Conservazione, appaltare all’esterno si può: queste le regole
Attraverso un contratto di outsourcing si
realizza un trasferimento ad un fornitore esterno delle attività informatiche e
telematiche, compresi il personale, le infrastrutture,
le attività operative e gestionali. Il fornitore può essere unico o può
trattarsi di più fornitori fra loro collegati
10 Marzo 2016
Michele Iaselli, Ministero della Difesa e docente di informatica giuridica presso la LUISS
Come è noto il comma 1-ter dell’art. 44 del Codice dell’Amministrazione Digitale (CAD), introdotto ex novo dal d.lgs. n. 235/2010, prevede la possibilità per il responsabile della conservazione di chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito dall’articolo 43 e dalle regole tecniche ivi previste, ad altri soggetti pubblici o privati , che offrono idonee garanzie organizzative e tecnologiche.
Tali soggetti così come previsto dall’art. 44 bis del CAD, possono chiedere l’accreditamento presso l’Agenzia per l’Italia Digitale al fine di ottenere il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, nel campo specifico della conservazione dei documenti informatici e della certificazione dei relativi processi anche per conto di terzi.
In particolare la Circolare dell’AgID n. 65/2014 ha dettato le modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e che intendono conseguire i riconoscimenti più elevati in termini di qualità e sicurezza prevedendone l’iscrizione in un apposito elenco pubblico.
Difatti, possono richiedere l’accreditamento i conservatori di cui all’art. 44-bis del CAD che, al fine di conseguire tale riconoscimento, devono:
- dimostrare l’affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere l’attività di conservazione;
- utilizzare personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi forniti: in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della gestione documentale e conservazione documenti informatici e che abbia dimestichezza con le procedure di sicurezza appropriate e che si attenga alle norme del CAD e al DPCM 3 dicembre 2013 recante le regole tecniche in materia di sistema di conservazione;
- applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
- utilizzare sistemi affidabili e sicuri di conservazione di documenti informatici realizzati e gestiti in conformità alle disposizioni e ai criteri, standard e specifiche tecniche di sicurezza e di interoperabilità contenute nelle regole tecniche previste dal CAD;
- adottare adeguate misure di protezione dei documenti idonee a garantire la riservatezza, l’autenticità, l’immodificabilità, l’integrità e la fruibilità dei documenti informatici oggetto di conservazione, come descritte nel manuale di conservazione, parte integrante del contratto/convenzione di servizio.
Il conservatore se soggetto privato, in aggiunta a quanto previsto dai precedenti punti, deve inoltre:
- avere forma giuridica di società di capitali e un capitale sociale di almeno 200.000 Euro;
- garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e da parte dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell’articolo 26 del decreto legislativo 1 settembre 1993, n. 385 recante “Testo unico delle leggi in materia bancaria e creditizia”.
Questi principi sono stati ripresi ed approfonditi dal DPCM del 3 dicembre 2013 che detta le “Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44 , 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005”.
In particolare l’art. 6 del DPCM prevede che la conservazione possa essere affidata ad un soggetto esterno, secondo i modelli organizzativi di cui all’art. 5, mediante contratto o convenzione di servizio che preveda l’obbligo del rispetto del manuale di conservazione predisposto dal responsabile della stessa. Il soggetto esterno a cui é affidato il processo di conservazione assume il ruolo di responsabile del trattamento dei dati come previsto dal Codice in materia di protezione dei dati personali. Lo stesso art. 5 del DPCM specifica che le pubbliche amministrazioni realizzano i processi di conservazione all’interno della propria struttura organizzativa o affidandoli a conservatori accreditati, pubblici o privati.
Il contratto a cui fa riferimento l’art. 6 del DPCM del 3 dicembre 2013 potrebbe rientrare sicuramente nell’ambito dell’outsourcing che assolve alla funzione economico‐sociale di fornire, in cambio di corrispettivo, all’utente un completo servizio informatico che si sostituisce a quello preesistente, assorbendone tutte o quasi tutte le attività; in definitiva attraverso il contratto in esame si realizza un trasferimento ad un fornitore esterno delle attività informatiche e telematiche, compresi (nella sua massima espressione) anche il personale, le infrastrutture, le attività operative e gestionali. Il fornitore può essere unico ovvero può trattarsi di più fornitori fra loro collegati.
Il contratto di outsourcing nato ovviamente dall’autonomia negoziale e non disciplinato nel codice, costituisce un negozio atipico destinato sicuramente a futuri sviluppi , in quanto tende a soddisfare al massimo le esigenze operative dell’utente. Invero attraverso l’outsourcing si concretizza una vera e propria dismissione delle varie attività informatiche dell’utente, con contestuale delega al fornitore della loro intera gestione.
Naturalmente si tratta di un’operazione particolarmente complessa e delicata che, se da un lato offre indubbi vantaggi economici e semplificazioni operative, dall’altro pone l’utente nel rischio di non poter più controllare il proprio patrimonio informatico soprattutto se, in forza di successiva diversa determinazione, dovesse ripristinare il proprio sistema o trasferirlo ad altro fornitore.
La presenza di un’area a rischio, costituita appunto dagli effetti particolarmente negativi per l’utente che perde il controllo della propria attività, induce le parti a prevedere specifiche clausole relative alla possibilità di rientro o passaggio del servizio a terzi senza attriti o particolari difficoltà, di solito mantenendo nella disponibilità dell’utente alcune parti software che ne rafforzino la possibilità operativa pratica.
L’outsourcing nasce come evoluzione di altra precedente figura affermatasi nella prassi, ovvero il cosiddetto facility management, attraverso il quale il contraente si impegna a fornire all’utente una serie di attività di service e di sviluppo , con priorità per prestazioni di consulenza sistemistica, con possibili concessioni di licenze d’uso di software o connessi accordi di sviluppo.
Quanto alla sua natura giuridica, l’outsourcing viene inquadrato nell’ambito del contratto di appalto caratterizzato dalla commistione di prestazioni di beni e servizi, essendo comprese nell’oggetto sia lo sviluppo di programmi che la fornitura di beni. Parte della dottrina osserva che la complessità strutturale di un accordo di outsourcing non vieta che ad esso si applichi la disciplina dell’appalto, assorbendosi le ulteriori norme da applicare, secondo la prevalenza di uno piuttosto che di un altro profilo, il tutto però senza lasciare priva di tutela le parti.
Risulta preferibile, a nostro avviso, ribadire il carattere di contratto atipico la cui disciplina viene per gli aspetti di maggiore rilievo dettata dalle parti e, solo per le fattispecie non previste, si possono richiamare per analogia le norme sull’appalto.
In materia di outsourcing, con riguardo al settore dell’informatica aziendale, sono stati elaborati nella prassi accordi negoziali molto diversi tra loro nel contenuto, tenuto conto della eterogeneità dei servizi che possono essere offerti, per cui si va dall’affidamento all’esterno di attività specifiche a contenuto prevalentemente tecnico (codifica programmi, manutenzione impianti, la stessa conservazione digitale) al contenuto più ampio costituito dalla delega di tutte le attività di sviluppo e di gestione operativa delle strutture informatiche.