Questioni irrisolte e problemi aperti dal DPCM 3 dicembre 2013 sulla conservazione digitale dei documenti
La recente normativa sulla conservazione dei documenti informatici ha introdotto diverse novità, soprattutto per la pubblica amministrazione, ma ancora molti rimangono gli aspetti da chiarire. Gli avvocati Andrea Lisi e Sarah Ungaro, dello Studio Legale Lisi, provano a fare un po’ di chiarezza su alcuni passaggi chiave della normativa.
5 Giugno 2014
Andrea Lisi e Sarah Ungaro
La recente normativa sulla conservazione dei documenti informatici ha introdotto diverse novità, soprattutto per la pubblica amministrazione, ma ancora molti rimangono gli aspetti da chiarire. Gli avvocati Andrea Lisi e Sarah Ungaro, dello Studio Legale Lisi, provano a fare un po’ di chiarezza su alcuni passaggi chiave della normativa.
Sono stati copiosi i primi commenti al testo del DPCM 3 dicembre 2013 che ha introdotto, dopo tanta attesa, le nuove regole tecniche per i sistemi di conservazione. Una delle principali novità riguarda le PA, le quali sembrerebbero potersi rivolgere in outsourcing solo a conservatori che abbiano conseguito l’accreditamento presso AgID. Ma con queste nuove regole tecniche è davvero tutto così chiaro?
Quando un sistema di conservazione può dirsi “esistente”?
La domanda può sembrare banale, ma la risposta è tutt’altro che ovvia e rappresenta il presupposto di importanti ricadute pratiche: ai sensi dell’art. 14, comma 2, del DPCM 3 dicembre 2013, infatti, “i sistemi di conservazione già esistenti alla data di entrata in vigore del presente decreto sono adeguati entro e non oltre 36 mesi dall’entrata in vigore del presente decreto secondo un piano dettagliato allegato al manuale della conservazione. Fino al completamento di tale processo per tali sistemi possono essere applicate le previgenti regole tecniche. Decorso tale termine si applicano in ogni caso le regole tecniche di cui al presente decreto”. Per sapere, dunque, se un sistema di conservazione può beneficiare della proroga di 36 mesi oppure deve essere adeguato immediatamente alle nuove regole tecniche del DPCM 3 dicembre 2013, qual è l’elemento dirimente la cui presenza alla data di entrata in vigore delle nuove regole (11 aprile 2014) sancisce l’esistenza del sistema di conservazione? La nomina da parte dell’ente del Responsabile della conservazione? La predisposizione del Manuale da parte di quest’ultimo? La stipulazione di un contratto con il Conservatore, qualora il sistema sia affidato in outsourcing? L’effettiva conservazione del primo “pacchetto di archiviazione”?
Sul punto, non aiuta il ricco Glossario che costituisce l’Allegato 1 al DPCM, limitandosi a rinviare – per la nozione di sistema di conservazione – all’art. 44 del Codice dell’Amministrazione digitale (D.Lgs. 82/2005), dal quale nulla si evince su ciò che sancisce l’esistenza del sistema di conservazione.
Quali sono i poteri del Ministero dei Beni e delle attività culturali e del turismo sui sistemi di conservazione delle PA?
Sappiamo già che il Codice dell’Amministrazione digitale all’art. 43, comma 4, stabilisce che per i processi di conservazione “sono fatti salvi i poteri di controllo del Ministero per i beni e le attività culturali sugli archivi delle pubbliche amministrazioni e sugli archivi privati dichiarati di notevole interesse storico ai sensi delle disposizioni del decreto legislativo 22 gennaio 2004, n. 42”. In effetti, ai sensi dell’art. 21 del Codice dei beni culturali e del paesaggio è necessaria l’autorizzazione della soprintendenza archivistica per affidare “in outsourcing” il sistema di conservazione di una pubblica amministrazione[1]. In argomento, anche le nuove regole tecniche menzionano le competenze del citato Ministero, tuttavia in una disposizione che lascia adito a molteplici interpretazioni. Al comma 3 dell’art. 5 del DPCM 3 dicembre 2013, infatti, si legge che “le pubbliche amministrazioni realizzano i processi di conservazione all’interno della propria struttura organizzativa o affidandoli a conservatori accreditati, pubblici o privati, di cui all’art. 44-bis, comma 1, del Codice, fatte salve le competenze del Ministero dei beni e delle attività culturali e del turismo ai sensi del decreto legislativo 22 gennaio 2004, n. 42, e successive modificazioni”. Dalla formulazione del testo, in effetti, non appare chiaro se il ruolo delle soprintendenze rimanga immutato (ossia se alle stesse sia rimessa comunque l’autorizzazione per l’affidamento in outsourcing dei sistemi di conservazione delle pubbliche amministrazioni)[2] o se per le stesse possano immaginarsi competenze ulteriori: qualora, infatti, una pubblica amministrazione non si rivolga a un conservatore accreditato, ma affidi in outsourcing il proprio sistema di conservazione ottenendo comunque l’avallo della soprintendenza, (la quale avrà verificato che quel conservatore – non accreditato – ha comunque adottato un sistema di conservazione a norma, idoneo a garantire la sicurezza dei dati e dei documenti della PA), il relativo provvedimento di affidamento potrà ritenersi illegittimo? E sulla base di quale disposizione, considerando anche che il requisito introdotto dal terzo comma dell’art. 5 del DPCM – ovvero quello del necessario affidamento in outsourcing a un conservatore accreditato per le PA – costituisce un requisito ulteriore e non previsto come obbligatorio dal Codice dell’Amministrazione digitale, che è norma di rango primario (pertanto apparendo tale previsione “in eccesso di delega”)?
