La guida

Responsabile della conservazione, come gestire il ruolo in azienda: i consigli di Anorc

L’associazione Anorc con una circolare chiarisce alcuni aspetti normativi e pratici relativi al ruolo del Responsabile della conservazione, non solo nella PA ma anche nelle imprese private: ecco cosa dice la normativa, come funziona l’affidamento dell’incarico, l’impiego di fornitori esterni e il rapporto con il DPO

Pubblicato il 29 Nov 2022

Luigi Foglia

avvocato, consulente senior di Studio Legale Lisi e Segretario Generale di ANORC

Matteo Pompilio

Avvocato e consulente presso Studio Legale Lisi

responsabile della conservazione

Con l’entrata in vigore delle nuove Linee Guida su formazione, gestione e conservazione dei documenti informatici, adottate per la prima volta da AgID nel settembre 2020 si è riaperto un vecchio dibattito sulla natura e sull’effettivo ruolo del Responsabile della conservazione. Questo ruolo, centrale all’interno dei sistemi di conservazione dei documenti informatici, ha sempre generato non poca confusione in merito alla sua configurazione, sia nelle imprese che nelle pubbliche amministrazioni.

A questo proposito, Anorc (Associazione Nazionale per Operatori e Responsabili della Custodia dei contenuti) che dal 2007, con le sue attività di informazione e comunicazione affianca aziende, enti pubblici, professionisti ed esperti che operano nei settori della digitalizzazione e della protezione dei dati personali, è recentemente intervenuta con una nota (Circolare 2/2022) su una questione particolarmente rilevante per il mercato, che ha destato non poche perplessità tra gli addetti ai lavori per la mancanza di un preciso diktat normativo. Anorc, facendo seguito ad alcune recenti sollecitazioni da parte dei propri iscritti ha voluto fare chiarezza sul ruolo del Responsabile della Conservazione (RDC) figura introdotta dal Codice dell’Amministrazione Digitale (CAD) e inserita tra gli adempimenti necessari per il corretto assolvimento degli obblighi normativi in materia di conservazione dei documenti informatici.

Nuove Linee guida Agid, tutto ciò che bisogna sapere sui metadati

Responsabile della conservazione, perché è un ruolo complesso

In effetti, quello di responsabile della conservazione è un incarico certamente complesso, al quale sono assegnate attività che richiedono competenze trasversali non facilmente acquisibili se non attraverso percorsi di studio e approfondimento specifici. Per questo motivo chi ha potuto ha preferito affidare tale ruolo all’esterno della propria organizzazione anche quando, come nel caso delle PA, la stessa AgID aveva provato a chiarire che questo potesse essere assegnato solo internamente e non esternamente all’ente. Oggi, con le citate nuove Linee Guida, il quadro sembra decisamente più chiaro rispetto al passato anche se resistono alcuni dubbi interpretativi.

L’intervento di Anorc ha ad oggetto principalmente la sussistenza di elementi normativi sulla base dei quali il ruolo del RDC può essere assunto anche da una persona giuridica, oltre che esclusivamente da una persona fisica. Non deve stupire la rilevanza della questione se si considera che, contrariamente a quanto si possa pensare, l’assenza di precise indicazioni legislative ha un impatto significativo per le strategie degli operatori del mercato di riferimento. Si deve considerare, infatti, che l’esistenza di un quadro normativo ben strutturato consentirebbe di orientare al meglio i propri sforzi e i propri investimenti, sicuri di non agire in una giungla normativa piena di pericoli e incertezze.

Responsabile della conservazione, le regole

Il Codice dell’Amministrazione Digitale (CAD), disciplina i processi di transizione digitale del sistema paese. La normativa è destinata principalmente ai processi delle PA con delle prescrizioni rivolte anche, come noto, alle imprese private.

