Pubbliche amministrazioni e operatori di mercato sono in attesa dell’avvio della consultazione pubblica relativa alle Linee Guida sulla formazione, gestione e conservazione dei documenti informatici a cura di AgID.
Proviamo allora, qui, a ragionare su quali aspettative possiamo avere sul tema e quali ipotesi fare sui contenuti del documento e (presumibilmente) dei suoi allegati.
Lo strumento delle linee guida
Il Codice dell’amministrazione digitale ha introdotto lo strumento delle Linee guida per adottare le regole tecniche e di indirizzo per l’attuazione di quanto stabilito nel Codice stesso.
L’Agenzia per l’Italia Digitale (AgID) le adotta “previa consultazione pubblica da svolgersi entro il termine di trenta giorni”, sentiti i pareri istituzionali, le pubblica sul sito Internet istituzionale e ne dà notizia sulla Gazzetta Ufficiale nazionale.
Nell’ambito documentale, le linee guida Agid nascono con lo scopo di aggregare i numerosi provvedimenti che si sono succeduti negli anni sui temi della formazione, gestione e conservazione documentale. Pur senza entrare nel dettaglio delle norme vigenti, possiamo dire che si tratta di tre DPCM con l’identico allegato in cinque parti e almeno tre circolari. Quella dell’Agenzia per l’Italia digitale è, quindi, un’operazione senz’altro positiva in termini di semplificazione normativa.
Sono dodici gli articoli che contengono disposizioni che rinviano a specifiche Linee guida.
Considerata la natura normativa di una Linea guida è ipotizzabile che AgID introduca nel testo dei concetti procedurali e descrittivi che non possono trovare posto in un testo normativo.
Questa tecnica di scrittura consente di superare la tradizionale modalità prescrittiva, introducendo quella descrittiva che rende “unitario” l’insieme normativo. Il risultato è più chiaro e fruibile per il lettore.
Le misure minime di sicurezza
Ritornando al tema specifico per le PA deve essere presente in queste Linee guida il riferimento alle misure minime di sicurezza ICT emanate dall’AgID con circolare del 18 aprile 2017, n. 2/2017. Tali disposizioni dovranno portare alla redazione del piano della sicurezza del sistema di gestione informatica dei documenti. Questa è molto utile per applicare nella propria organizzazione il regolamento europeo 679/2016 (GDPR) sulla protezione dei dati personali.
Naturalmente anche i soggetti privati devono adottare misure di sicurezza, quantomeno per gli obblighi del regolamento 679/2016 e le misure di AgID possono essere utili. Il soggetto privato che svolge l’attività di conservatore digitale accreditato ha i vincoli previsti nei documenti a supporto della certificazione obbligatoria ISO 27001.
Nello sviluppo delle linee guida dovrebbe essere utilizzato il flusso logico del ciclo di vita documentale riprendendo i comma dei tre DPCM vigenti ma anche quanto stabilito nel DPR 445/2000 – Testo Unico della Documentazione Amministrativa.
Classificazione, modalità di scarto e formato dei documenti digitali
Si attendono quindi le regole per l’organizzazione documentale, i compiti delle figure responsabile e le modalità di utilizzo del protocollo informatico. Concetti importanti da sviluppare sono anche sulla classificazione dei documenti informatici e sulla loro modalità di scarto. Questa tema è molto sentito in quanto nel mondo digitale si tende a conservare e archiviare tutto anche se le regole amministrative consentirebbero di cancellare i documenti tramite le regole dello scarto.
Un altro tema è quello dei formati dei documenti digitali. L’allegato ai tre DPCM vigenti è un punto di riferimento ma sempre di più si mette in luce il rischio del “vendor lock-in” cioè della scelta tecnologica proprietaria che vincola l’amministrazione ad uno specifico fornitore.
Una buona gestione dei formati aiuta anche nelle operazioni di riversamento che sono indispensabili nella loro periodicità per garantire la lettura dei documenti quando sopravviene l’obsolescenza degli strumenti di produttività individuale e di gestione documentale.
La certificazione di processo
Un tema da sviluppare è quello della certificazione di processo stabilita nell’articolo 23-ter del CAD. L’articolo in questione nel comma 1-bis prevede che:
“1-bis. La copia su supporto informatico di documenti formati dalle pubbliche amministrazioni in origine su supporto analogico è prodotta mediante processi e strumenti che assicurano che il documento informatico abbia contenuto identico a quello del documento analogico da cui è tratto, previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza del contenuto dell’originale e della copia”.
Questa certificazione di processo dovrà confrontarsi fisiologicamente con il punto di vista del Notariato anche se nella pubblica amministrazione possono essere nominati i pubblici ufficiali efficaci per le attività specifiche.
Per quanto concerne la conservazione digitale sarebbe opportuno fare chiarezza su alcuni ruoli previsti in questo contesto come sulla collocazione organizzativa del Responsabile della conservazione e la definizione del ruolo del Responsabile del sistema di conservazione. In tal modo si farebbe chiarezza sul naturale obbligo di appartenenza all’organizzazione titolare dei dati del Responsabile del sistema di conservazione, mentre l’altra figura fa senz’altro riferimento alla società esterna che conserva i dati per il titolare degli stessi.
Conservazione documentale e cloud
Sempre sul tema della conservazione si auspicano chiarimenti sulla possibilità di impiantare un sistema di conservazione su architettura cloud. Sul piano del buon senso questo è coordinato con i principi di “cloud first” del Piano triennale ma l’articolo 9, comma 2 del DPCM sulla conservazione (3 dicembre 2013) stabilisce dei vincoli che non sembrano consentire l’utilizzo di architetture Infrastructure as a Service (IaaS) e Software as a Service (Saas). In parallelo AgID ha emanato e applica regole di qualificazione per Cloud Service Provider (CDP).
Su questo tema (ma anche su molti altri) si avranno poi le evidenze sul tema principale cioè se le Linee guida possono abrogare o modificare le regole dei vigenti DPCM. I giuristi non sono concordi sulla risposta ma l’impressione dello scrivente è che i DPCM sulla gestione e la conservazione documentale saranno abrogati mentre il DPCM sul protocollo potrà essere modificato solamente per le parti non stabilite ai sensi del DPR 445/2000. Ma questo è un semplice fatto di tecnica giuridica.