Inoltre, quali sarebbero le sanzioni applicabili? Quale Autorità dovrebbe irrogarle? L’Agenzia per l’Italia digitale? La Soprintendenza archivistica competente che ha autorizzato la pubblica amministrazione all’adozione di quel sistema di conservazione? E ancora: un documento di una PA conservato a norma da un conservatore non accreditato che segua a regola d’arte le regole tecniche attualmente in vigore può davvero ritenersi “non custodito”?
Che ruolo hanno i soggetti certificatori del sistema di conservazione?
Già il Codice dell’Amministrazione digitale aveva previsto che “il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito dall’articolo 43 e dalle regole tecniche ivi previste, nonché dal comma 1 ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche” (art. 44, comma 1-ter) e che “i soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono l’accreditamento presso DigitPA” (art. 44 bis, comma 1). E ancora, con specifico riferimento ai certificatori, il comma 2 dell’art. 7 del DPCM 3 dicembre 2013 stabilisce che “ai sensi dell’art. 44, comma 1-ter, del Codice, il responsabile della conservazione può chiedere di certificare la conformità del processo di conservazione a soggetti, pubblici o privati che offrano idonee garanzie organizzative e tecnologiche, ovvero a soggetti a cui è stato riconosciuto il possesso dei requisiti di cui all’art. 44-bis, comma 1, del Codice, distinti dai conservatori o dai conservatori accreditati. Le pubbliche amministrazioni possono chiedere di certificare la conformità del processo di conservazione a soggetti, pubblici o privati, a cui è stato riconosciuto il possesso dei requisiti di cui all’art. 44-bis, comma 1, del Codice, distinti dai conservatori accreditati”. Sul punto, volendo tralasciare l’incongruenza in base alla quale per la facoltà di far certificare il sistema di conservazione viene imposto alle pubbliche amministrazioni di rivolgersi esclusivamente a certificatori accreditati presso AgID (determinando il paradosso per cui in una PA la certificazione del sistema di conservazione è facoltativa, ma obbligatoriamente da richiedersi a certificatori accreditati, atteso che comunque la scelta di fare certificare il sistema di conservazione non presenta i rischi potenziali che potrebbe comportare l’affidamento dei dati pubblici oggetto di conservazione a un conservatore esterno non accreditato e quindi ritenuto potenzialmente “meno affidabile”), la questione centrale è: chi sono questi certificatori, più volte citati nelle norme in materia di conservazione, di cui nessuno sembra volersi interessare? Come si diventa certificatore dei sistemi di conservazione? E come dovrà considerarsi un archivio digitale affidato in outsourcing, previa autorizzazione della soprintendenza, a un conservatore non accreditato, ma certificato come conforme nei suoi singoli processi di conservazione da un soggetto accreditato da AgID per sviluppare tale attività di certificazione? Deve ritenersi affidabile o non affidabile?
In tale contesto, vengono alla mente i versi di Ovidio che, argomentando circa l’impossibilità di desiderare ciò che non si conosce, ci consegnava il suo ignoti nulla cupido.
Quanti manuali per i conservatori accreditati?
