Novità e imminenti scadenze per la gestione dei documenti informatici nella PA
(stato dell’arte aggiornato il 22 novembre 2016)
Le nuove regole tecniche sul protocollo informatico non hanno rivoluzionato di fatto quanto già statuito in passato, ma hanno introdotto, tra gli altri, un nuovo obbligo che, se non rispettato, rischia d’invalidare gli sforzi messi in atto dalle PA per la corretta gestione del protocollo informatico: dall’11 ottobre 2015, infatti, è diventata obbligatoria la conservazione “a norma” del registro di protocollo informatico
9 Settembre 2015
Andrea Lisi e Francesca Cafiero, Ufficio Presidenza ANORC Professioni
L’importanza di una determinata scadenza varia certamente a seconda del contesto di riferimento. Tuttavia la demarcazione di confini temporali certi entro cui rispondere a determinati adempimenti dovrebbe suggerire universalmente a chi opera nel “futuro”, di prestare attenzione a quanto previsto da chi nel “passato” si apprestava a porre le basi per la realizzazione di quel determinato obiettivo. In alcuni casi è possibile che i due attori coincidano: pensiamo a quante volte noi stessi ci ritroviamo a procrastinare date e scadenze che, invece, al momento dell’inserimento in agenda, ci sembravano improrogabili e di assoluta priorità. Altre volte invece, come nel caso – di natura decisamente meno soggettiva – delle Pubbliche Amministrazioni, è il Legislatore ad aver deciso, con un certo anticipo, alcune scadenze perentorie per l’attuazione di determinati obbiettivi, come nel caso della digitalizzazione dei processi legati al ciclo di gestione documentale, salvo poi paventare una riformulazione dell’intero iter [1], a distanza ravvicinata dal suo compimento. Ma procediamo con ordine.
Il quadro normativo di riferimento delineato negli ultimi anni prevedeva in particolare la concentrazione di una serie di scadenze fissate lungo una linea temporale ben precisa, all’interno della quale i singoli provvedimenti non hanno senso se applicati in maniera a sé stante, ma devono essere correttamente interpretati secondo la logica predominante del “digital first”. Il singolo adempimento, pertanto, perde valore se non è correttamente contestualizzato all’interno dello scadenzario previsto per gli adeguamenti necessari alla realizzazione di validi processi documentali interamente digitali. Ripercorriamo, in sintesi, le tappe di questo iter:
Lo scadenzario della digitalizzazione dei processi documentali ha inizio con un intervento nella fase corrente del ciclo di gestione, per cui le PA sono state chiamate, ancora una volta, a implementare una corretta gestione documentale informatica, riprendendo quanto già stabilito fin dal 2000 con le precedenti regole tecniche sul protocollo informatico. Le nuove regole non hanno rivoluzionato di fatto quanto già statuito in passato, ma hanno introdotto, tra gli altri, un nuovo obbligo che, se non rispettato, rischia d’invalidare gli sforzi messi in atto dalle PA per la corretta gestione del protocollo informatico: dall’11 ottobre 2015, infatti, è diventata obbligatoria la conservazione “a norma” del registro di protocollo informatico entro il giorno successivo alla sua formazione .
Proprio in tal senso importa comprendere il collocamento strategico delle scadenze previste dal legislatore: non è possibile infatti conservare e garantire la validità nel tempo dei documenti informatici delle PA se tutti i nuovi sistemi di conservazione non nascono conformi ai dettami delle regole previste dal DPCM del 3 dicembre del 2013 in materia di sistema di conservazione, specie se essi vengono affidati a fornitori esterni, che, a loro volta, devono obbligatoriamente rientrare nell’elenco dei conservatori accreditati tenuto da AgID [2]. Unica eccezione a quest’ultima scadenza è quella prevista per i sistemi di conservazione già esistenti alla data dell’11 aprile 2014: in questo caso tali sistemi (implementati secondo le regole tecniche contenute nella precedente delibera CNIPA 11/2004) possono essere adeguati alle nuove regole attualmente in vigore entro l’aprile del 2017.
Il processo di digitalizzazione del sistema di protocollo ha investito tutte le amministrazioni dello Stato, compresi gli Istituti scolastici di ogni ordine e grado, le Istituzioni educative, le Aziende e le Amministrazioni dello Stato a ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità Montane e loro consorzi e associazioni, le Istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio industria artigianato e agricoltura e loro associazioni; tutti gli Enti pubblici non economici nazionali, regionali e locali, le Amministrazioni, le Aziende e gli Enti del servizio sanitario nazionale, ai sensi del DPCM 3 dicembre 2013. Inoltre, devono adeguarsi alle disposizioni del DPCM anche tutte le società interamente partecipate da enti pubblici o con prevalente capitale pubblico inserite nel conto economico consolidato della PA.