Nell’alveo dei processi di digitalizzazione si inseriscono, tra gli altri, quelli relativi alla formazione, gestione e conservazione dei documenti informatici delle Pubbliche amministrazioni. In particolare, tra i requisiti per la corretta gestione e conservazione dei documenti informatici, l’art. 44 del CAD prevede, al comma 1-bis, che: “Il sistema di gestione dei documenti informatici delle pubbliche amministrazioni è gestito da un responsabile che opera d’intesa con il dirigente dell’ufficio di cui all’articolo 17 del presente Codice, il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, ove nominato, e con il responsabile del sistema della conservazione dei documenti informatici delle pubbliche amministrazioni, nella definizione e gestione delle attività di rispettiva competenza”.

A chi affidare l’incarico

Il dettato normativo non lascia dubbi sul fatto che il RDC sia una figura fondamentale per le Pubbliche Amministrazioni, anche in ragione dei compiti a cui queste ultime sono chiamate per procedere ad una sempre corretta e funzionale conservazione del loro patrimonio digitale. A riguardo è lo stesso CAD a prevedere all’art. 34, comma 1-bis, la necessità che “Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici:

  • all’interno della propria struttura organizzativa;
  • affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati accreditati come conservatori presso l’AgID”.

In tal senso, appare evidente come il legislatore abbia previsto una disciplina più “stringente” per le Pubbliche Amministrazioni e ciò per evidenti motivi di interesse pubblico che risiedono sia nel valore di pubblica fede sia che nelle caratteristiche storico-culturali che permeano gli archivi delle PA . Nel contesto normativo attuale, dunque, le modalità di affidamento dell’incarico del Responsabile per la Conservazione per le PA sono soggette ad uno schema normativo estremamente rigido e pertanto limitato ai soli soggetti (sia pubblici che privati) capaci di fornire idonee garanzie sotto il profilo organizzativo e tecnologico.

Responsabile della conservazione, come funziona nelle imprese private

Come noto, però, tali disposizioni, regolatrici del servizio per le PA, non sono invece applicabili alle imprese private. Queste ultime, infatti, non sono soggette ad alcuna limitazione circa la scelta del servizio di conservazione potendosi rivolgere al mercato come per qualsiasi altra fornitura di servizi digitali.

A sostegno di ciò, le Linee Guida AGID (LLGG) sulla formazione, gestione e conservazione dei documenti informatici, emanate per aggiornare le regole tecniche ex art. 71 CAD ed entrate in vigore il 1° gennaio 2022, nei paragrafi dedicati al responsabile della conservazione (vedasi il par. 4.5) precisano che: “Per i soggetti diversi dalla Pubblica Amministrazione, il ruolo del responsabile della conservazione può essere svolto da un soggetto esterno all’organizzazione, in possesso di idonee competenze giuridiche, informatiche ed archivistiche, purché terzo rispetto al Conservatore al fine di garantire la funzione del Titolare dell’oggetto di conservazione rispetto al sistema di conservazione”.

L’impiego di fornitori esterni

In relazione ai termini utilizzati dalle LLGG, sono sorte alcune perplessità tra gli operatori del settore. Ci si è chiesti se, in assenza di una previsione ad hoc, il ruolo del RDC nel comparto privato potesse essere affidato a fornitori che fossero anche persone giuridiche, non solo esclusivamente persone fisiche cercando, nella vigente normativa, una lettura positiva piuttosto che un effettivo divieto. La Circolare n. 2/2022 di ANORC ha offerto un’autorevole interpretazione della questione, poi condivisa dagli esperti del mercato della digitalizzazione. Secondo i professionisti di Anorc, infatti, non potrebbe non leggersi, in relazione al contesto normativo di riferimento, una direzione più che possibilista, e quindi aperta anche alle forniture da parte di persone giuridiche, dal momento che non emergono restrizioni di carattere giuridico all’affidamento del ruolo per la sola natura giuridica dell’affidatario.