Ma non è solo il DPCM 3 dicembre 2013 a richiedere uno sforzo interpretativo al limite dell’immaginifico. Anche la Circolare n. 65 del 10 aprile 2014 dell’Agenzia per l’Italia digitale (relativa alle modalità di accreditamento e vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici) e alcune disposizioni dei documenti ad essa collegati lasciano adito a differenti letture. Nello specifico, l’allegato relativo alla documentazione per l’accreditamento, fra i documenti tecnici e organizzativi generali, richiede alla lett. m) “la copia del manuale di conservazione redatto, secondo lo schema pubblicato sul sito dell’Agenzia, in conformità alle disposizioni contenute nel DPCM 3 dicembre 2013 inerente alle regole tecniche in materia di sistema di conservazione dei documenti informatici”. Sebbene la disposizione appaia molto chiara, tuttavia occorre considerare che l’art. 8 delle nuove regole tecniche fa riferimento al manuale di conservazione in relazione al “sistema di conservazione”: ecco, quindi, che ritornano le difficoltà interpretative circa la definizione di sistema di conservazione, a cui dovrebbe legarsi la redazione del manuale. In questo caso, in effetti, la previsione di cui alla lett. m) potrebbe far propendere per una doppia interpretazione: la necessaria consegna di un solo “manuale operativo standard” utilizzato in via generale dal conservatore (che intenda richiedere l’accreditamento) per tutti i sistemi di conservazione allo stesso affidati, oppure la consegna di tutti i manuali di conservazione utilizzati per ogni sistema di conservazione affidato a quel conservatore da soggetti diversi; atteso che, in ogni caso, il DPCM 3 dicembre 2013 prescrive che sia il Responsabile della conservazione (ossia un soggetto interno alla struttura a cui è riferibile il sistema di conservazione, come si desume esplicitamente dai commi 3 e 4 dell’art. 7 delle regole tecniche) a predisporre il manuale di cui all’art. 8, ai sensi della lett. m) del primo comma dell’art. 7. Qualora si propenda per la seconda interpretazione, dunque, le implicazioni pratiche possono essere rilevanti, in quanto è facile immaginare il caso in cui il soggetto che intende accreditarsi sia il conservatore di decine e decine di soggetti.
Come devono essere formati i documenti informatici oggetto di conservazione?
Anche la risposta a questa domanda può apparire scontata, invece non lo è. Siamo ancora in attesa, infatti, della pubblicazione delle nuove regole tecniche in materia di formazione, trasmissione, conservazione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici, nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41 e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005. Queste regole dovrebbero costituire l’indispensabile presupposto logico per l’attuazione di quelle sulle firme elettroniche (di cui al DPCM 22 febbraio 2013), nonché di quelle sul protocollo informatico (DPCM 3 dicembre 2013) e sui sistemi di conservazione (DPCM 3 dicembre 2013): in effetti, come possiamo sottoscrivere, protocollare e conservare in modo sicuro i nostri documenti informatici se non vi è certezza sulle regole relative alla loro corretta formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale? Per comprendere l’importanza di tale provvedimento, basti pensare che nella bozza attualmente disponibile sul sito di AgID l’art. 3 contempla tra le modalità di formazione del documento informatico anche la “registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente” (lett. c) e la “generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica” (lett. d).
Inoltre, le stesse Regole Tecniche sulla conservazione (nell’art. 9, comma 1 lett. j), dedicato proprio al processo di conservazione), prevedono che tale processo debba garantire la produzione di copie informatiche in conformità a quanto previsto dalle regole tecniche in materia di formazione del documento informatico!
Sono ancora molti, dunque, gli aspetti da chiarire relativamente alla recente normativa sulla conservazione dei documenti informatici, pertanto è opportuno che su tali questioni possa avviarsi un proficuo e proattivo dialogo fra l’Agenzia per l’Italia digitale e i soggetti interessati, siano questi pubbliche amministrazioni, associazioni, stakeholder o conservatori che intendano richiedere l’accreditamento.
avv. Andrea Lisi e Sarah Ungaro Digital&Law Department Ufficio Presidenza ANORC
[1]Nello specifico, tale autorizzazione non è richiesta per il trasferimento all’esterno dell’archivio corrente di una pubblica amministrazione, tuttavia appare chiaro che alla luce del terzo comma dell’art. 43 del CAD – sulla scorta del quale “i documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali, nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71” – la conservazione digitale dei documenti delle PA deve garantire anche l’archiviazione in modo permanente: per tale motivo, dunque, qualora una pubblica amministrazione affidi in outsourcing il sistema di conservazione dei documenti, è comunque indicato che la stessa richieda l’autorizzazione alla competente Soprintendenza archivistica.
[2]Come peraltro sembrerebbe confermato dal comma 9 dell’art. 6 delle stesse regole tecniche, il quale ribadisce che “resta ferma la competenza del Ministero dei beni e delle attività culturali e del turismo in materia di tutela dei sistemi di conservazione degli archivi pubblici o degli archivi privati che rivestono interesse storico particolarmente importante”.