Nel decreto è disposto che le amministrazioni abbiano il compito di nominare un Responsabile della gestione documentale – in possesso di idonei requisiti professionali o di professionalità tecnico archivistica -, nel caso di Enti con più aree organizzative omogenee dovrà essere individuato anche un Coordinatore della gestione documentale che sovrintenda ai Responsabili di ogni singola area, al fine di garantire una gestione documentale omogenea e coerente all’interno dello stesso ente.
Ogni Responsabile ha il compito di predisporre lo schema del manuale di gestione, proporre i tempi, le modalità e le misure organizzative e tecniche e predisporre il piano per la sicurezza informatica relativo alla formazione, alla gestione, alla trasmissione, all’interscambio, all’accesso, alla conservazione dei documenti informatici, nel rispetto delle misure minime di sicurezza previste nel disciplinare tecnico pubblicato all’allegato B del D.Lgs. del 30 giugno 2003, n. 196.
Il piano per la sicurezza informatica è una delle varie sezioni di cui deve comporsi il manuale di gestione dei documenti, il quale descrive tutto il sistema di gestione documentale dell’Ente (sia in relazione ai documenti finora gestiti in cartaceo che – soprattutto – a quelli informatici [2]) fino al momento del versamento in conservazione, e fornisce le istruzioni per il corretto funzionamento della tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi.
Il Manuale, inoltre, deve essere reso disponibile a tutti i cittadini mediante la pubblicazione sul sito istituzionale dell’Ente che l’ha prodotto e, in base alle previsioni del D.Lgs. n. 33/2013, il documento dovrà essere inserito anche nella sezione “Amministrazione Trasparente”; pertanto, nel caso in cui il manuale non venga pubblicato, chiunque ha la facoltà di inoltrare un’istanza di accesso civico al Responsabile della trasparenza dell’amministrazione, ai sensi dell’art. 5 del D.Lgs. n. 33/2013.
Nel manuale di gestione devono essere riportati, in particolare:
- la pianificazione, le modalità e le misure organizzative e tecniche finalizzate all’eliminazione dei protocolli di settore e di reparto, dei protocolli multipli, dei protocolli di telefax, e, più in generale, dei protocolli diversi dal protocollo informatico previsto dal testo unico;
- il piano di sicurezza dei documenti informatici relativo alla formazione, alla gestione, alla trasmissione, all’interscambio, all’accesso, alla conservazione dei documenti informatici;
- le modalità di utilizzo di strumenti informatici per la formazione dei documenti informatici, ai sensi dell’art. 40, comma 1, del CAD, e per lo scambio degli stessi all’interno e all’esterno dell’area organizzativa omogenea, ivi comprese le caselle di posta elettronica, anche certificata, utilizzate;
- la descrizione di eventuali ulteriori formati utilizzati per la formazione del documento informatico in relazione a specifici contesti operativi esplicitati e motivati;
- l’insieme minimo dei metadati associati ai documenti soggetti a registrazione particolare e gli eventuali ulteriori metadati rilevanti ai fini amministrativi, definiti, per ogni tipologia di documento, nell’ambito del contesto a cui esso si riferisce;
- la descrizione del flusso di lavorazione dei documenti ricevuti, spediti o interni, incluse le regole di registrazione per i documenti pervenuti secondo particolari modalità di trasmissione;
- l’indicazione delle regole di smistamento e assegnazione dei documenti ricevuti, con la specifica dei criteri per l’ulteriore eventuale inoltro dei documenti verso aree organizzative omogenee della stessa amministrazione o verso altre amministrazioni;
- le modalità di formazione, implementazione e gestione dei fascicoli informatici relativi ai procedimenti e delle aggregazioni documentali informatiche con l’insieme minimo dei metadati a essi associati;
- l’indicazione delle unità organizzative responsabili delle attività di registrazione di protocollo, di organizzazione e tenuta dei documenti all’interno dell’area organizzativa omogenea;
- l’elenco dei documenti esclusi dalla registrazione di protocollo e l’elenco dei documenti soggetti a registrazione particolare;
- i registri particolari definiti per il trattamento di registrazioni informatiche, anche associati ad aree organizzative omogenee definite dall’amministrazione sull’intera struttura organizzativa, e gli albi, gli elenchi e ogni raccolta di dati concernente stati, qualità personali e fatti;
- il sistema di classificazione, con l’indicazione delle modalità di aggiornamento, integrato con le informazioni relative ai tempi, ai criteri e alle regole di selezione e conservazione, con riferimento alle procedure di scarto;
- le modalità di produzione e di conservazione delle registrazioni di protocollo informatico e, in particolare, l’indicazione delle soluzioni tecnologiche e organizzative adottate per garantire l’immodificabilità della registrazione di protocollo, la contemporaneità della stessa con l’operazione di segnatura, nonché le modalità di registrazione delle informazioni annullate o modificate nell’ambito di ogni sessione di attività di registrazione;
- la descrizione funzionale e operativa del componente “sistema di protocollo informatico” del sistema di gestione informatica dei documenti, con particolare riferimento alle modalità di utilizzo;
- i criteri e le modalità per il rilascio delle abilitazioni di accesso interno ed esterno alle informazioni documentali e le modalità di utilizzo del registro di emergenza ai sensi dell’art. 63 del testo unico, inclusa la funzione di recupero dei dati protocollati manualmente.