Al riguardo, i professionisti di Anorc evidenziano anche come non sia neppure costituzionalmente plausibile una lettura limitativa del quadro normativo (CAD, LLGG) dal momento che si porrebbe in netto contrasto con il principio di libera iniziativa economica sancito dalla Carta Costituzionale. Come noto, infatti, l’art. 41 della Costituzione prevede che: “La legge determina i programmi e i controlli opportuni perché l’attività economica pubblica e privata possa essere indirizzata e coordinata a fini sociali e ambientali”.

Pertanto, secondo Anorc, ammettere una lettura restrittiva (e dunque a favore dell’affidamento a sole persone fisiche) comporterebbe una forma di controllo importante per l’attività economica che, come tale, dovrebbe essere opportunamente prevista da una precisa normativa proprio in ragione del dettato costituzionale.

Il rapporto tra Responsabile della conservazione e DPO

Non solo: Anorc compie anche un’interessante disamina della questione, comparando la figura del RDC al Responsabile per la protezione dei dati (RPD, o DPO nella versione anglofona e più conosciuta). Il DPO è una figura introdotta nel nostro ordinamento dal Regolamento UE 679/2016 (General Data Protection Regulation, anche GDPR o solo Regolamento) che disciplina la protezione dei dati personali e la loro libera circolazione. Anorc, nella sua circolare, propone con un illuminante accostamento di risolvere la questione attingendo dalla normativa europea sulla protezione dei dati personali, alla luce delle evidenti somiglianze tra la figura introdotta dal legislatore europeo e il RDC.

Infatti, secondo la Circolare, tra le funzioni e le caratteristiche del DPO, di cui agli art. 37 e ss. del Regolamento, il legislatore europeo individua determinati requisiti che appaiono analoghi da quelli richiesti al RDC, tra cui spiccano quelli di terzietà e il possesso di competenze ad hoc.  Tali caratteristiche rendono le due figure assimilabili e, in ragione di ciò, Anorc suggerisce di colmare l’attuale vuoto legislativo anche attingendo dai profili di somiglianza con la normativa europea in materia di protezione dei dati personali.

L’analisi dei professionisti di Anorc muove principalmente dalla formulazione dell’art. 37, par. 6, secondo il quale: “il responsabile della protezione dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi”, soffermandosi poi proprio sul concetto di “contratto di servizi”, alla luce dell’interpretazione fornita dalla Linee guida sui Responsabili per la protezione dei dati, adottate il 13 Dicembre 2016 ed emanate dal Gruppo di Lavoro “Articolo 29” (anche WP29, ma attualmente denominato European Data Protection Board – EDPB). Il WP29, infatti, chiarisce che il ruolo di RPD può essere assunto anche sulla base di un “contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento”.

Conclusione

Stupisce ad oggi il silenzio delle autorità competenti e l’assenza di pubbliche istanze che possano favorire processi di regolamentazione e mettere a tacere ogni dubbio interpretativo.

Inoltre, come già evidenziato, accogliere una interpretazione restrittiva, potrebbe inficiare notevolmente il mercato dei servizi digitali, a scapito dei conseguenti processi di innovazione e sviluppo tecnologico che caratterizzano le regole della concorrenza e della crescita economica. È chiaro quindi che a pagarne le conseguenze, sarebbe certamente il sistema economico nazionale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • la sentenza whatsapp

    Acquisire messaggi criptati nel processo penale: cosa dice la Cassazione

    11 Apr 2024

    di Massimo Borgobello

    Condividi

  • Diritto d'autore online

    Procedimenti Agcom validi all'estero anche senza Pec: la sentenza

    22 Feb 2024

    di Simona Lavagnini

    Condividi

  • Cultura e Tecnologia

    L'ascesa musicale africana: così il soft power trasforma i mercati

    08 Mar 2024

    di Mario Di Giulio

    Condividi

Prossimo

Acquisire messaggi criptati nel processo penale: cosa dice la Cassazione

Articolo 1 di 4