato ai sensi dell’art. 5”. Quindi, le nuove regole tecniche danno piena attuazione a quanto previsto dal Codice dell’amministrazione digitale nell’art. 44 comma 1-bis, il quale prevede che “il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza”. E infatti lo stesso art. 7 delle nuove regole tecniche precisa che “il responsabile della conservazione opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi che, nel caso delle pubbliche amministrazioni centrali, coincide con il responsabile dell’ufficio di cui all’art. 17 del Codice, oltre che con il responsabile della gestione documentale ovvero con il coordinatore della gestione documentale ove nominato, per quanto attiene alle pubbliche amministrazioni”.

L’articolo prosegue poi con la specificazione dei numerosi compiti del responsabile della conservazione. Ma ciò che più rileva ai nostri fini è la considerazione che per il nostro legislatore oggi chi vuole (e spesso deve) gestire documenti informatici ha l’obbligo di conservarli a norma e, per conservarli a norma, deve sviluppare un sistema di conservazione idoneo che sia obbligatoriamente coordinato e governato da un responsabile della conservazione, il quale a sua volta deve operare d’intesa con il responsabile del trattamento dei dati e, ove obbligatoriamente previsto (quindi nelle sole PA), con il responsabile degli archivi. Tutte queste distinte figure professionali divengono pertanto obbligatorie ex lege per chi deve conservare documenti informatici.

Con specifico riferimento alle Pubbliche Amministrazioni, le figure obbligatorie che devono operare d’intesa fra di loro sono, dunque:

– il Responsabile della conservazione (tendenzialmente configurabile nella professionalità di un informatico e/o digital preservation officer con conoscenze anche di informatica giuridica, diritto dell’informatica e basi di archivistica), il quale deve coordinare e presidiare i sistemi informatici informativi e documentali garantendone una durata nel tempo;

– il Responsabile per il trattamento dei dati personali[4] (tendenzialmente riconducibile alla figura professionale o di un consulente giuridico/organizzativo che abbia anche cognizioni di informatica e sicurezza informatica oppure di un esperto di sicurezza informatica con cognizioni di diritto) che deve occuparsi della protezione del dato nei database e negli archivi digitali;

– il Responsabile del protocollo, dei flussi documentali e degli archivi (un archivista che abbia anche conoscenze base di informatica, informatica giuridica e diritto dell’informatica), il quale deve presidiare la componente archivistica di qualsiasi sistema di conservazione dei documenti informatici[5].

In tale contesto, dunque, è ormai imprescindibile valorizzare le figure professionali del Responsabile della conservazione e del Responsabile privacy, titolari di compiti, poteri e funzioni fondamentali per una PA o un’impresa, che ricoprono ruoli chiave nella gestione dei processi digitali e ai quali è necessario garantire, dunque, un’adeguata preparazione, un costante aggiornamento e il riconoscimento di specifiche competenze. Proprio per dare regolamentazione e il giusto riconoscimento a queste due figure che operano in maniera complementare tra loro, è da poco nata l’associazione ANORC Professioni, prima associazione italiana che ha aperto per i Responsabili della conservazione e i Responsabili del trattamento due registri nazionali, istituendo un percorso virtuoso di formazione e aggiornamento a loro dedicato.

Ovvio che per una PA o un’impresa non è per nulla banale dotarsi di un team così variegato e multidisciplinare e sviluppare al proprio interno un sistema di conservazione a norma e, per questo motivo – come peraltro era già stato stabilito in passato dalla Delibera CNIPA n. 11 e confermato dal CAD all’art. 44 comma 1-ter[6] – è previsto che la conservazione possa essere affidata in outsourcing a un soggetto esterno (il conservatore) mediante uno specifico contratto che preveda in capo al conservatore l’obbligo del rispetto del manuale della conservazione predisposto (obbligatoriamente) dal responsabile della conservazione. Ciò che di rilevante prevedono le nuove regole tecniche è che “le pubbliche amministrazioni realizzano i processi di conservazione all’interno della propria struttura organizzativa o affidandoli a conservatori accreditati, pubblici o privati, di cui all’art. 44-bis, comma 1, del Codice”[7].

Quindi, le PA possono o sviluppare internamente il sistema di conservazione oppure affidarlo all’esterno, ma solo a conservatori accreditati.

A proposito dell’accreditamento, durante l’incontro del 24 marzo presso AgID è stato riferito che a breve verrà pubblicata una circolare la quale illustrerà le modalità e i termini per presentare la domanda di accreditamento o integrare le domande già inoltrate[8].

* Andrea Lisi – Digital & Law Department Studio Legale Lisi – www.studiolegalelisi.it – Presidente nazionale ANORC – www.anorc.it