Il manuale di gestione dei documenti è quindi uno strumento indispensabile alla corretta gestione documentale dell’Ente e assume un ruolo fondamentale sia internamente che esternamente all’Ente. Tale manuale, infatti, permette all’Ente di rendere pubbliche le proprie scelte in tema di gestione documentale , condividerle con i propri utenti e farle diventare, in virtù della propria autonomia organizzativa, vincolanti anche per questi ultimi. L’importanza di questo Manuale è stata da subito percepita anche dal vecchio CNIPA (ente “predecessore” di AgID), che con lo specifico quaderno 21, già nel febbraio 2006, forniva un’utilissima guida alla sua realizzazione.
Sempre in relazione alla strategia delle scadenze stabilita dal Legislatore, occorre ricordare come le disposizioni sul sistema di protocollo, ai fini di una corretta governance del processo di digitalizzazione, devono necessariamente essere applicate insieme alle regole tecniche approvate con DPCM 13 novembre 2014, per l’adeguamento dei sistemi di gestione informatica dei documenti, la cui scadenza era stata fissata al 12 agosto 2016. L’imperfetto è d’obbligo, in quanto il perfezionamento dell’iter ha subito una brusca interruzione a seguito della riforma del Codice dell’Amministrazione Digitale, con d.Lgs 179/2016.
Il Legislatore, al primo comma dell’art.61, ha previsto di fatto che “ con decreto del Ministro delegato per la semplificazione e la pubblica amministrazione da adottare entro quattro mesi dalla data di entrata in vigore del presente decreto sono aggiornate e coordinate le regole tecniche previste dall’articolo 71 del decreto legislativo 7 marzo 2005, n. 82. Le regole tecniche vigenti nelle materie del Codice dell’amministrazione digitale restano efficaci fino all’adozione del decreto di cui al primo periodo ”. Quindi, apparentemente, sembrerebbe che tutte le regole tecniche restino in vigore, fino all’aggiornamento previsto entro quattro mesi dal 14 settembre, senza sospensioni . Tutte, eccetto una. Proseguendo la lettura dell’art. 61, il Legislatore, prevede la sola sospensione dell’attuazione del DPCM 13 novembre 2014, specificando che “ fino all’adozione del suddetto decreto ministeriale, l’obbligo per le amministrazioni pubbliche di adeguare i propri sistemi di gestione informatica dei documenti, di cui all’articolo 17 del decreto del Presidente del Consiglio dei ministri 13 novembre 2014, è sospeso, salva la facoltà per le amministrazioni medesime di adeguarsi anteriormente ”.
In conclusione le PA italiane, che dovrebbero ormai da tempo, in ragione degli artt. 40 e ss. del CAD e, più in generale, del principio del digital first[3], formare, gestire e conservare i propri documenti in modalità digitale e che, in particolare, hanno avuto 18 mesi per adeguare i loro sistemi di gestione alla scadenza prevista dal DPCM 13 novembre 2014, sono invitate a sospendere (facoltativamente) i processi di digitalizzazione documentale fino all’emanazione di un nuovo testo tecnico, apparentemente “unico” [4] e onnicomprensivo.
[1] Ci si riferisce in particolare ai contenuti dell’art. 61, comma 1 del “nuovo” CAD, riformato ai sensi del D. lgs. 179/2016.
[2] Processo di accreditamento dei conservatori di documenti informatici previsto dal Codice dell’Amministrazione Digitale, a sua volta sospeso da parte di AgID, a partire dal 14 settembre 2016 .
[2] Si rammenta quanto disposto dall’art. 40, comma 1, del CAD, in base al quale le pubbliche amministrazioni formano gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici.
[3] Riferimento contenuto nell’art. 17 del DPCM citato. Fenomeno curioso– è bene ricordarlo per completezza – sempre all’art 17 si prevede che “il decreto entra in vigore decorsi trenta giorni dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Le pubbliche amministrazioni adeguano i propri sistemi di gestione informatica dei documenti entro e non oltre diciotto mesi dall’entrata in vigore del presente decreto (ndr. trattasi della data fatidica del 12 agosto). Fino al completamento di tale processo possono essere applicate le previgenti regole tecniche . Decorso tale termine si applicano le presenti regole tecniche”. Tuttavia non esistono regole tecniche precedenti sulla formazione dei documenti informatici! Sono, infatti, queste le uniche esistenti in materia di formazione di documenti informatici.
[4] Per una lettura critica dei contenuti dell’art. 61 leggere anche Addio carta nella PA, Lisi: “Il rinvio è un bug normativo e sta facendo danni”, di Andrea Lisi.